logo standard prva
AK ستيفانوفيتش: قانون حماية البيانات الشخصية الجديد دخل حيز التنفيذ. اقرأ ما الذي يُقرّ به

AK ستيفانوفيتش: قانون حماية البيانات الشخصية الجديد دخل حيز التنفيذ. اقرأ ما الذي يُقرّ به

07.10.2025

القانون الجديد لحماية البيانات الشخصية في البوسنة والهرسك – التوافق مع اللائحة العامة لحماية البيانات GDPR وأهم المستجدات

كتبته: الآنسة بوزانا سيميتش، محامية

القانون الجديد لحماية البيانات الشخصية في البوسنة والهرسك ("الجريدة الرسمية للبوسنة والهرسك"، العدد 12/25) يُمثّل إصلاحًا شاملاً في مجال حماية الخصوصية. تم تبنيه في 30 يناير 2025، ونُشر في 28 فبراير 2025، بينما دخل حيز التنفيذ في 8 مارس من نفس السنة، لكن تطبيقه تأخر لمدة 210 أيام من تاريخ دخوله حيز التنفيذ. أُقرّ القانون بهدف تجاوز تقادم القانون السابق من عام 2006 (مع التعديلات من عام 2011) ومواءمة الإطار المحلي مع المعايير الأوروبية، لا سيما اللائحة العامة لحماية البيانات التابعة للاتحاد الأوروبي (GDPR). تم توفير فترة ستة أشهر للتوافق مع الأنظمة الجديدة، لذا هو ساري المفعول بالكامل منذ 4 أكتوبر من السنة الحالية. في ما يلي نحلّل الأحكام الأساسية للقانون الجديد، وأهم المستجدات مقارنة بالحل السابق، والمبادئ الأساسية للمعالجة، وحقوق المواطنين الذين تُعالج بياناتهم، والتزامات الجهات التي تتعامل مع البيانات، وأيضًا أحكام العقوبات، وكذلك التوافق مع المعايير الأوروبية (GDPR).

الأحكام الأساسية للقانون الجديد

الموضوع والغرض من القانون:
القانون الجديد ينص على قواعد حماية الأفراد الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية، ينظم حقوق الأشخاص في الخصوصية والتزامات الذين يجمعون ويعالِجون البيانات، ويُحدّد صلاحيات وكالة حماية البيانات الشخصية في البوسنة والهرسك بوصفها الجهة الرقابية. القانون له تركيز أوسع من القانون السابق — يُشير صراحة إلى التوافق مع GDPR ويحتوي على قواعد خاصة لمعالجة البيانات لأغراض منع ومقاضاة الجرائم (مثل في سياق الشرطة والقضاء).

المصطلحات والنطاق:
التوافق مع الـGDPR يظهر أيضًا من خلال تعريفات المصطلحات وبنية القانون. تم إدخال مصطلحات حديثة مثل "المراقب" (controller) للبيانات و"المعالج" (processor) للبيانات، تعريف واضح للبيانات الشخصية ولقطاع البيانات (الأشخاص الذين تُنسب إليهم البيانات)، وغير ذلك. تم توسيع خاص لمفهوم البيانات الشخصية — إلى جانب الأسماء، والعناوين، وأرقام الهوية والمعلومات المشابهة، تُشمل أيضاً المعرفات الإلكترونية مثل عنوان IP، والبريد الإلكتروني، وملفات تعريف الارتباط (cookies)، وكذلك البيانات البيومترية (مثل بصمات الأصابع). بهذا يُعترف بأن البيانات الحديثة عن الفرد تتضمّن بصمات رقمية وخصائص لم يكن التشريع السابق يُبيّنها صراحة.

هيكل القانون:
القانون ينظّم بتفصيل مبادئ معالجة البيانات، قانونية المعالجة (الأسس القانونية للمعالجة)، obligation الحصول على الموافقة في حالات معينة، حقوق أصحاب البيانات، التزامات ومسؤوليات المراقبين والمعالجين، شروط نقل البيانات عبر الحدود، تعيين مسؤول حماية البيانات (DPO)، حفظ السجلات عن أنشطة المعالجة، إجراء تقييم الأثر على الخصوصية (DPIA)، التدابير الرقابية من قبل الوكالة، ويرسم عقوبات على خرق الأحكام. في الفصول التالية من هذا المقال، تتم معالجة هذه المجالات الأساسية بشكل منفرد.

أهم المستجدات مقارنة بالقانون السابق

القانون الجديد يجلب عددًا من الابتكارات المهمة مقارنة بالقانون القديم من 2006/2011، موافقًا التنظيم البوسني والهرسكي مع معايير الـGDPR. القانون السابق كان أقصر وأقل شمولًا، ولم يواكب التطور التكنولوجي ومتطلبات GDPR، مما جعل هناك حاجة لإصلاح جذري. نُبرز بعض من الابتكارات الرئيسية للقانون الجديد مقارنة بالحل السابق:

حقوق أوسع للمواطنين:
تم إدخال حقوق جديدة لأصحاب البيانات (المواطنين)، مثل الحق في الحذف ("حق النسيان")، الحق في نقل البيانات، الحق في تقييد المعالجة، والحق في الاعتراض على المعالجة، بما في ذلك الاعتراض على اتخاذ قرارات آلية. هذه الحقوق لم يكن القانون السابق يحتويها بهذا الامتداد — على سبيل المثال، حق نقل البيانات وحق النسيان هما مفهومان نشآ مع GDPR.

