Ko treba da kontroliše digitalni identitet građana Bosne i Hercegovine?

Alma Bešlić iz Sarajeva svakodnevno koristi kvalifikovani elektronski potpis za podnošenje poreskih prijava, finansijskih izvještaja i komunikaciju s institucijama. Zato je odluka Agencije za zaštitu ličnih podataka BiH da zabrani obradu podataka za njegovo izdavanje za nju, ali i mnoge druge korisnike, otvorila pitanje – šta se dešava sa sistemom na kojem počiva elektronsko poslovanje u zemlji.

"Elektronski potpis koristimo svakodnevno u radu. On predstavlja ključni alat za podnošenje PDV prijava, finansijskih izvještaja i komunikaciju s nadležnim institucijama. Bez njega bi obavljanje ovih obaveza bilo znatno otežano ili neizvodivo", kaže Bešlić za Radio Slobodna Evropa (RSE).

U postupku izdavanja elektronskog potpisa, kako kaže, bilo je potrebno podnijeti popunjen zahtjev, te dostaviti kopiju lične karte radi potvrde identiteta podnosioca zahtjeva, u skladu s važećim procedurama.

Upravo obrada ličnih podataka je trenutno u središtu spora između dvije državne agencije.

Agencija za zaštitu ličnih podataka BiH je polovinom juna zabranila Agenciji za identifikaciona dokumenta, evidenciju i razmjenu podataka (IDDEEA) obradu podataka za izdavanje kvalifikovanih elektronskih certifikata za elektronske potpise.

U Agenciji za zaštitu ličnih podataka tvrde da je riječ o nezakonitoj obradi bez jasnog pravnog osnova, dok iz IDDEEA-e uzvraćaju da je odluka rezultat pokušaja širenja nadležnosti i miješanja u sistem koji je uređen zakonom.

Spor ulazi u novi upravni postupak pred Sudom BiH, a pojedini akteri ga dodatno politizuju upozorenjima da se nadležnosti iz ove oblasti pokušavaju prenijeti sa državnog na entitetski nivo.

Čitajte:

Podaci 50.000 građana BiH na dark webu: Ko tvrdi da je hakirao Vladu RS-a?

Kvalifikovani elektronski certifikat je, u suštini, digitalni identitet koji izdaje ovlašteno tijelo i kojim se potvrđuje da je elektronski potpis vezan za konkretnu osobu. U praksi funkcioniše kao elektronska lična karta, koja omogućava sigurno potpisivanje dokumenata putem interneta.

Njegova uloga je da obezbijedi identitet potpisnika, spriječi naknadne izmjene dokumenta i osigura pravnu snagu potpisa, koja je u sistemima usklađenim s eIDAS regulativom jednaka vlastoručnom potpisu.

Dok u Agenciji za zaštitu ličnih podataka tvrde da je riječ o nezakonitoj obradi bez jasnog pravnog osnova, iz IDDEEA-e uzvraćaju da je odluka rezultat pokušaja širenja nadležnosti i miješanja u sistem koji je uređen zakonom.

Šta se zamjera IDDEEA-i?

U rješenju kojim je Agencija za zaštitu ličnih podataka zabranila IDDEEA-i izdavanje certifikata za elektronske potpise, ne osporava se postojanje elektronskog potpisa kao pravnog instituta, nego način na koji se do njega dolazi.

U Agenciji tvrde da svaka obrada ličnih podataka mora imati jasno i izričito zakonsko uporište.

U konkretnom slučaju ocijenjeno je da IDDEEA ne može izdavati elektronske certifikate izvan oblasti identifikacionih dokumenata koja je u njenoj direktnoj nadležnosti, kao i da se podaci građana koriste u svrhe koje nisu predviđene važećim zakonima.

Upravo taj proces, prema tumačenju regulatora, predstavlja novu svrhu obrade podataka, za koju nije propisana nadležnost.

Inspektori Agencije za zaštitu ličnih podataka u 20 kvadrata: Povjerljivost pod znakom pitanja

Direktor Agencije Dragoljub Reljić za RSE je istakao da u ovom slučaju nije odlučujuće to što sistem funkcioniše ili što ga građani i institucije koriste, nego da li postoji zakonski osnov za njegov rad.

"Da bi radili bilo kakvu obradu podataka, morate imati zakonski pravni osnov, a ne dobru volju ili interes građana", kaže Reljić, tvrdeći da izdato rješenje "neće izazvati nikakve posljedice".

"Ništa se neće desiti. Vidjećete", rekao je za RSE.

Agencija dodatno naglašava da se njeno rješenje odnosi isključivo na buduću obradu podataka, te da već izdati elektronski potpisi i ranije potpisani dokumenti ne gube pravno važenje.

IDDEEA: 'Agencija se miješa u nadležnosti'

U Agenciji za identifikaciona dokumenta, evidenciju i razmjenu podataka spor vide potpuno drugačije, tvrdeći da Agencije za zaštitu ličnih podataka BiH nastoji proširiti svoju nadležnost na oblast koja je već uređena posebnim zakonom.

Direktor IDDEEA-e Almir Badnjević, na konferenciji za novinare 23. juna u Sarajevu, naglasio je da ova institucija ne osporava pravo Agencije da kontroliše zakonitost obrade ličnih podataka, ali tvrdi da se u ovom slučaju otišlo dalje od toga.

Almir Badnjević, direktor IDDEEA-e

"To nije pitanje zaštite podataka, već statusa ovjerioca", kaže Badnjević.

U IDDEEA-i se pozivaju na Zakon o elektronskom potpisu, koji, prema njihovom tumačenju, jasno definiše cjelokupan sistem, od identifikacije korisnika i vrste podataka koji se mogu koristiti, do nadzora nad radom ovjerilaca.

Taj zakon, kako navode, već propisuje da se mogu koristiti samo oni lični podaci koji su neophodni za pružanje usluge, zbog čega smatraju da je pitanje zaštite podataka u toj oblasti već regulisano.

"U rješenju nije navedeno koji su konkretni podaci sporni, niti na koji način je zakon prekršen", navodi Badnjević.

Insistira se na tome da nadzor nad ovjeriocima ne pripada Agenciji za zaštitu podataka, nego Ministarstvu komunikacija i transporta, koje je, prema zakonu, jedino ovlašteno za kontrolu rada i eventualno izricanje zabrana.

Čitajte:

Meta bez obaveštenja trenira veštačku inteligenciju na podacima građana Balkana

Gdje je 'sumnja u pokušaju otimanja' državne nadležnosti?

Ministar komunikacija i transporta Bosne i Hercegovine Edin Forto spor među agencijama tumači dijelom procesa u kojem se, kako tvrdi, pokušava oslabiti uloga državnih institucija u oblasti digitalnog identiteta.

"Pokušava se diskreditovati IDDEEA, institucija na državnom nivou koja u skladu sa zakonom izdaje certifikate za elektronsko potpisivanje", rekao je Forto na konferenciji za novinare 23. juna, direktno dovodeći u vezu postupke Agencije za zaštitu ličnih podataka sa političkim pritiscima.

Edin Forto: Pokušava se diskreditovati IDDEEA

On upozorava da se istovremeno vodi borba oko toga gdje će u budućnosti biti smještena kontrola nad elektronskim identitetom i digitalnim uslugama, odnosno da li će ostati na državnom ili biti prenesena na entitetski nivo.

"Ne postoji opcija u kojoj ćemo dozvoliti da se nadležnost za izdavanje elektronskog potpisa prenese sa države na entitete", poručuje Forto, naglašavajući da važeći zakon, iako star skoro dvije decenije, i dalje jasno pozicionira ovu oblast na državnom nivou.

