دليل الامتثال لقانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020 بشأن ملفات تعريف الارتباط: دليل عمل 2026 للناشرين

قانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020 — المعروف عادةً بـ PDPL المصري — صدر في 15 يوليو 2020 ودخل حيز التنفيذ في 14 أكتوبر 2020. طوال معظم الفترة الماضية، أدى غياب اللوائح التنفيذية إلى بقاء القانون مجرد مبادئ توجيهية دون إطار قابل للتطبيق. تغيّر ذلك حين نشر مركز حماية البيانات الشخصية — الجهة التنظيمية المُنشأة بموجب القانون والتابعة لوزارة الاتصالات وتكنولوجيا المعلومات — إطاره التشغيلي ومتطلبات الترخيص واللوائح التنفيذية. بحلول عام 2026 أصبح النظام يعمل بكامل طاقته، ومسار الترخيص لمتحكمي البيانات ومعالجيها نشط، والناشرون العاملون في مصر أو المستهدفون لها خاضعون لمعيار موافقة محلي أقرب إلى GDPR من أي نموذج إقليمي سابق. الانعكاس على موافقة ملفات تعريف الارتباط مباشر: البانر الذي كان كافياً في مصر في ظل النظام القديم لم يعد كذلك، والبانر الذي يستوفي GDPR سيستوفي PDPL فقط عند مراعاة نقاط الاختلاف بين الإطارين.

ما يتطلبه PDPL المصري فعلياً

يسري القانون على معالجة البيانات الشخصية للمقيمين المصريين بصرف النظر عن مكان تأسيس المتحكم أو المعالج، وعلى المتحكمين والمعالجين المؤسسين في مصر بصرف النظر عن موقع أصحاب البيانات. يعكس هذا النطاق خارج الحدود المادة 3 من GDPR، ويعني أن الناشر المتخذ من خارج مصر مقراً له والذي لديه قراء أو تثبيتات تطبيقات أو عملاء مدفوعون مصريون يقع ضمن النطاق بشكل قاطع. تُعرَّف البيانات الشخصية تعريفاً واسعاً بأنها أي بيانات تتعلق بشخص طبيعي محدد الهوية أو قابل للتحديد، فيما تخضع البيانات الشخصية الحساسة — بما فيها الصحية والبيومترية والجينية والنفسية والمالية والدينية والسياسية والجنائية — لعتبة موافقة أعلى وضمانات إضافية.

يُرسي القانون قواعد مشروعة لمعالجة البيانات، ومجموعة حقوق أصحاب البيانات — الوصول والتصحيح والحذف والتقييد والاعتراض والنقل — وإطار مساءلة بين المتحكم والمعالج، وآليات الإخطار بالاختراقات، وضوابط النقل عبر الحدود، ونظام عقوبات إدارية بغرامات تتراوح بين 100,000 جنيه مصري للمخالفات البسيطة وحتى 5 ملايين جنيه للانتهاكات الجسيمة أو المتكررة. تنطبق العقوبات الجنائية على أشد الفئات خطورةً، بما فيها النقل عبر الحدود غير المرخص ومعالجة البيانات الحساسة دون تفويض.

كيف يعالج PDPL موافقة ملفات تعريف الارتباط تحديداً

على خلاف توجيه ePrivacy الأوروبي، لا يتضمن PDPL نصاً مستقلاً بشأن ملفات تعريف الارتباط. تندرج ملفات تعريف الارتباط والتقنيات المماثلة للتخزين والوصول ضمن إطار الموافقة العام: يجب الحصول على أي معالجة لبيانات شخصية تستند إلى الموافقة كأساس مشروع بناءً على تعبير صريح وطوعي ومحدد وموثق من صاحب البيانات. أكد مركز حماية البيانات الشخصية في توجيهاته الصادرة خلال المراحل التدريجية لبدء تطبيق اللوائح أن المربعات المحددة مسبقاً، والموافقة الضمنية المستنتجة من الاستمرار في التصفح، وبانرات الموافقة المجمعة لا تستوفي معيار القانون. يضع ذلك مصر بحزم في الاتجاه العالمي ويعني أن الوضع العملي الذي يحافظ عليه الناشرون بالفعل لمنطقة EEA هو نقطة البداية الصحيحة للزيارات المصرية.

الأثر العملي هو أنه لا يجوز تعيين ملفات تعريف الارتباط أو أي تقنيات مماثلة غير الضرورية للخدمة قبل أن يوافق المستخدم بصورة نشطة. يمكن تعيين ملفات تعريف الارتباط الضرورية قطعياً — معرّفات الجلسة ومحتويات السلة ورموز الأمان وملفات موازنة التحميل — دون موافقة على أساس أن المستخدم طلب الخدمة بنشاط. كل شيء آخر — التحليلات والإعلانات والتخصيص واختبار A/B وتسجيل الجلسات وأي علامة طرف ثالث — يتطلب موافقة مسبقة.

كيف يختلف PDPL عن GDPR من الناحية العملية

ثلاثة اختلافات مهمة على مستوى التكامل. أولاً، يشترط PDPL الحصول على الموافقة على معالجة البيانات الشخصية الحساسة كتابةً أو عبر ما يعادلها إلكترونياً موثقاً يستطيع المتحكم تقديمه عند الطلب — وهو معيار إثباتي أعلى من متطلب الموافقة الصريحة في GDPR. ثانياً، يفرض PDPL نظام ترخيص: يجب على المتحكمين والمعالجين التسجيل لدى مركز حماية البيانات الشخصية، وتستلزم فئات معينة من المعالجة — بما فيها النقل عبر الحدود والتسويق المباشر — ترخيصاً تشغيلياً منفصلاً. ثالثاً، تستلزم قواعد النقل عبر الحدود في PDPL إما تصنيف كفاءة من المركز أو ضمانة تعاقدية معتمدة أو موافقة صريحة من صاحب البيانات؛ والنقل إلى الجهات القضائية دون تصنيفات أو ضمانات مقيّد بصرف النظر عن وضع الامتثال الخاص بالمستلم.

