1. مقدمة وتعريفات
تُوضّح هذه السياسة كيفية جمع منصة رُكْوَة ("المنصة"، "نحن") لبياناتك الشخصية واستخدامها وحمايتها والإفصاح عنها عند استخدامك لخدماتنا. باستخدامك للمنصة، فإنك تُقرّ بأنك قرأت وفهمت هذه السياسة ووافقت على ممارسات معالجة البيانات الموضحة فيها.
تعريفات أساسية:
- البيانات الشخصية: أي بيانات تتعلق بشخص طبيعي مُحدد الهوية أو يمكن تحديد هويته.
- صاحب البيانات: الشخص الطبيعي الذي تتعلق به البيانات الشخصية.
- المعالجة: أي عملية تُجرى على البيانات الشخصية (جمع، تخزين، تحليل، نقل، حذف).
- جهة التحكم: منصة رُكْوَة بصفتها الجهة التي تحدد أغراض ووسائل معالجة البيانات.
- سدايا: الهيئة السعودية للبيانات والذكاء الاصطناعي، الجهة الإشرافية على نظام حماية البيانات.
2. هوية جهة التحكم في البيانات
منصة رُكْوَة هي جهة التحكم في البيانات وفقاً لأحكام نظام حماية البيانات الشخصية. الكيان القانوني المُشغّل للمنصة هو مؤسسة فردية مسجلة في المملكة العربية السعودية.
3. البيانات التي نجمعها
نجمع الأنواع التالية من البيانات وفقاً لمبدأ تقليل البيانات:
أ. بيانات تقدمها مباشرة:
- بيانات الحساب: الاسم الكامل، البريد الإلكتروني، رقم الجوال، كلمة المرور (مُشفّرة).
- بيانات النشاط التجاري: اسم المحمصة/المقهى، الشعار، العنوان، السجل التجاري (إن وُجد).
- بيانات المحتوى: القوائم، الأصناف، الصور، الأسعار، الفئات.
- بيانات الموظفين: أسماء وأرقام جوال موظفيك المُضافين على المنصة (بموافقتهم).
ب. بيانات نجمعها تلقائياً:
- بيانات الاستخدام: سجلات الدخول، الإجراءات داخل النظام، الطلبات المُنفذة.
- البيانات التقنية: عنوان IP، نوع المتصفح، نظام التشغيل، نوع الجهاز.
- بيانات تتبع الإحصائيات: عدد المشاهدات، النقرات على الأصناف (مجهولة الهوية).
- ملفات تعريف الارتباط: تفاصيل في القسم 8 أدناه.
ج. بيانات من أطراف ثالثة:
- بوابات الدفع: حالة الدفع ومعرف العملية فقط (لا نتلقى بيانات البطاقات).
- خدمات الرسائل: حالة تسليم الرسائل النصية.
البيانات الحساسة: لا نجمع أي بيانات حساسة وفقاً لتعريف نظام حماية البيانات (مثل: العقائد، الصحة، الجينات، البيانات البيومترية، الانتماءات السياسية أو النقابية، السجل الجنائي).
4. الأساس القانوني للمعالجة
نعتمد على الأسس القانونية التالية لمعالجة بياناتك الشخصية وفقاً للمادة (6) من نظام حماية البيانات:
| الأساس القانوني | أمثلة على الاستخدام |
|---|
| تنفيذ العقد | إنشاء حسابك، تشغيل المنيو، معالجة الطلبات، الفوترة |
| الموافقة الصريحة | إرسال إشعارات تسويقية، استخدام الكوكيز التحليلية |
| الالتزام النظامي | الاحتفاظ بسجلات الفواتير لأغراض الزكاة والضريبة |
| المصلحة المشروعة | الحماية من الاحتيال، تحسين أداء النظام، الأمن السيبراني |
5. كيف نستخدم بياناتك
نستخدم بياناتك للأغراض المحددة التالية فقط:
- تشغيل المنصة: تقديم خدمات المنيو الرقمي، إدارة الطلبات، نقاط البيع.
- إدارة الحسابات: تأكيد الهوية، استرداد كلمة المرور، إدارة الاشتراكات.
- الإشعارات الأساسية: تنبيهات التجديد، تحديثات الخدمة، إشعارات الأمان.
- الرسائل النصية: إرسال رسائل OTP وتأكيد الطلبات للعملاء النهائيين نيابةً عنك.
- التحليلات: فهم استخدام المنصة وتحسين الأداء والميزات.
- الأمان: الكشف عن الاحتيال، منع الوصول غير المصرح، حماية البنية التحتية.
- الامتثال القانوني: الاستجابة للطلبات الرسمية من الجهات الحكومية المختصة.
6. النقل العابر للحدود
إفصاح مهم: قد تتم معالجة بعض بياناتك خارج المملكة العربية السعودية وفقاً لما تسمح به المادة (29) من نظام حماية البيانات.
نستخدم مزودي خدمات دوليين لتشغيل المنصة بكفاءة عالية:
| المزود | الغرض | نوع البيانات |
|---|
| Cloudflare | شبكة توصيل المحتوى وحماية من هجمات DDoS | عناوين IP، بيانات تقنية |
| Resend | إرسال رسائل البريد الإلكتروني | البريد الإلكتروني، محتوى الرسائل |
| Moyasar | معالجة المدفوعات | بيانات الدفع (لا نراها) |
| Taqnyat | إرسال الرسائل النصية | رقم الجوال، محتوى الرسالة |
نضمن قبل أي نقل عابر للحدود ما يلي:
- وجود ضمانات تعاقدية مناسبة لحماية البيانات (DPAs).
- التزام المزود بمستوى حماية مكافئ لما يوفره النظام السعودي.
- عدم نقل البيانات إلا للحد الضروري لتقديم الخدمة.
- الالتزام بأي قرارات صادرة من سدايا بشأن النقل العابر للحدود.
7. مشاركة البيانات
نتعهد بأننا لا نبيع بياناتك الشخصية لأي طرف ثالث تحت أي ظرف.
قد نشارك بيانات محدودة في الحالات التالية فقط:
- مزودو الخدمات: الجهات المذكورة في القسم 6 أعلاه (بوابات الدفع، خدمات الإيميل والرسائل، مزودو البنية التحتية).
- الجهات الحكومية المختصة: عند الطلب الرسمي وفقاً للأنظمة السعودية أو بأمر قضائي.
- المستشارون المهنيون: المحامون، المحاسبون، المراجعون — تحت اتفاقيات سرية صارمة.
- عمليات اندماج أو استحواذ: في حال بيع المنصة أو دمجها، مع إشعار مسبق لك بذلك.
- بموافقتك الصريحة: في أي حالات أخرى لا تنطبق عليها الأسس القانونية أعلاه.
8. ملفات تعريف الارتباط (Cookies)
نستخدم ملفات تعريف الارتباط للأغراض التالية:
| النوع | الغرض | المدة |
|---|
| ضرورية | الجلسة، تذكر اللغة، الحماية من CSRF | جلسة / سنة |
| وظيفية | تذكر التفضيلات، السلة | 30 يوم |
| تحليلية | قياس الإحصائيات، تحديد الزوار الفريدين | 30 يوم |
يمكنك التحكم في الكوكيز عبر إعدادات متصفحك، لكن تعطيل الكوكيز الضرورية قد يؤثر على عمل المنصة بشكل صحيح.
9. إجراءات حماية البيانات
نطبّق إجراءات تقنية وتنظيمية صارمة لحماية بياناتك:
الإجراءات التقنية:
- تشفير البيانات أثناء النقل عبر بروتوكول HTTPS/TLS 1.3.
- تشفير كلمات المرور باستخدام خوارزمية bcrypt.
- حماية متعددة الطبقات ضد هجمات SQL Injection و XSS و CSRF.
- استخدام جدار حماية تطبيقات الويب (WAF) عبر Cloudflare.
- التحقق بخطوتين عبر رمز OTP لتسجيل الدخول.
- مراقبة مستمرة للأنشطة المشبوهة.
الإجراءات التنظيمية:
- نظام صلاحيات دقيق (RBAC) يحدد وصول كل موظف للبيانات.
- سياسات داخلية صارمة لمعالجة البيانات.
- نسخ احتياطية دورية مُشفّرة.
- سجلات تدقيق (Audit Logs) لجميع العمليات الحساسة.
10. الإبلاغ عن خرق البيانات
في حال وقوع أي خرق لبياناتك الشخصية يُحتمل أن يُسبّب ضرراً جسيماً، نلتزم بـ:
- إبلاغ سدايا خلال (72) ساعة من العلم بالخرق.
- إبلاغك مباشرةً دون تأخير غير مبرر إذا كان الخرق يُؤثر على بياناتك.
- توضيح طبيعة الخرق والإجراءات المتخذة وتوصياتنا للحماية.
- التوثيق الكامل لجميع الخروقات في سجل داخلي وفقاً لمتطلبات النظام.
11. حقوقك كصاحب بيانات
يُكفل لك نظام حماية البيانات الشخصية السعودي الحقوق التالية:
- الحق في العلم: معرفة الأساس القانوني والغرض من معالجة بياناتك.
- الحق في الوصول: طلب نسخة من بياناتك الشخصية المحفوظة لدينا.
- الحق في التصحيح: طلب تعديل أي بيانات غير صحيحة أو ناقصة.
- الحق في الحذف: طلب حذف بياناتك (مع مراعاة الالتزامات القانونية).
- الحق في النقل: الحصول على بياناتك بصيغة منظمة وقابلة للقراءة آلياً.
- الحق في الاعتراض: الاعتراض على معالجة بياناتك لأغراض معينة.
- الحق في سحب الموافقة: سحب موافقتك في أي وقت دون التأثير على معالجة سابقة.
- الحق في تقديم شكوى: التظلّم لدى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
مدة الاستجابة: نلتزم بالرد على طلباتك خلال (30) يوماً من تاريخ تقديم الطلب، وفقاً للمدد المحددة في النظام.
لممارسة أي من هذه الحقوق، تواصل معنا عبر: [email protected]
12. مدة الاحتفاظ بالبيانات
نحتفظ ببياناتك للمدة الضرورية فقط لتحقيق الأغراض الموضحة:
| نوع البيانات | مدة الاحتفاظ |
|---|
| بيانات الحساب النشط | طوال مدة الاشتراك |
| بيانات بعد إلغاء الحساب | 30 يوم ثم تُحذف نهائياً |
| سجلات الفواتير والمدفوعات | 10 سنوات (متطلب نظامي) |
| سجلات الدخول والتدقيق | 12 شهر |
| بيانات تتبع الإحصائيات | 24 شهر |
| النسخ الاحتياطية | 90 يوم |
بعد انتهاء مدة الاحتفاظ، يتم حذف البيانات بشكل آمن أو إخفاء هويتها بشكل دائم بحيث لا يمكن إعادة ربطها بصاحبها.
13. خصوصية القاصرين
منصة رُكْوَة موجّهة لأصحاب الأعمال البالغين (18 سنة فأكثر). لا نقوم بجمع بيانات شخصية من القاصرين عن قصد. في حال علمنا بجمع بيانات قاصر دون موافقة وليّ الأمر، سنحذفها فوراً.
إذا كنت ولي أمر وتعتقد أن طفلك قدّم لنا بيانات شخصية، يُرجى التواصل معنا فوراً.
14. تحديثات السياسة
قد نُحدّث هذه السياسة من وقت لآخر لتعكس التغييرات في ممارساتنا أو لأسباب تشغيلية أو قانونية أو تنظيمية. سنُبلّغك بأي تغييرات جوهرية عبر:
- بريد إلكتروني إلى العنوان المسجل في حسابك.
- إشعار بارز داخل لوحة التحكم.
- تحديث "تاريخ آخر تحديث" في أعلى هذه الصفحة.
استمرارك في استخدام المنصة بعد سريان التحديث يُعدّ موافقة منك على السياسة المُعدّلة.
15. القانون الواجب التطبيق
تخضع هذه السياسة لأنظمة المملكة العربية السعودية، وعلى وجه الخصوص نظام حماية البيانات الشخصية ولوائحه التنفيذية. تختص المحاكم السعودية المختصة بالنظر في أي نزاع ينشأ عن هذه السياسة أو يتعلق بها.
16. التواصل والاستفسارات
لأي استفسار يتعلق بهذه السياسة أو لممارسة حقوقك، يُرجى التواصل مع فريق الامتثال:
حق التظلّم: إذا لم تكن راضياً عن استجابتنا، يحق لك تقديم شكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) عبر موقعها الرسمي:
sdaia.gov.sa 17. قابلية الفصل
إذا تبيّن أن أي بند من بنود هذه السياسة غير صحيح أو غير قابل للتنفيذ بموجب القانون المعمول به، فإن باقي البنود تبقى سارية المفعول وقابلة للتنفيذ بالكامل.