مبادئ معالجة جديدة و"خصوصية مدمجة":
إلى جانب المبادئ التقليدية مثل الشرعية، والنزاهة، والسرية، إلخ، ينص القانون الجديد أيضًا على مبادئ "الخصوصية حسب التصميم" و"الخصوصية بالتقصير الافتراضي" (privacy by design & by default). وهذا يعني أن حماية البيانات يجب أن تكون مدمجة في الأنظمة والعمليات من بدايتها — بالفعل عند تصميم التكنولوجيا أو الخدمة يجب أن تُتوقع تدابير لحماية الخصوصية وتقييد المعالجة إلى الحد الأدنى الضروري. التشريعات القديمة لم يكن لديها متطلبات صريحة بهذا الشكل.

التوثيق الإلزامي وتقييم المخاطر:
أُدخلت إلزامية حفظ السجلات عن أنشطة معالجة البيانات (لأغلب المؤسسات، مع استثناءات للجهات الأصغر) وضرورة إجراء تقييم الأثر على حماية البيانات (DPIA) للمعالجة التي قد تُشكل مخاطرة عالية لحقوق وحريات الأفراد. القانون القديم لم يكن يعرف DPIA ولم يشترط حفظ السجلات بهذا الشكل المنهجي، مما يمثل تشديدًا كبيرًا في مسؤولية المراقب ليقيّم المخاطر بشكل استباقي ويهتم بالامتثال (ما يُعرف بمبدأ مسؤولية المراقب — accountability).

مسؤول حماية البيانات (DPO):
مفهوم DPO الذي جاء به الـGDPR الآن مُدرج في القانون البوسني والهرسكي. التعيين مسؤول حماية البيانات صار إلزاميًا لبعض المؤسسات والجهات الحكومية — مثلاً المؤسّسات العامة، الشركات التي تكون نشاطها الأساسي معالجة كمّيات كبيرة من البيانات أو معالجة فئات خاصة من البيانات (البيانات الحساسة). التشريع السابق لم يتطلب وجود DPO. بالإضافة، تم تحديد الشروط التي يجب أن يستوفيها الـDPO (الخبرة، الشهادة، الاستقلالية في العمل، التواصل المباشر مع الإدارة العليا والوكالة).

إخطار عن خرق البيانات:
القانون الجديد يُدخل إلزامًا بأنه يجب أن يُبلغ عن أي تسرب خطير أو وصول غير مصرح به إلى البيانات الشخصية إلى الوكالة خلال 72 ساعة من معرفة الحادثة. كذلك، إذا كان احتمال أن يؤدي الخرق إلى مخاطرة عالية لحقوق الأفراد، يجب أيضًا إخطار الأشخاص المتضررين (أصحاب البيانات). القانون القديم لم يكن لديه مطلب بهذا الدقة بالنسبة لإخطار الانتهاكات، مما يفرض الآن على الشركات والمؤسسات الحاجة لوضع إجراءات داخلية للاستجابة لحوادث الأمان.

النقل الدولي للبيانات:
تم تشديد القواعد لنقل البيانات الشخصية عبر الحدود. الآن يُنص صراحة أنه يمكن إخراج البيانات من البوسنة والهرسك فقط إذا كانت الدولة المستقبلة تملك مستوى حماية ملائمًا يُعتمد من قبل مجلس الوزراء في البوسنة والهرسك (باقتراح من الوكالة) أو إذا تم اتخاذ تدابير حماية مناسبة مثل "بنود العقد النموذجية" القياسية، أو في حالات خاصة بموافقة صريحة من صاحب البيانات. القانون القديم قد نظّم النقل عبر الحدود بشكل عام لكنه لم يبيّن تفصيليًا الآليات مثل البنود العقدية النموذجية أو شروط الموافقة، وهذا الآن مُنظّم في روح GDPR.

تعيين ممثلين للشركات الأجنبية:
الكيانات القانونية الأجنبية التي ليس لها مقر في البوسنة والهرسك، لكنها تعالج بيانات مواطني البوسنة والهرسك (مثلاً عبر الإنترنت، تقديم خدمات عن بُعد)، يجب الآن أن تعيّن ممثلًا محليًا في البوسنة والهرسك كنقطة اتصال للجهة الرقابية ولأصحاب البيانات. هذا يتماشى مع المادة 27 من الـGDPR ولم يكن مطلوبًا من قبل من الشركات الأجنبية التي تعمل في سوقنا.

عقوبات وغرامات أكبر:
نظام العقوبات صار أكثر صرامة بكثير. تم النص على غرامات إدارية مالية تصل إلى 40 مليون مارك كونًاكتي (KM) أو حتى 4% من إجمالي العائدات العالمية السنوية للمنتهك (للشخصيات القانونية)، أيهما أكبر. هذا مطابق لنموذج الـGDPR. القانون السابق كان ينص على غرامات أقل بكثير (بالترتيب عدة عشرات آلاف KM كحد أقصى)، بينما القانون الجديد يوضح بجلاء أن انتهاكات الخصوصية ستكلف المسؤولين ثمنًا باهظًا. بالإضافة إلى الغرامات على الشركات، تم التنصيص على عقوبات للأشخاص المسؤولين في المؤسسات/الشركات (مثل المدراء) تتراوح من عدة مئات إلى عدة آلاف من KM لبعض المخالفات. وكالة حماية البيانات الشخصية نالت صلاحيات أوسع لإجراء عمليات تفتيش، وفرض تدابير، وفرض عقوبات ومنع المعالجة في حال حدوث الانتهاكات — مما يضمن تنفيذًا أقوى للقانون من ذي قبل.

