تسري سياسة الخصوصية هذه على جميع مستخدمي منصة ELKOPTAN — القبطان، بما في ذلك نظام نقاط البيع (POS)، لوحة التحكم، التطبيقات المرتبطة، والخدمات المساعدة. تغطي هذه السياسة جمع واستخدام ومعالجة وحماية البيانات الشخصية وفقاً لأعلى المعايير العالمية.
This Privacy Policy applies to all users of the ELKOPTAN platform, including the POS system, dashboard, associated applications, and ancillary services. It governs the collection, use, processing, and protection of personal data in accordance with the highest global standards.
٢. المعلومات التي نجمعها 2. Information We Collect
نقوم بجمع الفئات التالية من البيانات لتقديم الخدمات وتحسينها والامتثال للالتزامات القانونية:
We collect the following categories of data to provide, improve, and comply with legal obligations:
معلومات الحساب / Account Information: الاسم / Name، البريد الإلكتروني / Email، رقم الهاتف / Phone، اسم المنشأة التجارية / Business Name، العنوان / Address، بيانات التسجيل الضريبي (الرقم الضريبي) / Tax Registration Data (VAT/TIN).
بيانات العملاء والموظفين / Customer & Employee Data: الأسماء / Names، أرقام الهواتف / Phone Numbers، أرصدة الحسابات / Account Balances، سجل المعاملات / Transaction History (أنت المسؤول عن الحصول على موافقة عملائك / you are responsible for obtaining consent from your customers).
معلومات الاستخدام الفني / Technical Usage Data: عنوان IP / IP Address، نوع المتصفح / Browser Type، نظام التشغيل / OS، إعدادات النظام المفضلة / Preferred Settings، سجلات النشاط / Activity Logs.
٣. الأساس القانوني للمعالجة (GDPR) 3. Lawful Basis for Processing (GDPR Art. 6)
نحن نعالج بياناتك الشخصية بناءً على الأسس القانونية التالية:
We process your personal data on the following lawful bases:
تنفيذ العقد / Performance of a Contract: معالجة البيانات ضرورية لتقديم خدمات نظام نقاط البيع وإدارة حسابات المستخدمين.
الموافقة / Consent: عند جمع بيانات لأغراض تسويقية أو تحليلات غير أساسية، نطلب موافقتك الصريحة ويمكنك سحبها في أي وقت.
المصلحة المشروعة / Legitimate Interest: لتحسين أداء النظام وأمنه وتجربة المستخدم، بشرط ألا تتجاوز هذه المعالجة حقوقك وحرياتك الأساسية.
٤. كيفية استخدام المعلومات 4. How We Use Information
نستخدم المعلومات المجمعة للأغراض التالية:
We use the collected information for the following purposes:
تشغيل وصيانة نظام نقاط البيع / Operating and maintaining the POS system
تقديم الدعم الفني والمساعدة / Providing technical support and assistance
تحسين أداء النظام وتجربة المستخدم / Improving system performance and user experience
إرسال إشعارات مهمة حول التحديثات والأمان / Sending important notices about updates and security
الامتثال للمتطلبات القانونية والضريبية (مثل ZATCA) / Complying with legal and tax requirements (e.g., ZATCA)
تحليل الاستخدام وإعداد التقارير الإحصائية الداخلية / Usage analysis and internal statistical reporting
٥. حماية البيانات وأمنها 5. Security & Encryption
نحن نطبق أحدث معايير الأمان لحماية بياناتك. تشمل الإجراءات الأمنية ما يلي:
We implement state-of-the-art security measures to protect your data, including:
التشفير أثناء النقل / Encryption in Transit: TLS 1.3 — جميع البيانات المنقولة بين متصفحك وخوادمنا مشفرة باستخدام أحدث إصدار من بروتوكول TLS.
التشفير عند التخزين / Encryption at Rest: AES-256 — جميع البيانات المخزنة في قواعد البيانات مشفرة باستخدام معيار التشفير المتقدم بمفتاح 256 بت.
شهادة SOC 2 Type II: نحن ملتزمون بمعايير التدقيق الأمني SOC 2 لضمان الإدارة الآمنة للبيانات.
