جزء من سلسلة Compliance & Regulation
اقرأ الدليل الكاملدليل تنفيذ موافقة ملفات تعريف الارتباط: إدارة الموافقة المتوافقة قانونًا
** تم إصدار غرامات تزيد عن 400 مليون يورو من اللائحة العامة لحماية البيانات (GDPR) خصيصًا لانتهاكات الموافقة على ملفات تعريف الارتباط منذ عام 2020. ** فرضت CNIL الفرنسية غرامة قدرها 150 مليون يورو على Google وFacebook 60 مليون يورو لتسهيل قبول ملفات تعريف الارتباط بدلاً من رفضها. لم تعد الموافقة على ملفات تعريف الارتباط بمثابة مربع اختيار --- فهي مجال يتم تطبيقه بشدة من قوانين الخصوصية مع متطلبات فنية محددة.
يغطي هذا الدليل المتطلبات القانونية والتنفيذ الفني والإدارة المستمرة للموافقة على ملفات تعريف الارتباط لمواقع الويب وتطبيقات الويب.
الوجبات الرئيسية
- بموجب اللائحة العامة لحماية البيانات والخصوصية الإلكترونية، يجب الحصول على الموافقة قبل تعيين ملفات تعريف الارتباط غير الضرورية --- وليس بعد ذلك
- يجب أن يكون سحب الموافقة سهلاً كما هو الحال في منحها (الرفض بنقرة واحدة، وليس مدفونًا في الإعدادات)
- تعد جدران ملفات تعريف الارتباط ("القبول أو المغادرة") غير قانونية في معظم الدول الأعضاء في الاتحاد الأوروبي
- مطلوب الإصدار الثاني من وضع موافقة Google لـ Google Analytics والإعلانات في المنطقة الاقتصادية الأوروبية منذ مارس 2024
المتطلبات القانونية حسب المنطقة
مقارنة متطلبات الموافقة على ملفات تعريف الارتباط
| المتطلبات | الاتحاد الأوروبي (اللائحة العامة لحماية البيانات + الخصوصية الإلكترونية) | المملكة المتحدة (PECR + اللائحة العامة لحماية البيانات في المملكة المتحدة) | الولايات المتحدة (CCPA/قوانين الولاية) | البرازيل (LGPD) | كندا (بيبيدا) |
|---|---|---|---|---|---|
| موافقة مسبقة على ملفات تعريف الارتباط غير الضرورية | نعم (الاشتراك) | نعم (الاشتراك) | لا (نموذج إلغاء الاشتراك) | نعم (الاشتراك) | الموافقة الضمنية مسموحة |
| لافتة الموافقة مطلوبة | نعم | نعم | غير مطلوب (ولكن مستحسن) | نعم | موصى به |
| اختيارات تفصيلية (حسب الفئة) | نعم | نعم | غير مطلوب | نعم | موصى به |
| أهمية متساوية للقبول/الرفض | نعم | نعم | لا يوجد | نعم | لا يوجد |
| جدار ملفات تعريف الارتباط مسموح به | لا (في معظم الولايات) | لا | لا يوجد | لا | لا يوجد |
| سجل الموافقة مطلوب | نعم | نعم | لا | نعم | نعم |
| فترة تجديد الموافقة | ماكس 12 شهرا | ماكس 12 شهرا | لا يوجد | غير محدد | غير محدد |
| سياسة ملفات تعريف الارتباط مطلوبة | نعم (تفصيلاً) | نعم (تفصيلاً) | نعم (في حالة التتبع) | نعم | نعم |
ما الذي يعتبر ملف تعريف ارتباط؟
لا يغطي توجيه الخصوصية الإلكترونية ملفات تعريف الارتباط HTTP فحسب، بل يغطي جميع التقنيات التي تخزن المعلومات أو تصل إليها على جهاز المستخدم:
- ملفات تعريف الارتباط HTTP (الطرف الأول والطرف الثالث)
- التخزين المحلي وتخزين الجلسة
- قاعدة البيانات المفهرسة
- بصمة الجهاز
- تتبع البكسلات / إشارات الويب
- العلامات E المستخدمة للتتبع
تصنيف ملفات تعريف الارتباط
الفئات القياسية
| الفئة | الموافقة مطلوبة؟ | أمثلة | الحالة الافتراضية |
|---|---|---|---|
| ضروري للغاية | لا | ملفات تعريف الارتباط للجلسة، رموز CSRF، ملفات تعريف الارتباط لموازن التحميل، المصادقة | دائما على |
