| المصطلح | المعنى |
|---|---|
| متحكّم البيانات | الطرف الذي يُحدّد أغراض ووسائل معالجة البيانات — صاحب المتجر |
| معالج البيانات | الطرف الذي يُعالج البيانات بالنيابة عن المتحكّم — وصول |
| البيانات الشخصية | أي معلومات تتعلّق بفرد قابل للتعريف (عميل المتجر) |
| معالجة البيانات | أي عملية تُجرى على البيانات: جمع، تخزين، تحليل، مشاركة، حذف |
| المعالج الفرعي | طرف ثالث يُعالج البيانات بالنيابة عن وصول |
| صاحب البيانات | الفرد الذي تخصّه البيانات الشخصية — عميل المتجر النهائي |
الرئيسيةقانوني
اتفاقية ملزمةآخر تحديث: أبريل 2026B2BPDPL
اتفاقية معالجة البيانات
تُنظّم هذه الاتفاقية علاقة معالجة البيانات بين شركة Silk Rose (الجهة المالكة لمنصة وصول) وأصحاب المتاجر الذين يستخدمون المنصّة. تُعدّ جزءاً لا يتجزّأ من شروط الاستخدام، وتسري تلقائياً عند تثبيت التطبيق من متجر تطبيقات سلة.
القسم 1
الغرض
تهدف هذه الاتفاقية إلى تنظيم معالجة وصول لبيانات عملاء متجرك وفق متطلبات نظام حماية البيانات الشخصية السعودي (PDPL) وأفضل الممارسات الدولية لحماية البيانات.
تُكمّل هذه الاتفاقية شروط الاستخدام و سياسة الخصوصية، ولا تحلّ محلهما.
القسم 2
التعريفات
القسم 3
دور كلّ طرف
| الطرف | الدور | المسؤولية الرئيسية |
|---|---|---|
| صاحب المتجر | Controller (متحكّم) | تحديد أغراض المعالجة، الحصول على موافقة العملاء، التواصل معهم |
| وصول | Processor (معالج) | تنفيذ المعالجة وفق تعليمات المتجر، وضمان أمن البيانات |
القسم 4
نطاق المعالجة
طبيعة المعالجة
- الرد الآلي على استفسارات العملاء عبر واتساب
- تنفيذ أوامر صاحب المتجر عبر الوكيل الذكي
- تتبّع الطلبات والإشعارات التلقائية
- تحليل سلوك العملاء لتحسين التجربة
فئات البيانات المعالَجة
- أرقام جوال عملاء المتجر
- محتوى المحادثات النصية والصوتية
- بيانات الطلبات والمنتجات
- تفضيلات العميل وسجل الشراء
فئات الأفراد المعنيين
- عملاء المتجر الحاليون
- المتصفّحون والعملاء المحتملون
القسم 5
التزامات وصول كمعالج
يتعهّد وصول بـ:
- (أ) المعالجة وفق التعليمات: معالجة البيانات فقط وفق تعليمات المتجر الموثّقة في لوحة التحكم أو الإعدادات.
- (ب) السرّية: ضمان أن جميع الموظفين المخوّلين بالوصول إلى البيانات ملتزمون بالسرّية التعاقدية.
- (ج) الأمان: تطبيق تدابير أمنية تقنية وتنظيمية مناسبة لحماية البيانات من الفقدان أو الوصول غير المصرّح.
- (د) مساعدة المتحكّم: تقديم المساعدة المعقولة للمتجر في الاستجابة لطلبات أصحاب البيانات.
- (هـ) الإبلاغ عن الاختراقات: إبلاغ المتجر دون تأخير عن أي اختراق أمني يؤثر على بياناته.
- (و) الحذف أو الإرجاع: حذف أو إرجاع البيانات عند انتهاء الاتفاقية حسب اختيار المتجر.
القسم 6
المعالجون الفرعيون
يُصرِّح لوصول بالاستعانة بالمعالجين الفرعيين التاليين لتقديم الخدمة:
| الجهة | البلد | الغرض |
|---|---|---|
| Hetzner | ألمانيا | استضافة البنية التحتية والقواعد |
| Anthropic | الولايات المتحدة | نماذج معالجة اللغة الطبيعية |
| Cerebras / Groq | الولايات المتحدة | استدلال الذكاء الاصطناعي السريع |
| Evolution API | البرازيل | بوابة واتساب للأعمال |
| Keycloak | مدار محلياً | إدارة الهوية والمصادقة |
| منصّة سلة | المملكة العربية السعودية | تكامل التجارة الإلكترونية |
ملاحظة
نُبلّغك مسبقاً بأيّ تغيير في قائمة المعالجين الفرعيين، ويحقّ لك الاعتراض لأسباب جدّية تتعلق بحماية البيانات.
القسم 7
مساعدة المتجر في حقوق الأفراد
يُقدّم وصول الأدوات اللازمة لتمكين المتجر من الاستجابة لطلبات أصحاب البيانات — بما في ذلك:
- تصدير بيانات عميل محدّد بصيغة قابلة للقراءة آلياً
- حذف بيانات عميل عند الطلب خلال 30 يوماً
- تصحيح أو تقييد معالجة بيانات عميل محدّد عبر لوحة التحكم
- كشف شامل بجميع البيانات المخزّنة عن عميل معيّن عند الطلب
القسم 8
الأمن والتشفير
يُطبّق وصول التدابير الأمنية التالية كحدّ أدنى:
- التشفير أثناء النقل (TLS 1.3)
- التشفير في التخزين (AES-256)
- عزل بيانات كل متجر (multi-tenant isolation)
- مراقبة مستمرة للأنظمة ومحاولات الوصول
- نسخ احتياطية مشفّرة يومياً
- اختبارات اختراق دورية (سنوية)
- مبدأ أقل الامتيازات للوصول الداخلي
القسم 9
الإبلاغ عن الاختراقات
عند اكتشاف اختراق أمني يؤثر على بيانات متجرك:
- نُبلّغك خلال 48 ساعة من الاكتشاف كحدٍّ أقصى
- نُبلّغ الهيئة السعودية للبيانات والذكاء الاصطناعي خلال 72 ساعة وفق المادة 19 من PDPL
- نُقدّم تقريراً شاملاً يشمل: طبيعة الاختراق، البيانات المتأثرة، الإجراءات التصحيحية، وتقييم الأثر
القسم 10
التدقيق والمراجعة
يحقّ للمتجر طلب معلومات معقولة لإثبات امتثال وصول لالتزامات هذه الاتفاقية، بما في ذلك:
- تقارير التدقيق الأمني السنوية
- شهادات الامتثال من الأطراف الثالثة
- تدقيقات مستقلة مرّة واحدة سنوياً بإشعار مسبق لا يقلّ عن 30 يوماً
القسم 11
نقل البيانات الدولي
عند نقل البيانات خارج المملكة العربية السعودية، يلتزم وصول بـ:
- توقيع شروط تعاقدية موحّدة (SCCs) مع جميع المعالجين الفرعيين
- ضمان مستوى حماية مكافئ لمتطلبات نظام حماية البيانات الشخصية
- الحصول على الموافقات المطلوبة من SDAIA للنقل عند الاقتضاء
القسم 12
التزامات صاحب المتجر كمتحكّم
يلتزم صاحب المتجر بـ:
- الحصول على الموافقة الصريحة من عملائه قبل استخدام وصول للتواصل معهم
- إخبار العملاء بأنّ وكيل ذكاء اصطناعي سيتولّى الرد عليهم
- عدم طلب بيانات حساسة عبر قنوات واتساب
- الامتثال لسياسة واتساب للأعمال
- تحديث بيانات التواصل وموافقات العملاء بشكل دوري
القسم 13
انتهاء الاتفاقية
عند إلغاء اشتراك المتجر أو انتهاء الاتفاقية:
- تُحذف بيانات العملاء حذفاً آمناً خلال 30 يوماً من تاريخ الانتهاء
- يُتاح للمتجر طلب نسخة من بياناته قبل الحذف خلال 14 يوماً
- تبقى الالتزامات المتعلقة بالسرّية سارية بعد انتهاء الاتفاقية
- تُحتفظ سجلات التدقيق فقط لمدة سنة واحدة لأغراض الامتثال