كيف يبدو بانر ملفات تعريف الارتباط المتوافق بموجب PDPL

تتقارب المتطلبات التقنية مع ما تنتجه كل CMP حديثة، لكن التسميات والتوثيق وسجل الموافقة يجب أن تعكس الخصوصيات المصرية. يجب أن يمنح البانر الطبقة الأولى المستخدم خياراً حقيقياً — قبول أو رفض أو إدارة — حيث يكون خيار الرفض بارزاً على الأقل بقدر خيار القبول. الموافقة المجمعة محظورة، لذا يجب أن تتيح الطبقة الثانية الاشتراك لكل فئة على حدة تغطي على الأقل التحليلات والإعلانات وأي معالجة تعتمد على نقل عبر الحدود. يجب أن تكون الفئات افتراضياً في وضع إيقاف؛ ولا يجوز للبانر تحميل العلامات حتى يقلّبها المستخدم إلى وضع التشغيل بشكل إيجابي.

يجب أن يُعرّف إشعار الخصوصية المقدَّم من البانر المتحكمَ ورقمَ ترخيصه في PDPL إن وجد، وفئات البيانات الشخصية المجمعة، والأساس المشروع لكل غرض معالجة، وفترة الاحتفاظ بالبيانات، وفئات المستلمين بما فيهم أي معالجون فرعيون خارج مصر، وحقوق صاحب البيانات بموجب القانون، وبيانات الاتصال بمركز حماية البيانات الشخصية لتقديم الشكاوى. الإشعار الذي يستوفي معيار المادة 13 من GDPR سيتداخل مع هذه المتطلبات إلى حد بعيد، لكن يجب إضافة سطري الترخيص المصري وبيانات الاتصال بالمركز صراحةً.

نمط التكامل الذي يجتاز مراجعة مركز حماية البيانات الشخصية

يتكون التطبيق المرجعي من أربعة عناصر متحركة. الأول هو CMP تدعم الاشتراك لكل فئة بشكل افتراضي معطّل وتكشف عن اختيار المستخدم عبر سلسلة موافقة منظمة يمكن للناشر الاحتفاظ بها. الثاني هو طبقة تحميل العلامات — مدير علامات من جانب الخادم أو بوابة أصلية للـ CMP — تفرض بدقة حالة الموافقة قبل تعيين أي ملف تعريف ارتباط غير أساسي. الثالث هو سجل موافقة مخزّن من جانب الخادم يُسجّل لكل حدث موافقة اختيار المستخدم لكل فئة والطابع الزمني وإصدار البانر ومعرّف IP مقتطعاً أو مجزأ بحيث يستطيع المتحكم تقديم السجل عند طلب المركز. الرابع هو مسار سحب الموافقة بسهولة لا تقل عن المنح الأصلي — عادةً رابط إعادة فتح البانر الثابت في التذييل.

التحقق والترخيص والوضعية التدقيقية لعام 2026

يجب أن يجتاز النشر المصري القابل للدفاع عنه في 2026 أربعة فحوصات تقنية. أولاً، يجب أن تُنتج جلسة متصفح نظيفة تُخدَّم من عنوان IP مصري صفراً من ملفات تعريف الارتباط غير الأساسية قبل اتخاذ أي إجراء على البانر. ثانياً، يجب أن يؤدي مسار رفض الكل إلى نفس الوضعية مثل جلسة عدم الإجراء — لا علامات تحليلات ولا علامات إعلانات ولا نصوص تسجيل جلسات. ثالثاً، يجب أن ينتج تدفق قبول الكل العلاماتِ التي وافق عليها المستخدم فحسب، ويجب أن يحتوي سجل الموافقة على سجل مطابق. رابعاً، يجب أن يوقف مسار السحب فوراً إطلاق العلامات الإضافية، وينهي صلاحية ملفات تعريف الارتباط المعيّنة خلال الجلسة الموافق عليها، ويُطلق أي إشارات حذف أو إلغاء اشتراك يطلبها الشركاء المستلمون.

وراء الفحوصات التقنية، الترخيص والوضعية التدقيقية هما ما يجعل النشر قابلاً للدفاع عنه. يجب على المتحكمين الذين يعالجون البيانات الشخصية للمقيمين المصريين فوق الحدود التي تحددها اللوائح التنفيذية التسجيل لدى مركز حماية البيانات الشخصية، ويشكّل سجل التسجيل — إلى جانب سجل الموافقة وإشعار الخصوصية ونتائج تقييم أثر حماية البيانات للمعالجة عالية المخاطر وأي تفويضات نقل عبر الحدود — الوثائق التي قد يطلبها المركز خلال مراجعة الامتثال. CMP مُكوّنة بشكل صحيح مع سجل من جانب الخادم وطبقة تحميل علامات تفرض حالة الموافقة وإشعار خصوصية يُسمّي كل وجهة نقل عبر الحدود وأوراق الترخيص في الملف — هذا ما يحوّل PDPL المصري من مجهول تنظيمي إلى جزء قابل للدفاع عنه من وضعية الموافقة لمنطقة MENA لدى الناشر.

← المدونة قراءة الكل →