حماية الأطفال والفئات الحساسة:
كمستجد خاص، القانون لعام 2025 يُركّز على حماية البيانات الشخصية للأطفال. تم النص أنه في سياق خدمات المجتمع المعلوماتي، موافقة الطفل على معالجة البيانات صالحة فقط إذا كان الطفل لا يقل عمره عن 16 سنة، وتحت هذا السن تكون الموافقة أو الموافقة من ولي الأمر/الوصي ضرورية. هذا عمليًا يعني أن مُقدّمي الخدمات على الإنترنت يجب أن يتحققوا من عمر المستخدم ويأخذوا موافقة الوالدين للقاصرين تحت 16 سنة، وهذا ما لم يُحدده التشريع القديم بوضوح. أيضًا، الفئات الخاصة من البيانات (مثل بيانات الصحة، البيانات البيومترية، الأصل العرقي أو الإثني، الميول السياسية، التوجه الجنسي، إلخ) تحظى بحماية معززة ولا يُمكن معالجتها إلا استثنائيًا، تحت شروط صارمة منصوص عليها في القانون.

الابتكارات المذكورة تظهر أن القانون الجديد أكثر تعقيدًا وأكثر صرامة. في القسم التالي سننظر بمزيد من التفصيل في بعض هذه المجالات – مبادئ المعالجة، حقوق المواطنين، التزامات الذين يُعالجون البيانات، وأحكام العقوبات – حتى نوضح ما تعنيه عمليًا.

مبادئ معالجة البيانات الشخصية

تشكّل المبادئ (القواعد الأساسية) للمعالجة القوانين الجوهرية التي يجب أن يلتزم بها كل من يجمع ويعالج البيانات الشخصية. يُعرّفها القانون الجديد وفقًا لمعايير GDPR. المبادئ الأساسية هي:

  • الشرعية، الإنصاف، والشفافية: يجب أن تُعالج البيانات بطريقة قانونية، مع احترام حقوق الفرد، وبشفافية تجاه صاحب البيانات حول كيفية استخدام بياناته.

  • تحديد الغرض: يُسمَح بجمع البيانات فقط لأغراض محددة وواضحة ومشروعة، ولا يجوز معالجتها لاحقًا بطريقة لا تتماشى مع تلك الأغراض الأصلية.

  • تقليل البيانات: يُجمَع فقط الحد الأدنى من البيانات الضرورية لتحقيق غرض معين. معالجة بيانات زائدة غير ضرورية للغرض المقصود محظورة.

  • الدقة: يجب أن تكون البيانات الشخصية دقيقة ومُحدثة؛ يجب تصحيح البيانات غير الدقيقة أو حذفها دون تأخير.

  • تحديد مدة الحفظ: تُحفظ البيانات في شكل يسمح بتحديد هوية الشخص فقط طالما كان ذلك ضروريًا لتحقيق الغرض. بعدها يجب حذفها أو إخفاء الهوية (أنونيميتها)، ما لم يتطلّب القانون مدة حفظ أطول.

  • السلامة والسرية: يجب ضمان مستوى مناسب من أمان البيانات، بما في ذلك الحماية من الوصول غير المصرّح أو غير القانوني، أو الكشف، أو التعديل، أو الفقدان، باستخدام تدابير فنية وتنظيمية.

  • المسؤولية (المحاسبة): يتحمّل متحكِّم البيانات مسؤولية الالتزام بجميع هذه المبادئ ويجب أن يكون قادرًا على إثبات الامتثال لها. هذا مبدأ جديد يُلزِم المنظمات عمليًا المحافظة على السجلات وتوثيق أنشطة المعالجة.

إلى جانب هذه المبادئ العامة، يُدخل القانون مفهوم الخصوصية المُدمَجة:

  • الخصوصية حسب التصميم وبالإعداد الافتراضي: يجب أن تُصمم الأنظمة والخدمات لحماية خصوصية المستخدم من البداية. افتراضيًا، ينبغي جمع ومعالجة فقط البيانات الضرورية، مع أعلى معايير الأمان. على سبيل المثال، يجب أن يحتوي البرنامج الذي يُستخدم لمعالجة البيانات على إعدادات افتراضية تمنع مشاركة البيانات علنًا ما لم يختَر المستخدم خلاف ذلك، ويجب أن يتم تنفيذ الحماية من تسرب البيانات منذ مرحلة التخطيط.

عمليًا، هذه المبادئ تُلزم كل جهة تعالج البيانات (سواء شركة أو مؤسسة أو جهة أخرى) أن تؤسّس ثقافة حماية البيانات: بدءًا من كتابة سياسات الخصوصية بشكل واضح ومفهوم، مرورًا بتقييد الوصول إلى البيانات، وحتى المراجعة الدورية ما إذا كان يتم حفظ البيانات الضرورية فقط وما إذا كانت محدثة. الامتثال للمبادئ هو أساس قانونية أي معالجة — خرق المبادئ (مثلاً جمع بيانات زائدة أو حفظها مدة أطول مما هو ضروري) يُمثّل أيضًا مخالفة للقانون.

