سياسة الخصوصية
آخر تحديث: مارس 2026
1. المقدمة والجهة المتحكمة في البيانات
Winston the Pug ("نحن"، "لنا"، "الخاص بنا"). نحن الجهة المتحكمة في البيانات والمسؤولة عن بياناتك الشخصية. نحن مسجلون لدى مكتب مفوض المعلومات (ICO) تحت رقم التسجيل 31337.
توضح سياسة الخصوصية هذه كيف نجمع معلوماتك ونستخدمها ونخزنها ونحميها عند استخدامك خدمة مساعد الذكاء الاصطناعي الخاصة بنا ("الخدمة")، وذلك وفقًا للائحة العامة لحماية البيانات في المملكة المتحدة (UK GDPR)، وقانون حماية البيانات لعام 2018، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي (EU GDPR، اللائحة 2016/679).
2. مسؤول حماية البيانات
لقد عيّنا مسؤولًا لحماية البيانات (DPO) يمكن التواصل معه عبر dpo@pug.bot لأي أسئلة تتعلق بمعالجة بياناتك الشخصية أو ممارسة حقوقك.
3. البيانات التي نجمعها
نجمع الفئات التالية من البيانات:
- الرسائل: الرسائل النصية التي ترسلها إلى بوت Winston the Pug عبر منصات المراسلة المدعومة.
- معلومات الملف الشخصي للمستخدم: اسمك ومعرّفات الاتصال وتفضيلات الحساب.
- ملفات المعلومات الذكية: التفضيلات والروتينات والاهتمامات المصرّح بها والمستخلصة من تفاعلاتك، والتي يمكنك عرضها أو تعديلها أو حذفها في أي وقت.
- رموز الخدمات المتصلة: بيانات اعتماد OAuth لخدمات الجهات الخارجية التي تختار ربطها.
- مقاييس الاستخدام: عدد الرموز المستهلكة، والطوابع الزمنية للطلبات، وبيانات تعريف الجلسة.
نحن لا NOTنخزن محتوى الرسائل على المدى الطويل. تكون المحادثات قائمة على الجلسات مع مهلة عدم نشاط قدرها 30-minute. بمجرد انتهاء صلاحية الجلسة، يتم التخلص من محتوى الرسائل.
4. الأساس القانوني للمعالجة
نعالج بياناتك الشخصية استنادًا إلى الأسس القانونية التالية بموجب المادة 6 من GDPR:
| نشاط المعالجة | الأساس القانوني | المادة |
|---|---|---|
| تقديم ردود الذكاء الاصطناعي وتنفيذ المهام | تنفيذ العقد | Art. 6(1)(b) |
| إدارة الجلسات والمحادثات | تنفيذ العقد | Art. 6(1)(b) |
| إنشاء ملفات المعلومات الذكية وصيانتها | الموافقة | Art. 6(1)(a) |
| ربط خدمات الجهات الخارجية (OAuth) | الموافقة | Art. 6(1)(a) |
| تحسين جودة الخدمة وموثوقيتها | المصالح المشروعة | Art. 6(1)(f) |
| تدابير الأمان ومنع الاحتيال | المصالح المشروعة | Art. 6(1)(f) |
| معالجة بيانات الأطفال (الخطة العائلية) | موافقة الوالدين | Art. 6(1)(a), Art. 8 |
عندما نعتمد على المصالح المشروعة، نكون قد أجرينا اختبار موازنة للتأكد من أن مصالحنا لا تطغى على حقوقك وحرياتك الأساسية.
5. كيف نستخدم البيانات
نستخدم البيانات التي نجمعها للأغراض التالية:
- لتقديم ردود المساعد الذكي وتنفيذ المهام نيابةً عنك.
- للحفاظ على سياق المحادثة ضمن الجلسات النشطة.
- لإنشاء ملفات معلومات ذكية للمستخدمين والحفاظ عليها، بما في ذلك تفضيلاتك وروتينك واهتماماتك المصرّح بها. يمكنك عرض هذه الملفات أو تعديلها أو حذفها في أي وقت.
- لتحسين جودة الخدمة وموثوقيتها وأدائها بشكل عام.
6. إنشاء الملفات الشخصية واتخاذ القرارات الآلية
ننشئ ونحافظ على ملفات معلومات ذكية بناءً على تفاعلاتك مع الخدمة. تشمل هذه الملفات تفضيلاتك وروتينك واهتماماتك المصرّح بها، وتُستخدم لتخصيص ردود الذكاء الاصطناعي ومساعدتك بشكل استباقي. ويُعد ذلك إنشاءً للملفات الشخصية بموجب المادة 4(4) من اللائحة العامة لحماية البيانات (GDPR).
يعتمد إنشاء هذه الملفات الشخصية على موافقتك. لا تُتخذ أي قرارات ذات آثار قانونية أو آثار مهمة مماثلة اعتمادًا فقط على المعالجة الآلية. يمكنك عرض ملف معلوماتك الذكية أو تعديله أو حذفه في أي وقت عبر لوحة التحكم، كما يجوز لك الاعتراض على إنشاء الملفات الشخصية بموجب المادة 21 (راجع حقوقك أدناه).
7. الخدمات المتصلة
عندما تربط خدمات تابعة لجهات خارجية مثل Gmail أو Google Calendar أو Google Drive أو GitHub، فإننا نصل إلى البيانات عبر تلك الخدمات باستخدام رموز OAuth التي تفوّضها صراحةً. نطلب الحد الأدنى من الأذونات اللازمة لتنفيذ الإجراءات التي تطلبها. يتم تشفير رموز تحديث OAuth الخاصة بك أثناء التخزين باستخدام تشفير مغلف موثّق (AES-256-GCM مع مفتاح بيانات فريد لكل سجل، يتم تغليفه بدوره بواسطة مفتاح رئيسي محفوظ في مدير أسرار منفصل). تُحتفظ رموز الوصول قصيرة العمر في الذاكرة فقط ولا تُكتب أبدًا على القرص. يمكنك إلغاء الوصول إلى أي خدمة متصلة في أي وقت من خلال لوحة تحكم Winston the Pug أو مباشرةً من إعدادات خدمة الجهة الخارجية؛ وعند القيام بذلك، يُحذف الرمز المخزن ويتم إلغاؤه لدى المزوّد.
7.1 واجهات Google Workspace API — الاستخدام المحدود
سيلتزم استخدام Winston the Pug للمعلومات المستلمة من Google APIs ونقلها إلى أي تطبيق آخر بـ سياسة بيانات مستخدمي خدمات Google API، بما في ذلك متطلبات الاستخدام المحدود.
نطلب فقط نطاقات الأذونات اللازمة للميزات التي تستخدمها:
- عرض بريدك الإلكتروني وتنزيله (gmail.readonly): للبحث في الرسائل وقراءتها عندما تطلب ذلك (مثلًا: “هل توجد أي رسائل بريد إلكتروني مهمة هذا الأسبوع؟”).
- إرسال البريد الإلكتروني نيابةً عنك (gmail.send): فقط بعد أن تؤكد كل رسالة صراحةً — لا نرسل أبدًا دون تأكيد.
- التقويم (calendar.readonly, calendar.events): لقراءة أحداثك وإنشاء الأحداث التي تطلبها (مع التأكيد).
- Drive (drive.readonly, drive.file): للعثور على الملفات التي تفوّضها وقراءتها.
لا نستخدم البيانات التي نحصل عليها عبر Google Workspace APIs لتطوير أو تحسين أو تدريب نماذج ذكاء اصطناعي أو تعلّم آلي عامة أو غير مخصصة. عند تلبية طلب ما، تُرسل بيانات Google ذات الصلة إلى مزوّد معالجة الذكاء الاصطناعي لدينا بشكل عابر وفقط للإجابة عن ذلك الطلب المحدد؛ ولا نحتفظ بها بعد الطلب ولا نستخدمها للإعلانات أو لأي غرض غير ذي صلة. لا يقرأ أي إنسان بياناتك من Google إلا (أ) بموافقتك الصريحة (على سبيل المثال، لحل مشكلة دعم)، أو (ب) عندما يكون ذلك ضروريًا للأمان أو للامتثال للقانون المعمول به، أو (ج) عندما يكون ذلك مطلوبًا لإصلاح مشكلة تقنية أو منعها. يمكنك حذف جميع بيانات الخدمات المتصلة في أي وقت عن طريق فصل الحساب أو حذف حسابك في Winston the Pug.
8. تخزين البيانات والاحتفاظ بها
تُخزَّن بياناتك على بنية تحتية مؤمّنة مع ضمانات تقنية وتنظيمية مناسبة. تُخزَّن إدخالات الذاكرة طويلة الأمد والمعرفة في مخزن الذاكرة المشفّر لدينا — والمدعوم من GraphANN™، التي نُديرها بأنفسنا — مشغّل البيانات المسجّل لدى ICO — مع تشفير وعزل لكل مستخدم، بحيث لا تختلط بياناتك أبدًا ببيانات مستخدمين آخرين.
نحتفظ ببياناتك للفترات التالية:
- رسائل المحادثة: تُحذف تلقائيًا بعد 30 دقيقة من عدم نشاط الجلسة.
- ملفات المعلومات وإدخالات المعرفة: يتم الاحتفاظ بها طوال مدة نشاط حسابك؛ وتُحذف خلال 30 يومًا من إغلاق الحساب.