اختبار الاختراق / Penetration Testing: نجري اختبارات اختراق دورية من جهات خارجية مستقلة لتحديد ومعالجة الثغرات الأمنية.
كلمات المرور / Passwords: تُخزَن كلمات المرور باستخدام خوارزمية bcrypt مع Salt، ولا يمكن لأحد (حتى نحن) الوصول إلى النص الأصلي.
النسخ الاحتياطي / Backups: نسخ احتياطي مشفرة يومياً مع تخزين في مراكز بيانات سعودية.
٦. ملفات تعريف الارتباط (Cookies) 6. Cookies Policy
نستخدم ملفات تعريف الارتباط لتحسين تجربة التصفح وتشغيل النظام. فيما يلي الفئات التي نستخدمها:
We use cookies to enhance browsing experience and operate the system. Categories:
أساسية / Essential (Necessary): مطلوبة لتشغيل النظام الأساسي — تشمل توكنات تسجيل الدخول وجلسات العمل. لا يمكن إلغاؤها. / Required for core system operation — includes login tokens and sessions. Cannot be disabled.
وظيفية / Functional: تخزين تفضيلات المستخدم (اللغة، الإعدادات، الثيم). يتم تفعيلها فقط بموافقتك. / Store user preferences (language, settings, theme). Activated only with your consent.
تحليلات / Analytics: تساعدنا في فهم كيفية استخدام النظام لتحسين الأداء (مثل Google Analytics Firebase). يتم تفعيلها فقط بموافقتك. / Help us understand system usage to improve performance. Activated only with your consent.
يمكنك إدارة تفضيلات ملفات تعريف الارتباط في أي وقت من خلال إعدادات النظام أو ضبط متصفحك. رفض cookies التحليلية والوظيفية لا يؤثر على الوظائف الأساسية للنظام.
You may manage cookie preferences at any time via system settings or your browser. Rejecting functional and analytics cookies does not affect core system functionality.
٧. حقوق المستخدم (GDPR) 7. User Rights (GDPR Regulation 2016/679)
إذا كنت مقيماً في الاتحاد الأوروبي، يحق لك ممارسة الحقوق التالية:
If you are an EU resident, you have the following rights:
الحق في الوصول / Right of Access (Art. 15): طلب تأكيد ما إذا كنا نعالج بياناتك والحصول على نسخة منها.
الحق في التصحيح / Right to Rectification (Art. 16): طلب تصحيح أي بيانات غير دقيقة.
الحق في المحو (الحذف) / Right to Erasure — "Right to be Forgotten" (Art. 17): طلب حذف بياناتك الشخصية دون تأخير غير مبرر.
الحق في تقييد المعالجة / Right to Restrict Processing (Art. 18): طلب تقييد معالجة بياناتك في حالات معينة.
الحق في نقل البيانات / Right to Data Portability (Art. 20): استلام بياناتك بتنسيق منظم وشائع الاستخدام وقابل للقراءة آلياً، ونقلها إلى وحدة تحكم أخرى.
الحق في الاعتراض / Right to Object (Art. 21): الاعتراض على معالجة بياناتك لأغراض التسويق المباشر أو المصلحة المشروعة.
لممارسة أي من هذه الحقوق، يرجى التواصل مع مسؤول حماية البيانات (DPO) — راجع القسم 18 أدناه. سنستجيب لطلبك خلال 48 ساعة كحد أقصى.
To exercise any of these rights, please contact our Data Protection Officer (see Section 18 below). We will respond within a maximum of 48 hours.
٨. حقوقك بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA) 8. Your Rights Under the CCPA (California Consumer Privacy Act)
إذا كنت مقيماً في ولاية كاليفورنيا، الولايات المتحدة الأمريكية، يحق لك ما يلي:
If you are a California resident, you have the following rights:
الحق في المعرفة / Right to Know: طلب الإفصاح عن الفئات المحددة للبيانات الشخصية التي جمعناها عنك، ومصادر جمعها، والغرض من جمعها، والأطراف الثالثة التي شاركناها معها.
الحق في الحذف / Right to Deletion: طلب حذف بياناتك الشخصية التي جمعناها، مع بعض الاستثناءات.
الحق في إلغاء الاشتراك في بيع البيانات / Right to Opt-Out of Sale: نحن لا نبيع بياناتك الشخصية لأي طرف ثالث. ومع ذلك، يحق لك توجيه أمر بعدم بيع بياناتك في أي وقت.
الحق في عدم التمييز / Right to Non-Discrimination: لن نمارس أي تمييز ضدك بسبب ممارستك لحقوقك بموجب CCPA.
يمكنك تقديم طلب عبر البريد الإلكتروني dpo@elkoptan.group. سنقوم بالرد خلال 45 يوماً.
You may submit a request via email. We will respond within 45 days.
٩. الامتثال للنظام السعودي لحماية البيانات الشخصية (PDPL) 9. Saudi Personal Data Protection Law (PDPL) Compliance
نحن نلتزم بأحكام النظام السعودي لحماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/148) وتعديلاته، والإشراف من الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA).
We comply with the Saudi Personal Data Protection Law issued by Royal Decree No. M/148 and its amendments, under the supervision of the Saudi Authority for Data and Artificial Intelligence (SDAIA).
المعالجة المحلية / Local Processing: تتم معالجة جميع البيانات الشخصية داخل المملكة العربية السعودية عبر مراكز بيانات معتمدة.
التخزين في السعودية / Saudi Storage: تُخزَن البيانات الأساسية في مراكز بيانات داخل المملكة (مركز بيانات معتمد من هيئة الاتصالات والفضاء والتقنية CST).
الموافقة الصريحة / Explicit Consent: نحصل على موافقة صريحة وواضحة قبل جمع أو معالجة أي بيانات شخصية، وفقاً للمادة 6 من النظام.
الشفافية / Transparency: نوضح الغرض من جمع البيانات وكيفية معالجتها بشكل واضح ومفهوم.
حقوق أصحاب البيانات / Data Subject Rights: يحق لك الاطلاع على بياناتك، طلب تصحيحها، حذفها، أو الحصول على نسخة منها.
الإبلاغ عن الاختراق / Breach Notification: في حال حدوث أي خرق للبيانات الشخصية، سنقوم بإبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة، وكذلك المتأثرين بالخرق دون تأخير غير مبرر.
١٠. مشاركة البيانات والإفصاح 10. Data Sharing & Disclosure
نحن لا نبيع أو نؤجر أو نشارك بياناتك الشخصية مع أطراف ثالثة إلا في الحالات التالية:
We do not sell, rent, or share your personal data with third parties except in the following circumstances:
إذا طُلب منا قانوناً بموجب أمر قضائي أو جهة تنظيمية سعودية / If required by law, court order, or Saudi regulatory authority
مع المعالجين الفرعيين المدرجين في القسم 11، بشرط التزامهم باتفاقية معالجة بيانات (DPA) ومعايير الخصوصية المطبقة
عند دمج الخدمات الخارجية (مثل ZATCA، Moyasar للدفع) وفقاً لمتطلباتها الرسمية
بموجب البنود التعاقدية القياسية للنقل الدولي (Standard Contractual Clauses) عند نقل البيانات خارج المملكة
جميع الأطراف الثالثة التي نشارك البيانات معها ملزمة تعاقدياً بحماية البيانات وفقاً لهذه السياسة والقوانين المطبقة.
All third parties with whom we share data are contractually bound to protect data in accordance with this policy and applicable laws.
١١. المعالجون الفرعيون 11. Subprocessors
نستخدم المعالجين الفرعيين التاليين لتقديم خدماتنا. جميعهم ملتزمون باتفاقيات معالجة بيانات ومعايير أمان صارمة:
We engage the following subprocessors to deliver our services. Each is bound by a DPA and strict security standards:
Twilio Inc.خدمات واتساب للتواصل / WhatsApp communication servicesUSA — SOC 2, DPA signed
يمكنك طلب قائمة محدثة من المعالجين الفرعيين في أي وقت بالتواصل مع مسؤول حماية البيانات. سنقوم بإشعارك قبل至少 30 يوماً من إضافة أي معالج فرعي جديد.
You may request an updated list of subprocessors at any time by contacting the DPO. We will notify you at least 30 days before adding any new subprocessor.
١٢. اتفاقية معالجة البيانات (DPA) 12. Data Processing Agreement (DPA)
اتفاقية معالجة البيانات (DPA) متاحة عند الطلب لجميع مستخدمينا، خاصة العملاء الخاضعين للائحة العامة لحماية البيانات (GDPR) أو PDPL. تغطي الاتفاقية:
A Data Processing Agreement (DPA) is available on request for all users, particularly those subject to GDPR or PDPL. It covers:
نطاق وغرض معالجة البيانات / Scope and purpose of data processing
مدة المعالجة / Duration of processing
طبيعة البيانات والغرض من جمعها / Nature and purpose of data collection
فئات أصحاب البيانات / Categories of data subjects
التزامات ومسؤوليات الطرفين / Obligations and responsibilities of both parties
إجراءات أمن البيانات / Data security measures
حقوق أصحاب البيانات وآليات ممارستها / Data subject rights and exercise mechanisms
المعالجون الفرعيون المسموح بهم / Authorized subprocessors
آليات نقل البيانات الدولية / International data transfer mechanisms (SCCs)
إجراءات الإبلاغ عن الاختراق / Breach notification procedures
١٣. نقل البيانات الدولي 13. International Data Transfers
قد يتم نقل بياناتك الشخصية إلى دول خارج المملكة العربية السعودية أو خارج المنطقة الاقتصادية الأوروبية (EEA) عند الضرورة لتقديم الخدمات. في هذه الحالة، نضمن المستوى المناسب من الحماية من خلال:
Your personal data may be transferred to countries outside Saudi Arabia or the EEA when necessary to provide services. In such cases, we ensure adequate protection through:
البنود التعاقدية القياسية (SCCs) / Standard Contractual Clauses: اعتماد البنود التعاقدية القياسية المعتمدة من المفوضية الأوروبية (2021/914) والتي توفر ضمانات كافية لحماية البيانات المنقولة.
قرارات الملاءمة / Adequacy Decisions: عند توفر قرار ملاءمة من الهيئة السعودية للبيانات والذكاء الاصطناعي أو المفوضية الأوروبية بأن الدولة المستقبلة توفر حماية كافية.
اتفاقيات معالجة بيانات إضافية / Additional DPAs: اتفاقيات إضافية مع المعالجين الفرعيين لضمان الامتثال للمعايير المحلية والدولية.
لمعرفة المزيد حول آليات النقل، يرجى التواصل مع مسؤول حماية البيانات.
For more information about transfer mechanisms, please contact our DPO.
١٤. خصوصية الأطفال 14. Children's Privacy
منصتنا وخدماتنا غير موجهة للأطفال دون سن 16 عاماً. نحن لا نجمع عن قصد أي بيانات شخصية من أطفال دون سن 16. إذا اكتشفنا أننا جمعنا بيانات من طفل دون هذا العمر بدون موافقة ولي الأمر، سنقوم بحذف هذه البيانات فوراً. إذا كنت تعتقد أن طفلاً قد قدم لنا بيانات شخصية، يرجى التواصل معنا فوراً.
Our platform and services are not directed at children under 16. We do not knowingly collect personal data from children under 16. If we become aware that we have collected data from a child under 16 without parental consent, we will delete it immediately. If you believe a child has provided us with personal data, please contact us immediately.
١٥. الاحتفاظ بالبيانات 15. Data Retention
نحتفظ ببياناتك الشخصية طالما كان حسابك نشطاً أو حسبما يلزم لتقديم الخدمات والامتثال للالتزامات القانونية (مثل متطلبات ZATCA للاحتفاظ بالفواتير لمدة 10 سنوات). بعد انتهاء هذه المدة، نقوم بحذف البيانات أو إخفاء هويتها بشكل آمن.
We retain your personal data for as long as your account is active or as necessary to provide services and comply with legal obligations (e.g., ZATCA requires invoice retention for 10 years). After this period, data is securely deleted or anonymized.
بيانات الحساب الأساسية / Core account data: مدة اشتراكك + 90 يوماً / Subscription duration + 90 days
البيانات المالية والضريبية / Financial & tax data: 10 سنوات / 10 years (ZATCA compliance)
سجلات الاستخدام / Usage logs: 12 شهراً / 12 months
بيانات التسويق / Marketing data: حتى سحب الموافقة / Until consent is withdrawn
١٦. الإبلاغ عن خرق البيانات 16. Breach Notification
في حال حدوث أي خرق للبيانات الشخصية يؤثر على خصوصيتك وأمن بياناتك، نلتزم بالآتي:
In the event of a personal data breach that affects your privacy and data security, we commit to:
الإبلاغ الفوري للهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من اكتشاف الخرق (وفقاً للمادة 22 من PDPL والمادة 33 من GDPR). / Notify SDAIA within 72 hours of breach discovery (per PDPL Art. 22 and GDPR Art. 33).
إبلاغك كمتأثر بالخرق دون تأخير غير مبرر إذا كان من المحتمل أن يشكل الخرق خطراً على حقوقك وحرياتك. / Notify affected data subjects without undue delay if the breach poses a risk to your rights.
توثيق جميع الخروقات بما في ذلك الحقائق والآثار والإجراءات التصحيحية المتخذة. / Document all breaches including facts, effects, and remedial actions taken.
التعاون الكامل مع السلطات الإشرافية طوال عملية التحقيق والمعالجة. / Full cooperation with supervisory authorities throughout investigation and remediation.
١٧. التعديلات على هذه السياسة 17. Changes to This Policy
قد نقوم بتحديث سياسة الخصوصية من وقت لآخر. نلتزم بإشعارك بأي تغييرات جوهرية قبل 30 يوماً من تاريخ سريانها، وذلك عبر:
We may update this Privacy Policy from time to time. We will notify you of any material changes at least 30 days before their effective date, via:
البريد الإلكتروني المسجل في حسابك / The email address registered on your account
إشعار داخل النظام (لوحة التحكم) / An in-app notification (dashboard)
إعلان على موقعنا الإلكتروني / A notice on our website
نشجعك على مراجعة هذه الصفحة بشكل دوري. استمرار استخدامك للنظام بعد سريان التعديلات يعني موافقتك على السياسة المحدثة.
We encourage you to review this page periodically. Your continued use of the system after the effective date constitutes acceptance of the updated policy.
١٨. مسؤول حماية البيانات (DPO) 18. Data Protection Officer
قمنا بتعيين مسؤول حماية البيانات (DPO) لضمان الامتثال المستمر لهذه السياسة والقوانين المطبقة. يمكنك التواصل مع DPO مباشرة:
We have appointed a Data Protection Officer (DPO) to ensure ongoing compliance with this policy and applicable laws. You may contact the DPO directly:
نحن نلتزم بالرد على جميع استفسارات وطلبات الخصوصية خلال 48 ساعة كحد أقصى. في الحالات المعقدة، سنؤكد استلام طلبك خلال 48 ساعة ونقدم رداً كاملاً خلال 30 يوماً.
We commit to responding to all privacy inquiries and requests within a maximum of 48 hours. For complex cases, we will acknowledge receipt within 48 hours and provide a full response within 30 days.
١٩. السلطة الإشرافية 19. Supervisory Authority
إذا كنت تعتقد أن معالجتنا لبياناتك تنتهك القوانين المطبقة، يحق لك تقديم شكوى للسلطات الإشرافية التالية:
If you believe our processing of your data violates applicable laws, you have the right to lodge a complaint with the following supervisory authorities:
المملكة العربية السعودية / Saudi Arabia:
الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) — National Centre for Personal Data Protection (NCPDP)
sdaia.gov.sa
الاتحاد الأوروبي / European Union:
يمكنك تقديم شكوى إلى هيئة حماية البيانات المختصة في دولتك (Lead Supervisory Authority).
ممثلنا في الاتحاد الأوروبي / Our EU Representative: eu-rep@elkoptan.group
الولايات المتحدة — كاليفورنيا / USA — California:
Attorney General of California: oag.ca.gov
٢٠. تواصل معنا 20. Contact Us
إذا كان لديك أي استفسار حول سياسة الخصوصية أو طريقة معالجة بياناتك، لا تتردد في التواصل معنا:
If you have any questions about this Privacy Policy or how we process your data, please contact us: