- يجب أن تكون الموافقة: مُقدمة بحرية، ومحددة، ومستنيرة، ولا لبس فيها (المادة 7)
- تعتبر المربعات المحددة مسبقًا والموافقة الضمنية والموافقة المجمعة كلها غير صالحة بموجب اللائحة العامة لحماية البيانات
- يجب أن يكون سحب الموافقة سهلاً بقدر سهولة منحها، ويجب احترام الانسحاب على الفور
- لا تستخدم الموافقة عندما يكون هناك أساس قانوني آخر (عقد، التزام قانوني) أكثر ملاءمة
الموافقة بموجب اللائحة العامة لحماية البيانات ليست مثل الموافقة في اللغة اليومية. إنه معيار قانوني له متطلبات محددة، والمنظمات التي تعتمد على الموافقة كأساس قانوني أساسي لها غالبًا ما تكتشف أن ما جمعته لم يكن موافقة صالحة على الإطلاق. توفر إرشادات EDPB بشأن الموافقة تفاصيل شاملة؛ يغطي هذا الدليل الأساسيات العملية للشركات الخاضعة للتنظيم.
مسار الشراء ذو الصلة HubSecure
دليل الامتثال لإدارة علاقات العملاء (CRM) الامتثال لإدارة علاقات العملاء (CRM) للشركات النامية وحدة إدارة علاقات العملاء (CRM) مقارنة HubSpot دليل الامتثال لإدارة علاقات العملاء (CRM) دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.
الشروط الأربعة للموافقة الصحيحة
1. يُعطى بحرية
لا تُمنح الموافقة بحرية إذا لم يكن للفرد خيار حقيقي أو كان سيعاني من ضرر الرفض. هذا يعنى:
- لا يمكنك جعل الموافقة شرطًا للخدمة (ما لم تكن المعالجة ضرورية حقًا لتلك الخدمة)
- إن تجميع الموافقة على أنشطة المعالجة المتعددة في مربع اختيار واحد غير صالح - ويجب الموافقة على كل منها بشكل منفصل
- عندما يكون هناك اختلال واضح في توازن القوى (صاحب العمل والموظف)، تعتبر موافقة الموظفين عمومًا غير ممنوحة بحرية
2. محددة
يجب أن تكون الموافقة محددة لكل غرض محدد. العبارات العامة مثل "قد نستخدم بياناتك لأغراض التسويق والتحليلات" لا تلبي متطلبات التحديد. يتطلب كل غرض — الرسائل الإخبارية عبر البريد الإلكتروني، والمكالمات الهاتفية، والتوصيف، والمشاركة مع الشركاء — موافقته الخاصة.
3. مطلعة
يجب أن يكون لدى الأفراد معلومات كافية لاتخاذ قرار ذي معنى قبل موافقتهم. على الأقل، يجب أن تخبرهم: من أنت، وما هي البيانات التي ستتم معالجتها، ولأي غرض، وما إذا كانت ستتم مشاركتها مع أطراف ثالثة، وحقيقة أنه يمكنهم سحب الموافقة في أي وقت.
4. إشارة لا لبس فيها
تتطلب الموافقة إجراءً إيجابيًا وإيجابيًا - وهو الاشتراك وليس الانسحاب. المربعات المحددة مسبقًا، أو الموافقة المفترضة من التقاعس عن العمل، أو الموافقة المدفونة في الشروط والأحكام كلها غير صالحة. ويجب أن يكون الإجراء واضحاً ومميزاً عن الأمور الأخرى.
عند عدم استخدام الموافقة
غالبًا ما تكون الموافقة أساسًا قانونيًا خاطئًا. إذا كانت المعالجة ضرورية لتنفيذ عقد مع الفرد، فاستخدم أداء العقد (المادة 6 (1) (ب)). إذا كان مطلوبًا منك قانونًا معالجة البيانات، فاستخدم الالتزام القانوني (المادة 6 (1) (ج)). إن استخدام الموافقة لمعالجة أداء العقد أو الالتزام القانوني من شأنه أن يبرر خلق عبء غير ضروري لإدارة الموافقة ويمنح الأفراد حقوقًا (سحب سهل، واحتمال محو) لا يتطلبها الموقف.
خطأ شائع: استخدام الموافقة كأساس قانوني لمعالجة KYC. يعد "اعرف عميلك" التزامًا قانونيًا بموجب تشريعات مكافحة غسل الأموال - والأساس القانوني هو المادة 6 (1) (ج)، وليس الموافقة. إذا قمت بجمع الموافقة على KYC، فيمكن للأفراد سحبها في أي وقت، مما قد يمنعك من الوفاء بالتزامك القانوني.