- رموز OAuth: تُحذف فورًا عند قطع الاتصال أو إغلاق الحساب.
- مقاييس الاستخدام: يتم الاحتفاظ بها لمدة 12 شهرًا، ثم تُجعل مجهولة الهوية.
- بيانات الحساب: تُحذف خلال 30 يومًا من طلب حذف الحساب.
- النسخ الاحتياطية التي تحتوي على بيانات شخصية: تُزال نهائيًا خلال 90 يومًا من طلب الحذف.
9. مشاركة البيانات والمعالِجون الفرعيون
نحن لا نبيع بياناتك الشخصية. ولا نمارس الإعلانات أو إنشاء ملفات تعريف سلوكية لصالح أطراف ثالثة أو وساطة البيانات بأي شكل من الأشكال. قد تتم مشاركة بياناتك مع الفئات التالية من المستلمين فقط لتقديم الخدمة:
- مزوّدو معالجة الذكاء الاصطناعي: لإنشاء ردود الذكاء الاصطناعي على طلباتك.
- منصات المراسلة: WhatsApp (Meta Platforms) وTelegram، لتسليم الرسائل.
- الخدمات المتصلة: Google (Gmail وCalendar وDrive) وGitHub، وذلك فقط عندما تكون قد ربطت هذه الخدمات صراحةً.
نحتفظ باتفاقيات معالجة البيانات (DPAs) مع جميع المعالِجين وفقًا للمادة 28 من GDPR.
10. نقل البيانات دوليًا
لتقديم الخدمة، قد تتم معالجة بياناتك بواسطة مزوّدي الذكاء الاصطناعي ومنصات المراسلة الموجودة خارج المملكة المتحدة والمنطقة الاقتصادية الأوروبية. عندما ننقل البيانات الشخصية دوليًا، نضمن وجود الضمانات المناسبة وفقًا للمواد 44 إلى 49 من GDPR، بما في ذلك:
- اتفاقية نقل البيانات الدولية في المملكة المتحدة (UK IDTA) أو البنود التعاقدية القياسية للاتحاد الأوروبي (SCCs).
- قرارات الملاءمة حيثما تنطبق.
- تدابير أمنية تكميلية تشمل التشفير أثناء النقل وعند التخزين.
يمكنك طلب تفاصيل الضمانات المحددة المطبّقة من خلال التواصل مع مسؤول حماية البيانات لدينا.
11. حقوقك
بموجب UK GDPR وEU GDPR، لديك الحقوق التالية:
- الوصول (المادة 15): طلب نسخة من بياناتك الشخصية وملفات المعلومات الخاصة بك في أي وقت عبر لوحة التحكم.
- التصحيح (المادة 16): تصحيح البيانات غير الدقيقة أو غير المكتملة في ملفك الشخصي.
- المحو (المادة 17): حذف أي من بياناتك المخزنة أو كلها، بما في ذلك ملفات المعلومات وإدخالات المعرفة.
- تقييد المعالجة (المادة 18): اطلب منا تقييد معالجة بياناتك أثناء حل أي نزاعات تتعلق بالدقة أو المشروعية.
- قابلية نقل البيانات (المادة 20): صدّر بياناتك بتنسيق قابل للنقل ومقروء آليًا.
- الاعتراض (المادة 21): اعترض على المعالجة المستندة إلى مصالحنا المشروعة، بما في ذلك التنميط. سنتوقف عن المعالجة ما لم نثبت وجود أسباب مشروعة قاهرة تتجاوز مصالحك.
- سحب الموافقة (المادة 7(3)): عندما نعتمد على موافقتك (على سبيل المثال، لملفات التعريف الاستخباراتية أو الخدمات المتصلة)، يمكنك سحب موافقتك في أي وقت. لا يؤثر السحب على مشروعية المعالجة التي تمت قبل السحب.
- حذف الحساب: اطلب الإزالة الدائمة لجميع البيانات المرتبطة.
لممارسة أي من هذه الحقوق، تواصل مع مسؤول حماية البيانات لدينا على dpo@pug.bot. سنرد خلال شهر واحد كما يقتضي القانون.
الحق في تقديم شكوى: يحق لك تقديم شكوى إلى مكتب مفوض المعلومات (ICO) أو إلى سلطة الإشراف المحلية المعنية بحماية البيانات في الاتحاد الأوروبي إذا كنت تعتقد أن بياناتك قد عولجت بشكل غير قانوني.
