⚠️ حالة عملية 2026 — نموذج الاتصال الخاص بـ gofoodup.com (العلامة التجارية “FoodUp”) يجمع 6 حقول بيانات شخصية (الاسم الأول، الاسم، البريد الإلكتروني، الهاتف، اسم المطعم، رسالة حرة) دون وجود أي سياسة خصوصية مرئية، ولا فوق نموذج الاتصال، ولا في التذييل، ولا في أي مكان على الموقع. هذا انتهاك صارخ للمادة 13 من اللائحة العامة لحماية البيانات قابل للعقوبة من قبل CNIL. انظر الدراسة القضائية الواقعية الكاملة →
عندما يجمع موقع ما أي بيانات شخصية - اسمك الأول، اسمك، بريدك الإلكتروني، هاتفك - يجب عليه، في اللحظة التي يتم فيها جمع البيانات، توفير معلومات كاملة وفقًا للـ RGPD. ليس رابطًا صغيرًا في الأسفل. ليس “من خلال تقديم هذا النموذج فإنك توافق على شروطنا” بدون أي شيء خلفه. معلومات واضحة وكاملة ويمكن الوصول إليها بسهولة حول ما سيتم فعله ببياناتك.
في عام 2026، على سوق مزودي الخدمة “إدارة التوصيل” للمطاعم، يتم احترام هذا الالتزام بشكل كبير وغير متساوٍ. فيما يلي كيفية التحقق من ذلك وكيفية تفسيره.
ما يطلبه القانون (المادة 13 من RGPD)
تحدد المادة 13 من اللائحة العامة لحماية البيانات 11 معلومة يجب على معالج البيانات (الشخص الذي يجمع البيانات) إبلاغ الشخص المعني بها في وقت الجمع:
- هوية ومعلومات الاتصال لمُعالج البيانات
- معلومات جهة الاتصال بـ DPO (مفوض حماية البيانات) إذا تم تحديده
- أغراض المعالجة (ماذا ستخدم البيانات من أجله)
- أساس قانوني للمعالجة (الموافقة، العقد، المصلحة المشروعة … )
- المُعالجون للبيانات (المُعالون، المضيف، CRM، إلخ.)
- نقل خارج الاتحاد الأوروبي إذا كان ذلك ممكنًا، مع الضمانات المتوقعة
- مدة الاحتفاظ بالبيانات
- حقوق الشخص المعني (الوصول، التصحيح، الحذف، الاعتراض، النقل)
- حق سحب الموافقة في أي وقت
- حق تقديم شكوى إلى CNIL
- عواقب إذا رفض الشخص المعني تقديم البيانات
بشكل عملي: يجب أن يكون هناك رابط “سياسة الخصوصية” موجود مباشرة فوق زر الإرسال، أو مدمج في النموذج نفسه مع مربع تحديد (للموافقة) إذا كان ذلك مناسبًا.
العقوبات
تحدد المادة 83 من RGPD غرامات تصل إلى 20 مليون يورو أو 4٪ من إجمالي الإيرادات السنوية للشركة (الأعلى بينهما) لعدم تقديم المعلومات إلى الشخص المعني.
في فرنسا، تطبق CNIL هذه الغرامات بشكل متدرج ولكن حقيقي. بالنسبة للشركات الصغيرة والمتوسطة، فإن الغرامات الأكثر شيوعًا تتراوح بين 3000 يورو و 20000 يورو مع الالتزامات المتعلقة بتنفيذ الامتثال بموجب حكم (على سبيل المثال: 500 يورو في اليوم من التأخير).
الأهم من ذلك، أن الإبلاغ البسيط إلى CNIL مجاني وسريع ويؤدي إلى بدء إجراء تحقيق رسمي. يمكن لأي مطعم يلاحظ جمعًا غير قانوني القيام بذلك في 5 دقائق على cnil.fr/fr/plaintes.
كيفية التحقق على موقع مزود الخدمة
- ابحث عن نموذج الاتصال (طلب عرض توضيحي، تدقيق مجاني، اتصال مباشر…).
- قم بإدراج الحقول المطلوبة : الاسم الأول، الاسم، البريد الإلكتروني، الهاتف، اسم المطعم، العنوان، الرسالة… كل واحد منهم هو بيانات شخصية.
- انظر فوق زر الإرسال : هل يوجد رابط “سياسة الخصوصية” أو ما شابه ذلك؟ هل يوجد مربع تحديد للموافقة؟
- إذا لم يكن هناك : هذا انتهاك. المطعم الذي يرسل هذا النموذج ينقل بياناته الشخصية إلى معالج بيانات لا يلتزم بالتزامه بالإعلام. لا يوجد مدة للاحتفاظ بالبيانات = قد يتم الاحتفاظ بها إلى أجل غير مسمى. لا يوجد مُعالجون مُدرجين = قد يتم بيعها إلى أطراف ثالثة (وسطاء البيانات، مزودي خدمات آخرين). لا يوجد DPO = شخص يجب الاتصال به في حالة وقوع حادث.
- لا يوجد معلومات حول مدة الاحتفاظ بالبيانات
- لا يوجد ذكر لحقوق الأشخاص (الوصول، التصحيح، الحذف، الاعتراض، النقل)
- لا يتم تحديد DPO (على الرغم من أن حجم الجمع وال sensitivity (الهاتف المهني + اسم المطعم التجاري) قد يتطلب تحديد DPO بموجب المادة 37 من RGPD)
هذا ما يسمى انتهاك صارخ للـ RGPD بموجب المادة 13. عدد الحقول (6) وحساسيتها (هاتف مهني + اسم تجاري للمطعم = إعادة تحديد فوري) لا تترك مجالاً للشك. يمكن لـ CNIL أن ترفع دعوى قضائية في 5 دقائق من cnil.fr/fr/plaintes من أي شخص لديه، دون الحاجة إلى أن يكون ضحية - مجرد ملاحظة الانتهاك.
لماذا أنت، المطعم، معني شخصيًا
إذا قمت بنقل بياناتك + بيانات مؤسستك إلى مزود خدمة، فأنت تواجه مخاطر مزدوجة :
- خطر مباشر : بياناتك بين يدِ شخص لا يلتزم بالتزامات RGPD. لا يوجد مدة للاحتفاظ بالبيانات = قد يتم الاحتفاظ بها إلى أجل غير مسمى. لا يوجد مُعالجون مُدرجين = قد يتم بيعها إلى أطراف ثالثة (وسطاء البيانات، مزودي خدمات آخرين). لا يوجد DPO = شخص يجب الاتصال به في حالة وقوع حادث.
- خطر غير مباشر (الأكثر خطورة) : بمجرد أن تثق في مزود الخدمة بيانات عملائك (الطلبات، العناوين، أرقام هواتف التوصيل)، فأنت معالج بيانات لهذه البيانات. مزود الخدمة هو مُعالوك بموجب المادة 28 من RGPD. وهذا يعني وجود عقد رسمي مطلوب (اتفاقية معالج البيانات) يجب أن يسرد 10 التزامات محددة لمُعالوك. بدون سياسة خصوصية عامة، من غير المرجح أن يوفر لك مزود الخدمة اتفاقية معالج بيانات متوافقة. في حالة إجراء تدقيق CNIL في شركتك، أنت من سيتم معاقبته (معالج البيانات) لكونك قد نقلت بيانات عملائك إلى مُعالٍ غير متوافق.
لذلك، من مصلحتك المباشرة، القانونية، المالية، والتشغيلية، عدم التوقيع مع مزود خدمة لا يلتزم بأساسيات RGPD.
ما يجب عليك فعله إذا حددت حالة
- لا ترسل النموذج. إذا كنت تريد الاتصال بهم، فافعل ذلك عبر قناة بديلة (رسالة مباشرة على LinkedIn إلى المؤسس، على سبيل المثال)، وتجنب إرسال أي بيانات شخصية حتى يتم توفير سياسة خصوصية.
- وثق : لقطة شاشة بتاريخ النموذج والتذييل الخاص بالموقع، أرشيف على archive.org/web الذي يسجل التاريخ ويحفظ الدليل مجانًا.
- أبلغ CNIL: cnil.fr/fr/plaintes، إجراء عبر الإنترنت، مجاني. ليس عليك أن تكون ضحية - يمكن لأي شخص لديه ملاحظة انتهاكًا الإبلاغ عنها.
- اختر مزود خدمة متوافق : Fooderise تعرض سياسة الخصوصية الخاصة بها من التذييل في كل صفحة، وتوفر اتفاقية معالج بيانات قياسية مع عملائها، وتحدد DPO الخاص بها. هذا هو الحد الأدنى الذي يجب أن تحصل عليه لتفويض بيانات عملائك إلى مزود خدمة.
ملخص
لا يمثل نموذج الاتصال الذي يجمع 6 حقول شخصية “تفصيلاً فنيًا” - إنه انتهاك صارخ للـ RGPD، والذي يعرض مزود الخدمة للخطر من قبل CNIL، و يعرضك أنت أيضًا بمجرد تفويضك للبيانات إلى مزود خدمة لا يلتزم بالتزاماته بالإعلام.
Rejoignez la communauté Fooderise
Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.
Rejoindre la chaîneUne correction ou une suggestion ?
Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.
Proposer une amélioration