سياسة الخصوصية

1. من نحن وكيف تتواصل معنا

[LEGAL ENTITY NAME] هي شركة مسجّلة في [EMIRATE / FREE ZONE], United Arab Emirates، بموجب الرخصة التجارية رقم [TRADE LICENCE NUMBER]، ويقع مقرها المسجّل في [REGISTERED OFFICE ADDRESS]. نتولى دور المتحكم بالبيانات الشخصية التي نجمعها مباشرةً عبر grouper.space، وتلك التي تمر عبر منصتنا أثناء تقديمنا لخدمات صفحات الحجز ومعالجة المدفوعات وإرسال الإشعارات. أما البيانات التي تُقدَّم عبر صفحة حجز خاصة بأحد المشتركين، فنحن نتعامل معها بصفتنا معالجاً للبيانات نيابةً عن المشترك، إذ يبقى المشترك هو المتحكم ببيانات عملائه.

للتواصل العام

hello@grouper.space

الاستفسارات المتعلقة بالخصوصية وحقوق أصحاب البيانات

privacy@grouper.space

واتساب

+971 55 285 8756

2. نطاق هذه السياسة

تسري هذه السياسة على البيانات الشخصية التي نعالجها عندما:

• تتصفّح الموقع التسويقي على grouper.space أو تتفاعل معه أو تسجّل عضويتك فيه؛
• ترسل حجزاً أو دفعةً مقدمةً أو استفساراً عبر صفحة حجز خاصة بأحد المشتركين نستضيفها على منصتنا (كصفحات النطاق الفرعي book.grouper.space/<tenant>)؛
• تستلم منا تأكيدات أو تذكيرات أو أي رسائل خدمة أخرى عبر البريد الإلكتروني أو الرسائل النصية أو الواتساب؛
• تشترك في خدماتنا بصفتك صاحب منشأة خدمية أو مديراً مفوضاً (أي بصفتك مشتركاً)؛ أو
• تتواصل معنا عبر البريد الإلكتروني أو الهاتف أو الواتساب أو حضورياً.

قد تتضمن صفحات الحجز الخاصة بالمشتركين روابط إلى خدمات أطراف ثالثة (مثل Stripe Checkout وخرائط Google وInstagram وWhatsApp). تخضع هذه الخدمات لإشعارات الخصوصية الخاصة بمشغّليها بصفتهم متحكمين مستقلين، ولا نتحمّل المسؤولية عن ممارساتهم في الخصوصية.

3. البيانات الشخصية التي نجمعها

نجمع الفئات التالية من البيانات الشخصية:

3.1 البيانات التي تزوّدنا بها مباشرة

• بيانات حجز العميل: الاسم الكامل، رقم الهاتف المحمول، عنوان البريد الإلكتروني (اختياري)، الخدمات المختارة، التاريخ والوقت، سجلات الموافقة، وأي ملاحظات نصية تختار مشاركتها.
• بيانات حساب المشترك: الاسم التجاري، اسم جهة الاتصال، عنوان المنشأة والإمارة، البريد الإلكتروني ورقم الهاتف، رقم الرخصة التجارية (حيث يُجمَع للتحقق)، وبيانات تسجيل دخول المسؤولين.
• بيانات الدفع: عند سدادك لدفعة مقدمة، تُجمَع بيانات بطاقة الدفع مباشرةً من قِبل مزوّد خدمة الدفع لدينا (Stripe Payments UAE LLC و/أو Stripe, Inc. بحسب الحالة) وفق متطلبات معيار PCI-DSS. لا نطّلع على أرقام البطاقات الكاملة ولا نخزّنها، وإنما نخزّن فقط مُعرّفاً مستعاراً للمعاملة، وآخر أربعة أرقام، ونوع البطاقة، ونتيجة العملية.
• المراسلات: محتوى الرسائل التي ترسلها إلينا، وإقرارات الموافقة، وردودنا عليك.

3.2 بيانات نجمعها تلقائياً

• بيانات الجهاز والاتصال: عنوان IP، الموقع الجغرافي التقريبي المستنبط من عنوان IP، نوع الجهاز، نظام التشغيل، نوع وإصدار المتصفح، تفضيل اللغة، وعنوان URL المُحيل.
• بيانات الاستخدام: الصفحات المُشاهَدة، الأزرار المضغوطة، مراحل تدفّق الحجز التي تم بلوغها، الطوابع الزمنية، نتائج التحويل، وما شابه ذلك من القياسات السلوكية.
• ملفات تعريف الارتباط والتقنيات المماثلة: مجموعة محدودة من ملفات تعريف الارتباط الضرورية حصراً للحفاظ على الجلسة وحماية النموذج من هجمات CSRF، إلى جانب أحداث تحليل أولية (first-party) لقياس الأداء الإجمالي. تجد التفاصيل في القسم 11.

3.3 بيانات نتلقّاها من أطراف ثالثة

• من Stripe وأي مزوّد دفع خَلَف لها: حالة المعاملة وسجلات النزاع والاسترداد وإشارات تقييم المخاطر.
• من Twilio (للواتساب) وResend (للبريد الإلكتروني): تأكيدات التسليم والقراءة للرسائل الخدمية.
• بيانات تجميعية غير مُعرِّفة (مثل أسماء صالونات وأرقام هواتف منشورة علناً) نحصل عليها من مصادر دلائل أعمال مشروعة لأغراض النشاط البيعي الصادر.

4. لماذا نعالج البيانات وما هو الأساس القانوني

بموجب المادة (4) من قانون حماية البيانات، لا يجوز معالجة البيانات الشخصية إلا إذا توفر أحد الأسس القانونية المحدّدة. نعتمد بصورة رئيسية على ما يلي:

• تنفيذ عقد — لاتخاذ الخطوات اللازمة قبل إبرام عقد الحجز بين العميل والمشترك أو عقد الاشتراك بين المشترك والشركة، ولتنفيذ هذين العقدين. هذا هو الأساس الرئيسي لمعالجة الأسماء وبيانات التواصل والخدمات المختارة والمواعيد ومعرّفات الدفع.
• الموافقة — لاستخدام رسائل الواتساب الخدمية، وأي رسائل تسويقية بأي قناة، وملفات تعريف الارتباط الاختيارية، ومعالجة أي بيانات يُصنّفها قانون حماية البيانات على أنها «حسّاسة». الموافقة تكون حرة ومحدّدة ومستنيرة وصريحة، ويحق لك سحبها في أي وقت دون أن يؤثر ذلك على مشروعية المعالجة السابقة لسحبها.
• المصلحة المشروعة — للحفاظ على أمن المنصة، ومنع الاحتيال وسوء الاستخدام، وتوفير تحليلات تجميعية، وتحسين خدماتنا. نوازن هذه المصالح مع حقوقك ونستبعد أي معالجة تطغى على تلك الحقوق.
• التزام قانوني — للالتزام بمتطلبات الضرائب والقيمة المضافة ومكافحة غسل الأموال وأوامر المحاكم وغيرها من الالتزامات الإلزامية، بما في ذلك مدد الاحتفاظ المقرّرة بموجب قانون المعاملات التجارية الاتحادي وقانون ضريبة القيمة المضافة (المرسوم بقانون اتحادي رقم (8) لسنة 2017) ولائحته التنفيذية.
• حماية المصالح الحيوية — في الحالات النادرة التي تستلزم فيها المعالجة حماية حياة شخص ما أو سلامته الجسدية.

