Agencija za zaštitu ličnih podataka u Bosni i Hercegovini (AZLP) donijela je dva rješenja koja bi mogla otvoriti jedno od najvažnijih pitanja digitalizacije javne uprave u BiH: ko smije izdavati kvalifikovane elektronske potvrde i pod kojim uslovima smije obrađivati lične podatke građana.
Rješenjima od 12. juna 2026. godine, AZLP je trajno zabranila Agenciji za identifikaciona dokumenta, evidenciju i razmjenu podataka BiH (IDDEEA) da obrađuje lične podatke u svrhu izdavanja kvalifikovanih elektronskih potvrda za elektronsko potpisivanje, osim u postupku digitalnog potpisivanja u oblasti identifikacionih dokumenata.
Istom odlukom, u posebnom postupku, AZLP je trajno zabranila i Upravi za indirektno oporezivanje BiH (UIO) da obrađuje lične podatke u svrhu izdavanja kvalifikovanih elektronskih potvrda za elektronsko potpisivanje.
Na prvi pogled, ovo može zvučati kao tehničko-pravno pitanje. U stvarnosti, riječ je o odluci koja se tiče građana, preduzeća, javnih institucija, poreskog sistema, pravosuđa i ukupnog povjerenja u digitalne usluge države.
Šta je, zapravo, zabranjeno?
Važno je odmah razjasniti: AZLP nije zabranila elektronski potpis kao pravni institut. Elektronski potpis i dalje postoji u zakonima BiH.
Zabranjena je obrada ličnih podataka koju su, prema ocjeni AZLP-a, IDDEEA i UIO obavljale u svrhu izdavanja kvalifikovanih elektronskih potvrda, odnosno certifikata koji omogućavaju kvalifikovani elektronski potpis.
Bez obrade ličnih podataka nema ni izdavanja takve potvrde. Da bi neko dobio kvalifikovanu elektronsku potvrdu, institucija mora obraditi podatke o identitetu osobe: ime, prezime, broj dokumenta, adresu, kontakt podatke, podatke povezane sa pravnim licem, korisničke podatke i druge elemente potrebne da se utvrdi ko zaista stoji iza elektronskog potpisa.
Zato je ova zabrana praktično mnogo šira nego što na prvi pogled izgleda. Ona ne dira samo jedan obrazac ili jednu aplikaciju, već osnovni proces na kojem počiva izdavanje kvalifikovanog elektronskog potpisa.
Zašto je AZLP to zabranila?
Suština obrazloženja AZLP-a svodi se na jedno pitanje: da li javni organ ima jasno zakonsko ovlaštenje da obrađuje lične podatke za konkretnu svrhu?
Po Zakonu o zaštiti ličnih podataka, obrada podataka mora biti zakonita, pravična i transparentna. Kada lične podatke obrađuje javni organ, nije dovoljno da usluga bude korisna, tehnički moguća ili da građanin preda zahtjev. Mora postojati jasan pravni osnov u zakonu koji uređuje nadležnosti tog organa.
Drugim riječima: država ne smije reći “mi imamo tehniku, imamo aplikaciju i građani žele uslugu, pa ćemo obrađivati njihove podatke”. Za javni organ prvo mora postojati zakon koji kaže da taj organ smije da radi baš taj posao i da u toj svrsi smije obrađivati baš te podatke.
U slučaju IDDEEA-e, AZLP je zauzela stav da je ova agencija osnovana za poslove vezane za identifikacione dokumente, evidencije, razmjenu podataka i tehničke sisteme u toj oblasti, ali ne i za šire tržišno ili opšte izdavanje kvalifikovanih elektronskih potvrda za elektronsko potpisivanje.
Zato je napravljena izuzetno važna razlika: IDDEEA može obrađivati podatke u postupku digitalnog potpisivanja u oblasti identifikacionih dokumenata, ali joj je zabranjena obrada podataka za šire izdavanje kvalifikovanih elektronskih potvrda za elektronsko potpisivanje.
Kod UIO BiH, AZLP je ocijenila da ni ta institucija nema dovoljan zakonski osnov da obrađuje lične podatke u svrhu izdavanja kvalifikovanih elektronskih potvrda. Iako je UIO bila upisana kao ovjerilac i godinama razvijala sistem elektronskog poslovanja, AZLP je, prema obrazloženju rješenja, posmatrala drugo pitanje: ne samo da li je neko upisan u registar ovjerilaca, nego da li njegov osnovni zakon zaista daje ovlaštenje za obradu ličnih podataka u toj svrhu.
To je ključna tačka spora.
Zašto saglasnost građanina nije dovoljna?
Ovo je dio koji najviše zbunjuje građane. Neko može reći: “Ako sam ja dao podatke i želim elektronski potpis, u čemu je problem?”
Problem je u tome što javni organi ne rade kao privatne firme. Kada državni organ obrađuje lične podatke, naročito u oblasti identiteta, dokumenta i pravno obavezujućeg potpisa, ne može se sve zasnivati samo na saglasnosti korisnika.
Građanin ili privrednik često nema stvaran izbor. Ako je elektronski potpis potreban za poreske prijave, carinske postupke, sudske akte ili javne usluge, onda se teško može govoriti o potpuno slobodnoj saglasnosti. Zbog toga zakon traži da javni organ ima jasno propisanu nadležnost i jasno propisanu svrhu obrade.
Upravo tu AZLP vidi problem: obrada ličnih podataka za izdavanje kvalifikovanih elektronskih potvrda mora imati čvrst zakonski temelj, a ne samo tehničku mogućnost, pravilnik, interni akt ili upis u registar.
Šta kaže druga strana?
IDDEEA osporava rješenja AZLP-a i tvrdi da posljedice mogu biti ozbiljne. Iz ove agencije navode da AZLP, prema njihovom tumačenju, nema nadležnost da zabranjuje izdavanje kvalifikovanih elektronskih potpisa niti da vrši nadzor nad radom ovjerilaca, jer je nadzor nad ovjeriocima povjeren nadležnom uredu pri Ministarstvu komunikacija i transporta BiH.
IDDEEA upozorava da bi odluke mogle pogoditi sistem UIO BiH, elektronsko podnošenje poreskih i carinskih prijava, pravosuđe, privredu i pravnu sigurnost građana.
To znači da sada imamo ozbiljan institucionalni spor: AZLP kaže da ne odlučuje o tehničkom statusu ovjerioca, nego o zakonitosti obrade ličnih podataka, dok IDDEEA tvrdi da je AZLP ušla u nadležnost drugog organa i da svojim rješenjima praktično blokira sisteme koji već funkcionišu.
Konačnu riječ, ukoliko bude pokrenut upravni spor, mogao bi dati Sud BiH.
Da li su dosadašnji elektronski potpisi automatski nevažeći?
Na osnovu dostupnih rješenja, ne može se odgovorno tvrditi da su svi ranije izdati elektronski potpisi automatski poništeni ili da svi dokumenti koji su ranije potpisani prestaju da važe.
Rješenja AZLP-a odnose se na zabranu obrade ličnih podataka u svrhu izdavanja kvalifikovanih elektronskih potvrda. To je ozbiljna zabrana, ali nije isto što i pojedinačno poništavanje svakog ranije potpisanog akta.
Međutim, problem pravne sigurnosti je stvaran. Ako je jedan državni organ godinama izdavao certifikate, a drugi državni organ sada kaže da za obradu ličnih podataka nije postojao zakonit osnov, otvara se pitanje: šta je sa obnovom certifikata, novim korisnicima, postojećim korisnicima, sistemima koji su već povezani sa tim potpisima i postupcima u kojima je elektronski potpis korišten?
To je razlog zbog kojeg ova tema nije samo administrativna. Ona može otvoriti lanac praktičnih i pravnih posljedica.
Šta to znači za građane?
Za građane je najvažnije da se ne stvara panika. Elektronski potpis kao institut nije ukinut. Ali usluge koje su se oslanjale na IDDEEA za izdavanje kvalifikovanih elektronskih potvrda sada ulaze u zonu pravne neizvjesnosti.
U praksi, građani mogu osjetiti posljedice kroz sporije ili zaustavljene postupke izdavanja novih potvrda, probleme kod aktivacije ili korištenja pojedinih digitalnih usluga, kao i kroz čekanje da institucije razjasne ko je nadležan i po kojem zakonu.
Izuzetak koji je AZLP ostavila za IDDEEA odnosi se na digitalno potpisivanje u oblasti identifikacionih dokumenata. To znači da odluka nije potpuno zatvorila vrata svakoj ulozi IDDEEA-e, ali je ograničila šire izdavanje potvrda za elektronsko potpisivanje.
Šta to znači za privredu?
Za privredu bi posljedice mogle biti ozbiljnije, naročito za firme koje koriste elektronske sisteme UIO BiH.
Ako firma elektronski podnosi poreske prijave, carinske dokumente ili koristi digitalne certifikate povezane sa poslovanjem, svaka neizvjesnost oko izdavanja, obnove ili priznavanja kvalifikovane elektronske potvrde znači dodatni trošak, zastoj i rizik.
Posebno je osjetljivo pitanje novih korisnika i obnove postojećih potvrda. Ako se certifikat ne može izdati ili obnoviti, firma može doći u situaciju da ne može obaviti obavezu elektronskim putem onako kako je to do sada radila.
Zato je sada najvažnije da institucije brzo daju jasna uputstva privredi: šta važi, šta se mijenja, kome se korisnici obraćaju i kako će se spriječiti blokada poreskih, carinskih i poslovnih procesa.
Šta to znači za državu?
Ovo je test ozbiljnosti digitalne uprave u BiH.
Digitalizacija ne znači samo aplikaciju, šifru i mobilni telefon. Digitalizacija znači pravno siguran sistem u kojem građanin zna ko obrađuje njegove podatke, zašto ih obrađuje, koliko dugo ih čuva, kome ih prosljeđuje i po kojem zakonu to radi.
Ako taj temelj nije jasan, svaka digitalna usluga može pasti na prvom ozbiljnom pravnom ispitu.
Odluke AZLP-a pokazuju da se digitalna transformacija ne može graditi samo na tehničkim rješenjima i institucionalnim ambicijama. Mora postojati precizan zakon, jasna nadležnost, kontrola obrade podataka i odgovornost za posljedice.
Sa druge strane, upozorenja IDDEEA-e otvaraju drugo pitanje: šta se dešava ako se već uspostavljeni sistemi zaustave preko noći, bez prelaznog rješenja i bez jasnog plana za korisnike?
Oba pitanja su važna. I oba se tiču građana.
Šta slijedi?
IDDEEA je najavila pokretanje upravnog spora pred Sudom BiH. I IDDEEA i UIO imaju rok da AZLP-u dostave obavještenje o preduzetim aktivnostima u vezi sa izvršenjem rješenja.
Do konačnog raspleta, moguća su tri pravca.
Prvi je sudski: Sud BiH može preispitati rješenja AZLP-a i dati konačan odgovor o njihovoj zakonitosti.
Drugi je zakonodavni: nadležne institucije mogu izmijeniti ili precizirati zakone kako bi se jasno odredilo ko izdaje kvalifikovane elektronske potvrde, ko smije obrađivati podatke i pod kojim uslovima.
Treći je institucionalni: AZLP, IDDEEA, UIO, Ministarstvo komunikacija i transporta BiH i drugi nadležni organi moraju uskladiti praksu, jer građani i privreda ne smiju biti taoci sukoba nadležnosti.
Suština problema
Ovo nije priča o tome da li je elektronski potpis potreban. Potreban je. Bez njega nema moderne uprave, bržeg poslovanja, efikasnijih sudova ni jednostavnije komunikacije građana sa institucijama.
Ali elektronski potpis je vrijedan samo ako počiva na zakonitom i sigurnom sistemu.
Ako država traži od građana da vjeruju digitalnom potpisu, onda građani imaju pravo da znaju da su njihovi lični podaci obrađeni zakonito, da je institucija nadležna za posao koji radi i da dokument koji potpišu neće sutra postati predmet pravne sumnje.
Zato je odluka AZLP-a mnogo više od administrativne zabrane. Ona je upozorenje da digitalna država ne može počivati na improvizaciji.
A posljedice će zavisiti od toga koliko brzo će nadležne institucije prestati da se spore oko nadležnosti i početi da rješavaju ono što je građanima i privredi najvažnije: pravnu sigurnost, zaštitu ličnih podataka i usluge koje funkcionišu.
***
Pratite nas na našoj Facebook i Instagram stranici i X nalogu.
Čitaoci reporteri
Podjelite sa ostalim našim čitaocima ono što svakodnevno vidite, sa čime se susrećete, vaše utiske sa putovanja, neobične sutuacije kojima ste prisustvovali i zabilježili ih svojim foto-aparatom tokom ljetovanja, zimovanja, izleta... Pišite nam na našu email adresu:
