波黑新的《个人数据保护法》——与《通用数据保护条例（GDPR）》接轨及主要新内容

撰文：Božana Simić 硕士，律师

波斯尼亚和黑塞哥维那新的《个人数据保护法》（《波黑官方公报》第12/25号）代表了隐私保护领域的全面改革。该法于2025年1月30日通过，2025年2月28日公布，并于同年3月8日生效，但其适用时间从生效之日起延后了210天。此法的制定旨在克服2006年旧法（2011年修正）的滞后，并使本国法律框架与欧洲标准，特别是欧盟《通用数据保护条例（GDPR）》接轨。为与新规定保持一致，规定了6个月的过渡期，因此该法自本年10月4日起全面适用。以下我们将分析新法的核心条款、相较旧法的主要变化、处理数据的基本原则、数据主体（公民）的权利、数据控制者的义务，以及与GDPR的协调程度和处罚规定等。

新法的核心条款

法律的主题和目的：
新法规定了关于自然人个人数据处理的保护规则，规范了个人的隐私权利以及数据收集和处理者的义务，同时也明确了波黑个人数据保护局作为监管机关的权限。与旧法相比，新法的覆盖范围更广——明确提出与GDPR接轨，并对为防止和打击刑事犯罪而处理数据的行为（如在警方和司法背景中）制定了特殊规定。

术语与适用范围：
GDPR的影响也体现在术语定义和法律结构上。引入了现代术语如“数据控制者”和“数据处理者”，明确定义了“个人数据”和“数据主体”（数据所涉及的个人）等概念。尤其是“个人数据”这一概念被扩大——除了姓名、地址、身份证号等信息外，还包括在线识别符（如IP地址、电邮、cookies）以及生物识别数据（如指纹）。这表明，现代社会中关于个人的信息还包括数字痕迹和其他特征，这是旧法所未明示的。

法律结构：
该法详细规范了数据处理原则、处理合法性（法律依据）、在某些情形下取得同意的义务、数据主体权利、控制者与处理者的义务和责任、跨境数据传输条件、数据保护官（DPO）的任命、处理记录的管理、隐私影响评估（DPIA）的实施、监管机构的监督措施，并对违反规定的行为设定了处罚。在本文章的后续部分，将逐一探讨这些关键领域。

与旧法相比的重要新变化

新法引入了众多与2006/2011年旧法相比的重要变化，使波黑的数据保护立法与GDPR接轨。旧法篇幅短、覆盖面窄，未能跟上技术发展和GDPR要求，因而需要彻底改革。以下列出几个新法的关键新变化：

扩大了公民权利：
赋予数据主体（公民）新的权利，例如删除权（“被遗忘权”）、数据可携权、限制处理权、以及对数据处理的异议权，包括对自动化决策的异议。旧法未包含这些权利——例如数据可携权和被遗忘权是GDPR才提出的概念。

新的处理原则与“内建隐私”：
除了合法性、公平性、保密性等传统原则外，新法还规定了“设计即隐私”（Privacy by Design）和“默认即隐私”（Privacy by Default）等新原则。这意味着数据保护应从技术或服务设计阶段就融入系统与流程，确保最小必要处理。旧法对此没有明确要求。

强制文档记录与风险评估：
大多数组织必须记录数据处理活动（少量主体除外），并在可能对个人权利与自由造成高风险的情况下执行数据保护影响评估（DPIA）。旧法中没有DPIA的概念，也未要求如此系统的记录方式，这体现了控制者“问责原则”的加强。

数据保护官（DPO）：
GDPR中的DPO制度也被纳入波黑法律。某些机构和公共机关（如数据处理为核心业务的公司或处理特殊类别数据的单位）必须任命DPO。旧法未要求DPO的设置。此外，DPO需满足特定条件（专业资质、认证、独立性，与管理层和监管机构直接联系等）。

数据泄露通报：
新法要求在得知数据泄露事件后72小时内向监管机构报告严重数据泄露或未经授权的数据访问。如泄露可能对个人权利造成高风险，还需通知相关个人（数据主体）。旧法没有如此明确的规定，这迫使公司和机构建立应对安全事件的内部程序。

跨境数据流动：
跨境传输规则更加严格。只有在接收国被波黑部长会议（根据监管机构建议）认定为具备充分保护水平，或采取标准合同条款等适当保护措施，或在特定情形下获得数据主体明确同意，才能将数据转出波黑。旧法对此未做详细规定，而新法则按照GDPR精神加以明确。

外国公司代表的任命：
在波黑没有注册地的外国公司，如果处理波黑公民的数据（如通过互联网或远程服务），必须在波黑任命本地代表，作为与监管机构和数据主体的联系点。这与GDPR第27条一致，旧法对此未作要求。

更高的罚款与处罚：
处罚制度明显加强。法人可面临高达4,000万KM或其全球年营业额4%的行政罚款（取其较高者），这与GDPR规定一致。旧法罚款远低（最高几万KM），新法表明数据隐私违法将付出高昂代价。除了对企业的罚款外，负责人（如公司管理人员）也将被罚款数百至数千KM。监管机构获得更广泛的检查、命令、处罚、甚至禁止处理的权力，确保比以往更有效的执法

儿童与弱势群体的保护：
2025年法律特别强调对儿童个人数据的保护。规定在信息社会服务背景下，若儿童年龄未满16岁，其数据处理须经父母/监护人同意或许可。也就是说，提供网络服务的公司必须验证用户年龄，并为16岁以下未成年人获得家长同意。旧法对此无明确规定。此外，特殊类别数据（如健康、生物识别、种族、政治观点、性取向等）享有更高保护，只有在极特殊且合法的情形下才能处理。

上述新内容表明新法更为复杂与严格。后文将详细探讨处理原则、公民权利、数据处理者义务和处罚条款，以解释其实务上的意义。

个人数据处理原则

处理原则是所有收集和处理个人数据的人必须遵守的基本规则。新法律按照 GDPR 的标准对其进行了定义。关键原则包括：

• 合法性、公正性和透明度：数据必须以合法方式处理，尊重个人权利，并向数据主体公开他们的数据如何被使用。

• 目的限定：数据仅可为明确、合法的目的收集，且不得以与这些最初目的不一致的方式进一步处理。

• 数据最小化：仅收集为实现特定目的所必需的最少数据。处理与目的无关或过多的数据是被禁止的。

• 准确性：个人数据必须准确并保持更新；不准确的数据必须及时更正或删除。

• 保存期限限制：数据仅在实现目的所必需的时间内以能够识别个人的形式保存。目的达成之后，应删除或使数据匿名化，除非法律要求更长时间保存。

• 完整性与保密性：必须确保数据的适当安全，包括通过技术和组织措施保护数据不被未经授权或非法访问、披露、修改或丢失。

• 问责制 (Accountability)：数据控制者负有遵守上述所有原则的责任，并且必须能够证明其合规性。这是一个新的原则，实际上要求组织维持记录并对其数据处理活动进行文档化。

此外，法律还引入了内建隐私（privacy built‑in）的概念：

‑ 设计时隐私和默认隐私原则（Privacy by Design 和 Privacy by Default）：系统和服务必须从一开始就设计为保护用户隐私。默认情况下，只应收集和处理那些必要的数据，并采用最高级别的安全标准。例如，用于处理数据的软件应具有默认设置，不允许公开分享数据，除非用户选择不同，并且在规划阶段就应实现防止数据泄露的保护措施。

在实践中，这些原则要求每一个处理数据的实体（无论是公司、机构或其他组织）建立数据保护文化：从撰写清晰易懂的隐私政策，限制数据访问，到定期检查是否仅保存必要的数据以及这些数据是否为最新。遵守这些原则是任何数据处理合法性的基础——违反原则（例如收集过多数据或保存时间超过必要的）也即意味着违法。

数据主体的权利

新法律的一个核心部分是为数据主体——即其个人数据被处理的自然人——列出一系列权利。这些权利几乎与 GDPR 中规定的权利一致，从而保证波黑公民对自己数据拥有高度控制权。关键权利包括：