5. أغراض استخدامنا للبيانات

• عرض صفحات الحجز الخاصة بالمشتركين، وتقديم قوائم الخدمات، وتأكيد المواعيد المتاحة.
• إنشاء الحجوزات وتعديلها وإلغائها وإعادة جدولتها، وإصدار تأكيدات وإيصالات PDF تحمل علامة المشترك التجارية.
• معالجة الدفعات المقدمة (اختيارية) والاستردادات عبر مزوّد خدمة الدفع، ومطابقة الدفعات مع الحجوزات.
• إرسال الرسائل الخدمية — تأكيدات الحجز، إيصالات الدفع، تذكيرات قبل 24 ساعة، إقرارات الإلغاء — عبر البريد الإلكتروني، وعبر الواتساب عند الموافقة.
• إدارة حسابات مسؤولي المشتركين وتوثيق دخولهم.
• اكتشاف الاحتيال وسوء الاستخدام والحوادث الأمنية والتحقيق فيها ومنعها، وإنفاذ شروط الخدمة.
• الالتزام بواجباتنا القانونية والضريبية والمحاسبية.
• الرد على استفساراتك، وتشغيل المنصة وتقييمها وتحسينها.
• إرسال إعلانات متعلقة بالخدمة إلى المشتركين (كالتعديلات الجوهرية على هذه السياسة، أو التنبيهات الأمنية، أو الصيانة المجدولة).

لا نستخدم بيانات حجز العميل المُقدَّمة عبر صفحة المشترك لأغراضنا التسويقية المباشرة دون موافقة مستقلة وصريحة من ذلك العميل.

6. الأطراف التي قد نشارك معها البيانات

لا نشارك البيانات الشخصية إلا بالقدر اللازم ومع الجهات التالية:

• المشترك صاحب صفحة الحجز التي استخدمتها — تُفصح بياناتك (الاسم، الهاتف، البريد الإلكتروني اختيارياً، الخدمات، الوقت، حالة الدفع) للمشترك حتى يتمكن من تقديم الخدمة المحجوزة. يصبح المشترك بعد استلامها متحكماً مستقلاً بتلك البيانات.
• المُعالِجون من الباطن ومزوّدو البنية التحتية، الذين يعملون بناءً على تعليماتنا الموثّقة وبموجب اتفاقيات معالجة مكتوبة:
  • Supabase (Supabase Inc.) — قاعدة بيانات PostgreSQL مُدارة، والمصادقة، والتخزين.
  • Vercel (Vercel Inc.) — استضافة التطبيقات والوظائف الحوسبية وشبكة توصيل المحتوى (CDN).
  • Stripe (Stripe Payments UAE LLC و/أو Stripe, Inc.) — معالجة الدفعات المقدمة والاستردادات.
  • Twilio (Twilio Inc.) — تسليم رسائل واتساب للأعمال.
  • Resend (Resend, Inc.) — تسليم رسائل البريد الإلكتروني الخدمية.
  • Anthropic وOpenAI ومزوّدو ذكاء اصطناعي مماثلون — يُستخدمون داخلياً لأغراض الدعم الهندسي والتشغيلي؛ لا تُستخدم بيانات عملاء الإنتاج لتدريب نماذج أطراف ثالثة.
• مستشارون مهنيون — المحامون والمحاسبون والمراجعون، الملزَمون بالسرية المهنية.
• السلطات وجهات إنفاذ القانون — حيثما يكون الإفصاح مطلوباً بموجب أمر قضائي ملزم أو طلب تنظيمي أو نص قانوني واجب التطبيق، بما في ذلك هيئة تنظيم الاتصالات والحكومة الرقمية ومكتب الإمارات لحماية البيانات.
• الخلفاء القانونيون — في إطار عملية اندماج أو استحواذ أو تمويل أو بيع كامل أو جزء من نشاطنا، شريطة استمرار سريان هذه السياسة وحفظ السرية.

لا نبيع البيانات الشخصية. ولا نشاركها مع شبكات الإعلانات لأغراض الإعلانات السلوكية متعددة المواقع.

7. النقل العابر للحدود

قد يكون بعض المعالجين من الباطن لدينا خارج دولة الإمارات (لا سيما في الولايات المتحدة والاتحاد الأوروبي). عند نقل البيانات الشخصية خارج الدولة، نلتزم بأحكام المادتين (22) و(23) من قانون حماية البيانات، اللتين تجيزان النقل إلى دول تتوفر فيها مستويات حماية ملائمة، أو وفقاً لضمانات مناسبة (مثل البنود التعاقدية النموذجية، أو القواعد المؤسسية الملزِمة، أو الموافقة الصريحة على النقل المحدد) في حال غياب قرار بالملاءمة. يمكنك مراسلتنا على privacy@grouper.space للاطلاع على ملخص الضمانات السارية لعملية نقل معينة.

8. مدة الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية فقط للمدة اللازمة لتحقيق الأغراض التي جُمعت من أجلها، مضافاً إليها أي مدة يفرضها القانون. وفيما يلي مدد الاحتفاظ التقريبية:

• سجلات الحجز — طوال مدة الموعد بالإضافة إلى 24 شهراً، لدعم عمليات إعادة الجدولة والنزاعات والاستردادات.
• سجلات الدفع والضرائب — لمدة لا تقل عن خمس (5) سنوات من نهاية الفترة الضريبية المعنية، وفقاً لقانون ضريبة القيمة المضافة (المرسوم بقانون اتحادي رقم (8) لسنة 2017) وقانون المعاملات التجارية الاتحادي.
• سجلات حسابات المشتركين — طوال مدة الاشتراك بالإضافة إلى 36 شهراً بعد انتهائه، لأغراض الضرائب والتدقيق وحلّ النزاعات.
• تحليلات الموقع التسويقي — حتى 14 شهراً بشكل تجميعي ومُسمّى مستعار.
• المراسلات — حتى 36 شهراً، إلا إذا اقتضت استفسارات قائمة أو شكاوى أو إجراءات قانونية فترة أطول.

عند انتهاء مدة الاحتفاظ نقوم بالحذف أو إخفاء الهوية، مع مراعاة أي حجز قانوني للبيانات.

9. حقوقك بصفتك صاحب بيانات

يمنحك قانون حماية البيانات جملة من الحقوق، ويمكنك ممارستها مجاناً بمراسلتنا على privacy@grouper.space، وتشمل:

• حق الوصول — للحصول على تأكيد بمعالجة بياناتك، ونسخة منها إن وُجدت.
• حق التصحيح — لتصحيح أي بيانات شخصية غير دقيقة أو ناقصة.
• حق المحو — لطلب حذف بياناتك حين لا تعود الأسس القانونية للمعالجة قائمة.
• حق تقييد المعالجة — لتقييد استخدامنا لبياناتك في حالات محددة (مثلاً أثناء طعنك في دقتها).
• حق نقل البيانات — لاستلام نسخة من البيانات التي قدّمتها بصيغة منظَّمة وشائعة الاستخدام وقابلة للقراءة آلياً.
• حق الاعتراض — على المعالجة القائمة على مصلحتنا المشروعة، ورفض أي تسويق مباشر في أي وقت.
• حق سحب الموافقة — حين تكون المعالجة قائمة على الموافقة، دون أن يؤثر السحب على مشروعية المعالجة السابقة له.
• حق التظلّم — أمام مكتب الإمارات لحماية البيانات (الجهة الرقابية المؤسسة بموجب قانون حماية البيانات).

نستجيب للطلبات الموثّقة خلال المدة المنصوص عليها في قانون حماية البيانات ولائحته التنفيذية. وقد نطلب منك إثبات هويتك قبل التصرّف بناءً على الطلب، حمايةً لبياناتك.

10. حماية البيانات الشخصية

نتّخذ تدابير فنية وتنظيمية مصمّمة لحماية البيانات الشخصية من التدمير أو الفقدان أو التغيير العَرَضي أو غير المشروع، ومن الإفصاح أو الوصول غير المصرّح به. تشمل هذه التدابير التشفير أثناء النقل (TLS) وأثناء التخزين للبيانات الحساسة، وسياسات أمان على مستوى الصفوف في قاعدة البيانات، وضوابط الوصول المعتمدة على الأدوار، وتسجيلاً منظماً للإجراءات الإدارية، وتدوير الاعتمادات دورياً، وإجراءات الاستجابة للحوادث المتوافقة مع الالتزامات المنصوص عليها في قانون حماية البيانات وقانون المعاملات الإلكترونية. تُعالَج بيانات بطاقات الدفع حصراً من خلال Stripe المعتمدة على معيار PCI-DSS من المستوى الأول.

إذا كان من المرجّح أن يؤدي خرق بيانات شخصية إلى مخاطر على حقوق الأفراد المتأثرين، فسنُخطر مكتب الإمارات لحماية البيانات و- عند الاقتضاء - الأفراد المعنيين، خلال المدة المنصوص عليها قانوناً.

11. ملفات تعريف الارتباط والتقنيات المماثلة

نستخدم مجموعة محدودة من ملفات تعريف الارتباط الضرورية فقط للحفاظ على الجلسة وحماية النماذج من هجمات CSRF وتوزيع الأحمال، وهذه الملفات لا تتطلب موافقة بموجب قانون المعاملات الإلكترونية. كما نستخدم تحليلات أولية تحافظ على الخصوصية لقياس الزيارات وأداء المسار التحويلي بصورة تجميعية، ولا تُنشئ هذه التحليلات ملفات تعريف ارتباط لطرف ثالث، ولا تبني ملفات استهداف عبر المواقع، ولا تتيح إعادة الاستهداف الإعلاني. لا نستخدم ملفات تعريف ارتباط إعلانية سلوكية. وإذا تطلّبت أي تقنية تحليلية أو تسويقية في المستقبل أخذ موافقتك، فسنطلبها عبر شريط موافقة واضح ومُفصَّل قبل وضع أي ملفات.

12. الأطفال

خدماتنا موجَّهة للأشخاص من سن 18 عاماً فأكثر. لا نجمع عن قصد بيانات شخصية لأطفال دون 18 عاماً دون موافقة موثَّقة من ولي الأمر أو الوصي. إذا اعتقدت أن طفلاً قد قدّم لنا بيانات شخصية، فيُرجى مراسلة privacy@grouper.space وسنتخذ خطوات فورية لحذف البيانات.

13. القرارات الآلية وإعداد ملفات السلوك

لا نتّخذ قرارات تترتب عليها آثار قانونية أو آثار ذات أهمية مماثلة بحقّك بناءً على معالجة آلية بحتة. قد يقوم Stripe ومزوّدو الدفع المماثلون بتقييم آلي لمخاطر الاحتيال على المعاملات، وتُعَدّ نتيجة هذا التقييم توصيةً يستعرضها مشغّلونا أو المشترك قبل اتخاذ أي إجراء غير قابل للرجوع.

14. تعديل هذه السياسة

قد نُعدّل هذه السياسة من حين لآخر. يحدد رقم الإصدار وتاريخ النفاذ في أعلى الصفحة الإصدار الحالي. إذا كان التعديل جوهرياً ويؤثر سلباً في حقوقك، فسنُشعرك بفترة معقولة قبل دخوله حيز التنفيذ عبر المنصة أو البريد الإلكتروني.

15. القانون الواجب التطبيق

تخضع هذه السياسة لقوانين دولة الإمارات العربية المتحدة. وتختصّ المحاكم المختصة في [EMIRATE / FREE ZONE] اختصاصاً حصرياً بالفصل في أي نزاع ينشأ عن هذه السياسة، وذلك دون الإخلال بأي حقوق إلزامية قد تكون لك بموجب قوانين حماية المستهلك الإماراتية في اللجوء إلى جهة مختصة أخرى.