1. لمحة عامة
Thanxful تطبيق يتيح لكم الاحتفاظ بدفتر يوميات شخصي للامتنان، والحصول — إن رغبتم — على رؤى مدعومة بالذكاء الاصطناعي حول ما تكتبونه. دفتر يومياتكم ملك لكم. لا نتعامل مع ما تكتبونه إلا لتشغيل الخدمة، ولا نبيعه أبدًا، ولا نستخدمه للإعلانات، ولا نسمح باستخدامه في تدريب أي نموذج للذكاء الاصطناعي.
| الموضوع | الإجابة المختصرة |
|---|---|
| المسؤول عن المعالجة | Kadir Alan — مؤسسة فردية (şahıs şirketi)، تركيا. للتواصل: [email protected]. |
| ما البيانات التي تتم معالجتها؟ | البريد الإلكتروني، الاسم، صورة الملف الشخصي (اختيارية)، إدخالات يومياتكم، الحالة المزاجية، ومعلومات الجهاز والاشتراك. |
| لماذا؟ | لتقديم الخدمة، وإدارة الاشتراكات، وإرسال إشعارات التذكير، و — فقط إذا قدمتم موافقة صريحة — توليد رؤى مدعومة بالذكاء الاصطناعي من إدخالاتكم. |
| مع من تتم المشاركة؟ | مزودو الخدمة لدينا: Google Firebase (البنية التحتية)، OpenAI و Google Gemini (الذكاء الاصطناعي)، RevenueCat (الاشتراكات)، Apple (تسجيل الدخول، الإشعارات، الأمان). بياناتكم لا تُباع ولا تُؤجَّر. |
| أين يتم التخزين؟ | حسابكم ويومياتكم في الاتحاد الأوروبي (Google Cloud europe-west1، بلجيكا). لا تُنقل يومياتكم إلى الولايات المتحدة إلا إذا قمتم بتفعيل ميزة الذكاء الاصطناعي. |
| لكم من الوقت؟ | حتى تقوموا بحذف حسابكم. عند الحذف، تُزال بياناتكم فورًا من أنظمتنا النشطة، وتُحذف من النسخ الاحتياطية والسجلات خلال 30 يومًا. |
| ما هي حقوقكم؟ | الوصول، التصحيح، الحذف، النقل، الاعتراض، وسحب الموافقة. اكتبوا إلى [email protected] مع جعل عنوان الرسالة الخصوصية؛ وسنرد خلال 30 يومًا. |
2. هوية المسؤول عن المعالجة
تطبيق Thanxful مُقدَّم من Kadir Alan، الذي يعمل في تركيا بصفة مؤسسة فردية (şahıs şirketi) (مؤسسة شخصية).
| المسؤول عن المعالجة | Kadir Alan — مؤسسة فردية (şahıs şirketi)، تركيا |
| التواصل | [email protected] (يساعد كتابة الخصوصية في خانة الموضوع على توجيه طلبكم بشكل صحيح) |
بصفتنا مؤسسة فردية (şahıs şirketi)، ولأننا دون عتبة التسجيل في سجل المسؤولين عن معالجة البيانات (VERBİS) بموجب KVKK (قانون حماية البيانات الشخصية التركي)، ودون عتبة تعيين مسؤول حماية البيانات بموجب المادة 37 من GDPR، فإننا غير ملزمين بالتسجيل في VERBİS أو بتعيين مسؤول حماية بيانات (DPO). وفي حال تغير هذا الوضع، ستُحدَّث هذه السياسة. لطلب عنوان مراسلة بريدية فعلي، يمكنكم مراسلتنا عبر [email protected]؛ ويُرسَل عنوان المراسلة بناءً على طلبكم.
3. النطاق
تشمل هذه السياسة ما يلي:
- تطبيق Thanxful لنظام iOS المنشور في Apple App Store (
com.aota.thanxfulونسخة البيتاcom.aota.thanxful.beta). - الموقع الإلكتروني
thanxful.app(الصفحات الترويجية، هذه الوثائق القانونية، والمحتوى المرتبط بها).
أما ممارسات الخصوصية الخاصة بخدمات الأطراف الثالثة التي قد يتم توجيهكم إليها من داخل التطبيق أو الموقع (مثل Apple App Store و OpenAI و RevenueCat) فهي تخضع لسياسات تلك الخدمات الخاصة، ولا يتحمل المسؤول عن المعالجة أي مسؤولية بشأنها.
4. فئات البيانات الشخصية التي تتم معالجتها
لا تُعالَج إلا البيانات الشخصية اللازمة لتقديم الخدمة. وتنقسم البيانات إلى ست فئات:
4.1 بيانات الهوية
عند إنشاء حساب، تتم معالجة البيانات التالية:
- عنوان البريد الإلكتروني (إلزامي).
- الاسم / الاسم الظاهر (اختياري؛ يمكنكم تغييره في أي وقت أو تركه فارغًا).
- صورة الملف الشخصي (اختيارية؛ تُخزَّن على Firebase Storage).
- معرّف مستخدم Firebase الذي يتم توليده تلقائيًا بواسطة النظام.
- إذا استخدمتم خيار Sign in with Apple: بريدكم الإلكتروني (الحقيقي أو عنوان الترحيل المخفي من Apple)، واسمكم الكامل إذا اخترتم مشاركته. لا تُحوّل Apple معرّف Apple ID الخاص بكم إلينا.
4.2 محتوى اليوميات — قد يكون من الفئات الخاصة من البيانات الشخصية
لكل إدخال يتم حفظه، تتم معالجة البيانات التالية:
- نص الإدخال (بحد أقصى 3,000 حرف).
- تنسيق النص الغني (عريض، مائل، قوائم — بحد أقصى 30,000 حرف، مُرمَّز).
- اختيار الحالة المزاجية الاختياري.
- معلومات حول الموجِّه (prompt) الذي قمتم بالرد عليه (إن وُجد).
- تاريخ التقويم المحلي.
يُعدّ محتوى اليوميات شخصيًا وحساسًا. وبموجب المادة 6 من KVKK والمادة 9 من GDPR، قد تتضمن نصوص اليوميات بيانات شخصية من الفئات الخاصة تتعلق بصحتكم أو معتقدكم الديني أو رأيكم السياسي أو حياتكم الجنسية أو انتمائكم النقابي. لذلك، فإن معالجة محتوى يومياتكم بالذكاء الاصطناعي تخضع كليًا لموافقتكم الصريحة (انظر §6).
4.3 بيانات الملف الشخصي والتفضيلات
- معلومات السلسلة (الحالية والأطول).
- وقت آخر نشاط والمنطقة الزمنية (المنطقة الزمنية IANA لجهازكم، مثل
Europe/Istanbul). - تفضيل اللغة (اختياركم من قائمة 30 لغة).
- تفضيل السمة (Espresso، Cosmos، Oat وغيرها).
- إعدادات الإشعارات: ما إذا كانت التذكيرات مفعّلة/معطّلة، وقت التذكير، والمنطقة الزمنية.
- حالة الاشتراك: ما إذا كان لديكم اشتراك بريميوم نشط (عبر RevenueCat؛ انظر §7).
- سجل الموافقة الصريحة على الذكاء الاصطناعي — سجل قابل للإضافة فقط (append-only) يتضمن إجراءات منح الموافقة أو رفضها أو سحبها، ومصدرها (onboarding، أو ما بعد الإدخال، أو ما بعد الشراء، أو الإعدادات)، والطابع الزمني، وعدد الموجهات المعروضة. يُحفظ هذا السجل وفقًا لإرشاد مراجعة Apple App Store 5.1.2(i).
4.4 بيانات الجهاز والاستخدام
تتم معالجة البيانات التالية تلقائيًا أثناء استخدام التطبيق:
- معلومات الجهاز: الطراز، إصدار نظام التشغيل، إصدار التطبيق، الإعدادات المحلية، الدولة، المنطقة الزمنية، ومعرّف نسخة التطبيق الداخلي الخاص بـ Firebase.
- رمز إشعارات FCM (token) — الرمز الذي تخصصه Firebase Cloud Messaging لجهازكم لتمكيننا من إرسال التذكيرات. يُخزَّن في Firestore مرتبطًا بحسابكم؛ ويتم تجديده عند إعادة التثبيت أو تسجيل الخروج.
- بيانات الأحداث: بيانات وصفية مثل أي شاشة عرضتم في التطبيق، وما إذا كنتم قد حفظتم إدخالًا، وما إذا كنتم قد فتحتم رؤية، وما إذا كنتم قد بدأتم عملية شراء — لكن محتوى إدخالاتكم لا يُحفظ في هذه السجلات.
- تقارير الأعطال عبر Firebase Crashlytics (تتبّع المكدس، حالة الجهاز لحظة العطل). يكون Crashlytics معطلًا في إصدارات debug؛ ومُفعَّلًا في الإصدارات الموزَّعة على المستخدمين.
البيانات التالية لا تتم معالجتها:
- عنوان IP الخاص بكم داخل التطبيق (لا تُظهر لنا Firebase Analytics هذه المعلومة).
- معرّف الإعلانات الخاص بكم (IDFA) — نستخدم نسخة Firebase الخالية من AdSupport، وتكون إشارات تخصيص الإعلانات معطّلة.
4.5 بيانات الاشتراك
عند شرائكم اشتراك Thanxful:
- تتم المعاملة عبر Apple (App Store). لا تُحوَّل إلينا طريقة الدفع أو معلومات بطاقتكم.
- تتولى RevenueCat دورة حياة الاشتراك بالنيابة عنا. البيانات التي تُشارَك مع RevenueCat هي معرّف مستخدم Firebase الخاص بكم؛ وتُرسل لنا RevenueCat معرّف المنتج، الحالة، تاريخ انتهاء الصلاحية، وتاريخ التجديد.