إدارة سجلات الموافقة
بموجب المادة 7 (1)، يجب أن تكون قادرًا على إثبات أن الفرد قد أعطى موافقته. وهذا يعني أن نظام إدارة الموافقة الخاص بك يجب أن يلتقط ما يلي:
- من وافق (مرتبط بسجل فردي)
- عندما وافقوا (الطابع الزمني)
- ما وافقوا عليه (الغرض المحدد ونسخة إشعار الموافقة الموضحة)
- كيف وافقوا (أي آلية - إرسال النموذج، مربع الاختيار، وما إلى ذلك)
التعامل مع سحب الموافقة
تنص المادة 7 (3) على أن الانسحاب يجب أن يكون بنفس سهولة إعطاء الموافقة. إذا تم منح الموافقة من خلال النقر على مربع الاختيار الموجود على أحد مواقع الويب، فيجب أن يكون السحب ممكنًا أيضًا بمستوى مماثل من الجهد - وليس عبر خطاب مكتوب إلى مسؤول الامتثال. عند سحب الموافقة:
- ويجب أن تتوقف المعالجة بناءً على تلك الموافقة على الفور
- يجب حذف البيانات التي تم جمعها على أساس تلك الموافقة فقط (ما لم ينطبق أساس قانوني آخر)
- لا يؤثر الانسحاب على قانونية المعالجة التي تتم قبل الانسحاب
الموافقة والاتصالات التسويقية
بالنسبة للاتصالات التسويقية الإلكترونية (البريد الإلكتروني والرسائل النصية القصيرة)، ينطبق توجيه الخصوصية الإلكترونية (PECR في المملكة المتحدة) جنبًا إلى جنب مع القانون العام لحماية البيانات (GDPR). بشكل عام، يشترط الحصول على موافقة مسبقة للتسويق للأفراد. قد يعتمد التسويق بين الشركات لعناوين البريد الإلكتروني الخاصة بالعمل على قاعدة "الاشتراك البسيط" حيث يكون المستلم عميلًا حاليًا ويكون التسويق لمنتجات أو خدمات مماثلة.
كم من الوقت تستمر الموافقة؟
لا يحدد القانون العام لحماية البيانات (GDPR) فترة زمنية قصوى، ولكن يوصي EDPB بتحديث الموافقة بشكل دوري عندما تكون العلاقة مستمرة. إذا تغيرت الظروف منذ تقديم الموافقة الأصلية، فيجب عليك إعادة طلب الموافقة. قم بتوثيق سياسة تحديث موافقتك.
هل يمكن للأطفال إعطاء الموافقة بموجب اللائحة العامة لحماية البيانات؟
تحد المادة 8 من اللائحة العامة لحماية البيانات من قدرة الأطفال على منح الموافقة على خدمات مجتمع المعلومات لمن يبلغون من العمر 16 عامًا أو أكثر (يمكن للدول الأعضاء خفض هذا السن إلى 13 عامًا). موافقة الوالدين أو الوصي مطلوبة للأطفال الأصغر سنا. التحقق من عمر الطفل والاحتفاظ بالسجلات.
إدارة الموافقة جنبًا إلى جنب مع علاقات العملاء الخاصة بك
HubSecure يقوم نظام إدارة علاقات العملاء (CRM) بتسجيل حالة الموافقة والطوابع الزمنية وتواريخ السحب لكل عميل - بحيث تكون قوائم التسويق الخاصة بك دائمًا متوافقة وجاهزة للتدقيق.
Book a demoالمصادر الرسمية ومزيد من القراءة
استخدم هذه المصادر العامة للتحقق من الخلفية التنظيمية والمصطلحات. محتوى HubSecure عبارة عن إرشادات حول المنتج، وليس نصيحة قانونية.
ملاحظات المصداقية
تم إعداد هذا الدليل لتقييم المنتجات والعمليات، وليس لتقديم المشورة القانونية. بالنسبة لالتزامات الامتثال، قم بتأكيد المتطلبات مع مستشار مؤهل أو الجهة التنظيمية ذات الصلة.
مراجع HubSecure ذات الصلة: الأمان · DPA · المعالجات الفرعية · مسرد AML/KYC · مسرد RBAC
استعراض الأفرقة المنظمة
Prepared by the HubSecure editorial team for operators, compliance leaders and IT reviewers evaluating secure client operations software.
المؤلفون: مراجعون؛ سياسة التحرير