بيان الامتثال للائحة GDPR

تصف هذه الصفحة كيفية امتثال شركة GoUltra Systems LLC ("GoUltra") لـ اللائحة العامة لحماية البيانات (GDPR)، اللائحة (EU) 2016/679، والأحكام المعادلة في UK GDPR.

1. وضعنا وفق GDPR

عندما تكون GoUltra متحكمًا

بالنسبة للبيانات الشخصية لـ عملاء GoUltra (أصحاب الحسابات، جهات اتصال الفوترة، المسؤولون)، تكون GoUltra هي المتحكم (Controller). نحدّد أغراض ووسائل معالجة هذه البيانات وفق سياسة الخصوصية الخاصة بنا.

عندما تكون GoUltra معالجًا

بالنسبة للبيانات الشخصية لـ المستخدمين النهائيين (الأشخاص الذين يتواصل معهم العملاء عبر WhatsApp)، تكون GoUltra هي المعالج (Processor). العميل هو المتحكم. تخضع عمليات المعالجة لدينا لـ اتفاقية معالجة البيانات (DPA) الخاصة بنا.

2. الأساس القانوني للمعالجة

نعالج البيانات الشخصية فقط على أساس قانوني وفق المادة 6 من GDPR:

• تنفيذ العقد (المادة 6(1)(b)) لتقديم الخدمة للعملاء
• الموافقة (المادة 6(1)(a)) للاتصالات التسويقية
• الالتزام القانوني (المادة 6(1)(c)) للضرائب والمحاسبة والامتثال للمنصة
• المصلحة المشروعة (المادة 6(1)(f)) لمنع الاحتيال والأمن وتحسين الخدمة، متوازنة مع حقوق خصوصيتك

بالنسبة للفئات الخاصة من البيانات، تتطلب المعالجة موافقة صريحة أو أساسًا قانونيًا آخر وفق المادة 9(2). GoUltra غير مُصمَّمة لمعالجة الفئات الخاصة على نطاق واسع؛ يتحمّل العملاء الذين يستخدمون الخدمة في سياقات حسّاسة (مثل العيادات الطبية) المسؤولية عن الأساس القانوني.

3. حقوقك وفق GDPR

تتمتع بالحقوق التالية:

كيفية ممارسة حقوقك

أرسل بريدًا إلكترونيًا إلى privacy@goultra.ai مع معلومات كافية للتحقق من هويتك. نردّ خلال 30 يومًا (قابل للتمديد حتى 60 يومًا للطلبات المعقّدة، مع الإخطار).

لا نفرض رسومًا على هذه الطلبات، باستثناء حالات الطلبات غير المبرّرة أو المفرطة بشكل واضح، حيث قد نفرض رسومًا إدارية معقولة.

4. تدابير حماية البيانات

نطبّق تدابير تقنية وتنظيمية مناسبة للمخاطر:

تقنية

• التشفير أثناء النقل TLS 1.2/1.3
• التشفير عند التخزين AES-256
• المصادقة المعتمدة على الرموز
• فحص الثغرات واختبار الاختراق المنتظم
• بيئات staging معزولة

تنظيمية

• التحكم في الوصول القائم على الأدوار (RBAC)
• مبدأ أقل امتياز
• التزامات السرية للموظفين
• تدريب الموظفين على الخصوصية
• إجراءات استجابة موثّقة للحوادث
• التحقق التعاقدي من المعالجين الفرعيين

5. عمليات نقل البيانات الدولية

يقع المقر الرئيسي لـ GoUltra في الولايات المتحدة. قد تُنقل البيانات الشخصية من EEA أو المملكة المتحدة أو سويسرا إلى:

• الولايات المتحدة (GoUltra ومعظم المعالجين الفرعيين)
• بلدان أخرى يعمل فيها المعالجون الفرعيون

لهذه التحويلات، نعتمد على:

• البنود التعاقدية القياسية (SCCs) المعتمدة من المفوضية الأوروبية (قرار التنفيذ (EU) 2021/914)
• الملحق البريطاني لـ EU SCCs لعمليات النقل من المملكة المتحدة
• التدابير التقنية التكميلية بما فيها التشفير وضوابط الوصول
• التقييمات الموثّقة للنظام القانوني للبلد المستلم

يمكنك الحصول على نسخة من الضمانات التي نستخدمها بإرسال بريد إلكتروني إلى privacy@goultra.ai.

6. الإخطار بانتهاك البيانات

في حال حدوث انتهاك للبيانات الشخصية يؤثر على بيانات العميل:

• نُخطر العميل المتأثر خلال 72 ساعة من علمنا
• نساعد العميل في إخطار السلطات الإشرافية (عادةً خلال 72 ساعة من العلم، وفق المادة 33 من GDPR)
• نساعد العميل في إخطار أصحاب البيانات المتأثرين عند الاقتضاء (المادة 34)
• نوثّق جميع الانتهاكات داخليًا وفق المادة 33(5)

7. المعالجون الفرعيون

نحتفظ بقائمة محدّثة بالمعالجين الفرعيين على /sub-processors. نطلب من كل معالج فرعي توفير حماية كافية للبيانات من خلال اتفاقيات مكتوبة بشروط معادلة جوهريًا لاتفاقية DPA الخاصة بنا.

نخطر العملاء قبل 30 يومًا على الأقل من إضافة أو استبدال معالج فرعي. يجوز للعملاء الاعتراض لأسباب معقولة.

8. سجلات أنشطة المعالجة (المادة 30)

نحتفظ بسجلات أنشطة المعالجة للبيانات الشخصية التي نعالجها، بما في ذلك:

• فئات البيانات الشخصية
• أغراض المعالجة
• المتلقّون للبيانات الشخصية
• تفاصيل النقل الدولي
• فترات الاحتفاظ
• تدابير الأمن

تتوفر هذه السجلات للسلطات الإشرافية عند الطلب.

9. تقييمات أثر حماية البيانات (DPIA)

ندعم العملاء في إجراء DPIA عند الاقتضاء (المادة 35)، وخاصة للمعالجة التي تشمل:

• المعالجة على نطاق واسع للفئات الخاصة
• المراقبة المنهجية للأماكن العامة
• صنع القرار الآلي بأثر قانوني

ينبغي للعملاء الذين يستخدمون ميزة وكيل الذكاء الاصطناعي في الصناعات الحسّاسة (الرعاية الصحية، القانون، التمويل) استشارة فريق الامتثال الخاص بهم بشأن متطلبات DPIA.

10. مسؤول حماية البيانات

GoUltra ليست مطالبة حاليًا بتعيين مسؤول حماية البيانات (DPO) رسمي وفق المادة 37 من GDPR. ومع ذلك، نحتفظ بفريق خصوصية مخصّص مسؤول عن الامتثال لـ GDPR. يمكن التواصل مع فريق الخصوصية على privacy@goultra.ai.

11. ممثل الاتحاد الأوروبي

بالنسبة للعملاء في EEA، نقوم بتقييم تعيين ممثل في الاتحاد الأوروبي وفق المادة 27 من GDPR. في الوقت الحالي، يمكنك التواصل مع فريق الخصوصية لدينا مباشرةً على privacy@goultra.ai لأي مسألة تتعلق بـ GDPR.

12. بيانات الأطفال

GoUltra غير موجّهة للأطفال دون سن 16 عامًا. لا نجمع عن علم بيانات شخصية من أطفال دون سن 16 عامًا (وفق المادة 8 من GDPR). إذا كانت حالة استخدام العميل تشمل مستخدمين نهائيين دون سن 16 عامًا (مثل عيادات الأطفال)، يكون العميل مسؤولًا عن الحصول على موافقة الوالدين.

13. ملفات تعريف الارتباط والتتبّع عبر الإنترنت

للتفاصيل حول ملفات تعريف الارتباط، انظر القسم 11 من سياسة الخصوصية. نستخدم شريط موافقة ملفات تعريف الارتباط لملفات تعريف الارتباط غير الأساسية بما يتماشى مع توجيه ePrivacy و GDPR.

14. السلطات الإشرافية

إذا كنت تعتقد أن حقوقك في GDPR قد انتُهكت، يجوز لك تقديم شكوى لـ:

• سلطة حماية البيانات المحلية لديك في EU/EEA
• مكتب مفوض المعلومات في المملكة المتحدة (ICO) على https://ico.org.uk
• السلطة الإسرائيلية لحماية الخصوصية (للمقيمين في إسرائيل)

تتوفر قائمة بسلطات حماية البيانات في EU/EEA على https://edpb.europa.eu/about-edpb/about-edpb/members_en

15. تحديثات هذا البيان

نُحدّث بيان الامتثال هذا لـ GDPR مع تطوّر ممارساتنا وتغيّر اللوائح. تُبلَّغ التغييرات الجوهرية للعملاء النشطين عبر البريد الإلكتروني.

16. التواصل

للاستفسارات المتعلقة بـ GDPR:

• فريق الخصوصية: privacy@goultra.ai
• عام: info@goultra.ai
• البريد العادي:

GoUltra Systems LLC Privacy Department 312 W 2nd St 2692 Casper, WY 82601, USA

يتوفر بيان الامتثال هذا لـ GDPR باللغات الإنجليزية والعبرية والعربية. في حال وجود أي تعارض، تُعدّ النسخة الإنجليزية حاكمة لأغراض التفسير القانوني، إلا حيث يستلزم القانون المحلي خلاف ذلك.