Zaštita ličnih podataka u bankarskom sektoru u Bosni i Hercegovini

Piše: Mujo Vilašević, CCEP-I, MA, MBA

Koristiti bankarske usluge danas zapravo znači davati svoje lične podatke bankama na obradu. Zbog toga je i nesumnjivo najveća snaga i finansijskog sektora ustvari – podatak. Međutim, koje lične podatke je dozvoljeno a koje nije dozvoljeno tražiti, koristiti i obrađivati u bankarskom sektoru, prilikom pružanja različitih bankarskih usluga? Da li su zaista naši lični podaci ugroženi na način i u mjeri kako se to često može percipirati u javnosti? Šta su to banke obavezne uraditi po pitanju zaštite ličnih podataka? Ovaj tekst će pokušati dati odgovore na ova pitanja.

Regulatorni okvir

Banke u Bosni i Hercegovini posluju u vrlo složenom regulatornom okviru. Taj okvir uključuje zakone i propise na svim nivoima vlasti u BiH – država, entiteti a nerijetko i kantonalni propisi. Međutim, srž bankarskog poslovanja regulisana je entitetskim Zakonima o bankama (FBiH Sl.novine br. 27/17 i RS Sl.glasnik 4/2017, 19/2018 – ispravka, 54/2019 i 65/2024). Ovi zakoni su 2017. godine principijelno usvojeni u cilju usaglačavanja sa europskom regulativom (prije svega CRR, CRD IV direktiva). Ovdje treba napomenuti i da je usklađivanje bankarskih propisa sa EU regulativom bio jedan od uslova tadašnjeg MMF aranžmana za Bosnu i Hercegovinu. Radi se o trogodišnjem MMF aranžmanu za BiH u vrijednosti cca 500 miliona EUR. Na listi tadašnjih mjera (2016-2017) našlo se i usklađivanje lokalnih zakona o bankama s europskom regulativom, s ciljem jačanja bankarskog sektora u državi (više; https://www.imf.org/external/lang/bosnian/np/sec/pr/2016/pr16396b.pdf). Kada je u pitanju obrada i zaštita ličnih podataka, entitetski zakoni su u gotovo identičnoj formi propisali “bankarsku tajnu”, pod kojom se podrazumijeva: podatak, činjenica ili saznanje do kojih su došli članovi organa i odbora banke, akcionari, zaposleni u banci obavljajući poslove i izvršavajući dužnosti iz svoje nadležnosti, kao i lica privrednog društva koja vrše spoljnu reviziju banke i druga lica koja zbog prirode posla koji obavljaju imaju pristup tim podacima, a čije bi otkrivanje neovlašćenom licu nanijelo ili moglo da nanese štetne posljedice za banku i njene klijente. Zakon dalje propisuje da se bankarskom tajnom smatraju naročito podaci koji su poznati banci, a odnose se na lične podatke, finansijsko stanje i transakcije kao i na vlasništvo i poslovne veze fizičkih i pravnih lica klijenata te ili druge banke.

Dakle, primarno se lični podaci posmatraju u okviru bankarske tajne. Oba entitetska zakona dalje propisuju i šta se sve ne smatra bankarskom tajnom, te koji su izuzeci od čuvanja bankarske tajne. Ove odredbe osnova su zaštite ličnih podataka u bankarskom sektoru.

Nadalje su lični podaci zaštićeni državnim Zakonom o zaštiti ličnih podataka (Sl. glasnik BiH, br. 49/2006, 76/2011 i 89/2011), koji već dugo godina čeka usklađivanje sa odgovarajućom europskom regulativom. Naravno, Zakon propisuje obaveznu saglasnost nosioca ličnih podataka (fizičkih lica) prije svakog prikupljanja i obrade ličnih podataka. Oba obaveza odnosi se i na proces prikupljanja ličnih podataka od strane banaka.

