Novi Generalni propis o zaštiti podataka Europske unije (EU General Data Protection Regulation – GDPR) nazvan Opća uredba o zaštiti podataka je Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. aprila 2016. o zaštiti pojedinaca u vezi s obradom ličnih podataka i o slobodnom kretanju takvih podataka, te o stavljanju izvan snage Direktive 95/46/EC, kojom se reguliše zaštita podataka i privatnost lica unutar Europske unije, a donosi i propise vezane za iznošenje podataka u treće zemlje. Stupanjem GDPR-a na snagu prestaje važiti Direktiva 95/46/EC, a nakon prelaznog razdoblja od dvije godine sve zemlje članice EU dužne su od 25.05.2018. primjenjivati Uredbu.

Ovom se Uredbom utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka. Ovom se Uredbom štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka. (čl. 1)

Uredba se primjenjuje na voditelje obrade, tj. organizacije koje prikupljaju podatke EU građana, i na izvršioce obrade, tj. organizacije koje obrađuju podatke prema uputama voditelja obrade. Uredba se primjenjuje i na organizacije sa sjedištem izvan EU-a koje prikpuljaju lične podatke EU građana, odnosno na firme koje rukuju podacima EU-a, nevezano o državi u kojoj imaju poslovno sjedište. Uredba se ne primjenjuje na obradu u svrhu državne sigurnosti ili tijela za izvršavanje zakonodavstva. (čl. 2 i 3)

Principi obrade podataka (čl. 5):

  • zakonitost, poštenost i transparentnost obrade: to znači da obrada podataka treba biti u skladu s određenim pravnim osnovom, da je pojedinac informisan o postupku obrade i njegovim svrhama, jer je voditelj obrade obavezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade, uzimajući u obzir posebne okolnosti i kontekst obrade ličnih podataka; ispitanik bi trebao biti informisan o postupku izrade profila i posljedicama takve izrade profila;
  • ograničavanje svrhe: to znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te da se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; moguća je daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili historijskog istraživanja ili u statističke svrhe;
  • smanjenje količine podataka: to znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
  • tačnost: to znači da podaci moraju biti tačni i prema potrebi ažurni; mora se preduzeti svaka razumna mjera radi osiguravanja da se lični podaci koji nisu tačni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;
  • ograničenje pohrane: to znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se lični podaci obrađuju; na dulje periode, čuvanja su moguća samo ako će se lični podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili historijskog istraživanja ili u statističke svrhe uz sprovedbu primjerenih mjera zaštite propisanih Uredbom;
  • cjelovitost i povjerljivost: to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajući nivo sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
  • pouzdanost: to znači da je voditelj obrade odgovoran za poštovanje principa i da je teret dokaza na njemu.

Prava građana/ispitanika:

  • transparentnost(čl. 12-14): pružanje informacija prilikom prikupljanja podataka kada voditelj obrade mora među ostalim informacijama obavijestiti ispitanika i o svojem identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primaocima, iznošenju u treće zemlje, periodu pohrane, mogućnosti povlačenja saglasnosti, itd.;
  • pravo pristupa podacima(čl. 15) pripada ispitanicima. To im pravo omogućuje pristup ličnim podacima i podacima o načinu njihove obrade. Voditelj obrade dužan je na zahtjev pružiti pregled kategorija podataka koji se obrađuju kao i kopiju stvarnih podataka. Nadalje, voditelj obrade ispitanika mora obavijestiti o detaljima obrade poput svrhe obrade, eventualnim primateljima podataka i načinu na koji je voditelj stekao te podatke;
  • pravo na ispravak(čl. 16): ispitanik ima pravo zahtijevati ispravak netačnih ličnih podataka koji se na njega odnose, a uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune lične podatke, među ostalim i davanjem dodatne izjave;
  • brisanje („pravo na zaborav“)(čl. 17): ispitanik ima pravo od voditelja obrade ishoditi brisanje ličnih podataka koji se na njega odnose bez nepotrebnog odgađanja ako, među ostalim, lični podaci više nisu neophodni u odnosu na svrhu obrade. Ovo pravo ima ograničenja pa tako npr. političar ne može zatražiti brisanje informacija o sebi koje su date u okviru političkog djelovanja. Pravo na zaborav zamijenjeno je ograničenijim pravom na zaborav u inačici GDPR-a koju je usvojio Europski parlament u martu 2014. U čl. 17. navodi se da ispitanik ima pravo zatražiti brisanje ličnih podataka koje ga se tiču prema jednom od osnova, uključujući nepridržavanje principa zakonite obrade (čl. 6. st. 1.), što uključuje slučajeve u kojima su interesi ili osnovna prava i slobode ispitanika koji zahtijevaju zaštitu ličnih podataka, naročito ako je ispitanik dijete, snažniji od interesa voditelja obrade. Član 17. izričito propisuje pravo na zaborav. Podaci moraju biti izbrisani “bez odlaganja”, ako više nisu potrebni ili ako je saglasnost povučena;
  • pravo na ograničenje obrade(čl. 18): u pojedinim situacijama npr. kada je tačnost podataka osporavana ispitanik ima pravo zahtijevati da se obrada njegovih ličnih podataka ograniči uz iznimku pohrane i nekih drugih vrsta obrade.
  • pravo na prenosivost(čl. 20): ispitanik ima pravo zaprimiti svoje lične podatke, a koje je prethodno pružio voditelju obrade, u strukturisanom obliku, te u uobičajeno upotrebljavanom i strojno čitljivom formatu, te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su lični podaci pruženi, ako se obrada sprovodi automatizovanim putem i zasniva na saglasnosti ili ugovoru. Ispitanici također imaju pravo prenijeti lične podatke iz jednog sistema elektronske obrade u drugi, bez da ih u tome sputava voditelj obrade. Ovim pravom nisu obuhvaćeni dovoljno anonimizovani podaci, ali i podaci koji ne sadrže identifikatore, ali pomoću kojih se pojedinca može identifikovati uz dodatne podatke, obuhvaćeni su pravom. Pravo obuhvaća podatke koje je ispitanik ‘dao’ i podatke koji su nastali ‘praćenjem’, poput ponašanja ispitanika. Nadalje, voditelj obrade podatke mora pružiti u strukturisanom, uobičajeno korištenom formatu (čl. 20.). Pravni stručnjaci u konačnoj inačici GDPR-a vide “novo pravo” koje “seže i preko običnog prava na prenosivost podataka između dva voditelja obrade kako je navedeno u članu 20”;
  • pravo na prigovor(čl. 21): ispitanik ima pravo uložiti prigovor na obradu ličnih podataka ako se ista zasniva na zadaćama od javnog interesa, na izvršavanje službenih ovlasti voditelja obrade ili na legitimne interesa voditelja obrade (uključujući i profilisanje), tada voditelj obrade ne smije više obrađivati lične podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika, te radi zaštite pravnih zahtjeva, također ako se ispitanik protivi obradi za potrebe direktnog marketinga, lični podaci više se ne smiju obrađivati;
  • pravo usprotiviti se donošenju automatizovanih pojedinačnih odluka (profilisanje)(čl. 22): ispitanik ima pravo da se na njega ne odnosi odluka koja se zasniva isključivo na automatizovanoj obradi, uključujući izradu profila, koja proizvodi pravne efekte koji se na njega odnose ili na sličan način značajno na njega utiču, osim ako je takva odluka potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka, ako je dopuštena pravom EU-a ili nacionalnim pravom kojim se propisuju odgovarajuće mjere zaštite prava i sloboda, te legitimnih interesa ispitanika ili zasnovana na izričitoj saglasnosti ispitanika.

Obaveze voditelja obrade (čl. 24)

  • Voditelj obrade mora, uzimajući u obzir prirodu, obim, kontekst i svrhe obrade, te njezinu rizičnost, preduzeti odgovarajuće tehničke i organizacione mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Općom uredbom o zaštiti podataka. Tehnička i integrisana zaštita podataka (Data protection by design and by default) (čl. 25)
  • Voditelj obrade mora, uzimajući u obzir okolnosti konkretne situacije, u vrijeme određivanja sredstava obrade i u vrijeme same obrade provoditi odgovarajuće tehničke i organizacione mjere, poput pseudonimizacije, za omogućavanje efikasne primjene principa zaštite podataka.
  • Voditelj obrade je ujedno dužan sprovoditi odgovarajuće tehničke i organizacione mjere kojima se osigurava da integrisanim načinom budu obrađeni samo lični podaci koji su neophodni za svaku posebnu svrhu obrade.

Obaveze izvršioca obrade (čl. 28)

  • Ako voditelj obrade angažuje izvršioca obrade, tada izvršilac obrade sprovodi obradu u ime voditelja obrade. Pri tome, voditelj obrade može angažovati jedino izvršioce obrade koji, u dovoljnoj mjeri, garantuju sprovedbu odgovarajućih tehničkih i organizacionih mjera na način da je obrada u skladu s Općom uredbom o zaštiti podataka. Izvršilac obrade ne smije angažovati drugog izvršioca obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade.
  • Obrada koju sprovodi izvršilac obrade uređuje se pravnim aktom, kojim se izvršioca obrade obavezuje prema voditelju obrade, te se u njemu moraju navesti predmet i trajanje obrade, priroda i svrha obrade, vrsta ličnih podataka i kategorija ispitanika, te obaveze i prava voditelja obrade. Tim se pravnim aktom naročito određuje da izvršilac obrade mora, među ostalim, postupati prema uputama voditelja obrade, da su fizička lica koja obrađuju lične podatke dužna čuvati povjerljivost istih, da će postupiti u skladu s odredbama Opće uredbe o zaštiti podataka koje se odnose na sigurnost obrade, itd.

Evidencije o aktivnostima obrade (čl. 30)

  • Prema trenutno važećem zakonodavstvu u BiH, osim u iznimnim slučajevima, voditelj obrade je dužan Agenciji za zaštitu ličnih podataka dostaviti evidenciju o zbirkama ličnih podataka. Navedena obaveza je administrativni teret koji nestaje stupanjem na snagu Opće uredbe o zaštiti podataka.
  • Opća uredba o zaštiti podataka propisuje obavezu voditelja obrade koji (1) zapošljava više od 250 radnika ili (2) voditelja obrade čija obrada predstavlja vjerojatan rizik za prava i slobode ispitanika (ali samo u slučaju ako obrada nije povremena), te (3) voditelja obrade koji obrađuje posebne kategorije ličnih podataka ili podataka o kaznenim djelima ili osudama, da vodi i da nadzornom tijelu na zahtjev preda evidenciju o aktivnostima obrade koja sadržava sve bitne elemente obrade, poput identiteta voditelja s kontakt podacima, svrhu obrade, opis ispitanika i ličnih podataka, primaoce podataka, prenose podataka u treće zemlje, predviđene rokove čuvanja podataka, itd. Evidencija o aktivnostima obrade mora se voditi, a treba uključivati svrhu obrade, kategorije podataka koje se obrađuju i procijenjene vremenske rokove trajanja obrade i držanja podataka. Zapisi se na zahtjev trebaju pružiti nadzornome tijelu (čl. 30.).

Sigurnost obrade (čl. 32)

  • Uzimajući u obzir okolnosti konkretnog slučaja, voditelj obrade i izvršilac obrade sprovode odgovarajuće tehničke i organizacione mjere kako bi osigurali odgovarajuć nivo sigurnosti s obzirom na rizik, uključujući prema potrebi: (1) pseudonimizaciju i enkripciju ličnih podataka, (2) osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sistema i usluga obrade, (3) sposobnost blagovremene ponovne uspostave dostupnosti ličnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta, te (4) redovno testiranje tehničkih i organizacionih mjera za osiguravanje sigurnosti obrade.

Izvještavanje o povredi ličnih podataka (data breach) (čl. 33 i 34)

Ako je vjerojatno da će povreda ličnih podataka prouzrokovati rizik za prava i slobode ispitanika, voditelj obrade mora izvijestiti, bez odgađanja, nadzorno tijelo o povredi ličnih podataka (najkasnije u roku od 72 sata od saznanja o povredi). Navedeno izvještavanje treba sadržavati opis povrede uz informacije o ispitanicima i ličnim podacima, opis vjerovatnih posljedica povrede, opis mjera koje su preduzete ili predložene za rješavanje povrede, te kontakt tačku voditelja.

  • Također, ako je vjerojatno da će povreda prouzrokovati visok rizik za prava i slobode ispitanika, voditelj obrade je dužan informisati ispitanike o povredi ličnih podataka koristeći se jasnim i jednostavnim jezikom. Iznimno, neće biti potrebno ako je voditelj obrade primijenio zaštitne mjere (npr. enkripciju) kojima je spriječio korištenje povrijeđenih ličnih podataka, preduzeo naknadne mjere zaštite zbog kojih nije vjerovatan visok rizik ili ako je kontaktiranje svakog ispitanika predstavljalo nerazmjeran napor, pri čemu je onda neophodno ispitanike obavijestiti sredstvima javnog saopćavanja ili na drugi djelotvoran način.

 

Službenik za zaštitu ličnih podataka (čl. 37)

  • Za razliku od trenutno važećeg zakonodavstva u BiH, Opća uredba o zaštiti podataka ima pristup kojim se želi poboljšati efektivnost zaštite podataka na način da se posebno nadziru rizične obrade. Važna karika u tom segmentu je službenik za zaštitu ličnih podataka koji će voditelj obrade i izvršilac obrade morati imenovati kada (1) obradu provodi tijelo javne vlasti ili javno tijelo, (2) osnovna djelatnost se sastoji od postupaka obrade koji iziskuju redovno i sistematsko praćenje ispitanika u velikoj mjeri, te (3) osnovna djelatnost se sastoji od obimne obrade posebnih kategorija ličnih podataka ili podataka o kažnjivim djelima.
  • Grupa poduzetnika može imenovati zajedničkog službenika, pod uslovom da je lako dostupan iz svakog poslovnog sjedišta, a to uključuje i službenika za zaštitu podataka iz druge države članice EU uz posebne uslove kao što su poznavanje jezika ispitanika. Imenovanje mora biti zasnovano na stručnim kvalifikacijama, naročito stručnog znanja o pravu i praksi iz područja zaštite ličnih podataka, te sposobnostima izvršavanja zadaća.
  • Službenik ne mora biti zaposlenik voditelja ili izvršioca obrade, dovoljno je da bude angažovan na osnovu ugovora o djelu. Službenik za zaštitu podataka ne smije biti u sukobu interesa (npr. biti zadužen za nadzor IT sistema i s druge strane biti službenik za zaštitu podataka).
  • Službenik za zaštitu podataka, među ostalim, mora informisati i savjetovati voditelja ili izvršioca obrade o obavezama iz područja zaštite podataka, pratiti poštovanje propisa o zaštiti podataka, učestvovati u procjeni efekta i prethodnom savjetovanju, te sarađivati s nadzornim tijelom.

Ako obradu vrši javno tijelo, osim sudova ili nezavisnih sudskih tijela, ako djeluju u sudskoj nadležnosti ili ako se osnovne djelatnosti voditelja obrade u privatnom sektoru sastoje od postupaka obrade koji zbog svoje prirode, obima i/ili svrhe iziskuju redovno i sistemsko praćenje ispitanika u velikoj mjeri, odnosno ako aktivnosti obrade uključuju obimnu obradu posebnih kategorija podataka, potrebno je imenovati stručno lice sa znanjima u području zaštite podataka koja će pomoći voditelju ili izvršiocu obrade nadzirati usklađenost s mjerama iz GDPR-a. Član 37. navodi zadatke Službenika za zaštitu podataka, što je slično zadacima i ulozi glavnog Šefa za privatnost (CPO), kako ih nazivaju u SAD-u. Ovi zadaci su standardni, ali uloga CPO će sada imati naglašenu važnost obzirom na znatno veće uloge koje GDPR nameće. Član 35. nameće postavljanje CPO i u javnom sektoru (osim sudova), kao i za Velike podatke (Big Data).
Od službenika za zaštitu podataka očekuje se stručnost u upravljanju IT procesima, sigurnost podataka (uključujući odgovor na cybernapade) i ostalim kritičnim pitanjima koja se tiču pohrane i obrade ličnih i osjetljivih podataka. Potrebni nivo znanja širi je od samog razumijevanja zakonskih propisa.

GDPR također zahtijeva obučavanje. Prema članu 37. GDPR-a, među zadacima službenika za zaštitu podataka uključeno je i „podizanje svijesti i obuka osoblja uključenog u operacije obrade.” Prema članu 43., u vezi s obavezujućim korporativnim pravilima (Binding Corporate Rules BCR) GDPR traži “odgovarajuću obuku o zaštiti podataka osoblja koje imaju trajan ili redovan pristup ličnim podacima.” Obuka je zahtjev u skladu s GDPR-om. Kvaliteta obuke organizacije je ključna, jer će EU regulatori procijeniti sveukupnu opredijeljenost za zaštitu podataka kompanije.

Više podataka o pojedinostima i funkciji službenika za zaštitu podataka dati su 13.12.2016. (revirdirano 05.04.2017.) u dokumentu smjernica izdatom od strane Radne skupine iz čl. 29.

Sankcionisanje povreda Opće uredbe o zaštiti podataka (čl. 83)

Prema odredbama Uredbe svaka povreda će se sankcionisati novčanim upravnim kaznama koje će se izricati uz ili umjesto drugih sankcija poput upozorenja, opomena, zabrana, ograničenja, itd. Iznimno, ako je riječ o manjoj povredi fizičkog lica i ako bi upravna novčana kazna bila nesrazmjerna, ista se neće izricati, nego će se izreći upozorenje.
Postoje dva seta kršenja, za neka kršenja (obaveze voditelja i izvršioca obrade, te certifikacionog tijela i tijela za praćenje kodeksa ponašanja) propisana je maksimalna kazna u iznosu od 10 miliona eura ili 2% godišnjeg prometa na svjetskoj razini, a za druga kršenja (principi obrade, prava ispitanika, prenosi u treće zemlje, obaveze u skladu s nacionalnim pravom, nepoštovanja naredbe ili pravo pristupa nadzornog tijela) propisana je maksimalna kazna do 20 miliona eura ili 4% godišnjeg prometa na svjetskom nivou, ovisno o tome šta je veće. Prilikom izricanja novčanih upravnih kazni vodiće se računa da je takva sankcija efikasna, razmjerna i odvraćajuća, a za određivanje iznosa konkretne novčane upravne kazne morat će se uzeti u obzir jedanaest kriterijuma poput prirode, težine i trajanje kršenja, vrste krivnje, mjere ublažavanja štete, prijašnja kršenja, tehničke i organizacione mjere primijenjene u obradi podataka, itd.

Nadzorna tijela mogu izreći sankcije kako slijedi:

  • pismeno upozorenje u slučaju nenamjernog prekršaja (za prvi prekršaj)
  • redovne revizije i preglede mjera zaštite podataka
  • dministrativne kazne u iznosu do 10 miliona eura ili do 2 % ukupnog godišnjeg prometa na svjetskom nivou za prethodnu godinu u slučaju poduzetnika, šta god je veće, ako je došlo do kršenja sljedećih odredbi (čl. 83. st. 4.):
    • obaveza voditelja obrade i izvršioca obrade u skladu s članovima 8., 11., od 25. do 39., te 42. i 43.;
    • obaveza certifikacionog tijela u skladu s članovima 42. i 43.;
    • obaveza tijela za praćenje u skladu s članom 41. stav 4.;
  • administrativne kazne u iznosu do 20 miliona eura ili do 4 % ukupnog godišnjeg prometa na svjetskom nivou za prethodnu godinu u slučaju poduzetnika, šta god je veće, ako je došlo do kršenja sljedećih odredbi (čl. 83. st. 5. i 6):
    • osnovnih principa za obradu, što uključuje uslove saglasnosti u skladu s članovima 5., 6., 7. i 9.;
    • prava ispitanika u skladu s članovima od 12. do 22.;
    • prenosa ličnih podataka primaoca u trećoj zemlji ili međunarodnoj organizaciji u skladu s članovima od 44. do 49.;
    • svih obaveza u skladu s pravom države članice EU donesenim na osnovu poglavlja IX.;
    • nepoštovanja naredbe ili privremenog ili trajnog ograničenja obrade ili suspenzije protoka podataka nadzornog tijela u skladu s članom 58. stav 2. ili uskraćivanje pristupa kršenjem člana 58. stav 1.

Europski odbor za zaštitu podataka (EDPB) (čl. 68 -70)

EDPB je novo tijelo Europske unije koje se sastoji od čelnika nadzornih tijela svake države članice i Europskog nadzornika za zaštitu podataka. Zadaća Europskog odbora za zaštitu podataka je osiguravanje dosljedne primjene Opće uredbe o zaštiti podataka u cijeloj Europskoj uniji, što uključuje rješavanje povodom sporova između nadzornih tijela različitih država članica EU, te izdavanje preporuka, smjernica i primjera najbolje prakse u vezi s područjem primjene Opće uredbe o zaštiti podataka. Pojedine odluke Europskog odbora za zaštitu podataka mogu biti pravno obavezujuće. Kada je u pitanju uticaj Opće uredbe na građane BiH i domaće kontrolore ličnih podataka koji posluju na teritoriji EU, želimo istaknuti da će sama Uredba imati određeni uticaj na iste nezavisno od usklađivanja domaćeg zakonodavstva.

Prema članu 3. Uredbe proizlazi da će se ista primjenjivati na obradu ličnih podataka u okviru aktivnosti poslovnih subjekata sa sjedištem u Uniji nezavisno od toga da li se obrada ličnih podataka vrši u Uniji ili ne. Znači, ukoliko kontrolor podataka sa sjedištem u Uniji ima poslovne ogranke i u BiH ili na bilo koji način pruža usluge građanima u BiH, onda će se ovi propisi primjenjivati i na građane BiH.

S druge strane, prema istom članu Uredbe (stav 2.), firme iz Bosne i Hercegovine koje posluju na prostoru Unije ili nude robe ili usluge građanima Unije, dužne su primjenjivati Uredbu.
Dakle, i u uslovima da domaće zakonodavstvo ne bude usklađeno sa europskim, novi propisi zaštite ličnih podataka, pod određenim uslovima, primjenjivaće se, kako na građane BiH, tako i na domaće kontrolore ukoliko posluju sa Unijom. Ne možemo u ovom trenutku predvidjeti u kojoj mjeri će se Uredba reflektovati na rad pojedinih institucija i poslovnih subjekata, obzirom da je riječ o širokoj obradi ličnih podataka u različite svrhe, te je potrebno naći rješenje da takva obrada bude usaglašena i sa EU standardima i sa trenutnim zakonodavstvom važećim u Bosni i Hercegovini.

Bosna i Hercegovina je Sporazumom o stabilizaciji i pridruživanju preuzela obavezu usklađivanja domaćeg zakonodavstva sa pravnom stečevinom Europske unije (za što je krajnji rok 01.06.2021.), tako da se navedena obaveza odnosi i na usklađivanje Zakona o zaštiti ličnih podataka sa novim zakonodastvom EU o zaštiti ličnih podataka.