رموز QR في كل مكان: قوائم الطعام، المنتجات، الفعاليات، نماذج التسجيل. لكن قلّة من يتوقف ليفكر أن وراء ذلك المربع الصغير قد يكون جمع بيانات شخصية — مع التزامات قانونية واضحة بموجب LGPD (قانون حماية البيانات البرازيلي) والـ GDPR الأوروبي.
إذا كنت تُنشئ رموز QR لعملك، فأنت بحاجة لمعرفة ما يمكنك جمعه وما لا يمكنك. وإذا كنت تمسح رموز QR من جهات أخرى، فإن فهم ما يمكنها معرفته عنك يحميك. هذا الدليل يغطي الجانبين.
لماذا تنطبق قوانين الخصوصية على رموز QR
يُنظّم كل من LGPD وGDPR أي معالجة للبيانات الشخصية من قِبَل الأفراد أو الشركات — بما في ذلك عبر رموز QR. يشمل ذلك:
- النماذج المرتبطة برموز QR التي تجمع الاسم والبريد الإلكتروني والرقم الضريبي ورقم الهاتف
- بيانات تتبع المسح (الوقت، الموقع التقريبي، الجهاز)
- أي معلومات تُحدد هوية شخص أو قد تُحددها
إذا كنت تخدم عملاء في البرازيل وأوروبا، فقد تنطبق اللوائح بشكل متزامن.
المحور الأول — أنت الذي تُنشئ رمز QR وتجمع البيانات
ما يستوجب الانتباه القانوني
عندما يشير رمز QR إلى نموذج أو صفحة تسجيل أو نظام يخزّن بيانات المستخدمين، تنطبق الالتزامات القانونية:
| الحالة | تنبيه الخصوصية |
|---|---|
| QR ← نموذج تسجيل (اسم، بريد إلكتروني) | موافقة صريحة + غرض واضح مطلوبان |
| QR ← نموذج يحتوي رقم ضريبي أو بيانات صحية | بيانات حساسة: أساس قانوني مُعزَّز + موافقة محددة |
| رمز QR ثابت يحتوي بيانات شخصية في الرابط | تجنب ذلك — البيانات مكشوفة ولا يمكن حذفها |
| رمز QR ديناميكي مع تتبع المسح | مشروع، لكن يُفصح عنه في سياسة الخصوصية |
| QR ← نظام تسجيل دخول أو مصادقة | يتضمن معالجة: وثّق الأساس القانوني |
| رمز QR في أماكن عامة (شارع، متجر) | المستخدم لا يتوقع الجمع — أخبره مسبقاً |
الأسئلة الثلاثة الإلزامية
قبل إنشاء أي رمز QR يؤدي إلى جمع بيانات، أجب عن:
- لماذا سأستخدم هذه البيانات؟ (الغرض — يجب الإعلان عنه)
- ما هو الأساس القانوني؟ (الموافقة، العقد، المصلحة المشروعة، الالتزام القانوني…)
- كم من الوقت سأحتفظ بها وكيف سأحذفها؟
إذا لم تستطع الإجابة عن الثلاثة، لا تنشر رمز QR بعد.
البيانات الحساسة = حذر مضاعف
الصحة، القياسات الحيوية، الأصل العرقي، المعتقدات الدينية، بيانات الأطفال: إذا كان النموذج المرتبط يجمع أياً من هذه، يجب أن تكون الموافقة محددة ومُبرزة ولا لبس فيها. في هذه الحالات، استخدم دائماً رمز QR محمياً بكلمة مرور للحد من الوصول إلى النموذج.
لا تُضمّن بيانات شخصية في رمز QR ثابت عام
رمز QR الثابت يُشفّر رابطه بشكل دائم. إذا وضعت رقماً ضريبياً أو رمز مستخدم أو بريداً إلكترونياً مباشرةً في الرابط وطبعته على ملصق أو غلاف، فهذه البيانات ستبقى متاحة لأي شخص يمسحها. استخدم معرّفات جلسة مجهولة بدلاً من البيانات الحقيقية.
المحور الثاني — تتبع المسح: ما هو المشروع
تُسجّل رموز QR الديناميكية معلومات عن كل عملية مسح:
| البيانات التي يجمعها QR الديناميكي | هل هي بيانات شخصية؟ | ما يجب فعله |
|---|---|---|
| وقت المسح | لا (بمفرده) | مقبول — للتحليل في أوقات الذروة |
| الدولة/المدينة التقريبية (عبر IP) | ربما — عنوان IP بيانات شخصية | الذكر في سياسة الخصوصية |
| نوع الجهاز / نظام التشغيل | لا (مجمّع) | مقبول — لتحسين صفحة الهبوط |
| عنوان IP الكامل المخزّن بشكل فردي | نعم | أساس قانوني + مدة احتفاظ مطلوبان |
| الموقع الدقيق (GPS) | نعم — بيانات حساسة | فقط بموافقة صريحة |
أفضل الممارسات للتتبع المشروع:
- اذكر جمع بيانات الوصول في سياسة الخصوصية الخاصة بك
- لا تحتفظ بعناوين IP الفردية أطول من اللازم
- استخدم البيانات المجمّعة (المدينة، وليس العنوان الدقيق)
- عند استخدام UTM + Google Analytics، تكوين إخفاء هوية IP بشكل صحيح
المحور الثالث — لمن يمسح: ماذا يمكن لرمز QR أن يعرف عنك
ما يمكن لرمز QR معرفته (عبر نظام الوجهة)
- وقت مسحك له
- المدينة/المنطقة التقريبية (عبر IP هاتفك)
- نوع الجهاز ونظام التشغيل
- ما إذا نقرت على رابط بعد ذلك
ما لا يستطيع رمز QR فعله بمجرد المسح
- تثبيت تطبيق دون تدخلك
- الوصول إلى جهات اتصالك أو الكاميرا أو الميكروفون
- معرفة اسمك أو رقمك الضريبي أو أي بيانات تعريفية — إلا إذا ملأت نموذجاً بعد ذلك
علامات رمز QR ضار
احذر إذا كان رمز QR:
- يُحيل إلى رابط مشبوه أو مختصر لا يكشف الوجهة
- يطلب تثبيت تطبيق مجهول فوراً
- يفتح نموذجاً يطلب بيانات شخصية دون سياق واضح
- مُلصق فوق رمز QR الأصلي في مكان تجاري (هجوم الاستبدال المحتمل)
قبل مسح رمز QR مجهول، تحقق من أمان الرابط. واطّلع على مقالنا حول أمان رمز QR.
كيفية إنشاء رموز QR متوافقة على Code2Scan
خطوة بخطوة
- حدد الغرض قبل الإنشاء — ما سيجده المستخدم وأي البيانات ستُجمع
- استخدم QR ديناميكياً لتتمكن من تحديث الوجهة والتحكم في بيانات التتبع — أنشئ QR ديناميكياً هنا
- للمحتوى المقيّد، استخدم رمز QR محمياً بكلمة مرور
- في النماذج، اعرض إشعار الخصوصية والرابط لسياسة البيانات قبل الإرسال
- أضف وسوم UTM عند استخدام التحليلات — كيفية التتبع عبر UTM
- وثّق البيانات المجموعة ومدة الاحتفاظ بها ومن يملك الوصول
- لا تطبع بيانات شخصية مباشرةً في رابط QR ثابت
QR ثابت مقابل ديناميكي من منظور الخصوصية
QR الديناميكي أسهل للإبقاء على امتثاله: يمكنك تغيير الوجهة وإيقاف الجمع وتحديث السياسة دون إعادة الطباعة. أما QR الثابت فلا يمكن "تحديثه" بعد الطباعة.
الأخطاء الشائعة
❌ اعتبار رمز QR "مجرد رابط" دون أثر قانوني
إذا كانت الوجهة تجمع بيانات، ينطبق قانون الخصوصية بالكامل. رمز QR ليس سوى قناة الوصول.
❌ عدم إبلاغ المستخدم بأن بيانات ستُجمع
كل جمع لبيانات شخصية يستوجب إخطار الشخص المعني — قبل الجمع أو في وقته.
❌ وضع أرقام ضريبية أو رموز شخصية في الرابط
البيانات الشخصية في الرابط تنتهي في سجلات الخادم وتاريخ المتصفح وبيانات التحليلات. تجنب ذلك.
❌ استخدام QR محمي بكلمة مرور كبديل للامتثال
كلمة المرور تُقيّد الوصول لكنها لا تعوض الموافقة والأساس القانوني عند جمع البيانات في الوجهة.
❌ تجاهل GDPR للجمهور الأوروبي
إذا وصلت حملتك إلى أوروبا، ينطبق GDPR أيضاً — وهو أشد صرامة في بعض النقاط من LGPD.
الخلاصة
- عند الإنشاء: حدد الغرض والأساس القانوني ومدة الاحتفاظ قبل نشر رمز QR
- البيانات الحساسة في نموذج الوجهة ← رمز QR محمي + موافقة محددة
- لا تضع أبداً بيانات شخصية في رابط QR ثابت عام
- تتبع المسح مشروع — لكن أفصح عنه في سياسة الخصوصية
- عند المسح: رمز QR وحده لا يصل إلى بياناتك الشخصية — الخطر في النموذج أو التطبيق بالوجهة
- QR الديناميكي = تحكم أكبر، امتثال أيسر
استخدم رمز QR محمياً بكلمة مرور كلما كان محتوى الوجهة مقيّداً أو يتضمن بيانات حساسة. أنشئ بمسؤولية واحتفظ بثقة مستخدميك.