سياسة الخصوصية

تحديث 8 يوليو 2026

نحن طبقة تكامل فوق Google Vertex AI Search. يجري البحث وتوليد الإجابات والفهرسة على بنية Google Cloud التحتية. تصف هذه السياسة البيانات التي تُعالَج، ومن المسؤول عن ماذا، وكيف تُدار حقوق أصحاب البيانات.

الأدوار: مَن المتحكّم ومَن المعالِج

مالك الموقع الذي يُضمّن الأداة هو المتحكّم في بيانات زوّاره ومحتوى موقعه. نحن نعمل معالِجًا نيابةً عن المالك، وGoogle Cloud هي معالِج فرعي (المعالجة داخل Vertex AI / Gemini). أمّا حساب المالك نفسه (البريد الإلكتروني والدفعات) فنحن المتحكّم فيه.

نعالج كذلك نصّ استعلامات الزوّار بقدر محدود لأغراضنا الخاصة — مقاييس الجودة والحماية من إساءة الاستخدام؛ وفي هذا الجزء الضيّق نعمل متحكّمًا مستقلًّا. الأساس القانوني هو مصلحتنا المشروعة (المادة 6(1)(f) من GDPR) في إبقاء الخدمة تشغيلية وآمنة ودقيقة؛ وقد أجرينا تقييمًا للمصالح المشروعة (LIA)، ولا تَجُبّ هذه المصلحة حقوق أصحاب البيانات.

تتولّى الدفعات Paddle بصفتها Merchant of Record: فيما يخصّ معاملة الدفع، تعمل Paddle بصفتها التاجر المسجّل ومتحكّمًا مستقلًّا في بيانات الدفع، لا معالِجًا فرعيًّا لنا.

ما البيانات التي تُعالَج

  • محتوى الموقع — تُفهرَس الصفحات العامة للمالك كي تُبنى الإجابات على أساسها.
  • استعلامات الزوّار — يُرسَل نصّ السؤال إلى Google Vertex/Gemini لتوليد إجابة.
  • البيانات التقنية للزوّار — يُعالَج عنوان IP بشكل عابر في الذاكرة للحماية من إساءة الاستخدام وتحديد المعدّل ولا يُخزَّن في السجلّات أو قاعدة البيانات (مبدأ تقليل البيانات).
  • مقاييس الاستخدام — أعداد الاستعلامات وجودة الإجابات (دون محتوى يتجاوز ما يلزم).
  • حساب المالك — البريد الإلكتروني وبيانات الفوترة (تتولّى الدفعات Paddle بصفتها Merchant of Record؛ ونحن لا نخزّن بيانات البطاقات).

قد يستخدم موقعنا العام ملفّات تعريف ارتباط تحليلية — تُضبَط فقط بموافقتك؛ انظر سياسة ملفّات تعريف الارتباط للتفاصيل.

بيانات الأطفال. الخدمة هي منتج للشركات (B2B) وليست موجهة للأطفال دون سن 16 عامًا.

أين وكيف تُعالَج البيانات

يجري توليد الإجابات والفهرسة في منطقة Google Cloud المختارة بموجب شروط Google المؤسسية؛ ولعملاء الاتحاد الأوروبي تُختار منطقة أوروبية افتراضيًّا. بموجب تلك الشروط، لا تستخدم Google البيانات المُقدَّمة إلى Vertex AI وواجهة برمجة تطبيقات Gemini لتدريب نماذجها. وكذلك نحن لا نستخدم محتواك أو استعلاماتك لتدريب أي نماذج.

مشغّل الخدمة مقيمٌ في إسرائيل. يعتمد نقل البيانات الشخصية من الاتحاد الأوروبي إلى إسرائيل على قرار الكفاية الصادر عن المفوضية الأوروبية بشأن إسرائيل؛ ويخضع النقل إلى خدمات Google لـ Cloud Data Processing Addendum من Google، وعند الحاجة، للبنود التعاقدية القياسية (SCC) و/أو إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (EU-US DPF).

شفافية الذكاء الاصطناعي. تُنتَج الإجابات بواسطة الذكاء الاصطناعي من محتوى مُفهرَس؛ وتُشير واجهة الأداة إلى أنّ الذكاء الاصطناعي هو من يجيب، وتحمل الإجابات روابط إلى مصادرها.

المعالِجون الفرعيون

  • Google Cloud — Vertex AI Search (Discovery Engine) وGemini — الفهرسة والبحث وتوليد الإجابات؛ وتخضع المعالجة لـ Cloud Data Processing Addendum من Google. تُستخدَم لبيانات عملاء الاتحاد الأوروبي منطقة أوروبية افتراضيًّا.
  • Google Cloud Storage — التخزين المؤقّت الوسيط للنصّ المُستخرَج تمهيدًا لاستيراده إلى الفهرس (في المنطقة نفسها).

تعالج Paddle الاشتراكات والدفعات بصفتها Merchant of Record، وبهذه الصفة تعمل متحكّمًا مستقلًّا لا معالِجًا فرعيًّا.

تتوفّر قائمة محدَّثة بالمعالِجين الفرعيين عند الطلب. نُقدّم إشعارًا مسبقًا بالتغييرات المزمعة على معالِجينا الفرعيين ونتيح فرصة الاعتراض.

مدد الاحتفاظ

مدد الاحتفاظ:

  • عناوين IP للزوّارلا تُخزَّن: تُعالَج فقط بشكل عابر في الذاكرة للحماية من إساءة الاستخدام وتُتلَف فورًا بعد معالجة الطلب.
  • نصّ استعلامات الزوّار — 90 يومًا، ثم يُجهَّل أو يُحذَف؛ وقد تُحفَظ المقاييس المجمَّعة الخالية من البيانات الشخصية لمدة أطول.
  • مخرجات الفهرسة في التخزين الوسيط — تُحذَف وفق جدول، عادةً خلال 7 أيام.
  • فهرس الموقع — طوال نشاط المشروع؛ وعند إغلاق المشروع يُحذَف الفهرس والموارد ذات الصلة.
  • بيانات حساب المالك — طوال نشاط الحساب؛ وبعد الإغلاق تُحذَف، مع مراعاة مدد الاحتفاظ الإلزامية (مثل المحاسبة والضرائب).

حقوق أصحاب البيانات (GDPR / CCPA / قانون حماية الخصوصية الإسرائيلي PPL)

يجوز لأصحاب البيانات طلب الوصول إلى بياناتهم أو تصحيحها أو حذفها أو تقييد معالجتها، ولهم الاعتراض على المعالجة؛ وبموجب CCPA — معرفة فئات البيانات وطلب الحذف والانسحاب من "البيع" (نحن لا نبيع البيانات). وبما أنّ المشغّل مقيمٌ في إسرائيل، ينطبق أيضًا قانون حماية الخصوصية (PPL) بصيغته المعدَّلة بـ Amendment 13: حقوق الوصول والتصحيح، ومتطلّبات الشفافية، والإبلاغ عن حوادث الأمن الجسيمة إلى الجهة المنظِّمة.

كيفية تقديم الطلب (DSAR). تُوجَّه الطلبات المتعلّقة ببيانات الزوّار إلى مالك الموقع بصفته المتحكّم — ونحن، بصفتنا المعالِج، نساعده (تحديد البيانات وحذفها، وتنظيف السجلّات، وحذف المشروع). أمّا الطلبات المتعلّقة ببيانات حساب المالك فتُرسَل إلينا عبر نموذج التواصل أو إلى جهة اتصال الخصوصية (انظر قسم "التواصل"). نستجيب ضمن المُدَد التي يحدّدها القانون المعمول به (بموجب GDPR، عادةً خلال شهر واحد).

لا يمكننا التنازل تعاقديًّا عن الالتزامات الإلزامية بموجب GDPR/CCPA/PPL — فالمسؤولية موزّعة بحكم القانون.

الأمن

تُنقَل البيانات عبر TLS؛ ويتّبع الوصول عبر حسابات الخدمة مبدأ الحدّ الأدنى من الامتيازات. تُنقّى الاستعلامات ويُحدَّد معدّلها قبل استدعاء أي خدمة مدفوعة (حماية من الحقن ومن استنزاف الميزانية). المشاريع معزولة: يعمل كلٌّ منها على فهرسه الخاص. لاكتشاف الروبوتات وإساءة الاستخدام نستخدم Google reCAPTCHA Enterprise، الذي يعالج إشارات تفاعل الزائر وفقًا لشروط خصوصية Google.

في حال وقوع حادث أمني جسيم يمسّ البيانات الشخصية، نُخطِر الجهة المختصّة (في إسرائيل، هيئة حماية الخصوصية PPA)، وحيثما يقتضي القانون، الأفراد المتضرّرين ومالك الموقع، ضمن المُدَد المعمول بها.

التواصل

مشغّل الخدمة (المتحكّم): [Operator name]، رقم عوسِك [osek no.] — تاجر فرد (عوسِك) مقيم في إسرائيل. العنوان: [address].

جهة اتصال الخصوصية: [privacy@DOMAIN] أو عبر نموذج التواصل. أرسِل طلبات أصحاب البيانات المتعلّقة بحساب المالك إلى جهة الاتصال هذه؛ أمّا بيانات الزوّار فتواصَل مع مالك الموقع بصفته المتحكّم (انظر "حقوق أصحاب البيانات").

ستُملأ التفاصيل الواردة بين قوسين معقوفين قبل الإطلاق التجاري.