حقوق أصحاب البيانات

أحد الأجزاء المركزية في القانون الجديد هو فهرس حقوق أصحاب البيانات — الأشخاص الطبيعيون الذين تُعالج بياناتهم الشخصية. هذه الحقوق شبه مطابقة لتلك المنصوص عليها في الـ GDPR، مما يضمن لمواطني البوسنة والهرسك مستوىً عالٍ من السيطرة على بياناتهم. الحقوق الأساسية تشمل:

  • حق الإبلاغ/الإعلام: يحق للأفراد أن يتمّ إعلامهم بوضوح وفهم بمن يعالج بياناتهم الشخصية، ولماذا، وكيفية المعالجة. يجب تقديم معلومات المعالجة بلغة بسيطة، دون استخدام مصطلحات قانونية أو تقنية غير مفهومة. هذا الحق يُلزم المتحكّمين بأن يقدموا إخطارات خصوصية شفافة في وقت جمع البيانات.

  • حق الوصول: يحق لصاحب البيانات أن يحصل من المتحكّم على تأكيد فيما إذا كانت بياناته تُعالَج، والوصول إلى تلك البيانات، بالإضافة إلى معلومات عن غرض المعالجة، فئات البيانات، المتلقيين المحتملين، مدة الحفظ، الخ. المتحكّم ملزم بتقديم نسخة من البيانات الشخصية التي يعالجها عن ذلك الشخص.

  • حق التصحيح: إذا كانت البيانات غير دقيقة أو غير كاملة، يحق للشخص طلب تصحيحها أو استكمالها. يجب على المتحكّم إجراء التصحيح دون تأخير غير مبرّر وإبلاغ الشخص بذلك.

  • حق الحذف ("الحق في النسيان"): في حالات معينة، يحق لصاحب البيانات طلب حذف بياناته الشخصية. هذا ممكن، على سبيل المثال، إذا لم تعد البيانات ضرورية للأغراض التي جُمِعت من أجلها، أو إذا سحب الشخص الموافقة التي بُنيت عليها المعالجة، أو إذا كانت المعالجة غير قانونية. المتحكّم يجب عندها حذف البيانات، إلا إذا كانت هناك أساس قانوني يفوق هذا الطلب (مثل التزام قانوني بالحفظ).

  • حق تقييد المعالجة: هذا الحق يُتيح للشخص إيقاف المعالجة مؤقتًا في حالات معينة. مثلاً، إذا اعترض الشخص على دقة البيانات، يمكنه طلب تقييد المعالجة حتى يتم التحقق من الدقة؛ أو إذا كانت المعالجة غير قانونية، لكن الشخص لا يرغب في الحذف بل فقط في التقييد؛ أو إذا لم تعد البيانات مهمة للمُتحكِّم ولكنها تُطلب للحفاظ على حقوق قانونية. عندما تُقيَّد المعالجة، يُسمَح فقط بتخزين البيانات، وليس بمعالجتها أكثر (إلا بموافقة أو لأسباب قانونية معيّنة).

  • حق نقل البيانات (قابلية نقل البيانات): حق جديد يسمح لصاحب البيانات بأن يحصل على بياناته الشخصية التي سبق أن قدّمها إلى المتحكّم بصيغة منظمة، مستخدمة عادة، وقابلة للقراءة آليًا، وأن ينقلها إلى متحكّم آخر إذا رغب في ذلك. يُطبَّق هذا عندما تكون المعالجة قائمة على الموافقة أو العقد ويتم تنفيذها بطريقة آلية. في الممارسة، مثلاً يمكن للمستخدم أن يطلب من موقع تواصل اجتماعي أو بنك أن يسلمه بياناته لينقلها إلى مزود خدمة آخر.

  • حق الاعتراض: يحق للشخص في أي وقت الاعتراض على معالجة بياناته التي تستند إلى مصلحة مشروعة للمُتحكِّم أو مهمة تُنفَّذ للصالح العام، بما في ذلك التصنيف الآلي (التوصيف) على تلك الأسس. بعد الاعتراض، يجب على المتحكّم التوقف عن المعالجة ما لم يَشكُل أسبابًا مشروعة ملحة تتفوق على مصالح وحقوق الشخص. خصوصًا، حق الاعتراض على التسويق المباشر هو حق مطلق – إذا قال الشخص إنه لا يريد أن تُستخدم بياناته لأغراض تسويقية، يجب على المتحكّم احترام ذلك. أيضًا، عندما تكون المعالجة مؤتمتَة والتوصيف مَرْكَبًا، يحق للمواطنين ألا يكونوا موضوع قرار قائم فقط على المعالجة الآلية والتي لها آثار قانونية أو مماثلة كبيرة عليهم، إذا لم يعطوا موافقة صريحة، مع بعض الاستثناءات.

  • حق سحب الموافقة: عندما تكون معالجة البيانات الشخصية قائمة على الموافقة، يحق لصاحب البيانات أن يسحب هذه الموافقة في أي وقت. يجب أن يكون سحب الموافقة سهلًا مثل إعطائها، وبعد السحب لا يجوز للمتحكّم أن يعالج تلك البيانات بعد ذلك (لا يؤثر ذلك على قانونية المعالجة التي حدثت قبل السحب). قبل جمع الموافقة، يجب على المتحكّم إعلام الشخص بحقّ سحبها. هذا البند يضمن أن الموافقة تكون فعلاً تحت سيطرة الفرد وليست غير قابلة للتراجع.

جميع الحقوق المذكورة أعلاه يجب أن يتمكّن المتحكّم من توفيرها وتسهيل ممارستها. بناءً على طلب صاحب البيانات، يجب على المتحكّم أن يرد بدون تأخير غير ضروري، وعلى أبعد تقدير خلال المدة القانونية المحددة (عادة شهر واحد)، على طلب ممارسة الحق. الرفض يجب أن يكون استثنائيًا ومبررًا. إضافة إلى ذلك، يحق لصاحب البيانات تقديم شكوى إلى وكالة حماية البيانات الشخصية إذا رأى أن حقوقه قد انتهكت، وله الحق في اللجوء إلى القضاء.

هذا التوسيع الكبير في حقوق المواطنين يعني أن الشركات والمؤسسات يجب أن تُنشئ إجراءات للرد على الطلبات: مثل كيف سيُقدَّم نسخة من البيانات للشخص الذي يطلب الوصول، أو كيف سيتم حذف بيانات شخص ما من قواعد بياناتهم. كذلك، يجب أن يكون إعلام الأشخاص من خلال سياسات الخصوصية والإشعارات بلغة واضحة — “دون مصطلحات قانونية أو تقنية لا يفهمونها” — حتى يعرف المواطن العادي ما هي حقوقه وكيف يمكن أن يمارسها.

التزامات مراقبي البيانات وأحكام العقوبات

ينص القانون الجديد تفصيليًا على التزامات مراقبي البيانات والمعالجين (أي جميع الجهات التي تحدد غرض المعالجة أو تعالج البيانات نيابة عن المراقب). تم إدخال تدابير فنية وتنظيمية جديدة يجب تطبيقها، وكذلك التزامات إجرائية لإثبات الامتثال للقانون. فيما يلي أهم الالتزامات وأحكام العقوبات المرتبطة بها:

  1. تدابير فنية وتنظيمية للحماية:
    يُلزم المراقبون والمعالِجون بتطبيق تدابير أمنية مناسبة لحماية البيانات الشخصية، مع الأخذ في الاعتبار طبيعة البيانات والمخاطر. ويشمل ذلك تدابير مثل التشفير، التحكم في الوصول إلى البيانات، الأمان المادي للخوادم، النسخ الاحتياطي المنتظم، الحماية من البرامج الضارة، وغيرها. كما يتطلب القانون وضع سياسات أمان داخلية وتدريب الموظفين الذين يتعاملون مع البيانات. مبدأ الخصوصية حسب التصميم والإعداد الافتراضي يعني عمليًا أن حماية البيانات يجب أن تُدمَج عند تطوير الأنظمة أو الإجراءات الجديدة. انتهاك هذه الالتزامات (على سبيل المثال، حدوث خرق للبيانات بسبب ضعف الأمان) يعرض المؤسسة لعقوبات مالية.

  2. سجلات أنشطة المعالجة:
    يجب على جميع المراقبين الاحتفاظ بسجل لما هي البيانات الشخصية التي يعالجونها، ولأي أغراض، وما هو الأساس القانوني، وأين تُخزن، ولمن تُفصح، ومدة الاحتفاظ بها، وما إلى ذلك. هذه الوثائق (المعروفة باسم “سجل أنشطة المعالجة”) يمكن أن تكون في شكل مكتوب أو إلكتروني. يُعفى جزئيًا المؤسسات الصغيرة التي لديها حتى 250 موظفًا، إلا إذا كانت معالجتهم غير عرضية أو تشمل فئات حساسة أو تنطوي على مخاطر عالية. ومع ذلك، من المستحسن حتى للجهات الصغيرة الاحتفاظ بسجلات أساسية. تهدف هذه الالتزامات إلى أن يكون بالإمكان في أي وقت تحديد ما يحدث للبيانات داخل منظمة. الانقطاع عن حفظ السجلات أو السجلات غير الكاملة قد يؤدي إلى مخالفة وعقوبة مالية.

  3. تقييم الأثر على حماية البيانات (DPIA):
    عندما يمكن أن تشكّل معالجة ما مخاطرة عالية على حقوق وحريات الأفراد (مثال: إدخال تكنولوجيا تتبّع جديدة، معالجة كميات كبيرة من البيانات الحساسة، توصيف المستخدمين، التعرف البيومتري، وما إلى ذلك)، يجب على المراقب إجراء تقييم الأثر على حماية البيانات قبل بدء المعالجة. يشمل الـ DPIA تحليلًا مفصلًا: ما هي البيانات التي سنعالجها، لماذا هي ضرورية، ما هي المخاطر المحتملة على الخصوصية، وما هي التدابير التي سنتخذها لتخفيف المخاطر. إذا أظهر التقييم أن المخاطر لا تزال عالية، يجب على المراقب التشاور مع الوكالة قبل المعالجة. هذا الالتزام جديد تمامًا في تشريعنا، مقتبس من الـ GDPR، ويهدف إلى العمل بشكل وقائي للتأكد من أن حماية البيانات تؤخذ في الحسبان مسبقًا. عدم إجراء DPIA حين يُطلبه القانون قد يؤدي إلى غرامات كبيرة.

