Loading…
يُعدّ GDPR وCCPA/CPRA أكثر إطاري خصوصية يُستشهد بهما في العالم. يبدوان متشابهين للوهلة الأولى، لكنهما يتباينان بحدّة في الامتداد خارج الإقليم، والأساس القانوني للمعالجة، وبنية الاشتراك مقابل الانسحاب، وأطر الإخطار بالاختراق، وشدّة العقوبات. يقدّم هذا الدليل المقارنة الدقيقة جنبًا إلى جنب التي سيلجأ إليها أي فريق خصوصية.
| البُعد | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| الأداة القانونية | اللائحة (الاتحاد الأوروبي) 2016/679 | Cal. Civ. Code § 1798.100 وما يليه (CCPA، بصيغته المعدَّلة بـ CPRA لعام 2020) |
| تاريخ النفاذ | 25 مايو 2018 | CCPA: 1 يناير 2020؛ تعزيز CPRA: 1 يناير 2023 |
| النطاق الإقليمي | أي جهة تعالج البيانات الشخصية لأفراد في الاتحاد الأوروبي (المادة 3 — خارج الإقليم) | الشركات الربحية التي تمارس أعمالًا في كاليفورنيا وتستوفي العتبات (§1798.140(d)) |
| عتبة قابلية التطبيق أي مُحفِّز واحد | أي متحكم/معالج — دون حدّ أدنى للإيرادات/الحجم | إيرادات بقيمة 25 مليون دولار أو أكثر من 100 ألف مستهلك/أسرة في كاليفورنيا أو 50%+ من الإيرادات من بيع/مشاركة المعلومات الشخصية |
| نموذج الموافقة | الاشتراك في معظم عمليات المعالجة (المادة 6) | الانسحاب من البيع أو المشاركة؛ الاشتراك للقاصرين دون 16 |
| الأساس القانوني المطلوب | نعم — أحد ستة (المادة 6) أو شرط الفئة الخاصة (المادة 9) | لا يوجد أساس قانوني رسمي؛ "غرض تجاري" + إشعار عند الجمع |
| البيانات الحساسة | بيانات الفئات الخاصة (المادة 9) تتطلب موافقة صريحة + ضمانات | المعلومات الشخصية الحساسة (CPRA §1798.140(ae)) — الحق في التقييد، وليس تقييدًا مطلقًا |
| الإخطار بالاختراق | 72 ساعة للسلطة الإشرافية (المادة 33)؛ وأصحاب البيانات المتأثرين دون تأخير لا مبرر له في حال وجود مخاطر عالية | لا يوجد إطار زمني محدد؛ "في أسرع وقت ممكن" بموجب Cal. Civ. Code §1798.82 |
| الحد الأقصى للغرامة | 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي، أيهما أعلى (المادة 83(5)) | 2,500 دولار عن كل مخالفة غير مقصودة / 7,500 دولار عن كل مخالفة مقصودة أو متعلقة بقاصر (لكل سجل) |
| الجهة المنظِّمة | 27 سلطة لحماية البيانات في الدول الأعضاء بالاتحاد الأوروبي + EDPB (نافذة واحدة) | وكالة حماية الخصوصية في كاليفورنيا (CPPA) + المدعي العام لكاليفورنيا |
| متطلب DPO | إلزامي في حالات محددة (المادة 37) | غير إلزامي؛ متطلب تقييم المخاطر لأمناء البيانات المهمّين |
| الممثل المحلي | ممثل الاتحاد الأوروبي بموجب Article 27 مطلوب للمتحكمين/المعالجين من خارج الاتحاد الأوروبي | غير مطلوب؛ الوجود المادي ليس إلزاميًا |
| نافذة الاستجابة لـ DSAR | شهر واحد + تمديد شهرين للطلبات المعقّدة (المادة 12(3)) | 45 يومًا، قابلة للتمديد بـ 45 يومًا إضافية (§1798.130) |
| النقل عبر الحدود | مقيّد — يتطلب SCC/BCR/الكفاية (الفصل الخامس) | لا يوجد تقييد صريح؛ ضمانات تعاقدية بموجب القانون القطاعي |
| الحق الخاص في رفع الدعوى | نعم — المادة 79 (محدود) + تعويضات المادة 82 | فقط لاختراقات البيانات بموجب §1798.150 |
| بيانات الأطفال | السن الافتراضي للموافقة دون 16 (يمكن للدول الأعضاء خفضه إلى 13) | الاشتراك للبيع/المشاركة لمن هم دون 16؛ ومن هم دون 13 يتطلبون موافقة الوالد |
| الحق في الحذف | الحق في المحو (المادة 17) مع استثناءات | الحق في الحذف (§1798.105) مع استثناءات |
| الحق في المعرفة/الوصول | المادة 15 — تأكيد + نسخة | §1798.110 + §1798.115 — الإفصاح عن الفئات والمعلومات الشخصية المحددة |
| الحق في الانسحاب | الاعتراض على المعالجة القائمة على المصالح المشروعة أو التسويق المباشر (المادة 21) | الانسحاب من بيع أو مشاركة المعلومات الشخصية (§1798.120)؛ يجب احترام إشارة GPC |
| الحق في قابلية النقل | المادة 20 — مُنظَّم وشائع الاستخدام وقابل للقراءة آليًا | الحق في التلقّي بصيغة قابلة للنقل (§1798.100(d)) |
نعم، إذا كنت تستهدف أفرادًا في الاتحاد الأوروبي ومستهلكين في كاليفورنيا على حد سواء. لديهما متطلبات أساسية متداخلة (الإشعار، والوصول، والحذف) لكنهما يتباينان في الموافقة وأطر الإخطار بالاختراق والإقليمية. تنجح مجموعة ضوابط واحدة مُحدَّدة المعالم مع كليهما.
جوهريًا، نعم. يتطلب GDPR أساسًا قانونيًا لكل نشاط معالجة، ويُلزم بالإخطار بالاختراق خلال 72 ساعة، ويقيّد عمليات النقل عبر الحدود، وله غرامات غير محدودة قائمة على الإيرادات. أما CCPA/CPRA فيغلب عليه طابع الانسحاب وله عقوبات لكل مخالفة بدلًا من حجم الأعمال — لكن تسوية Meta البالغة 1.2 مليار دولار تُظهر أن التعرّض الإجمالي يمكن أن يضاهي GDPR.
لا. تنطبق المادة 3 من GDPR خارج الإقليم. إذا كنت تقدّم سلعًا أو خدمات لأشخاص في الاتحاد الأوروبي أو تراقب سلوكهم، فأنت ضمن النطاق ويجب عليك تعيين ممثل الاتحاد الأوروبي بموجب Article 27.
لا يوجد ما يعادله رسميًا. لا يتطلب CCPA تعيين ممثل محلي مُعيَّن. ومع ذلك، قد تستدعي البيانات المالية أو الصحية الحساسة أنظمة فيدرالية موازية (HIPAA، وGLBA) لها متطلباتها الخاصة بنقطة الاتصال.
GDPR: 72 ساعة للسلطة الإشرافية الرائدة. CCPA: "أسرع وقت ممكن" دون مهلة زمنية ثابتة — رغم أن محامي المدّعين في الدعاوى الجماعية بموجب §1798.150 يدفعون بأن أي مدة تتجاوز بضعة أيام تُعدّ غير معقولة.
نعم — ويجب أن تفعل. ابنِ مسارًا واحدًا قابلًا للتحقق لطلبات المستهلكين، واربط مخرجاته بكل من إفصاحات المادة 15 من GDPR و§1798.110 من CCPA. وفقط أبقِ الإطار الزمني عند النافذة الأقصر (شهر واحد لسكان الاتحاد الأوروبي، و45 يومًا لسكان كاليفورنيا).
خطّط الضوابط مرة واحدة، والتزم مرتين. يمنحك RegulatoryBridge مسار DSAR واحدًا، ومسؤول حماية بيانات (DPO) واحدًا، ودليل إجراءات واحدًا للخروقات — يغطي كلا الإطارين.