| الوظيفية / التفضيلات | نعم | تفضيل اللغة، تفضيل السمة، سلة التسوق المحفوظة | إيقاف (حتى الموافقة) |
| التحليلات / الأداء | نعم | تحليلات جوجل، Hotjar، معقول (مع ملفات تعريف الارتباط) | إيقاف (حتى الموافقة) |
| تسويق / إعلان | نعم | إعلانات جوجل، فيسبوك بيكسل، إعادة استهداف ملفات تعريف الارتباط | إيقاف (حتى الموافقة) |
تدقيق ملفات تعريف الارتباط الخاصة بك
قبل تنفيذ الموافقة، قم بمراجعة كل ملف تعريف الارتباط الذي يحدده موقع الويب الخاص بك:
// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));
// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com
قم بتوثيق كل ملف تعريف ارتباط:
| اسم ملف تعريف الارتباط | الفئة | الغرض | المدة | الطرف الأول/الثالث |
|---|---|---|---|---|
ecosire_auth | ضروري للغاية | المصادقة | جلسة | الطرف الأول |
ecosire_refresh | ضروري للغاية | تحديث الرمز المميز | 7 أيام | الطرف الأول |
NEXT_LOCALE | ضروري للغاية | تفضيل اللغة | 1 سنة | الطرف الأول |
_ga | تحليلات | معرف زائر Google Analytics | سنتان | الطرف الثالث (جوجل) |
_fbp | التسويق | تتبع الفيسبوك بكسل | 90 يوما | الطرف الثالث (الفيسبوك) |
التنفيذ الفني
الخيار 1: منصة إدارة الموافقة (CMP)
| مؤتمر الأطراف العامل | الطبقة المجانية | متوافق مع اللائحة العامة لحماية البيانات | شريك جوجل CMP | IAB TCF 2.2 |
|---|---|---|---|---|
| كوكي بوت | ما يصل إلى صفحة واحدة | نعم | نعم | نعم |
| ون تراست | لا | نعم | نعم | نعم |
| أوسانو | ما يصل إلى 5K زائر | نعم | نعم | لا |
| تيرميلي | الخطة الأساسية | نعم | نعم | لا |
| ملفات تعريف الارتباط | ما يصل إلى موقع واحد | نعم | نعم | لا |
الخيار 2: التنفيذ المخصص
للفرق التي تريد السيطرة الكاملة:
// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';
interface ConsentPreferences {
necessary: true; // Always true, cannot be changed
functional: boolean;
analytics: boolean;
marketing: boolean;
timestamp: string;
version: string;
}
const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days
export function getConsent(): ConsentPreferences | null {
const cookie = document.cookie
.split(';')
.find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));
if (!cookie) return null;
try {
const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
// Invalidate if consent version changed
if (prefs.version !== CONSENT_VERSION) return null;
return prefs;
} catch {
return null;
}
}
export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
const consent: ConsentPreferences = {
necessary: true,
...preferences,
timestamp: new Date().toISOString(),
version: CONSENT_VERSION,
};
const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;
// Apply consent decisions
applyConsent(consent);
return consent;
}
function applyConsent(consent: ConsentPreferences) {
if (consent.analytics) {
// Initialize Google Analytics
loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
}
if (consent.marketing) {
// Initialize marketing pixels
loadScript('https://connect.facebook.net/en_US/fbevents.js');
}
if (!consent.analytics) {
// Remove analytics cookies
deleteCookie('_ga');
deleteCookie('_gid');
}
if (!consent.marketing) {
// Remove marketing cookies
deleteCookie('_fbp');
deleteCookie('_fbc');
}
}
وضع موافقة Google v2
مطلوب لبرنامج Google Analytics وإعلانات Google في المنطقة الاقتصادية الأوروبية منذ مارس 2024:
<!-- Set default consent state BEFORE loading Google tags -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: deny all until user consents
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted', // Always granted (necessary)
'wait_for_update': 500 // Wait for CMP
});
</script>
<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
عندما يقدم المستخدم الموافقة:
// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
gtag('consent', 'update', {
'ad_storage': preferences.marketing ? 'granted' : 'denied',
'ad_user_data': preferences.marketing ? 'granted' : 'denied',
'ad_personalization': preferences.marketing ? 'granted' : 'denied',
'analytics_storage': preferences.analytics ? 'granted' : 'denied',
'functionality_storage': preferences.functional ? 'granted' : 'denied',
'personalization_storage': preferences.functional ? 'granted' : 'denied',
});
}
متطلبات تصميم لافتة الموافقة
المتطلبات القانونية للاتحاد الأوروبي
- يظهر الشعار قبل تعيين أي ملفات تعريف ارتباط غير أساسية
- يتمتع الزران "قبول الكل" و"رفض الكل" بنفس القدر من الأهمية البصرية
- يتوفر اختيار تفصيلي للفئة (وليس فقط الكل أو لا شيء)
- لا توجد خانات محددة مسبقًا للفئات غير الأساسية
- شرح واضح وسهل لكل فئة
- رابط لسياسة ملفات تعريف الارتباط الكاملة
- يمكن الوصول إلى سحب الموافقة في أي وقت (على سبيل المثال، رابط التذييل)
- لا يوجد جدار لملفات تعريف الارتباط (يجب أن تكون قادرًا على استخدام الموقع دون موافقة)
- الموافقة المسجلة بالطابع الزمني والإصدار
متطلبات إمكانية الوصول
- البانر قابل للتنقل عبر لوحة المفاتيح
- متوافق مع قارئ الشاشة (تسميات ARIA)
- تباين الألوان الكافي
- لا يمنع المحتوى الأساسي بشكل دائم
بديل التحليلات الخالية من ملفات تعريف الارتباط
بالنسبة لمواقع الويب التي ترغب في تجنب لافتات الموافقة على ملفات تعريف الارتباط تمامًا:
| أداة | ملفات تعريف الارتباط | مطلوب موافقة اللائحة العامة لحماية البيانات | موقع البيانات | السعر |
|---|---|---|---|---|
| معقول | لا شيء | لا | الاتحاد الأوروبي | 9 دولارات شهريًا |
| فهم | لا شيء | لا | الاتحاد الأوروبي/الولايات المتحدة/كندا | 14 دولارًا شهريًا |
| أومامي | لا شيء | لا | استضافة ذاتية | مجاني |
| تحليلات بسيطة | لا شيء | لا | الاتحاد الأوروبي | 9 دولارات شهريًا |
| ماتومو (تكوين خالي من ملفات تعريف الارتباط) | اختياري | لا (بدون ملفات تعريف الارتباط) | استضافة ذاتية | مجاني |
يؤدي استخدام التحليلات الخالية من ملفات تعريف الارتباط إلى إلغاء الحاجة إلى موافقة التحليلات، مما يبسط شعار الموافقة الخاص بك لتغطية ملفات تعريف الارتباط التسويقية فقط (إذا تم استخدامها).