  4. إدارة الموافقات:
    عندما تعتمد المعالجة على موافقة أصحاب البيانات، يجب أن يكون المراقب قادرًا على إثبات أن الموافقة الصحيحة قد تم الحصول عليها. يجب أن تُمنح الموافقة طوعًا، وبمعلومات كافية، وبدون غموض، غالبًا بشكل خطّي أو إلكتروني (مثلاً نقرة على “أوافق” مع سياسة الخصوصية)، ويجب أن يكون طلب الموافقة واضحًا ومفصولًا عن شروط أخرى. هناك قواعد خاصة لموافقة الأطفال في خدمات مجتمع المعلومات — القاصرين تحت سن 16 عامًا يحتاجون إلى موافقة الوالدين/الوصي. يجب على المراقب تسهيل سحب الموافقة (مثال: إمكانية أن يُلغِي المستخدم اشتراكه في القائمة البريدية في أي وقت). إرسال رسائل تسويقية عبر البريد الإلكتروني (نشرات إخبارية) بدون موافقة مسبقة يُحظر صراحة ويُعاقب. هذا يعني أن الشركات يجب أن تنشئ آليات واضحة لجمع وتسجيل موافقات المستخدمين لأغراض المعالجة المختلفة.

  5. تعيين مسؤول حماية البيانات (DPO):
    كما ذُكر في المستجدات، يجب على جهات معينة تعيين مسؤول حماية البيانات. يمكن أن يكون DPO شخصًا داخليًا أو خبيرًا خارجيًا، لكن في كل الأحوال يجب أن يكون لديه المؤهلات المناسبة — معرفة باللوائح والممارسات المتعلقة بحماية البيانات، القدرة على مراقبة الامتثال وتقديم المشورة للإدارة. يجب أن يكون DPO مستقلًا في عمله — لا يجوز أن يكون في تضارب مصالح، ويجب أن يُقدّم تقارير إلى أعلى مستوى إداري، ومهمته مراقبة الالتزام بالقانون، وتدريب الموظفين، والتعاون مع الوكالة. تنطبق الالتزامات على الجهات العامة (باستثناء المحاكم في الشؤون القضائية) والشركات التي تشمل أنشطتها الرئيسية معالجة جماعية أو معالجة فئات خاصة من البيانات. ومع ذلك، حتى إذا لم يوجب القانون ذلك، يُوصى بتعيين DPO لتسهيل الامتثال وتقليل المخاطر. عدم التعيين عندما يكون مفروضًا أو تعطيل عمله يعد انتهاكًا للقانون.

  6. العقود بين المراقب والمعالج:
    عندما يلجأ المراقب إلى شركة أخرى (معالج) لمعالجة البيانات نيابة عنه (مثال: خدمات السحابة، معالجة المعاملات، منصات إدارة علاقات الزبائن)، يجب إبرام عقد معالجة البيانات (Data Processing Agreement). ينص هذا العقد على أن المعالج يجوز له العمل فقط وفق تعليمات المراقب، مع نفس تدابير الحماية، وتُحدد المسؤوليات. كما يتحمّل المعالج التزامات حماية البيانات وقد يُحاسب تضامنيًا مع المراقب إذا لم يلتزم بالعقد.

  7. نقل البيانات إلى الخارج:
    كما ذُكر، يحظر القانون الجديد تصدير البيانات الشخصية إلى دول لا تتمتع بمستوى حماية كافٍ، إلا بآليات خاصة. يجب على المراقب التحقق مما إذا كانت هناك قرار adequacy (تكافؤ الحماية) لتلك الدولة (الذي يصدره مجلس الوزراء البوسني بناء على اقتراح الوكالة). إذا لم يكن هناك، يُسمَح بالاعتماد على البنود العقدية القياسية أو ضمانات تعاقدية/مضمونة أخرى. في حال عدم وجود ذلك، يمكن التبرير فقط باستثناءات فردية (مثل موافقة صريحة من صاحب البيانات لنقل محدد). بالنسبة للشركات، هذا يعني أن استخدام خدمات السحابة أو إرسال البيانات إلى شركاء خارج البوسنة يتطلّب أساسًا قانونيًا — غالبًا ما ستكون هذه البنود العقدية القياسية في الاتفاقيات مع تلك الشركاء. عدم الامتثال لهذه الأحكام يخضع أيضًا للعقوبات.

  8. التعاون مع الوكالة والرقابة:
    يُلزَم المراقبون والمعالجون بالتعاون مع وكالة حماية البيانات، التي لها صلاحية إجراء التفتيش، ومعالجة شكاوى المواطنين، وإصدار تدابير تصحيحية. ينص القانون الجديد صراحة على أن الوكالة يحق لها إصدار قرارات بحظر المعالجة، وطلب تصحيح أو حذف البيانات، وفرض غرامات إدارية على المخالفات. يجب على الجهات أن تتيح للوكالة الوصول إلى المعلومات والمرافق خلال الرقابة؛ وإلا فإنها تخالف القانون.

  9. أحكام العقوبات:
    كما ذُكر، يُدخل القانون مستويات عقوبات مشابهة للـ GDPR. المخالفات الأكثر خطورة (انتهاك المبادئ الأساسية، المعالجة غير القانونية، انتهاك حقوق أصحاب البيانات، عدم الالتزام بأوامر الوكالة، التحويل الدولي غير القانوني، إلخ) قد تؤدي إلى غرامات تصل إلى 40,000,000 مارك كوناركي (KM) أو 4٪ من إجمالي المبيعات السنوية للشركة — أيهما أكبر. للمخالفات الأقل (مثل عدم الرد على طلب شخص في المهلة المقرّرة، ثغرات بسيطة في التوثيق) تنص على غرامات أدنى، لكن حتى تلك قد تكون كبيرة (على سبيل المثال حتى 10 أو 20 مليون KM حسب فئة المخالفة، وفق نص القانون). يُمكن تغريم الأشخاص المسؤولين داخل الشركة أو المؤسسة بمئات إلى آلاف KM. من المهم الإشارة إلى أن الغرامات تُقيَّم بناء على الظروف — خطورة ومدة المخالفة، عدد المتأثرين، درجة الذنب، التدابير المخففة المتخذة، المخالفات السابقة، ومدى التعاون مع الوكالة. لذا، إذا حدث خرق، فإن التعاون الفعال مع الجهة الرقابية والاستجابة السريعة قد تؤدي إلى عقوبة أخف، في حين أن التجاهل أو التعطيل سيؤدي تقريبًا بالتأكيد إلى عقوبات أشد.

أيضًا، بعض الأفعال من المعالجة غير القانونية قد تؤدي إلى المسؤولية الجنائية بموجب القوانين الجنائية (مثل الاستخدام غير المصرَّح به للبيانات الشخصية قد يكون جريمة)، وهذا مستقل عن قانون حماية البيانات نفسه. لكن، آلية التنفيذ الأساسية تتم عبر الوكالة والعقوبات الإدارية. رسالة المشرّع واضحة: الامتثال ليس خيارًا بل التزام، والاستثمار في حماية البيانات أكثر ربحية من دفع الغرامات.

الامتثال لمعايير الاتحاد الأوروبي (اللائحة العامة لحماية البيانات - GDPR)

تم صياغة قانون حماية البيانات الشخصية الجديد في البوسنة والهرسك على غرار اللائحة العامة لحماية البيانات (GDPR) ويعكس تقريبًا جميع أحكامها الرئيسية. وبهذا، تكون البوسنة والهرسك قد حققت أحد الشروط الهامة في طريقها نحو التكامل الأوروبي – وهو تبني تشريع حديث لحماية البيانات. فيما يلي بعض الملاحظات حول علاقة القانون الجديد باللائحة العامة لحماية البيانات:

  • التوافق الجوهري: الهيكل، مبادئ المعالجة، حقوق الأفراد، التزامات المتحكمين والمعالجين، والمؤسسات مثل مسؤول حماية البيانات (DPO)، تقييم الأثر على حماية البيانات (DPIA)، سجلات الأنشطة، إبلاغ الانتهاكات، النقل الدولي للبيانات، كلها متطابقة أساسًا مع تنظيم GDPR. وبالتالي، فإن الشركة المتوافقة مع GDPR تفي إلى حد كبير أيضًا بمتطلبات قانون البوسنة والهرسك (مع بعض الخصوصيات المحلية البسيطة).

  • النطاق الإقليمي: تطبق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي بأكمله، بينما قانون البوسنة والهرسك هو تشريع وطني. ومع ذلك، فإن القانون لديه نطاق خارجي مشابه للـ GDPR – حيث ينطبق على الأطراف الأجنبية التي تعالج بيانات مواطني البوسنة والهرسك (ولهذا السبب هناك طلب بتعيين ممثل). هذا يعني أن الشركات الأجنبية التي تستهدف السوق البوسنية يجب أن تلتزم بهذه المعايير.

  • ممثل المتحكم الأجنبي: تم تضمين التزام تعيين ممثل في البوسنة والهرسك للشركات الأجنبية (المادة 27 من GDPR) في قانون البوسنة والهرسك، مما يمكّن الوكالة من الإشراف الفعال على المتحكمين الذين لا يمتلكون وجودًا فعليًا في البلاد.

  • إطار العقوبات: يتم التعبير عن العقوبات رسميًا بالعملة المحلية (المارك القابل للتحويل) وتم تحديد حدود (مثل 40 مليون مارك)، لكن الآلية متطابقة مع GDPR – تصل إلى 4% من حجم الأعمال العالمي لأشد الانتهاكات. لا يمكن للكيانات الدولية الكبيرة تفادي المسؤولية بحجة أن حجم أعمالها في البوسنة والهرسك صغير؛ حيث يُحسب حجم الأعمال العالمي، وهذا مهم لشركات التكنولوجيا الكبرى.

