١. مقدّمة
توضّح سياسة الخصوصية هذه كيف يقوم سهلكس («نحن»، «الشركة») بجمع البيانات الشخصية واستخدامها وتخزينها والإفصاح عنها عند استخدام منصّة الحجز، والتطبيقات على الجوال والويب، والخدمات ذات الصلة (يُشار إليها مجتمعةً الخدمات).
تعمل سهلكس بصفتها متحكّماً بالبيانات فيما يخصّ بيانات الزائرين وأصحاب الحسابات والعملاء النهائيين لمنشآت التجميل التي تستخدم الخدمات. أمّا منشآت التجميل ذاتها فتعمل كمتحكّمين مستقلّين فيما يخصّ بيانات عميلاتهنّ، ونحن نعمل بصفة مُعالج بيانات نيابةً عنهنّ.
صُمّمت هذه السياسة للامتثال في آنٍ واحد لـ نظام حماية البيانات الشخصية في المملكة العربية السعودية (PDPL) وللائحة الحماية العامة للبيانات الأوروبية (GDPR) حيث تنطبق.
٢. التعريفات
- البيانات الشخصية — أي معلومات تتعلّق بشخص طبيعي محدّد أو يمكن تحديده.
- صاحب البيانات — الشخص الطبيعي الذي تتعلّق به البيانات الشخصية.
- المتحكّم — الجهة التي تحدّد أغراض المعالجة ووسائلها.
- المعالج — الجهة التي تعالج البيانات نيابةً عن المتحكّم.
- المعالجة — أي عملية تُجرى على البيانات الشخصية، آليًا كانت أم غير آلية.
- النقل عبر الحدود — نقل البيانات الشخصية إلى خارج الولاية القضائية التي جُمعت فيها.
٣. البيانات الشخصية التي نجمعها
نجمع الفئات التالية من البيانات الشخصية:
- بيانات الهوية — الاسم، اسم العائلة، الصورة الشخصية (اختياري).
- بيانات التواصل — رقم الجوال، البريد الإلكتروني، عنوان مقرّ المنشأة.
- بيانات الحجوزات — الخدمات المختارة، الأخصائيات، التواريخ والأوقات والأسعار.
- بيانات الفوترة — سجلات الفوترة، تاريخ الاشتراكات، الفواتير.
- بيانات تقنية — عنوان IP، نوع الجهاز، المتصفح، نظام التشغيل، المعرّفات الفريدة، سجلات الدخول.
- بيانات الاستخدام — الميزات المستخدمة، الشاشات المُزارة، التفاعلات مع الخدمات.
- بيانات تسويقية — تفضيلات التواصل وسجلات الموافقة.
٤. الأسس القانونية للمعالجة
عند انطباق GDPR، نعتمد على الأسس القانونية التالية:
- تنفيذ العقد — لتقديم الخدمات التي اشتركتِ فيها.
- المصالح المشروعة — لتأمين الخدمات ومنع الاحتيال وتحسين جودة المنتج، حيث لا تتغلّب هذه المصالح على حقوقك.
- الموافقة — للتسويق والتحليلات الاختيارية ومعالجة البيانات الحساسة. يمكن سحب الموافقة في أي وقت.
- الالتزام القانوني — حيث تتطلّب المعالجة الامتثال للقوانين السارية (مثل الضرائب والمحاسبة ومكافحة غسل الأموال).
٥. أحكام نظام حماية البيانات الشخصية (PDPL) — المملكة العربية السعودية
بالنسبة لأصحاب البيانات في المملكة، تُجرى المعالجة وفقاً لنظام PDPL، وتحديداً:
- نحصل على موافقة صريحة عند اشتراطها بموجب المادة (٦) من النظام.
- لا ننقل البيانات الشخصية خارج المملكة إلا عند استيفاء أحد شروط المادة (٢٩) من النظام (مستوى حماية ملائم، أو ضمانات تعاقدية بما فيها بنود تعاقدية معيارية سعودية، أو موافقة صريحة من صاحب البيانات).
- نحترم حقوق الاطلاع والتصحيح والحذف الممنوحة بموجب المواد (٤) و(٩) و(١٠) من النظام.
- تُعالج البيانات الحسّاسة فقط بموافقة صريحة أو بأساس قانوني آخر بموجب المادة (٧) من النظام.
٦. مدّة الاحتفاظ بالبيانات
| الفئة | مدّة الاحتفاظ |
|---|---|
| بيانات الحساب | طوال عمر الحساب، ثم ١٢ شهراً بعد الإغلاق. |
| سجل الحجوزات | ٣ سنوات من تاريخ الحجز. |
| بيانات الفوترة | ١٠ سنوات (متطلّب محاسبي قانوني). |
| السجلات التقنية | ٩٠ يوماً. |
| الموافقات التسويقية | حتى يتم سحب الموافقة، إضافة إلى سنتين لأغراض الإثبات. |
٧. حقوقك
الحقوق بموجب GDPR
- الحق في الاطلاع (المادة ١٥)
- الحق في التصحيح (المادة ١٦)
- الحق في الحذف (المادة ١٧)
- الحق في تقييد المعالجة (المادة ١٨)
- الحق في نقل البيانات (المادة ٢٠)
- الحق في الاعتراض (المادة ٢١)
- الحق في تقديم شكوى لجهة إشرافية (المادة ٧٧)
الحقوق بموجب PDPL
- الحق في معرفة الأساس القانوني وأغراض المعالجة.
- الحق في الاطلاع على البيانات الشخصية وطلب نسخة منها.
- الحق في طلب تصحيح أو استكمال البيانات غير الدقيقة.
- الحق في طلب الحذف عندما لا تكون المعالجة ضرورية.
لممارسة أي حق، تواصلي مع privacy@sahlix.io. سنردّ خلال ٣٠ يوماً تقويمياً.
٨. النقل الدولي للبيانات
عند نقل البيانات الشخصية خارج الولاية القضائية للجمع، نطبّق ضمانات ملائمة:
- الاتحاد الأوروبي/المنطقة الاقتصادية ← دول ثالثة: البنود التعاقدية المعيارية (قرار المفوضية ٢٠٢١/٩١٤).
- المملكة العربية السعودية ← دول ثالثة: البنود التعاقدية المعيارية السعودية أو الموافقة الصريحة وفقاً للمادة (٢٩) من نظام PDPL.
٩. ملفات تعريف الارتباط
نستخدم ملفات تعريف الارتباط (الكوكيز) للأغراض التالية:
- كوكيز ضرورية — للمصادقة واستمرار الجلسة والأمان. لا تتطلب موافقة.
- كوكيز وظيفية — تفضيلات اللغة وإعدادات الواجهة.
- كوكيز تحليلية — قياس الاستخدام بشكل مجمّع (بموافقة فقط في الولايات التي تشترط ذلك).
يمكنك إدارة تفضيلات الكوكيز من إعدادات المتصفح أو من خلال شريط الكوكيز عند الزيارة الأولى.
١٠. التدابير الأمنية
ننفّذ تدابير تقنية وتنظيمية تشمل التشفير أثناء النقل (TLS 1.3) وأثناء التخزين، والتحكم بالوصول وفق الأدوار، وتسجيل المراجعات، واختبارات الاختراق الدورية، وإجراءات استجابة موثّقة للحوادث. عند وقوع خرق للبيانات، نُبلغ الجهة الإشرافية المختصة خلال ٧٢ ساعة عند اشتراط ذلك.
١١. التواصل
لأي استفسار حول هذه السياسة أو حقوقك:
- مسؤول حماية البيانات: privacy@sahlix.io
- التواصل العام: contact@sahlix.io
- دعم العملاء: support@sahlix.io
قد يتم تحديث هذه السياسة من حين لآخر. سيتمّ إبلاغ التغييرات الجوهرية عبر الخدمات أو البريد الإلكتروني.