4.6 التواصل والملاحظات
- رسائل دعم البريد الإلكتروني التي ترسلونها إلى
[email protected]. - طلبات الميزات وتقارير الأخطاء التي ترسلونها من داخل التطبيق (محدودة على أساس يومي لمنع إساءة الاستخدام). يُحفظ النص الذي كتبتموه ومعرّف المستخدم الخاص بكم ووقت الإرسال. عند حذف حسابكم، تُجعل الملاحظات مجهولة الهوية (يُستبدل معرّف المستخدم بـ
"deleted_user")؛ ولا يُحذف النص نفسه، ولكن تُزال صلته بكم.
4.7 تجربة Onboarding (قبل إنشاء حساب)
إذا أردتم تجربة رؤية واحدة من الذكاء الاصطناعي قبل إنشاء حساب، تتم معالجة البيانات التالية:
- UUID الجهاز الذي يُولِّده جهازكم (وليس IDFA).
- عنوان IP مختصر بـ SHA-256 (لا يُحفظ عنوان IP الخام).
- رمز Apple DeviceCheck (لمنع تكرار التجربة على الجهاز نفسه).
تتم معالجة هذه البيانات لفترة قصيرة فقط لغرض تحديد التجربة (مرة واحدة لكل جهاز يوميًا، 20 مرة لكل عنوان IP عالميًا يوميًا) ومنع إساءة الاستخدام.
4.8 الأمان
- كلمة مرور قفل التطبيق (إذا اخترتم تفعيلها) تُحفظ فقط داخل سلسلة مفاتيح iOS (Keychain) على جهازكم؛ ولا تخرج من هاتفكم. وتبقى بياناتكم البيومترية (Face ID / Touch ID) داخل المنطقة الآمنة لـ Apple (Secure Enclave)، ولا تُحوَّل إلينا.
5. أغراض المعالجة وأسسها القانونية
فيما يلي جدول يوضح غرض كل نشاط معالجة بيانات وأساسه القانوني بموجب المادتين 5 و6 من KVKK والمادة 6 من GDPR:
| نشاط المعالجة | الغرض | الأساس القانوني بموجب KVKK | الأساس القانوني بموجب GDPR |
|---|---|---|---|
| إنشاء حساب وحفظ إدخالاتكم | التقديم الأساسي للخدمة | المادة 5/2(c) — إبرام العقد وتنفيذه | المادة 6(1)(b) — تنفيذ العقد |
| توليد رؤى الذكاء الاصطناعي من إدخالات يومياتكم | فقط إذا قدمتم موافقة صريحة | المادة 6(2) — الموافقة الصريحة على الفئات الخاصة من البيانات | المادة 6(1)(a) + المادة 9(2)(a) — الموافقة الصريحة على الفئات الخاصة من البيانات |
| إرسال تذكيرات الامتنان اليومية | عند تفعيلها من الإعدادات | المادة 5(1) — الموافقة الصريحة | المادة 6(1)(a) — الموافقة |
| معالجة الاشتراكات عبر Apple و RevenueCat | تقديم الخدمة التي قمتم بشرائها | المادة 5/2(c) — تنفيذ العقد | المادة 6(1)(b) — العقد |
| الإبلاغ عن الأعطال وتحليلات المنتج التراكمية | تقديم تطبيق موثوق ومستقر | المادة 5/2(f) — المصلحة المشروعة | المادة 6(1)(f) — المصلحة المشروعة |
| تدابير منع إساءة الاستخدام (DeviceCheck، تجزئة IP، حدود الحصص) | منع الاحتيال وإساءة استغلال التكلفة | المادة 5/2(f) — المصلحة المشروعة | المادة 6(1)(f) — المصلحة المشروعة |
| حفظ سجلات المدفوعات لأغراض الضرائب والمحاسبة | الوفاء بالالتزام القانوني | المادة 5/2(a) — الالتزام القانوني | المادة 6(1)(c) — الالتزام القانوني |
| الاستجابة للطلبات القانونية للسلطات المختصة | الإلزام القانوني | المادة 5/2(a) — الالتزام القانوني | المادة 6(1)(c) — الالتزام القانوني |
لا نقوم بمعالجة بياناتكم لأغراض التنميط، ولا نمارس أي نشاط لاتخاذ قرارات آلية يمكن أن يُحدث أثرًا جوهريًا عليكم، ولا نبيع أو نؤجر بياناتكم الشخصية.
6. معالجة محتوى يومياتكم بالذكاء الاصطناعي
أُعد هذا القسم خصيصًا لكم — بصفتكم أصحاب اليوميات — وامتثالًا لإرشاد مراجعة Apple App Store 5.1.2(i).
ماذا يحدث؟
في حال تقديمكم موافقة صريحة، يقوم Thanxful بإحالة الإدخالات المختارة من يومياتكم إلى مزودي ذكاء اصطناعي من أطراف ثالثة، حيث يُولِّد هؤلاء المزودون ما يلي:
- رؤية لحظية — تأمل قصير حول إدخال واحد.
- ملخص أسبوعي — تحليل ملخص للأيام السبعة الماضية.
- ملخص شهري — تحليل معمَّق للثلاثين يومًا الماضية.
من يقوم بمعالجة إدخالاتكم؟
- OpenAI (المزود الأساسي) — نموذجا
gpt-4o-miniوgpt-4o. الخوادم في الولايات المتحدة. - Google Gemini (مزود احتياطي، عند تعذر الوصول إلى OpenAI) — يعمل على البنية التحتية العالمية لـ Google.
ما البيانات التي يتم إرسالها؟
- نصوص الإدخالات الخاصة بالفترة قيد التحليل.
- اسمكم الظاهر (لكي تتمكن الرؤية من مخاطبتكم بالاسم).
- تفضيل اللغة الخاص بكم (لكي تُولَّد الرؤية بلغتكم).
ما البيانات التي لا يتم إرسالها؟
- عنوان بريدكم الإلكتروني.
- معلومات السلسلة، حالة الاشتراك، أو أي بيانات ملف شخصي أخرى.
- أي بيانات تخص مستخدمًا آخر.
مدد الاحتفاظ لدى المزودين
- تحتفظ OpenAI بالطلبات الواردة عبر API لغرض الكشف عن إساءة الاستخدام لمدة أقصاها 30 يومًا، ثم تحذفها. لا تستخدم OpenAI بيانات API في تدريب النماذج. (المصدر: شروط OpenAI API.)
- لا تستخدم Google Gemini بيانات API في تدريب النماذج بشكل افتراضي. (المصدر: شروط Google Gemini API.)
موافقتكم الصريحة
- تُطلب موافقتكم الصريحة في أول لحظة قد يتدخل فيها الذكاء الاصطناعي — أثناء onboarding، أو بعد حفظ إدخال، أو بعد عملية شراء بريميوم.
- تُحفظ موافقتكم في سجل تدقيق قابل للإضافة فقط (
users/{uid}/aiConsent). - يمكنكم سحب موافقتكم في أي وقت: الإعدادات ← الموافقة الصريحة على الذكاء الاصطناعي. يوقف السحب أي معالجة مستقبلية على الفور. أما الرؤى التي تم توليدها حتى تلك اللحظة، فتظل في سجلكم حتى تقوموا بحذفها أو حذف حسابكم.
- لأن يومياتكم قد تتضمن بيانات من الفئات الخاصة بموجب المادة 6 من KVKK والمادة 9 من GDPR، فإن الأساس القانوني لنقلها إلى مزودي الذكاء الاصطناعي هو موافقتكم الصريحة.
رؤى الذكاء الاصطناعي ليست نصيحة طبية أو قانونية أو علاجية
الرؤى هي نصوص مولَّدة آليًا. وقد تكون خاطئة أو مضللة أو منقطعة عن السياق. ولا تحل محل المعالج النفسي المرخَّص أو الطبيب أو المحامي أو غيرهم من المتخصصين. وإذا كنتم تمرون بضائقة، نوصيكم بالتوجه إلى مختص مؤهَّل، أو في حالات الطوارئ، إلى خدمات الطوارئ المحلية.
7. المشاركة والأطراف الثالثة
لا تتم مشاركة بياناتكم الشخصية إلا مع مزودي الخدمة الواردين أدناه، وللأغراض المحددة فقط. وكل مزود ملزم تعاقديًا بمعالجة بياناتكم الشخصية وفق تعليماتنا فقط واتخاذ تدابير أمنية مناسبة.
| المزود | الدور | البيانات المشتركة | المنطقة | سياسة الخصوصية |
|---|---|---|---|---|
| Google LLC (Firebase) | البنية التحتية: المصادقة، Firestore، Storage، Cloud Functions، الإشعارات، التحليلات، تقارير الأعطال، remote config، App Check | جميع بيانات الملف الشخصي، إدخالات اليوميات، رموز FCM، أحداث التحليلات، تقارير الأعطال | Firestore و Cloud Functions في europe-west1 (بلجيكا، الاتحاد الأوروبي). التحليلات و Crashlytics على البنية التحتية العالمية لـ Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | توليد رؤى الذكاء الاصطناعي | نص اليوميات، الاسم الظاهر، اللغة — فقط عند تقديمكم الموافقة | الولايات المتحدة | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | توليد رؤى الذكاء الاصطناعي (احتياطي) | نفس بيانات OpenAI | الولايات المتحدة / عالمي | https://policies.google.com/privacy |
| RevenueCat, Inc. | إدارة الاشتراكات | معرّف مستخدم Firebase، معرّف المنتج، حالة الاشتراك، تاريخ التجديد | الولايات المتحدة | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple، إشعارات APNs، DeviceCheck، مدفوعات App Store | بريد Apple ID، رموز الإشعارات، بتات الجهاز، سجل الشراء | البنية التحتية لـ Apple | https://www.apple.com/legal/privacy/ |
ملاحظة بشأن Meta / Facebook: يحتوي ملف Info.plist لدينا فقط على إعلان FacebookAppID: 2198469434228743 لتفعيل مخطط URL الخاص بـ "المشاركة إلى Instagram Stories". لا نستخدم Facebook SDK؛ ولا تُرسَل أي بيانات إلى Meta. عند اختياركم المشاركة — وفي تلك الحالة فقط — تُحوَّل الصورة المختارة إلى تطبيق Instagram عبر صفحة المشاركة الخاصة بـ iOS.