  • التكييف المحلي: يحتوي قانون البوسنة والهرسك على أحكام ملائمة للنظام القانوني المحلي، مثل تحديد اختصاص الوكالة والإجراءات داخل المؤسسات في البوسنة والهرسك، بما في ذلك الكيانات ومستوى مقاطعة بريكو. كما يشمل أحكامًا حول معالجة البيانات لأغراض قضائية والتعاون بين الوكالة والسلطات، وهو ما لا تغطيه GDPR مباشرة (لدى الاتحاد الأوروبي توجيه منفصل للقطاعات الشرطية والقضائية). ومع ذلك، فيما يتعلق بالمعالجة التجارية والعامة، يمكن القول إن القانون الجديد يتبع إلى حد كبير أفضل الممارسات الأوروبية.

كل هذا يعني أن الشركات والمؤسسات والكيانات الأخرى في البوسنة والهرسك يجب أن تعمل الآن عمليًا بنفس طريقة عمل الكيانات في الاتحاد الأوروبي فيما يتعلق بحماية البيانات. بالنسبة للشركات التي تعمل دوليًا، سيكون التوافق أسهل بسبب وجود مجموعة قواعد موحدة؛ أما بالنسبة للشركات المحلية التي لم تكن مضطرة للامتثال لـ GDPR من قبل، فهذا تغيير كبير يتطلب تكييفًا مهمًا.

الخلاصة

يجلب قانون حماية البيانات الشخصية الجديد في البوسنة والهرسك تحديثًا ومعايير أكثر صرامة في مجال حماية الخصوصية. متوافقًا مع GDPR، يمنح القانون المواطنين حقوقًا أوسع وتحكمًا أكبر في بياناتهم، ويطلب من الشركات والمؤسسات مستوى أعلى من المسؤولية والشفافية في معالجة البيانات. التغييرات الرئيسية مثل إدخال حق النسيان، التدابير الأمنية الإلزامية، دور مسؤول حماية البيانات، الإبلاغ عن الحوادث، والعقوبات المرتفعة بشكل كبير توضح أن حماية البيانات يجب أن تُؤخذ على محمل الجد. وهذا أيضًا خطوة نحو الاتحاد الأوروبي – تحقيق شروط الاتحاد والتقارب مع المعايير السارية في الدول الأعضاء.

بالنسبة للجهات الاقتصادية والمؤسسات والمنظمات الأخرى، فترة ما قبل أكتوبر 2025 هي فترة التكيف. يُوصى بأن يقوم جميع المعنيين بمعالجة البيانات الشخصية بمراجعة ممارساتهم وموافقتها مع القانون الجديد. وهذا يشمل، من بين أمور أخرى: إعداد أو تحديث سياسات الخصوصية وسجلات المعالجة، تدريب الموظفين على القواعد الجديدة، تنفيذ تدابير تقنية للحماية، تعيين مسؤول حماية البيانات عند الحاجة، إنشاء إجراءات لممارسة حقوق المواطنين والإبلاغ عن الحوادث، ومراجعة كافة العقود ونقل البيانات إلى الخارج. إن الاستثمار في الامتثال لن يؤدي فقط إلى تجنب الغرامات، بل سيحقق أيضًا فوائد طويلة الأجل – ثقة أكبر من المستخدمين/العملاء وعمليات تجارية أكثر أمانًا.

يرفع القانون الجديد مستوى حماية البيانات في البوسنة والهرسك بشكل كبير. وعلى الرغم من أنه يمثل تحديًا للأعمال والإدارة، فإن بدء تطبيقه هو خطوة إيجابية نحو تعزيز حقوق المواطنين وبناء ثقافة الخصوصية. وبذلك، تصبح البوسنة والهرسك في مصاف دول الاتحاد الأوروبي من حيث تنظيم الخصوصية، مما يعود بالنفع على المواطنين وبيئة الأعمال على المدى الطويل. سيكون الامتثال في الوقت المناسب وأخذ هذه الالتزامات على محمل الجد أفضل طريقة لتجنب العقوبات غير المرغوبة وضمان معالجة قانونية للبيانات في المستقبل.

/ / /

"Standard Prva" LLC Bijeljina هي شركة مسجلة في بييلينا في المحكمة التجارية في بييلينا. تشمل أنشطة الشركة المحاسبة وشراء الديون واستثمار رأس المال وخدمات أخرى ذات صلة. تعتبر الديون المتعثرة جزءًا من المجموعة التي تقوم فيها الشركة بشراء الديون التي تعمل ولم تعود بانتظام. مكتب المحاماة Stevanović هو المكتب الرائد للمحاماة في المنطقة مع مقر في بييلينا. تعبر اختصار LO عن مكتب محاماة Vesna Stevanović ومكتب محاماة Miloš Stevanović. للاتصال: press@advokati-stevanovic.com أو عبر الهاتف 00387 55 22 4444 أو 00 387 55 230 000.

عن الشركة
حول الشركة
standard prva logo
شركة مسجلة في بييلينا في شارع نيكولا تسلا رقم 10
جمهورية صربياالبوسنة والهرسك
00 387 55 23 000000 387 55 22 4444

حقوق النشر (ج) Standard Prva d.o.o. بييلينا 2024. كل الحقوق محفوظة. يتم تقديم الخدمات القانونية حصريًا من قبل مكتب محاماة فيسنا ستيفانوفيتش أو ميلوش ستيفانوفيتش من بييلينا. تقدم خدمات المحاسبة من قبل "ستاندارد برفا" d.o.o. يتم توفير الخدمات السكرتارية والخدمات ذات الصلة من قبل "يونايتد ديفلوبمنت" d.o.o. بييلينا.