قدّام Gddam

سياسة الخصوصية

كيف نجمع، نستخدم، ونحمي بياناتك.

سياسة الخصوصية

اسم الخدمة: قدّام (Gddam) الجهة المشغّلة: شركة خيرات (يُشار إليها فيما يلي بـ "خيرات" أو "الشركة" أو "نحن") السجل التجاري: [يُحدَّد لاحقاً] العنوان المسجّل: [يُحدَّد لاحقاً] البريد الإلكتروني لمسؤول الخصوصية: info@khayratco.sa تاريخ السريان: ١٣ مايو ٢٠٢٦ آخر تحديث: ١٣ مايو ٢٠٢٦

هذه النسخة العربية هي النسخة المعتمدة والمرجعية. وفي حال وجود أي تعارض بين النسخة العربية والنسخة الإنجليزية، تسود النسخة العربية.

1. تمهيد

تلتزم شركة خيرات، مالكة ومشغّلة منصة "قدّام" (Gddam) المتاحة عبر الموقع https://gddam.com والنطاقات الفرعية والمخصصة المرتبطة بها (يُشار إليها مجتمعةً بـ "المنصة")، بحماية خصوصية البيانات الشخصية ومعالجتها بما يتوافق مع نظام حماية البيانات الشخصية في المملكة العربية السعودية ولوائحه التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، وكذلك الأنظمة السعودية الأخرى ذات الصلة.

توضح هذه السياسة أنواع البيانات الشخصية التي نجمعها، وأغراض المعالجة، والأسس النظامية، ومدد الاحتفاظ، والأطراف التي قد تتم مشاركة البيانات معها، وحقوق أصحاب البيانات، والإجراءات الأمنية المتبعة.

2. التعريفات

  • "البيانات الشخصية": أي بيانات — مهما كان مصدرها أو شكلها — من شأنها أن تؤدي إلى التعرف على الشخص بعينه، أو تجعل التعرف عليه ممكنًا بصورة مباشرة أو غير مباشرة.
  • "المعالجة": أي عملية تُجرى على البيانات الشخصية بأي وسيلة، يدوية أو آلية، شاملةً الجمع والتسجيل والحفظ والتنظيم والتعديل والاسترجاع والاستخدام والإفصاح والنقل والإتلاف.
  • "صاحب البيانات": الشخص الطبيعي الذي تتعلق به البيانات الشخصية.
  • "المتحكم": أي شخص يحدد غرض ووسيلة معالجة البيانات الشخصية.
  • "المعالج": أي شخص يعالج البيانات الشخصية لمصلحة المتحكم.
  • "المستأجر" أو "العميل التجاري": المنشأة (المطعم/المقهى/المتجر) المشتركة في خدمات قدّام.
  • "العميل النهائي": الشخص الذي يستخدم موقع المستأجر المستضاف على قدّام لتصفح القائمة أو إنشاء طلب.
  • "النظام": نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي ذي الصلة ولوائحه التنفيذية، وأي تعديلات لاحقة.

3. أدوارنا بصفتنا متحكمًا أو معالجًا

تعمل قدّام بصفتين مختلفتين، وفقًا لطبيعة البيانات:

3.1 قدّام بصفتها متحكمًا

نتصرف بوصفنا متحكمًا في البيانات الشخصية للحالات التالية:

  • بيانات الحساب الخاصة بمالكي/مديري المستأجرين (الاسم، البريد، رقم الجوال، بيانات الفوترة).
  • بيانات استخدام المنصة وسجلات الأمان الفنية.
  • المراسلات التسويقية والتشغيلية مع المستأجرين.

3.2 قدّام بصفتها معالجًا

نتصرف بوصفنا معالجًا — نيابةً عن المستأجر الذي يُعدّ المتحكم — فيما يتعلق ببيانات العملاء النهائيين الذين يتفاعلون مع موقع المستأجر، مثل: أسماء العملاء، أرقام الجوال، عناوين التسليم، تفاصيل الطلبات. تُعالَج هذه البيانات وفقًا لتعليمات المستأجر ولاتفاقية معالجة البيانات (DPA) المبرمة معه.

4. البيانات الشخصية التي نجمعها

4.1 بيانات المستأجرين (مالكي الحسابات التجارية)

  • الاسم الكامل، البريد الإلكتروني، رقم الجوال.
  • اسم المنشأة، السجل التجاري، الرقم الضريبي.
  • عنوان الفرع/الفروع، إحداثيات الموقع، نطاقات التوصيل.
  • بيانات الفوترة وسجل المدفوعات (يتم تنفيذ المدفوعات عبر شركة ميسر، ولا نحتفظ بأرقام البطاقات كاملةً).
  • بيانات الموظفين الذين يضيفهم المستأجر إلى لوحة التحكم (الاسم، الدور، البريد).
  • وثائق توثيق الهوية التجارية: نسخة من السجل التجاري أو وثيقة العمل الحر، ورقم الوثيقة، وتاريخ تقديمها. تُجمع هذه الوثائق تنفيذًا لالتزامنا بموجب نظام التجارة الإلكترونية الذي يلزم المنصة بالتحقق من هوية كل تاجر قبل تفعيل موقعه. تُخزَّن في موقع تخزين مخصّص بوصول مقيّد على فريق الامتثال.

4.2 بيانات العملاء النهائيين (يتم جمعها بصفتنا معالجًا)

  • الاسم أو الاسم المستعار.
  • رقم الجوال (للتحقق وإشعارات الطلب).
  • عنوان التسليم والإحداثيات الجغرافية.
  • محتوى الطلب وقيمته وطريقة الدفع.
  • سجل الطلبات السابقة لدى المستأجر نفسه.

4.3 البيانات التقنية وبيانات الاستخدام

  • عنوان IP، نوع الجهاز، نظام التشغيل، المتصفح، اللغة.
  • سجلات الدخول والصفحات المُزارة والإحالات.
  • معرّفات ملفات تعريف الارتباط (Cookies) وتقنيات مماثلة.

4.4 البيانات المُنشأة بالذكاء الاصطناعي

قد نعالج محتوى يقدّمه المستأجر (شعار، صور، أوصاف منتجات) من خلال نماذج ذكاء اصطناعي لإنشاء موقع المستأجر تلقائيًا. لا نستخدم هذا المحتوى لتدريب نماذج ذكاء اصطناعي عامة دون موافقة صريحة.

5. أغراض المعالجة والأسس النظامية

الغرضالأساس النظامي
تقديم خدمات المنصة وتنفيذ الاشتراكتنفيذ عقد
معالجة المدفوعات وإصدار الفواتير الضريبيةتنفيذ عقد + التزام نظامي
إنشاء وإدارة الحساباتتنفيذ عقد
إشعارات تشغيلية للمستأجر والعميل النهائيتنفيذ عقد + مصلحة مشروعة
الدعم الفني وخدمة العملاءتنفيذ عقد + مصلحة مشروعة
الأمان ومنع الاحتيالمصلحة مشروعة + التزام نظامي
تحليلات الاستخدام لتحسين الخدمةمصلحة مشروعة
التسويق المباشر وإرسال نشرات بريديةالموافقة الصريحة (قابلة للسحب في أي وقت)
الامتثال لطلبات الجهات الرسميةالتزام نظامي

6. مشاركة البيانات مع أطراف ثالثة

لا نبيع البيانات الشخصية. وقد نشاركها مع مزوّدي الخدمات التالين بصفتهم معالجين فرعيين، وضمن الحد الأدنى اللازم لأداء الخدمة:

  • ميسر (Moyasar) — معالج المدفوعات المرخّص من البنك المركزي السعودي؛ يتلقّى بيانات الدفع وأرقام الطلبات.
  • Vercel — استضافة المنصة وتشغيل خوادمها وتخزين السجلات (قد تشمل نقلًا خارج المملكة).
  • مزود البريد الإلكتروني المعاملي (مثل Resend) — لإرسال إشعارات الطلب والفوترة.
  • مزود الرسائل النصية القصيرة (SMS) ([يُحدَّد لاحقاً]) — لإرسال رموز التحقق وإشعارات الطلبات.
  • Telegram Bot API — لإرسال إشعارات الطلبات الجديدة إلى المستأجر عند تفعيله.
  • مزوّدو التحليلات (مثل [يُحدَّد لاحقاً]) — لقياس الأداء، بصورة مجمّعة وغير معرّفة قدر الإمكان.
  • الجهات الرسمية والقضائية — عند ورود أمر نظامي.

قائمة معالجاتنا الفرعيين الكاملة متاحة بناءً على الطلب من خلال info@khayratco.sa وتُحدَّث بصفة دورية ضمن اتفاقية معالجة البيانات للمستأجرين.

7. النقل عبر الحدود

قد تتم معالجة بعض البيانات أو تخزينها خارج المملكة العربية السعودية (مثلًا: مراكز بيانات Vercel في الولايات المتحدة وأوروبا). نلتزم في هذه الحالات بـ:

  • اشتراطات النقل الخارجي المنصوص عليها في النظام ولوائحه التنفيذية.
  • إبرام اتفاقيات نقل بيانات تتضمن ضمانات تعاقدية مكافئة للحماية المنصوص عليها في النظام.
  • الحدّ من البيانات المنقولة إلى ما هو ضروري لتشغيل الخدمة.

8. مدد الاحتفاظ

نوع البياناتمدة الاحتفاظ
بيانات حساب المستأجر النشططوال مدة الاشتراك + 5 سنوات بعد إنهائه (لأغراض زكوية/ضريبية ومحاسبية)
الفواتير والسجلات الضريبية6 سنوات وفقًا لاشتراطات هيئة الزكاة والضريبة والجمارك
وثائق توثيق الهوية التجارية (سجل تجاري / عمل حر)طوال مدة الاشتراك + 5 سنوات بعد إنهائه، وفقًا لاشتراطات نظام التجارة الإلكترونية
بيانات العملاء النهائيين (الطلبات)وفقًا لتعليمات المستأجر — افتراضيًا 24 شهرًا، ما لم ينصّ عقد المستأجر على خلاف ذلك
سجلات الأمان والدخول الفنية12 شهرًا
المراسلات التسويقيةحتى سحب الموافقة + 30 يومًا للمعالجة الفنية
ملفات تعريف الارتباطبحسب نوع الملف (انظر القسم 12)

بعد انقضاء المدة، يتم حذف البيانات أو تجهيلها بشكل غير قابل للاسترجاع.

9. حقوق صاحب البيانات

وفقًا للنظام، لكم الحقوق التالية:

  1. حق العلم: معرفة الأسس النظامية والأغراض من جمع بياناتكم.
  2. حق الوصول: الحصول على نسخة من بياناتكم الشخصية المحفوظة لدينا.
  3. حق طلب التصحيح: تصحيح البيانات غير الدقيقة أو غير المكتملة.
  4. حق طلب الإتلاف: حذف بياناتكم عند انتفاء الأساس النظامي للمعالجة.
  5. حق نقل البيانات: الحصول على نسخة بصيغة منظّمة وقابلة للقراءة الآلية ونقلها إلى متحكم آخر متى أمكن ذلك تقنيًا.
  6. حق الاعتراض: الاعتراض على معالجة البيانات لأغراض التسويق المباشر، وسحب الموافقة في أي وقت.
  7. حق التقدّم بشكوى: إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) عبر القنوات الرسمية.

لممارسة أي من هذه الحقوق، يُرجى التواصل عبر info@khayratco.sa، وسنرد خلال المدة النظامية. قد نطلب إثبات الهوية قبل تنفيذ الطلب.

ملاحظة للعملاء النهائيين: إذا كانت بياناتك متعلقة بطلب أنشأته عبر موقع مطعم مستضاف على قدّام، فإن المتحكم في بياناتك هو المطعم نفسه. ونحن نوجّه الطلب إليه بصفتنا معالجًا.

10. الإجراءات الأمنية

نطبّق ضوابط فنية وتنظيمية متوافقة مع أفضل الممارسات، تشمل دون حصر:

  • تشفير البيانات أثناء النقل (TLS 1.2+) وأثناء التخزين عند الإمكان.
  • ضوابط وصول قائمة على الدور (RBAC) ومبدأ أقل الصلاحيات.
  • توثيق متعدد العوامل (MFA) لحسابات الإدارة الداخلية.
  • المراجعة الدورية للسجلات وكشف التهديدات.
  • اختبار اختراق دوري وفحص ثغرات منتظم.
  • اتفاقيات سرّية مع الموظفين والمعالجين الفرعيين.

11. الإخطار بخروقات البيانات

في حال وقوع خرق للبيانات الشخصية يُحتمل أن يُلحق ضررًا بحقوق أصحاب البيانات، سنقوم بـ:

  • إخطار سدايا خلال 72 ساعة من علمنا بالخرق وفقًا لاشتراطات النظام.
  • إخطار أصحاب البيانات المتأثرين دون تأخير غير مبرر عند توفر شروط الإخطار.
  • توثيق الحادثة وإجراءات الاحتواء.

12. ملفات تعريف الارتباط (Cookies)

نستخدم ملفات تعريف الارتباط لأغراض ضرورية (تسجيل الدخول، تفضيلات اللغة)، وتحليلية، وأمنية. يمكن التحكم بها عبر إعدادات المتصفح. تعطيل الملفات الضرورية قد يؤثر على عمل المنصة.

13. الأطفال

المنصة موجّهة للمنشآت التجارية، ولا نقصد جمع بيانات شخصية مباشرة من أشخاص دون سن الثامنة عشرة. إذا علمنا بجمع بيانات قاصر دون موافقة وليّ الأمر، فسنقوم بحذفها.

14. مسؤول حماية البيانات (DPO)

  • الاسم: [يُحدَّد لاحقاً]
  • البريد الإلكتروني: info@khayratco.sa
  • العنوان البريدي: [يُحدَّد لاحقاً]

15. التعديلات على هذه السياسة

نحتفظ بحق تعديل هذه السياسة من حين لآخر. سيتم نشر النسخة المحدّثة على https://gddam.com مع إشعار بتاريخ السريان الجديد. التعديلات الجوهرية سيتم إخطار المستأجرين بها عبر البريد الإلكتروني قبل سريانها بمدة لا تقل عن (15) خمسة عشر يومًا.

16. القانون الواجب التطبيق والاختصاص القضائي

تخضع هذه السياسة لأنظمة المملكة العربية السعودية، ويختص بأي نزاع ينشأ بشأنها المحاكم المختصة في مدينة الرياض.

17. التواصل

لأي استفسار حول هذه السياسة أو ممارسة حقوقكم:

  • البريد: info@khayratco.sa
  • العنوان: [يُحدَّد لاحقاً]
  • الهاتف: [يُحدَّد لاحقاً]

هذه الوثيقة مسوّدة أولية تتطلب مراجعة محامٍ مرخّص في المملكة العربية السعودية قبل النشر أو الاحتجاج بها.