الأسئلة المتداولة
هل نحتاج إلى شعار ملفات تعريف الارتباط إذا كنا نستخدم ملفات تعريف الارتباط الضرورية فقط؟
لا. إذا كنت تستخدم فقط ملفات تعريف الارتباط الضرورية للغاية (المصادقة، CSRF، موازنة التحميل)، فلن تكون هناك حاجة إلى موافقة ولا حاجة إلى لافتة. ومع ذلك، لا يزال يتعين عليك الكشف عن ملفات تعريف الارتباط هذه في سياسة الخصوصية الخاصة بك. في اللحظة التي تضيف فيها تحليلات (Google Analytics) أو أي تتبع من طرف ثالث، يصبح شعار الموافقة مطلوبًا قانونًا في الاتحاد الأوروبي.
هل من القانوني استخدام "الاشتراك البسيط" (متابعة التصفح = الموافقة)؟
لا، ليس بموجب اللائحة العامة لحماية البيانات. لقد ذكر المجلس الأوروبي لحماية البيانات صراحةً أن استمرار التصفح أو التمرير أو الإجراءات السلبية المماثلة لا تشكل موافقة صالحة. يجب أن تكون الموافقة إجراءً واضحًا وإيجابيًا --- بالنقر على زر مكتوب عليه "قبول" أو ما شابه. تم الحكم بأن الاشتراك الناعم غير متوافق مع Planet49 (CJEU, 2019).
كيف نتعامل مع الموافقة على طلبات الصفحة الواحدة؟
بالنسبة إلى SPA، تحقق من حالة الموافقة عند التحميل الأولي للصفحة وعند كل تغيير للمسار. إذا لم يتم منح الموافقة، فلا تقم بتهيئة البرامج النصية للتتبع. قم بتخزين تفضيلات الموافقة في ملف تعريف ارتباط الطرف الأول (وهو أمر ضروري للغاية لتذكر الموافقة). عندما يقدم المستخدم الموافقة، قم بتهيئة البرامج النصية للتتبع دون الحاجة إلى إعادة تحميل الصفحة.
هل نحتاج إلى موافقة ملفات تعريف الارتباط لموقع Odoo الخاص بنا؟
إذا كان موقع Odoo الخاص بك يخدم زوار الاتحاد الأوروبي ويستخدم التحليلات أو وحدات البكسل التسويقية أو ملفات تعريف الارتباط الوظيفية بما يتجاوز ما هو ضروري للغاية، فنعم. يحتوي Odoo على إشعار أساسي لملفات تعريف الارتباط ولكنه لا يفي بمعايير القانون العام لحماية البيانات (GDPR). قم بتنفيذ CMP مناسب مثل Cookiebot أو أنشئ حلاً مخصصًا. توفر ECOSIRE خدمات موقع Odoo الإلكتروني التي تتضمن موافقة ملفات تعريف الارتباط المتوافقة مع اللائحة العامة لحماية البيانات.
ما يأتي بعد ذلك
تعد موافقة ملفات تعريف الارتباط الجانب الأكثر وضوحًا في الامتثال لخصوصية الويب. يمكنك دمجها مع الخصوصية حسب التصميم لبنية تطبيقك، وإدارة البيانات لبرنامج البيانات الكامل، ولوائح الأمن السيبراني لتحقيق امتثال أوسع.
اتصل بـ ECOSIRE لتنفيذ الموافقة على ملفات تعريف الارتباط واستشارات الامتثال للخصوصية.
تم النشر بواسطة ECOSIRE - لمساعدة الشركات على تنفيذ الامتثال للخصوصية الذي يثق به المستخدمون.
بقلم
ECOSIRE Research and Development Team
بناء منتجات رقمية بمستوى المؤسسات في ECOSIRE. مشاركة رؤى حول تكاملات Odoo وأتمتة التجارة الإلكترونية وحلول الأعمال المدعومة بالذكاء الاصطناعي.
