هدف الإنفاذ لعام 2026 لدى EDPB هو إشعار الخصوصية الخاص بك

على مدى عامين، انتقل السؤال المكلف في GDPR من موضع إلى آخر. أوّلًا دقّق المنظّمون فيما إذا كان لديك أساس قانوني، ثم فيما إذا كنت قد حذفت البيانات في الوقت المحدد. وفي 19 مارس 2026 وجّه المجلس الأوروبي لحماية البيانات حملته التالية نحو هدف ثالث: ما إذا كان إشعار الخصوصية الخاص بك صادقًا بشأن ما تجمعه.

ما الذي يدقّقه الإجراء المنسّق لعام 2026

يطرح إطار الإنفاذ المنسّق (CEF) التابع لـ EDPB موضوعًا مشتركًا واحدًا عبر التكتّل كل عام. تناول إجراء 2025 الحق في المحو. أمّا إجراء 2026 — وهو الخامس — فيتناول الشفافية والتزامات الإعلام بموجب المواد 12 و13 و14 من GDPR.

تشارك خمس وعشرون سلطة لحماية البيانات. وإعلانها صريح بشأن المنهج: سلطات حماية البيانات المشاركة "ستتواصل قريبًا مع المسؤولين عن المعالجة من قطاعات مختلفة عبر أوروبا، إمّا من خلال إجراءات إنفاذ أو من خلال عمليات تقصّي الحقائق." وتُجمَّع النتائج في تقرير موحّد لـ EDPB في النصف الثاني من عام 2026، مع "متابعات موجّهة على المستويين الوطني والأوروبي."

هذا ليس إرشادًا. إنه طلب منسّق للحصول على دليل على أن المستند الموجود على موقعك يطابق البيانات الموجودة في قاعدة بياناتك.

ما الذي تُلزمك المادة 13 بالإفصاح عنه فعلًا

لا يتحقّق الحق في الإعلام بفقرة تقول "نحن نقدّر خصوصيتك". فالمادة 13 — التي تنطبق عندما تجمع البيانات مباشرةً من الزائر — تُعدِّد ما يجب أن يبيّنه الإشعار في لحظة الجمع:

• هوية المسؤول عن المعالجة وبيانات الاتصال الخاصة به.
• أغراض المعالجة والأساس القانوني لكل غرض منها.
• المستلِمون أو فئات المستلِمين للبيانات.
• أي نقل إلى بلد ثالث والضمانات المتعلقة به.
• مدة الاحتفاظ، أو المعايير المستخدمة لتحديدها.
• حقوق صاحب البيانات: الوصول، والتصحيح، والمحو، والتقييد، والاعتراض، وقابلية النقل.
• وجود اتخاذ قرار آلي، بما في ذلك التنميط، مع معلومات ذات مغزى حول المنطق المتّبع.

كل بند يرتبط بحقيقة عن منظومتك التقنية. والإشعار دقيق فقط إذا كان كل إفصاح صحيحًا. وهذا بالضبط ما تتحقّق منه عملية تقصّي الحقائق — لا ما إذا كان الإشعار موجودًا، بل ما إذا كان يصف الواقع.

لماذا تجعل تحليلات المراقبة الإشعار هشًّا

مرِّر تكاملًا تحليليًا نموذجيًا عبر تلك القائمة، فتتضاعف الإفصاحات. الوسم السلوكي ذو المعرّفات العابرة للمواقع يعني أن لديك مستلِمين يجب تسميتهم — المورّد، وشركاؤه الإعلانيون، وشبكة القياس الخاصة به. وعادةً ما يعني ذلك نقلًا إلى بلد ثالث يجب الإعلان عنه وتأمينه. والمعرّف المستقر الذي يلاحق الزائر طوال شهور هو تنميط، وهو ما يستدعي بند اتخاذ القرار الآلي. أمّا مدة الاحتفاظ فهي أيًّا كان الإعداد الافتراضي للمورّد، وهو ما يتعيّن عليك الآن معرفته وبيانه بدقة.