طلبات السلطات المختصة
لا يتم الإفصاح عن بياناتكم الشخصية للسلطات المختصة إلا في إطار إجراء قانوني ساري المفعول في تركيا، أو إجراء قانوني ساري في دولة لها ولاية قضائية علينا. وفي الحدود التي يجيزها القانون، يتم إبلاغكم بهذه الطلبات.
لا يوجد بيع للبيانات
بياناتكم الشخصية لا تُباع. ووفق تعريفات CCPA/CPRA، فإنها "لا تُشارَك" لأغراض الإعلانات السلوكية خارج السياق.
8. النقل إلى خارج البلاد
يُحفظ حسابكم ويومياتكم داخل الاتحاد الأوروبي (Google Cloud europe-west1، بلجيكا).
بعض مزودي الخدمة لدينا موجودون في الولايات المتحدة الأمريكية:
- تتلقى OpenAI و Google Gemini إدخالات يومياتكم (فقط عند تقديمكم الموافقة) لأغراض معالجة الذكاء الاصطناعي.
- تعالج RevenueCat حالة اشتراككم.
- تعمل بعض خدمات Apple و Firebase على بنية تحتية عالمية.
الآليات القانونية التي يُعتمد عليها لهذه التحويلات هي:
- بموجب GDPR: الشروط التعاقدية الموحدة (SCC) الصادرة بموجب قرار المفوضية الأوروبية رقم 2021/914، المدرجة في اتفاقيات معالجة البيانات الموقَّعة مع كل مزود؛ والتدابير التقنية المطبَّقة أثناء النقل وبعده (التشفير، التحكم في الوصول). وللمزودين الحاصلين على شهادة EU–US Data Privacy Framework، يُعتمد إضافة إلى ذلك على قرار الكفاية هذا.
- بموجب UK GDPR: UK International Data Transfer Addendum (IDTA) المضاف إلى نفس SCCs.
- بموجب KVKK: يُعتمد على مجموعة الضمانات المتعددة التالية:
- موافقتكم الصريحة بموجب المادة 9 من KVKK لنقل محتوى يومياتكم إلى الولايات المتحدة في حال تفعيلكم ميزة الذكاء الاصطناعي؛
- اتفاقيات معالجة البيانات (DPA) المبرمة مع كل مزود — وعلى وجه الخصوص اتفاقية Google Cloud / Firebase DPA (التي تتضمن SCCs)، والملحق التكميلي لمعالجة البيانات الخاص بـ OpenAI API، واتفاقية RevenueCat DPA — كضمان تعاقدي؛
- التدابير التقنية المذكورة في §11 (التشفير، App Check، تقليل البيانات الشخصية في عمليات الحفظ).
هدفنا هو توقيع نموذج Standart Sözleşme الصادر عن هيئة حماية البيانات الشخصية مع كل مزود يقبل توقيعه، وإبلاغ الهيئة بذلك خلال 5 أيام عمل من تاريخ التوقيع. وفي الحالات التي لا يقبل فيها المزود نموذج الهيئة ويستخدم اتفاقية DPA الخاصة به، تُطبَّق مجموعة الضمانات المذكورة أعلاه.
يمكنكم طلب نسخة من ضمانات النقل بالكتابة إلى [email protected].
9. مدة الاحتفاظ
تُحفظ البيانات الشخصية فقط طوال المدة اللازمة.
| البيانات | مدة الاحتفاظ |
|---|---|
| بيانات الحساب (البريد الإلكتروني، الاسم، الملف الشخصي، التفضيلات) | حتى تقوموا بحذف حسابكم. |
| إدخالات اليوميات، الحالة المزاجية، معلومات السلسلة | إلى أن تحذفوها بأنفسكم، أو تستخدموا إعادة ضبط المحتوى، أو تحذفوا حسابكم. |
| سجل الموافقة الصريحة على الذكاء الاصطناعي | طوال مدة الحساب، بصيغة قابلة للإضافة فقط (وفقًا لمتطلب App Store 5.1.2(i)). يُحذف مع الحساب. |
| رؤى الذكاء الاصطناعي المولَّدة (لحظية، أسبوعية، شهرية) | إلى أن تحذفوها بأنفسكم أو تحذفوا حسابكم. |
| رموز إشعارات FCM | إلى أن يلغي جهازكم تسجيله، أو تسجلوا الخروج، أو يُحذف الحساب. |
| تقارير أعطال Crashlytics | 90 يومًا (الإعداد الافتراضي لـ Google). |
| بيانات أحداث Firebase Analytics | 14 شهرًا (الحد الأدنى الافتراضي لـ Google). |
| سجلات الخادم (Cloud Logging) | 400 يوم (لا يُسجَّل محتوى الإدخالات؛ انظر §11). |
| سجلات التتبع (Cloud Trace) | 15 يومًا. |
| طلبات الميزات / تقارير الأخطاء | تُحفظ لأغراض تطوير المنتج؛ وعند حذف الحساب تُجعل مجهولة الهوية بـإزالة معرّف المستخدم. |
| سجلات المدفوعات (عبر Apple و RevenueCat) | المدة التي يفرضها التشريع الضريبي والتجاري التركي — عادة 10 سنوات. |
عند حذف حسابكم (الإعدادات ← متقدم ← حذف الحساب أو عبر البريد الإلكتروني)، يُزال ملفكم الشخصي وإدخالاتكم ورؤاكم وإنجازاتكم وسجل موافقة الذكاء الاصطناعي ورموز FCM فورًا من أنظمتنا النشطة. وقد يستغرق إكمال الحذف من ذواكر مزودي الخدمة المؤقتة والنسخ الاحتياطية والسجلات حتى 30 يومًا.
10. حقوقكم
وفقًا للدولة التي تقيمون فيها، تتمتعون بكل أو ببعض الحقوق التالية:
المادة 11 من KVKK (للمقيمين في تركيا):
- معرفة ما إذا كانت بياناتكم الشخصية تتم معالجتها أم لا.
- طلب معلومات بشأن المعالجة في حال إجرائها.
- معرفة الغرض من المعالجة وما إذا كانت تستخدم وفق الغرض.
- معرفة الأطراف الثالثة التي نُقلت إليها داخل البلاد أو خارجها.
- طلب التصحيح في حال المعالجة الناقصة أو الخاطئة.
- طلب الحذف أو الإتلاف بموجب المادة 7 من KVKK.
- طلب إبلاغ الأطراف الثالثة التي نُقلت إليها البيانات بطلبات التصحيح والحذف والإتلاف.
- الاعتراض على ظهور نتيجة سلبية ضدكم نتيجة تحليل بأنظمة آلية.
- طلب تعويض الضرر في حال تعرضكم له بسبب المعالجة المخالفة للقانون.
GDPR (للمقيمين في الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية والمملكة المتحدة):
- الوصول (المادة 15)، التصحيح (المادة 16)، الحذف (المادة 17)، تقييد المعالجة (المادة 18)، نقل البيانات (المادة 20)، الاعتراض (المادة 21)، سحب الموافقة الصريحة (المادة 7). شاشة التصدير الذاتي لدينا غير جاهزة بعد؛ وفي حال طلبكم عبر البريد الإلكتروني، نرسل لكم إدخالاتكم وبيانات ملفكم الشخصي بصيغة JSON منظمة خلال 30 يومًا.
CCPA / CPRA (لسكان كاليفورنيا):
- الحق في معرفة المعلومات الشخصية التي تم جمعها ومصادرها وأغراضها والأطراف الثالثة المرتبطة بها.
- الحق في الحذف والتصحيح.
- الحق في الاعتراض على بيع/مشاركة المعلومات الشخصية — نحن لا نبيع أو نشارك البيانات؛ ولا توجد حالة للاعتراض عليها.
- الحق في تقييد استخدام المعلومات الشخصية الحساسة — لا تُستخدم المعلومات الحساسة (محتوى يومياتكم) خارج الأغراض المذكورة في §5.
- الحق في عدم التعرض للتمييز بسبب ممارستكم لحقوقكم.
كيف تمارسون حقوقكم؟
أرسلوا بريدًا إلكترونيًا إلى [email protected] مع جعل عنوان الرسالة طلب الخصوصية، وحددوا الحق الذي ترغبون في ممارسته. وقد نطلب منكم معلومات إضافية للتحقق من هويتكم (عادة بمطالبتكم بالرد من البريد المسجَّل في حسابكم). وفقًا للمادة 13 من KVKK والمادة 12 من GDPR، يتم البت في طلبكم خلال 30 يومًا كحد أقصى. وإذا لزمت مدة إضافية، نُبلغكم بالسبب والوقت المتوقع للرد.
إذا أردتم تقديم طلب عبر وكيل بموجب CCPA، فقد نتواصل معكم للتحقق من وثيقة تفويض الوكيل.
تكون ممارسة هذه الحقوق مجانية ما لم يكن طلبكم بشكل واضح بلا أساس أو مفرطًا.
جهات تقديم الشكاوى
- تركيا: هيئة حماية البيانات الشخصية (KVKK) — https://www.kvkk.gov.tr/
- الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية: سلطة حماية البيانات في الدولة التي تقيمون فيها — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- المملكة المتحدة: Information Commissioner's Office — https://ico.org.uk/
- كاليفورنيا: California Privacy Protection Agency — https://cppa.ca.gov/
11. تدابير أمن البيانات
يُؤخذ أمن البيانات بعين الاعتبار منذ مرحلة التصميم. وتشمل التدابير التقنية والإدارية المطبَّقة ما يلي:
- التشفير أثناء النقل — جميع حركة الشبكة مشفَّرة بـ TLS 1.2+.
- التشفير عند التخزين — تشفير من جانب الخادم بـ AES-256 من Google Cloud.
- المصادقة — Firebase Auth؛ ولا تُحفظ كلمات المرور أبدًا بصيغة نص عادي.
- App Check — Apple App Attest في إصدار الإنتاج؛ وتُرفض الطلبات القادمة من مصادر غير موثوقة.
- Apple DeviceCheck — يمنع إساءة الاستخدام في تجارب onboarding.
- قواعد أمان Firestore الصارمة — يقرأ ويكتب كل مستخدم بياناته فقط.
- عزل البيانات الحساسة — تُحفظ كلمة مرور قفل التطبيق فقط في سلسلة مفاتيح iOS؛ وتبقى البيانات البيومترية في Apple Secure Enclave.
- سجلات تقلل من البيانات الشخصية المعرّفة — لا يُدرج محتوى اليوميات في سجلات الخادم؛ ولا تُسجَّل سوى البيانات الوصفية اللازمة للتشغيل وتصحيح الأخطاء (معرّف المستخدم، نوع الحدث، الحالة).
- إدارة المفاتيح السرية — تُحفظ مفاتيح API (OpenAI، RevenueCat، Apple DeviceCheck) في Firebase Secret Manager، ولا توجد في الكود.
بما أنه لا يوجد نظام آمن بشكل تام، ففي حال اكتشاف أي خرق للبيانات الشخصية:
- يُبلَّغ عنه إلى هيئة حماية البيانات الشخصية خلال 72 ساعة بموجب المادة 12 الفقرة 5 من KVKK؛
- وتُبذَل الإخطارات اللازمة مباشرة لسكان الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية وللسلطات المعنية بموجب المادتين 33-34 من GDPR.
12. الأطفال
Thanxful غير موجَّه للأطفال دون سن 13 عامًا. ولاستخدام الخدمة يجب أن يكون عمركم 13 عامًا على الأقل (انظر شروط الاستخدام §3). إذا كنتم بين 13 و16 عامًا (سن الموافقة الرقمية في بعض الدول الأعضاء في الاتحاد الأوروبي)، فقد تتطلب قوانين بلدكم موافقة ولي الأمر أو الوصي. وبموجب المادة 15 من القانون المدني التركي (TMK)، فإن القاصرين دون سن 18 عامًا لا يتمتعون بالأهلية التعاقدية الكاملة، ويُشترط الحصول على موافقة ولي الأمر أو الوصي للمستخدم دون سن 18 عامًا.
لا يتم جمع البيانات الشخصية عن قصد من طفل دون 13 عامًا. وإذا كنتم تعتقدون بصفتكم ولي أمر أو وصي أن طفلكم قد شارك معلومات دون علمكم، فاكتبوا إلى [email protected]؛ وستُحذف المعلومات.
تصنيف عمر التطبيق في App Store (4+) يدل على أن محتوى التطبيق مناسب لجميع الأعمار (لا يحتوي على عنف أو محتوى جنسي أو ألفاظ نابية). وهذا التصنيف للمحتوى لا يغير من الحظر التعاقدي على من هم دون سن 13 عامًا.
لا يوجد في onboarding بوابة تحقق من العمر منفصلة للمستخدمين، ويُطبَّق الحد الأدنى للعمر عبر العقد المكتوب — وهو نهج شائع في تطبيقات اليوميات/العافية.
13. إفصاحات كاليفورنيا (CCPA / CPRA)
إذا كنتم من سكان كاليفورنيا، فإن هذا القسم يطبَّق عليكم بالإضافة إلى بقية بنود هذه السياسة.
فئات المعلومات الشخصية التي تم جمعها (آخر 12 شهرًا)
| فئة CCPA | هل يتم جمعها؟ | المصدر | الغرض | الجهة التي تتم المشاركة معها |
|---|---|---|---|---|
| المعرّفات (البريد الإلكتروني، معرّف المستخدم، معرّف الجهاز) | نعم | أنتم؛ جهازكم | الحساب، الأمان، التحليلات | Firebase، RevenueCat |
| سجلات عملاء كاليفورنيا (Cal. Civ. Code §1798.80) | نعم (الاسم) | أنتم | الحساب | Firebase |
| التصنيفات المحمية | لا | — | — | — |
| المعلومات التجارية (سجل الاشتراكات) | نعم | Apple، RevenueCat | تقديم الاشتراك | RevenueCat |
| المعلومات البيومترية | لا (يبقى Face ID على الجهاز) | — | — | — |
| نشاط الإنترنت / الشبكة | محدود (أحداث التطبيق، تقارير الأعطال) | جهازكم | التحليلات، الموثوقية | Firebase |
| الموقع الجغرافي | على المستوى التقريبي فقط (الدولة / المنطقة الزمنية) | جهازكم | توطين المحتوى | Firebase |
| الصوت / الصورة | صورة الملف الشخصي (اختيارية) | أنتم | الملف الشخصي | Firebase Storage |
| المعلومات المهنية أو التوظيفية | لا | — | — | — |
| التعليم | لا | — | — | — |
| الاستنتاجات | لا | — | — | — |
| المعلومات الشخصية الحساسة | يُعد محتوى اليوميات حساسًا | أنتم | رؤى الذكاء الاصطناعي (فقط بموافقة) | OpenAI، Google Gemini |
حقوقكم في كاليفورنيا
- المعرفة / الوصول — انظر §10.
- الحذف / التصحيح — انظر §10.
- الاعتراض على البيع / المشاركة — لا نبيع أو نشارك معلوماتكم الشخصية؛ ولا توجد حالة للاعتراض عليها.
- تقييد استخدام المعلومات الحساسة — لا تُستخدم المعلومات الحساسة (محتوى يومياتكم) إلا للأغراض الموضحة في §6 وبموافقتكم الصريحة.
- عدم التعرض للتمييز — لا تُقيَّد الخدمة، ولا يُفرض سعر مختلف، ولا تُقدَّم جودة مختلفة بسبب ممارستكم لهذه الحقوق.
للتقدم بطلب، اكتبوا إلى [email protected] مع جعل عنوان الرسالة California Privacy Request. ونتحقق من هويتكم عبر البريد الإلكتروني المسجَّل في الحساب.
لا تُقدَّم حوافز مالية مقابل المعلومات الشخصية.
14. ملفات تعريف الارتباط والتقنيات المماثلة
داخل تطبيق iOS: لا تُستخدم ملفات تعريف ارتباط الويب. يحفظ التطبيق فقط على جهازكم تفضيلات صغيرة (مثل السمة واللغة وتفضيل الإشعارات) داخل UserDefaults، وكلمة مرور قفل التطبيق داخل سلسلة مفاتيح iOS. ولا تُشارك هذه البيانات معنا أو مع أطراف ثالثة.
على thanxful.app: اعتبارًا من تاريخ سريان هذه السياسة، لا يستخدم الموقع الترويجي ملفات تعريف ارتباط، أو web-beacon، أو أدوات تتبع تحليلية من أطراف ثالثة. وفي حال إضافتها مستقبلًا، يُحدَّث هذا القسم، ويُعرض شعار موافقة على ملفات تعريف الارتباط (cookie banner) على الموقع، ويُعامل التغيير وفقًا لـ §15 على أنه تغيير جوهري.
15. تعديلات السياسة
قد تُحدَّث هذه السياسة من حين لآخر. وبالنسبة للتغييرات الجوهرية (التغييرات التي تؤثر على حقوقكم أو على طريقة معالجة بياناتكم)، يتم إخطاركم عبر البريد الإلكتروني وعبر إشعار داخل التطبيق قبل 30 يومًا على الأقل من سريان التغيير. أما التغييرات غير الجوهرية (تصحيحات إملائية، توضيحات)، فيُحدَّث المستند ويُحدَّث تاريخ السريان في أعلاه.
إذا لم توافقوا على النسخة الجديدة، يمكنكم التوقف عن استخدام الخدمة وحذف حسابكم قبل تاريخ السريان.
16. التواصل
لأي سؤال أو طلب أو شكوى تتعلق بالخصوصية:
- البريد الإلكتروني:
[email protected](الموضوع:الخصوصية) - المسؤول عن المعالجة: Kadir Alan — مؤسسة فردية (şahıs şirketi)، تركيا
إذا كنتم بحاجة إلى عنوان مراسلة بريدية فعلي، فاكتبوا إلينا أولًا عبر [email protected]؛ ويُرسَل العنوان بناءً على طلبكم.
السلطات الإشرافية التي يمكنكم تقديم الشكاوى لديها مذكورة في §10.
17. معجم المصطلحات
- KVKK — قانون حماية البيانات الشخصية رقم 6698 (تركيا).
- GDPR — اللائحة العامة لحماية البيانات للاتحاد الأوروبي رقم 2016/679.
- CCPA / CPRA — California Consumer Privacy Act، بصيغته المعدَّلة بموجب California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (الولايات المتحدة، دون 13 عامًا).
- FCM — Firebase Cloud Messaging (البنية التحتية للإشعارات).
- الفئات الخاصة من البيانات الشخصية / البيانات الحساسة — أنواع البيانات التي تتطلب حماية معززة بموجب المادة 6 من KVKK والمادة 9 من GDPR، مثل الصحة والدين والرأي السياسي والحياة الجنسية وغيرها.
- المسؤول عن المعالجة — الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية، ويتولى مسؤولية إنشاء وإدارة نظام تسجيل البيانات (هنا: Kadir Alan).
- الموافقة الصريحة — موافقة محددة بشأن موضوع معين، مبنية على الإفلام، ومُعلَنة بإرادة حرة.
شكرًا لثقتكم بنا في رحلة الامتنان الخاصة بكم.
— Thanxful