Međutim, ono što se u kontekstu regulativnog okvira nikako ne smije propustiti jeste regulativa i koja uzima sve više pažnje u posljednjih nekoliko godina – GDPR, Uredba Europske Unije o zaštiti ličnih podataka. Iako GDPR nema direktnu primjenu u Bosni i Hercegovini, imajući u vidu da je najveći dio bankarskog sektora zapravo u vlasništvu europskih bankarskih grupacija, a te grupacije su obavezne primjenjivati GDPR, onda jednostavno dođemo do zaključka da se GDPR primjenjuje u Bosni i Hercegovini, preciznije, u bankarskom sektoru Bosne i Hercegovine. Rijetko će se moći naći banka na lokalnom tržištu, koja pripada europskoj bankarskoj grupaciji, a dan nije praktično u cijelosti usklađena sa GDPR.

Zaštita u praksi?

U principu, opisani regulatorni okvir bi trebalo da pruža jednak nivo zaštite ličnih podataka korisnicima bankarskih usluga u BiH nivou zaštite u Europskoj Uniji. Šta to zapravo znači u praksi? Svi lični podaci klijenata, fizičkih lica, podliježu posebnim pravilima prikupljanja i obrade. Praktično svaki odlazak u banku danas znači i potpisivanje velikog broja papira. Ti papiri su najčešće – saglasnosti za prikupljanje i obradu podataka. Takvo prikupljanje i obrada moraju biti zakoniti i svrsishodni, te u onoj mjeri koja je neophodna da bi se izvršila određena bankarska usluga ili da bi se omogućio marketing.

Tako na primjer, građani mogu tražiti u većini banaka danas pravo na zaborav – trajno brisanje podataka i pravo na prenos (na drugog obrađivača), kao i anonimizaciju i pseudonimizaciju podaka, te u svakom trenutku tražiti izvještaj o obradi njihovih ličnih podataka od strane banke. U principu, sve banke sa matičnim sjedištem u EU bi trebale biti u mogućnosti odgovoriti na ove upite i osigurati navedena prava građanima BiH. Dakle, u praksi – imamo GDPR. Usklađivanje zakona na državnom nivou tek treba da se desi.

Iako banke osiguravaju brojne mjere zaštite ličnih podataka, lični podaci su i dalje ranjivi. Ali, ovo pitanje prevazilazi čak i često same mogućnosti banaka, a radi se o cyber rizicima. Tehnološki razvoj i digitalne komunikacije donose sasvim novi paket rizika u odnosu na klasičnu percepciju zloupotrebe podataka. Zbog toga je od iznimne važnosti stalno podizanje svijesti o zaštiti ličnih podataka, posebno u online komunikaciji. Ne postoji niti jedna regulativa koja može zaštiti građane u onoj mjeri koliko oni mogu zaštiti sami sebe, kada su u pitanju njihovi vlastiti lični podaci.

Stoga bi neki praktični savjeti bili:

  • Upoznati se sa vlastitim pravima i obavezama glede obrade i korištenja ličnih podataka
  • Prepoznati razliku između medijski atraktivnih dezinformacija (npr. da banke redovito zloupotrebljavaju podatke što niti je tačno niti zakonito niti bi bilo koja banka svjesno ulazila u takav rizik)
  • Pažljivo rukovati vlastitim ličnim podacima
  • Detaljno se upoznati i pročitati saglasnosti koje potpisujemo prilikom posjete banci
  • Pitati bankarske službenike o zaštiti ličnih podataka – oni će rado biti spremni pojasniti činjenično stanje, kako obrada podataka zaista funkcioniše
  • Redovno se educirati iz provjerenih i pouzdanih izvora o zaštiti podataka u digitalnom svijetu.

This project is financed with the contribution of the Ministry of Foreign Affairs and International Cooperation of the Italian Republic. The content of this document represents the views of its authors and in no way represents the position of the Ministry of Foreign Affairs and International Cooperation.