12. خصوصية الأطفال
صُممت الخدمة للاستخدام العائلي، بما في ذلك الأطفال. نحن ملتزمون بالامتثال لقانون التصميم المناسب للعمر في المملكة المتحدة (قانون الأطفال) ونتخذ التدابير التالية:
- متطلبات العمر: لا يمكن للأطفال دون سن 13 عامًا (المملكة المتحدة) أو دون سن 16 عامًا (الاتحاد الأوروبي، ما لم تحدد الدولة العضو المعنية حدًا أدنى أقل) استخدام الخدمة دون موافقة أبوية موثقة. لا يجوز إنشاء حسابات الأطفال إلا بواسطة أحد الوالدين أو الوصي القانوني من خلال خطة العائلة.
- موافقة الوالدين: يجب على صاحب الحساب الأساسي في خطة العائلة تأكيد أنه الوالد أو الوصي القانوني لأي طفل تتم إضافته، ويجب أن يوافق صراحةً على معالجة البيانات الشخصية لطفله.
- التنميط الاستخباراتي: التنميط الاستخباراتي معطل افتراضيًا لحسابات الأطفال. يمكن لأحد الوالدين أو الوصي تمكينه عبر لوحة التحكم.
- تقليل البيانات: يقتصر جمع البيانات لحسابات الأطفال على ما هو ضروري تمامًا لتقديم الخدمة.
- تصفية المحتوى: تُطبّق تصفية محتوى مناسبة للعمر على الحسابات التي تم تحديدها على أنها تخص قُصّرًا.
- عدم الاستخدام الضار: لن تُستخدم بيانات الأطفال بطرق تضر برفاههم أو تتعارض مع مصالحهم الفضلى.
- أدوات الرقابة الأبوية: يمكن للوالدين مراجعة جميع البيانات المرتبطة بحسابات أطفالهم أو تنزيلها أو تعديلها أو حذفها في أي وقت.
13. تقييمات أثر حماية البيانات
نجري تقييمات أثر حماية البيانات (DPIAs) لأنشطة المعالجة التي يُرجح أن تؤدي إلى مخاطر عالية على حقوق الأفراد وحرياتهم، وفقًا للمادة 35 من GDPR. ويشمل ذلك استخدامنا للذكاء الاصطناعي في معالجة الرسائل، والتنميط الاستخباراتي، ومعالجة بيانات الأطفال.
14. الأمان
نطبق تدابير أمنية قوية لحماية بياناتك، بما في ذلك بيانات اعتماد مشفرة باستخدام تشفير NaCl secretbox، وبنية تحتية مؤمّنة بضوابط وصول، وعمليات تدقيق أمنية منتظمة. ورغم أنه لا يوجد نظام آمن تمامًا، فإننا ملتزمون بالحفاظ على وسائل حماية متوافقة مع معايير الصناعة ومعالجة أي ثغرات يتم تحديدها بسرعة.
15. الإخطار بخرق البيانات
في حال حدوث خرق للبيانات الشخصية يُرجح أن يؤدي إلى خطر على حقوقك وحرياتك، سنخطر سلطة الإشراف المختصة خلال 72 ساعة من علمنا بالخرق، وفقًا للمادة 33 من GDPR. وإذا كان من المرجح أن يؤدي الخرق إلى خطر كبير عليك، فسنخطرك دون تأخير غير مبرر وفقًا للمادة 34.
16. ملفات تعريف الارتباط
نستخدم ملفات تعريف ارتباط محدودة للغاية لأغراض المصادقة وإدارة الجلسات فقط. لا نستخدم ملفات تعريف ارتباط للتتبع، أو ملفات تعريف ارتباط لتحليلات تابعة لجهات خارجية، أو ملفات تعريف ارتباط إعلانية.
| ملف تعريف الارتباط | الغرض | النوع | انتهاء الصلاحية |
|---|---|---|---|
| sc_session | تحديد الجلسة | جلسة | عند إغلاق المتصفح |
| sc_auth | رمز المصادقة | دائم | 30 يومًا |
17. التغييرات على هذه السياسة
قد نقوم بتحديث سياسة الخصوصية هذه من وقت لآخر. سنقدم إشعارًا قبل 30 يومًا على الأقل بأي تغييرات جوهرية عبر البريد الإلكتروني أو إشعار داخل التطبيق. عندما تؤثر التغييرات على أنشطة المعالجة القائمة على موافقتك، سنطلب موافقتك المجددة قبل تطبيق تلك التغييرات. إذا لم توافق على أي تغييرات، يمكنك حذف حسابك وسنتوقف عن معالجة بياناتك.
18. التواصل
إذا كانت لديك أي أسئلة أو مخاوف بشأن سياسة الخصوصية هذه أو ممارساتنا المتعلقة بالبيانات، يرجى التواصل مع:
- مسؤول حماية البيانات:dpo@pug.bot
- الاستفسارات العامة:privacy@pug.bot