مقالات ذات صلة
قائمة التحقق من إعداد التدقيق: كيف يجعل نظام تخطيط موارد المؤسسات (ERP) الخاص بك عمليات التدقيق أسرع بنسبة 60 بالمائة
استكمال القائمة المرجعية لإعداد التدقيق باستخدام أنظمة تخطيط موارد المؤسسات (ERP). يمكنك تقليل وقت التدقيق بنسبة 60 بالمائة من خلال التوثيق والضوابط المناسبة وجمع الأدلة تلقائيًا.
لوائح نقل البيانات عبر الحدود: التنقل في تدفقات البيانات الدولية
انتقل إلى لوائح نقل البيانات عبر الحدود من خلال الشروط التعاقدية النموذجية، وقرارات الملاءمة، والقواعد الملزمة للشركات، وتقييمات تأثير النقل للامتثال للقانون العام لحماية البيانات، والمملكة المتحدة، ومنطقة آسيا والمحيط الهادئ.
المتطلبات التنظيمية للأمن السيبراني حسب المنطقة: خريطة امتثال للشركات العالمية
التنقل في لوائح الأمن السيبراني عبر الولايات المتحدة والاتحاد الأوروبي والمملكة المتحدة وآسيا والمحيط الهادئ والشرق الأوسط. يغطي قواعد NIS2 وDORA وSEC ومتطلبات البنية التحتية الحيوية والجداول الزمنية للامتثال.
المزيد من Compliance & Regulation
قائمة التحقق من إعداد التدقيق: كيف يجعل نظام تخطيط موارد المؤسسات (ERP) الخاص بك عمليات التدقيق أسرع بنسبة 60 بالمائة
استكمال القائمة المرجعية لإعداد التدقيق باستخدام أنظمة تخطيط موارد المؤسسات (ERP). يمكنك تقليل وقت التدقيق بنسبة 60 بالمائة من خلال التوثيق والضوابط المناسبة وجمع الأدلة تلقائيًا.
لوائح نقل البيانات عبر الحدود: التنقل في تدفقات البيانات الدولية
انتقل إلى لوائح نقل البيانات عبر الحدود من خلال الشروط التعاقدية النموذجية، وقرارات الملاءمة، والقواعد الملزمة للشركات، وتقييمات تأثير النقل للامتثال للقانون العام لحماية البيانات، والمملكة المتحدة، ومنطقة آسيا والمحيط الهادئ.
المتطلبات التنظيمية للأمن السيبراني حسب المنطقة: خريطة امتثال للشركات العالمية
التنقل في لوائح الأمن السيبراني عبر الولايات المتحدة والاتحاد الأوروبي والمملكة المتحدة وآسيا والمحيط الهادئ والشرق الأوسط. يغطي قواعد NIS2 وDORA وSEC ومتطلبات البنية التحتية الحيوية والجداول الزمنية للامتثال.
إدارة البيانات والامتثال: الدليل الكامل لشركات التكنولوجيا
دليل كامل لإدارة البيانات يغطي أطر الامتثال وتصنيف البيانات وسياسات الاحتفاظ ولوائح الخصوصية وخرائط طريق التنفيذ لشركات التكنولوجيا.
سياسات الاحتفاظ بالبيانات والأتمتة: احتفظ بما تحتاج إليه، واحذف ما يجب عليك حذفه
قم ببناء سياسات الاحتفاظ بالبيانات مع المتطلبات القانونية، والجداول الزمنية للاحتفاظ، والتنفيذ الآلي، والتحقق من الامتثال للقانون العام لحماية البيانات (GDPR)، وSOX، وHIPAA.
إدارة خصوصية بيانات الموظفين: الموازنة بين احتياجات الموارد البشرية وحقوق الخصوصية
قم بإدارة خصوصية بيانات الموظفين من خلال متطلبات اللائحة العامة لحماية البيانات (GDPR)، وأسباب معالجة بيانات الموارد البشرية، وسياسات المراقبة، وعمليات النقل عبر الحدود، وأفضل ممارسات الاحتفاظ.