كل واحد من هذه عبارة يمكن أن تكون خاطئة. ينحرف الإشعار في اللحظة التي يضيف فيها المورّد معالجًا فرعيًا، أو يغيّر منطقة، أو يُمدّد الاحتفاظ — ونادرًا ما تكتشف ذلك. وفي ظل تدقيق للشفافية، فإن إشعارًا يبخس المستلِمين أو الاحتفاظ ليس خطأً مطبعيًا. إنه الانتهاك الذي بُني CEF لإظهاره.

الإشعار القصير هو الإشعار القابل للدفاع عنه

أرخص طريقة لاجتياز تدقيق الشفافية هي أن يكون لديك القليل لتفصح عنه. وهذه خاصية في نموذج البيانات، لا في صياغة النصوص.

المتتبّع الخالي من ملفات تعريف الارتباط يختزل قسم التحليلات في إشعار المادة 13 إلى بضعة أسطر صادقة. لا يوجد مستلِمون من أطراف ثالثة لأنه لا تتم مشاركة أي شيء. لا يوجد تنميط لأنه لا يبقى أي معرّف. هوية الزائر هي تجزئة (hash) يومية أحادية الاتجاه تُحسب في الذاكرة عند الـ edge:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

يُستخدم الـ IP وUser-Agent الخامان فقط لحساب ذلك الملخّص ولا يُكتبان أبدًا؛ إذ تخزّن D1 التجزئة لا المدخلات. ولأن التاريخ مدخل، تتجدّد التجزئة في كل منتصف ليل، فلا يوجد ملف تعريف عابر للجلسات يجب وصفه. والاحتفاظ حدّ صارم وقابل للبيان — تُمحى مشاهدات الصفحات بعد 730 يومًا — لا إعدادًا افتراضيًا لمورّد عليك أن تبحث عنه.

الإفصاح الناتج قصير لأن المعالجة صغيرة. يقول: نحن نعدّ مشاهدات الصفحات بصورة إجمالية، ونستنتج البلد ونوع الجهاز التقريبي عند الـ edge، ولا نشارك مع أحد، ولا نبني أي ملف تعريف، ونحتفظ بالبيانات لمدة عامين كحدّ أقصى. وكل بند قابل للتحقق مقابل المخطط (schema).

نصف التمرين نفسه الخاص بالمادة 30

للشفافية تجاه الزائر (المواد 12–14) توأم داخلي: سجلات أنشطة المعالجة في المادة 30، وهي المستند الذي تطلبه السلطة أوّلًا. يجب أن يُدرج الأغراض، والمستلِمين، وعمليات النقل، والاحتفاظ — وهي الحقائق ذاتها الواردة في الإشعار العلني، لكن من جانب المسؤول عن المعالجة.

وحين يتعارض المستندان، تكون الفجوة هي النتيجة. أمّا المنظومة التي لا تخزّن أي معرّف شخصي ولا تشارك أي شيء فتُبقي المستندين متوائمين، لأنه لا يكاد يوجد ما يُسجَّل على أيٍّ من الجانبين.

إشعار الخصوصية وعد بشأن نموذج بياناتك. وحملة 2026 تتحقّق مما إذا كان الوعد صحيحًا. وأقلّ الوعود خطرًا هو الوعد الذي يمكنك الوفاء به دون تفكير — لأنك لم تجمع قط الشيء الذي كان سيتعيّن عليك تفسيره لولا ذلك.

المصادر

• EDPB launches the Coordinated Enforcement Action for 2026 on transparency and information obligations
• Coordinated Enforcement Framework: EDPB selects topic for 2026
• GDPR Article 13 — Information to be provided where personal data are collected from the data subject
• GDPR Article 30 — Records of processing activities
• ICO — Right to be informed