• 被告知权：个人有权以清晰易懂的方式被告知是谁、为什么以及如何处理其个人数据。有关处理的信息必须使用简单语言提供，不使用难以理解的法律或技术术语。该权利实际上要求控制者在收集数据时提供透明的隐私通知。

• 访问权：数据主体有权向数据控制者获取其数据是否被处理、访问这些数据，以及关于处理目的、数据类别、潜在接收方、保存期限等的信息（类似于 GDPR 的「主题访问请求」）。控制者必须提供其所处理的关于该人的个人数据的副本。

• 更正权：如果数据不准确或不完整，个人有权要求更正或补全这些数据。控制者必须在没有不必要延迟的情况下进行更正，并告知该人。

• 删除权（“被遗忘权”）：在某些情况下，数据主体有权要求删除其个人数据。例如，当数据不再为收集的目的所必需、数据主体撤回其同意，或者处理是非法的。除非有法律基础优先于这一要求（例如法律要求保留数据），控制者必须删除这些数据。

• 限制处理权：此权利允许个人在特定情况下暂时停止其数据的处理。例如，如果个人对数据的准确性提出异议，则可要求在核实前限制处理；或如果处理是非法的，但该人希望限制而非删除；或者如果控制者不再需要数据，但需要保存以应对法律要求。处理被限制期间，数据只可被存储，不得进一步处理（除非出于同意或法律要求）。

• 数据可携带权：一项新权利，允许数据主体获取以前提供给控制者的个人数据，以结构化、常用，并机器可读的格式，并在其愿意的情况下将这些数据传输给另一控制者。这适用于处理基于同意或合同且以自动化方式进行的情况。例如，用户可要求社交网络或银行提供其数据，以便转移到另一服务提供者。

• 反对权：个人有权在任何时候反对基于控制者的合法利益或公共利益任务而进行的其数据处理，包括基于这些理由的自动化决策与剖析（profiling）。在提出反对之后，控制者必须停止处理，除非其能证明有压倒性合法理由优先于个人的利益和权利。特别是，对于直接营销，反对权是绝对的——如果某人表示不希望其数据用于营销目的，控制者必须尊重此意愿。对于自动化处理和剖析，当决策完全基于自动化并对个人有法律或类似重大影响时，公民有权不接受此类决策，除非他们已明确同意，某些例外情况除外。

• 撤回同意权：当数据处理基于同意时，数据主体有权在任何时候撤回其同意。撤回同意须像给予同意一样简单，且在撤回后，控制者不得再处理该数据（撤回前的处理不受影响）。在收集同意之前，控制者必须告知个人其撤回权利。这一规定确保同意确为个人控制，且并非不可挽回。

所有上述权利控制者必须使其可用并便于数据主体行使。根据数据主体的请求，控制者必须在没有不必要延迟的情况下，在法定期限内（通常一个月）答复权利行使请求。拒绝请求必须为例外且有理由。此外，如果数据主体认为其权利被侵犯，他有权向个人数据保护机构投诉，并有权获取司法救济。

这一大幅扩展的公民权利意味着公司和机构必须建立响应请求的程序：例如如何为请求访问的人提供数据副本，或者如何从其数据库中删除某人的数据。此外，通过隐私政策和通知告知个人的信息必须使用清晰的语言——“不含他们不理解的法律或技术术语”——以使普通公民知道他们拥有哪些权利以及如何行使这些权利。

数据控制者义务及处罚条款

新法律详细规定了数据控制者（数据处理负责人）和数据处理者（处理者）的义务，即所有决定处理目的或代表控制者处理数据的主体。法律引入了必须采取的新技术和组织措施，以及为证明合规性的程序义务。以下是最重要的义务及相关处罚条款：

1. 技术和组织保护措施：
   控制者和处理者必须采取适当的安全措施来保护个人数据，考虑数据性质和风险。这包括加密、数据访问控制、服务器物理安全、定期备份、防恶意软件等措施。法律还要求建立内部安全政策并培训处理数据的员工。隐私设计和默认原则意味着在开发新系统或流程时必须集成数据保护。违反这些义务（如因安全不足导致数据泄露）将使组织面临罚款。

2. 处理活动记录：
   所有控制者应记录其处理的个人数据种类、目的、法律依据、存储地点、披露对象、保存期限等信息。这些记录（称为“处理活动记录”）可以是书面或电子形式。对于员工少于250人的小企业，法律部分豁免，除非其处理非偶尔性质或涉及敏感类别数据或高风险。但实际建议即使是小实体也应至少保持基本记录。此义务确保随时可查明组织内数据处理状况。不履行或记录不完整可能构成违规并受罚款。

3. 数据保护影响评估（DPIA）：
   当某项处理活动可能对个人权利和自由构成高风险（如引入新监控技术、大量敏感数据处理、用户画像、生物识别等）时，控制者须在处理开始前进行影响评估。DPIA包括详细分析：将处理哪些数据、为何需要、隐私风险及减缓措施。如评估后风险仍高，须在处理前咨询监管机构。此义务为新引入，源自GDPR，旨在预防性地保障数据保护。未按法律要求执行DPIA可能导致重罚。

4. 同意管理：
   基于数据主体同意的处理，控制者必须能证明获得有效同意。同意须自愿、知情且明确，通常以书面或电子形式（如点击“我同意”及隐私政策）表示，且同意请求应清晰且独立于其他条款。儿童同意在信息社会服务中有特殊规定——16岁以下未成年人须取得父母或监护人同意。控制者应便于撤回同意（如允许用户随时取消订阅）。未经事先同意发送营销邮件（通讯）现被明确禁止并处罚。企业需建立明确机制收集和记录用户不同处理目的的同意。

5. 数据保护官（DPO）任命：
   如前所述，特定主体须任命数据保护官。DPO可为内部人员或外部专家，必须具备相关资质——熟悉数据保护法规及实践，有能力监督合规并向管理层提供建议。DPO工作独立，不得存在利益冲突，需向最高管理层报告，负责监督法律遵守、员工培训及与监管机构合作。义务适用于公共机构（司法部门除外）及以大规模或特殊数据处理为主营业务的企业。即使非强制，也建议任命DPO以助合规和降低风险。未任命或阻碍DPO工作属违法。

6. 控制者与处理者合同：
   控制者若委托第三方（处理者）代表其处理数据（如云服务、支付处理、客户关系管理平台），须签订数据处理协议，明确处理者只能依控制者指示操作，须采取相同保护措施，并界定责任。处理者同样承担数据保护义务，如违反合同将与控制者连带承担责任。

7. 跨境数据传输：
   如前所述，新法禁止向保护水平不足国家传输个人数据，除非具备特别机制。控制者需确认是否有监管机构认可的适当保护决定。如无，可依标准合同条款或其他合同保障措施。缺乏这些，只有特定例外（如数据主体明确同意特定传输）才允许。企业使用云服务或向境外合作伙伴传输数据需具备法律依据，通常为合同中的标准条款。违规亦受处罚。

8. 与监管机构合作与监督：
   控制者与处理者须配合数据保护机构，接受检查、处理投诉并执行措施。新法明确赋予机构禁止处理、纠正或删除数据及处以行政罚款的权力。机构进行监督时，组织应允许访问信息和场所，否则违法。

9. 处罚条款：
   如前所述，法律引入类似GDPR的罚款等级。重大违规（违反基本原则、非法处理、侵害数据主体权利、不遵守机构指令、非法跨境传输等）可处最高达4千万波斯尼亚马克（KM）或公司年度营业额4%的罚款，以较高者为准。较轻违规（如未及时回应请求、文件缺陷等）罚款较低，但仍可达数百万KM。负责人可被罚几百至数千KM。罚款根据违规严重性、持续时间、受影响人数、过错程度、缓解措施、历史违规及合作情况综合评估。合作和迅速反应有助减轻处罚，抗拒或阻挠将加重。

此外，某些非法处理行为可能构成刑事责任（如未经授权使用个人数据），独立于数据保护法。主要执法由监管机构及行政处罚执行。立法意图明确：合规非选择，而是义务，投入数据保护比支付罚款更具成本效益。

符合欧盟标准（GDPR）

波黑新个人数据保护法是参照欧盟通用数据保护条例（GDPR）制定的，几乎完全复制了其关键条款。因此，波黑实现了迈向欧洲一体化的重要条件之一——采纳现代化的数据保护法律。以下是关于新法与GDPR关系的几点说明：

• 实质一致性： 结构、处理原则、个人权利、控制者/处理者义务以及数据保护官（DPO）、数据保护影响评估（DPIA）、处理活动记录、违规通报、国际数据传输等机制基本与GDPR完全相同。因此，符合GDPR的公司在很大程度上也满足波黑法律的要求（仅有少数本地特点）。

• 地域适用范围： GDPR适用于整个欧盟，而波黑法律则是国家法规。但波黑法律同样具有类似GDPR的域外效力——对处理波黑公民数据的外国实体也适用（因此需要指定代表）。这意味着针对波黑市场的外国公司必须遵守这些标准。

• 外国控制者代表： 法律采纳了GDPR第27条规定，要求外国公司在波黑指定代表，方便监管机构有效监督没有物理存在的控制者。

• 处罚框架： 罚款以本地货币可兑换马克计，设有上限（如4000万马克），机制与GDPR一致——对最严重违规行为可罚没全球营业额的4%。大型国际实体无法以波黑市场小为由逃避责任，营业额按全球计算，这对大型科技公司尤为重要。

• 本地调整： 波黑法律包含适应本国法律体系的规定，比如明确监管机构权限和本国各级机构的程序，包括实体和布尔奇科区。此外，涵盖了司法目的的数据处理及监管机构与执法机关的合作，这部分GDPR没有直接涵盖（欧盟有针对警察和司法部门的专门指令）。但在商业和一般处理方面，新法几乎完全遵循欧洲最佳实践。

综上，波黑企业、机构及其他实体现在在数据保护方面必须基本与欧盟实体保持一致。对于国际运营企业，统一规则简化了合规；而对于此前无需遵守GDPR的本地企业，则是重大变化，需做出显著调整。

总结

波黑新个人数据保护法带来现代化和更严格的隐私保护标准。与GDPR一致，该法赋予公民更广泛的权利和对其数据的控制，同时要求企业和机构在数据处理方面承担更高责任和透明度。引入“被遗忘权”、强制安全措施、数据保护官职责、事件报告以及大幅提升的罚款，明确表明数据保护必须严肃对待。这也是波黑迈向欧盟的步骤——满足欧洲条件，接近成员国标准。

对于企业、机构及其他组织，至2025年10月是调整适应期。建议所有处理个人数据者审查并更新其实践以符合新法要求。这包括制定或更新隐私政策和处理记录、员工培训、技术保护措施、如需则任命数据保护官、建立公民权利行使及事件报告程序、审查所有合同及跨境数据传输。投入合规不仅能避免罚款，还将带来长远收益——用户/客户信任度提升，业务流程更安全。

新法大幅提升了波黑的数据保护水平。尽管对业务和管理构成挑战，其实施是加强公民权利和隐私文化建设的积极一步。波黑因此与欧盟国家在隐私法规方面站在同一水平，长期惠及公民和商业环境。及时合规、认真履行义务，是避免不良处罚和确保未来合法数据处理的最佳途径。

/ / /

"Standard Prva"有限责任公司Bijeljina是在Bijeljina注册的一家公司，位于Bijeljina的地区商业法院。公司的业务包括会计、应收账款回购、天使投资和其他相关服务。不良债务是该集团的一部分，在该公司回购功能并且定期未返还。Stevanović律师事务所是该地区总部位于Bijeljina的领先律师事务所。LO缩写代表Vesna Stevanović和Miloš Stevanović的律师事务所。

媒体联系方式press@advokati-stevanovic.com或电话00 387 55 230 000或00387 55 22 4444。