U tom kontekstu spominje se i Zakon o elektronskoj identifikaciji i elektronskom potpisu entiteta Republika Srpska, usvojen početkom 2026. godine, koji predviđa uspostavljanje vlastitog entitetskog sistema digitalne identifikacije, uključujući registre, izdavanje certifikata i nadzor nad tim procesima.

Protiv tog zakona podnesena je apelacija Ustavnom sudu Bosne i Hercegovine.

Dok vlasti u Republici Srpskoj tvrde da je zakon usklađen sa EU direktivama i Ustavom BiH, u apelaciji koju je početkom juna podnio Kemal Ademović, zamjenik predsjedavajućeg Doma naroda Parlamentarne skupštine BiH, navodi se da zakon uspostavlja paralelni sistem digitalnog identiteta na entitetskom nivou i time zadire u nadležnosti države.

Uz apelaciju je zatraženo i donošenje privremene mjere, uz upozorenje da bi primjena zakona mogla dovesti do preuzimanja državnih nadležnosti u ovoj oblasti.

Spor otkriva 'neuređenost' zakonskih nadležnosti oko digitalnog identiteta

Spor između Agencije za zaštitu ličnih podataka BiH i Agencije za identifikacione dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) pokazao je da Bosna i Hercegovina nema jasno uređenu pravnu oblast elektronskog identiteta i kvalifikovanog elektronskog potpisa, ocijenio je za RSE pravni ekspert za zaštitu ličnih podataka Igor Letica.

Kako ističe, nije ključno da li IDDEEA može izdavati kvalifikovane elektronske potpise u okviru izdavanja identifikacionih dokumenata, jer je ta nadležnost nesporna, već da li ima zakonski osnov da ih izdaje i za druge namjene.

"Moje mišljenje je da je Agencija za zaštitu ličnih podataka tu u pravu. Oblast kvalifikovanog elektronskog potpisa u svim drugim segmentima, poput potpisivanja akata u javnim organima, institucijama ili ugovora, nije izričito stavljena u zakonsku nadležnost IDDEEA-e", rekao je Letica za RSE.

Kao argument, Letica podsjeća na raniji spor između agencije i IDDEEA-e u vezi s dodjeljivanjem elektronskog identiteta građanima.

"Sud BiH je, i u prvostepenom i u apelacionom postupku, podržao stavove Agencije i potvrdio zakonitost njenog rješenja da IDDEEA nije nadležna za dodjelu elektronskog identiteta građanima", naveo je Letica, dodajući da bi taj slučaj mogao biti pokazatelj mogućeg ishoda i u novom upravnom sporu.

Prema njegovim riječima, iako je prošle godine usvojen novi Zakon o zaštiti ličnih podataka, prateći propisi nisu usklađeni s njim, pa su nadležnosti u oblastima elektronskog identiteta, sertifikacije, registara i izdavanja kvalifikovanih elektronskih potpisa i dalje neprecizno uređene.

On smatra da su aktivnosti koje je IDDEEA već započela bile preuranjene jer su se, kako kaže, oslanjale prvenstveno na tehničku infrastrukturu, dok nije postojao jasan zakonski okvir.

"Sama činjenica da IDDEEA ima infrastrukturu i tehničke pretpostavke za izdavanje kvalifikovanog elektronskog potpisa ne znači automatski da ima i zakonsku nadležnost za to", rekao je.

Agencija za zaštitu ličnih podataka je i 2024. godine zabranila IDDEEA-i da građanima dodjeljuje elektronski identitet bez jasnog zakonskog osnova, te joj naložila brisanje podataka prikupljenih tokom testne faze sistema elektronskog identiteta.

Sud BiH je prošle godine odbio tužbu IDDEEA-e protiv Agencije za zaštitu ličnih podataka u sporu oko dodjele elektronskog identiteta građanima, potvrdivši da za takvu obradu podataka nije postojao jasan zakonski osnov.

Kasnije je i Apelaciono upravno vijeće Suda BiH potvrdilo presudu, čime je pravosnažno podržan stav Agencije da IDDEEA nije nadležna za dodjelu elektronskog