مقدمة

في مارس 2025، توصّلت شركة هوندا إلى تسوية مع وكالة حماية الخصوصية في كاليفورنيا (CPPA)، تضمنت دفع غرامة قدرها 632,500 دولار أمريكي حوالي 2,373,000 ريال سعودي، وذلك نتيجة مخالفات تتعلق باستخدام ملفات تعريف الارتباط بطريقة غير متوافقة مع قانون خصوصية المستهلك في كاليفورنيا (CCPA).

تُبرز هذه القضية أهمية الالتزام المتزايد بتشريعات الخصوصية، بما في ذلك نظام حماية البيانات الشخصية في المملكة العربية السعودية (PDPL)، كما تسلط الضوء على التحديات المستمرة التي تواجهها الشركات في ضمان حماية البيانات الشخصية والوفاء بمتطلبات القوانين المنظمة لها.

قضية هوندا:

كشفت التحقيقات أن هوندا قدمت خيارات غير متساوية لإدارة ملفات تعريف الارتباط على موقعها الإلكتروني. كان بإمكان المستخدمين الموافقة على جميع الملفات بضغطة زر واحدة (“السماح للجميع”)، بينما تطلب رفضها خطوات إضافية ومعقدة. هذا النهج ينتهك مبدأ “التناسب” في قانون CCPA، الذي يشترط أن تكون خيارات الموافقة والرفض متساوية وسهلة الوصول.

علاوة على ذلك، لم تُبرم هوندا عقودًا قانونية تحتوي على الأحكام المطلوبة بموجب CCPA مع الأطراف الثالثة التي تستخدم ملفات تعريف الارتباط لجمع البيانات الشخصية، مما أدى إلى مشاركة معلومات المستخدمين دون ضمانات قانونية كافية. كما تضمنت الانتهاكات طلب معلومات زائدة عن الحاجة للتحقق من هوية المستخدمين عند ممارسة حقوقهم، مثل طلبات عدم بيع البيانات.

متطلبات الامتثال العالمية لملفات تعريف الارتباط

الاتحاد الأوروبي: اللائحة العامة لحماية البيانات (GDPR)

تُعد اللائحة الأوروبية من أكثر القوانين صرامة في تنظيم ملفات تعريف الارتباط. تشمل المتطلبات:

الموافقة المسبقة: يجب الحصول على موافقة صريحة قبل تخزين ملفات تعريف الارتباط غير الضرورية.

الشفافية: إبلاغ المستخدمين بوضوح بأنواع الملفات وأغراضها.

حق السحب: تمكين المستخدمين من تغيير تفضيلاتهم أو سحب الموافقة بسهولة.

كاليفورنيا: قانون خصوصية المستهلك (CCPA) وتحديثه عبر (CPRA)

لا يتطلب قانون CCPA – والذي تم تحديثه لاحقًا من خلال قانون حقوق الخصوصية في كاليفورنيا (CPRA) – موافقة مسبقة لاستخدام ملفات تعريف الارتباط، لكنه يركّز على مجموعة من المتطلبات لحماية خصوصية المستخدمين، من أبرزها:

 إشعار واضح: تقديم معلومات شفافة حول استخدام ملفات تعريف الارتباط.

 خيار عدم البيع  أو المشاركة: تمكين المستخدمين من رفض بيع بياناتهم الشخصية أو مشاركتها مع أطراف أخرى.

دعم إشعارات عدم التتبع: احترام إعدادات المتصفح مثل “عدم التتبع” و”إشعارات التحكم بالخصوصية العامة (GPC).

تعزيز الإشراف: بموجب CPRA، تم إنشاء وكالة حماية الخصوصية في كاليفورنيا (CPPA) لتطبيق القانون ومتابعة الامتثال.

المملكة العربية السعودية: نظام حماية البيانات الشخصية (PDPL)

نظام حماية البيانات الشخصية (PDPL)، الصادر بالمرسوم الملكي رقم م/19 بتاريخ 9/2/1443هـ، ينظم معالجة البيانات الشخصية، وهي تشمل أي معلومات تتعلق بشخص طبيعي يمكن تحديد هويته. يُعتبر استخدام ملفات تعريف الارتباط شكلاً من أشكال معالجة البيانات الشخصية بموجب نظام PDPL، حيث يمكن أن تُستخدم لجمع وتخزين معلومات مثل سجل التصفح أو تفضيلات المستخدم، رغم عدم ذكرها صراحة في النظام. يتطلب النظام:

الموافقة: الموافقة الصريحة مطلوبة عادةً لمعالجة البيانات الشخصية عبر ملفات تعريف الارتباط غير الضرورية، مثل تلك المستخدمة للإعلانات أو التسويق.

الشفافية: يجب على الشركات توضيح أغراض جمع البيانات وكيفية استخدامها، مع تقديم إشعارات واضحة للمستخدمين.

الاستثناءات: لا تُطلب الموافقة في حالات محدودة، مثل المعالجة المطلوبة بموجب متطلبات قضائية أو لأغراض أمنية، وفقًا للمادة 6 من PDPL.

دروس مستفادة من قضية هوندا

تُبرز قضية هوندا أهمية:

تقديم خيارات متساوية وسهلة للموافقة أو رفض ملفات تعريف الارتباط.

إبرام عقود قانونية مع الأطراف الثالثة تحتوي على الأحكام المطلوبة لحماية البيانات المشتركة.

الالتزام بالشفافية في توضيح كيفية جمع البيانات واستخدامها.

تجنب طلب معلومات زائدة عن الحاجة للتحقق من هوية المستخدمين.

توصيات للشركات في المملكة العربية السعودية

للامتثال لنظام PDPL فيما يتعلق بملفات تعريف الارتباط، يُوصى بالتالي:

تنفيذ آليات موافقة واضحة وسهلة الوصول على المواقع الإلكترونية، مثل إشعارات ملفات تعريف الارتباط التي تتيح للمستخدمين اختيار تفضيلاتهم بسهولة.

الحصول على موافقة صريحة لملفات تعريف الارتباط غير الضرورية، مثل تلك المستخدمة للإعلانات أو تحليلات السلوك.

تقديم معلومات مفصلة وواضحة حول أنواع ملفات تعريف الارتباط، أغراضها، ومدة تخزينها في سياسة الخصوصية.

مراجعة وتحديث سياسات الخصوصية بشكل دوري لضمان التوافق مع التشريعات الحالية.

تدريب الموظفين على متطلبات PDPL، مع التركيز على حماية البيانات الشخصية وضمان خصوصية المستخدمين.

الخاتمة

تُعد ملفات تعريف الارتباط أداة حيوية لتحسين تجربة المستخدم وجمع البيانات، لكنها تخضع لتنظيم صارم عالميًا. في المملكة العربية السعودية، يفرض نظام PDPL على الشركات الحصول على موافقة صريحة والحفاظ على الشفافية عند استخدام ملفات تعريف الارتباط كجزء من معالجة البيانات الشخصية. الالتزام بهذه المتطلبات ليس فقط ضرورة قانونية، بل فرصة لبناء ثقة العملاء وتعزيز السمعة في السوق الرقمي المتنامي.

Fatmah Alqhtani

Fatmah Alqhtani

Senior Privacy and Data Protection Specialist with a background in cybersecurity and an interest in regulatory compliance and privacy governance.

عضو منذ مارس 16, 2026
مقالات 2
عرض كل المقالات

You Might Also Like

الخصوصية حماية البيانات الشخصية

تحديثات قانون حماية خصوصية الأطفال على الإنترنت (COPPA) لعام 2025

التزييف العميق الخصوصية حماية البيانات الشخصية

ثورة تشريعية ضد الابتزاز الرقمي: أمريكا تضع حدًا للتزييف العميق

الخصوصية حماية البيانات الشخصية

إطار جديد لضبط تقديم خدمات حماية البيانات الشخصية

الخصوصية حماية البيانات الشخصية

تحديث قانون الخصوصية الأمريكي: سياق جديد لحماية البيانات

الخصوصية حماية البيانات الشخصية

أمازون تواجه ثاني أكبر غرامة في تاريخ اللائحة العامة لحماية البيانات الشخصية (GDPR)

Would you like to share your thoughts?

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *