الانتقال إلى المحتوى الرئيسي
HubSecure
القائمة

المدونة

الدليل الشامل لحقوق أصحاب البيانات للشركات الصغيرة

حين يطلب عميل الاطلاع على بياناته أو تصحيحها أو حذفها، تقع عليك التزامات قانونية ومواعيد نهائية. يشرح هذا الدليل كل حق من حقوق أصحاب البيانات، ومتى ينطبق، وكيف تبني عملية تتعامل مع الطلبات دون تعطيل مؤسستك.

· بواسطة HubSecure Compliance

يرسل عميل بريدًا إلكترونيًا يطلب نسخة من جميع البيانات التي تحتفظ بها عنه. يطلب موظف سابق حذف سجلاته. يطلب عميل محتمل إيقاف التسويق وحذف بياناته. يطلب مقدم طلب توظيف الاطلاع على بيانات التعريف الشخصي المستخدمة في القرار.

هذه كلها طلبات أصحاب البيانات. في إطار اللائحة GDPR وما يعادلها من قوانين، تقع عليك التزامات قانونية حين تصلك — وموعد نهائي مدته شهر واحد للرد.

الحقوق السبعة

حق الاطلاع (المادة 15 من اللائحة GDPR)

ماهيته: يحق للفرد طلب نسخة من جميع البيانات الشخصية التي تحتفظ بها عنه، مع معلومات حول كيفية استخدامك لها.

ما يجب تقديمه:

  • تأكيد بشأن ما إذا كنت تعالج بيانات شخصية عنه
  • نسخة من البيانات الشخصية (بتنسيق إلكتروني شائع الاستخدام إذا طُلب)
  • أغراض المعالجة
  • فئات البيانات التي تعالجها
  • من تشاركها معهم
  • مدة الاحتفاظ بها
  • معلومات حول حقوقه الأخرى
  • مصدر البيانات إذا لم تُجمع مباشرة منه

المهلة الزمنية: شهر واحد. قابل للتمديد بشهرين للطلبات المعقدة، لكن يجب إخطار الفرد خلال الشهر الأول.

الأخطاء الشائعة: رد غير مكتمل (بيانات مفقودة من بعض الأنظمة)، تضمين بيانات أشخاص آخرين دون حجبها، إغفال المعلومات التكميلية المطلوبة.

حق التصحيح (المادة 16 من اللائحة GDPR)

ماهيته: يحق للفرد طلب تصحيح البيانات الشخصية غير الدقيقة أو استكمال البيانات غير المكتملة.

ما يجب فعله: التصحيح دون تأخير غير مبرر، وفي غضون شهر على أبعد تقدير. إذا شاركت البيانات غير الدقيقة مع معالجين أو مستلمين آخرين، يجب إخطارهم بالتصحيح.

متى يمكن الرفض: لا يجب قبول «تصحيح» من شأنه جعل سجلاتك غير دقيقة — مثلًا إذا طلب شخص ما تغيير تاريخ لديك أدلة معاصرة تثبت صحته. وثّق مبرراتك.

حق الحذف («حق النسيان») (المادة 17 من اللائحة GDPR)

متى ينطبق:

  • لم تعد البيانات ضرورية للغرض الذي جُمعت من أجله
  • يسحب الفرد موافقته (حين كانت الموافقة هي الأساس القانوني)
  • يعترض الفرد على المعالجة ولا توجد أسباب مشروعة تتغلب عليه
  • جرت معالجة البيانات بصورة غير مشروعة

متى لا ينطبق:

  • تعالج البيانات بموجب التزام قانوني (يجب الاحتفاظ بالسجلات الضريبية لفترة محددة)
  • المعالجة ضرورية لإنشاء المطالبات القانونية أو ممارستها أو الدفاع عنها

موقف عملي شائع: يطلب عميل سابق الحذف. يمكنك حذف بيانات التسويق وسجلات الاتصال العامة. لا يمكنك حذف الفواتير وسجلات الدفع إذا كنت ملزمًا قانونًا بالاحتفاظ بالسجلات المالية لسبع سنوات. اشرح بوضوح ما تحذفه وما تحتفظ به ولماذا.

حق تقييد المعالجة (المادة 18 من اللائحة GDPR)

متى ينطبق:

  • يطعن في دقة بياناته — قيّد المعالجة أثناء التحقق
  • المعالجة غير مشروعة لكنه يفضل التقييد على الحذف
  • لم تعد البيانات ضرورية لك لكنه يحتاجها لمطالبات قانونية
  • اعترض على المعالجة وأنت تتحقق من أولوية أسبابك

ما يعنيه التقييد عمليًا: تحتفظ بالبيانات لكن تتوقف عن معالجتها، باستثناء التخزين.

حق نقل البيانات (المادة 20 من اللائحة GDPR)

ماهيته: يحق للفرد طلب نسخة من بياناته بتنسيق منظم وشائع الاستخدام وقابل للقراءة آليًا.

متى ينطبق: فقط حين يكون الأساس القانوني الموافقة أو العقد، وتجري المعالجة بوسائل آلية.

التنسيق: ملفات CSV مقبولة عمومًا.

حق الاعتراض (المادة 21 من اللائحة GDPR)

حق مطلق — التسويق المباشر: إذا اعترض الفرد على المعالجة لأغراض التسويق المباشر، يجب التوقف فورًا. لا توجد أسباب تجيز الاستمرار.

حق مشروط — المصالح المشروعة: إذا كان أساسك القانوني المصالح المشروعة، يحق للفرد الاعتراض. يجب التوقف ما لم تتمكن من إثبات أسباب مشروعة مقنعة تتغلب على مصالحه وحقوقه.

الحقوق المتعلقة بصنع القرار الآلي (المادة 22 من اللائحة GDPR)

للشركات الصغيرة والمتوسطة: لا تُجري معظم الشركات الصغيرة صنع قرارات آلية بحتة من النوع الذي يُفعّل هذا الحق. إذا كنت تستخدم أدوات الذكاء الاصطناعي في القرارات التي تمس العملاء، تحقق من أن الإشراف البشري في عمليتك حقيقي لا شكلي.

بناء العملية

الخطوة الأولى: إنشاء قناة طلبات مخصصة

أنشئ عنوان بريد إلكتروني مخصصًا للطلبات (مثل: privacy@yourcompany.com).

الخطوة الثانية: بناء سجل الطلبات

احتفظ بسجل لكل طلب وارد: تاريخ الاستلام، نوع الطلب، اسم الفرد، الموعد النهائي، الحالة والنتيجة.

الخطوة الثالثة: كتابة نماذج إقرار استلام موحدة

أعدّ ردودًا نموذجية لكل نوع من الطلبات تؤكد الاستلام والموعد النهائي.

الخطوة الرابعة: رسم خريطة أنظمة البيانات

لكل نوع من الطلبات، وثّق الأنظمة التي يجب فحصها: نظام إدارة علاقات العملاء، البريد الإلكتروني، التخزين السحابي، برنامج المحاسبة، نظام الموارد البشرية، منصة التسويق.

الخطوة الخامسة: تحديد المسؤولية

يجب أن يكون شخص مسمى مسؤولًا عن الاستجابة لطلبات أصحاب البيانات.

الخطوة السادسة: اختبار العملية

قبل وصول طلب حقيقي، أجرِ اختبارًا. استخدم اسم أحد أعضاء الفريق وسِر خلال العملية من البداية إلى النهاية. الثغرات المكتشفة في اختبار أرخص بكثير من تلك المكتشفة في تحقيق شكوى.

التعامل مع الطلبات الصعبة

طلبات من أفراد لا يمكن التحقق من هويتهم: يحق لك طلب معلومات للتحقق من الهوية قبل الرد. طلب معقول لاسم وبريد إلكتروني وتفصيل تأكيدي واحد مقبول.

طلبات تكشف بيانات أطراف ثالثة: إذا كانت الاستجابة لطلب الاطلاع ستتطلب الكشف عن بيانات شخص آخر، احجب معلومات الطرف الثالث قبل الرد.

الطلبات التعسفية أو المفرطة: يجوز لك فرض رسوم معقولة أو رفض التصرف في الطلبات التعسفية أو المفرطة. يُفسَّر هذا الاستثناء تفسيرًا ضيقًا — وثّق مبرراتك بعناية.

متطلب التوثيق

يجب توثيق كل طلب تمت معالجته والقرار المتخذ والنتيجة. هذا التوثيق هو ما تقدمه لجهة إشرافية إذا قُدّمت شكوى. بدونه، يسير التحقيق استنادًا إلى رواية الفرد للأحداث لا روايتك.