الكيان القانوني المُشغِّل المسؤول عن هذه الخدمة هو ⁨{{LEGAL_ENTITY}}⁩ ("Delivery365"، "نحن" أو "لنا" أو "الخاص بنا"). ويجري وضع الكيان القانوني وعنوانه المسجَّل والولاية القضائية لتأسيسه في صيغتها النهائية كجزء من المراجعة القانونية لهذه المسودة، وتظهر هنا كعنصر نائب إلى ذلك الحين.

Delivery365 هي منصة للتوصيل والخدمات اللوجستية تُقدَّم للعملاء التجاريين ("أصحاب الأعمال") ولعملائهم النهائيين وسائقيهم. بالنسبة للبيانات الشخصية التي نجمعها عن حساباتنا وفوترتنا وعمليات منصتنا، تكون Delivery365 هي المتحكم في البيانات. أما البيانات الشخصية التي يرفعها أصحاب الأعمال عن عملائهم النهائيين وسائقيهم، فتعمل Delivery365 بشأنها بصفتها معالج البيانات وفق تعليمات صاحب العمل، ويكون صاحب العمل هو المتحكم في البيانات (انظر القسم 2).

يمكنك التواصل معنا بشأن هذه السياسة، أو ممارسة أي من حقوق الخصوصية الخاصة بك، عبر مراسلتنا على ⁨[email protected]⁩. والطلبات المُرسَلة إلى هذا العنوان هي أيضًا القناة لأي اتصال يتعلق بحماية البيانات، بما في ذلك دور مسؤول حماية البيانات أو الـ encarregado حيثما يكون مطلوبًا؛ ولا نُسمّي شخصًا بعينه في هذه المسودة.

يحق لك أيضًا تقديم شكوى إلى سلطة رقابية لحماية البيانات. وبحسب مكان إقامتك، قد تكون هذه سلطتك الرقابية المحلية في الاتحاد الأوروبي أو المنطقة الاقتصادية الأوروبية، أو مكتب مفوض المعلومات (⁨ICO⁩) في المملكة المتحدة، أو الهيئة الوطنية لحماية البيانات (⁨ANPD⁩) في البرازيل، أو وكالة حماية الخصوصية في كاليفورنيا (⁨CPPA⁩) أو المدعي العام في كاليفورنيا. ونشجعك على التواصل معنا أولًا على ⁨[email protected]⁩ حتى نحاول معالجة ما يقلقك.

تنطبق هذه السياسة على مواقعنا العامة، ولوحة تحكم صاحب العمل، وبوابة العميل، وتطبيق السائق على الهاتف المحمول، وواجهة برمجة التطبيقات للتكامل لدينا. ولا تنطبق على مواقع أو خدمات الأطراف الثالثة التي قد يربط بها صاحب العمل أو يستخدمها؛ فتلك تخضع لسياسات الخصوصية الخاصة بها.

بالنسبة للبيانات الشخصية التي يرفعها العملاء التجاريون ("أصحاب الأعمال") عن عملائهم وسائقيهم، تعمل Delivery365 بصفتها معالجًا للبيانات / مزود خدمة / operador بناءً على تعليمات صاحب العمل؛ ويكون صاحب العمل هو المتحكم في البيانات وهو المسؤول عن الأساس القانوني وعن إعلام هؤلاء الأفراد. أما بيانات حساب أصحاب الأعمال أنفسهم، فتكون Delivery365 هي المتحكم في البيانات.

ولتسهيل قراءة هذه السياسة، نستخدم المصطلحات التالية على نحو متسق في كل أجزائها:

• المتحكم في البيانات — الطرف الذي يقرر سبب وكيفية معالجة البيانات الشخصية.
• معالج البيانات — الطرف الذي يعالج البيانات الشخصية نيابةً عن المتحكم في البيانات ووفق تعليماته (ويُسمّى "مزود خدمة" بموجب قانون كاليفورنيا و"operador" بموجب القانون البرازيلي).
• البيانات الشخصية — أي معلومات تتعلق بفرد محدد أو يمكن تحديد هويته.
• العميل النهائي — مستلِم التوصيل، الذي يرفع صاحب العمل تفاصيله لترتيب ذلك التوصيل.
• صاحب العمل (أو المستأجر) — عميل تجاري يستخدم Delivery365 لتشغيل عملية التوصيل الخاصة به.
• السائق — سائق يستخدم تطبيق الهاتف المحمول لتنفيذ عمليات التوصيل.
• المعالج الفرعي — طرف ثالث يعالج البيانات الشخصية نيابةً عنا لمساعدتنا في تقديم الخدمة.
• الأساس القانوني — السند القانوني، بموجب قانون حماية البيانات المعمول به، الذي يسمح بغرض معالجة محدد.

نجمع فئات البيانات الشخصية المبيّنة أدناه. ولكل فئة نوضح ما إذا كانت Delivery365 هي المتحكم في البيانات (بياناتنا الخاصة) أو معالج البيانات (بيانات يرفعها صاحب العمل عن عملائه وسائقيه).

• بيانات الحساب والهوية (المتحكم في البيانات) — الأسماء وعناوين البريد الإلكتروني وبيانات اعتماد تسجيل الدخول المُجزّأة لموظفي المنصة ومستخدمي أصحاب الأعمال ومستخدمي بوابة العملاء والسائقين، إلى جانب عناوين IP لتسجيل الدخول وتفضيلات اللغة والمنطقة الزمنية.
• بيانات الفوترة (المتحكم في البيانات) — معرّفات فوترة ⁨Stripe⁩ المستخدمة لإدارة الاشتراكات. لا نخزّن أرقام بطاقات الدفع الكاملة على أنظمتنا؛ فبيانات البطاقة تتولاها ⁨Stripe⁩ (انظر القسم 6).
• المعرّفات الضريبية والتجارية (المتحكم في البيانات والمعالج) — أرقام ضريبية مثل ⁨CPF⁩ أو ⁨CNPJ⁩ ومعرّفات التسجيل ذات الصلة لأصحاب الأعمال (بياناتنا) وللعملاء والمستلِمين الذين يرفعهم أصحاب الأعمال (بياناتهم). وحيثما تكون هذه معرّفات حكومية برازيلية، نعاملها على أنها حساسة ونتعامل معها بعناية إضافية؛ ويجري تأكيد تصنيفها الدقيق كجزء من المراجعة القانونية لهذه المسودة.
• بيانات تواصل وعنوان السائق والمستلِم — الأسماء وأرقام الهواتف والعناوين البريدية، بما في ذلك محتوى التوصيل (المستلِمون والعناوين ومعرّفات الفواتير والطلبات وصور وتوقيعات إثبات التسليم والملاحظات الحرة) الذي يرفعه أصحاب الأعمال لترتيب عمليات التوصيل (معالج البيانات)، وبيانات تواصل حساب السائق (المتحكم في البيانات).
• بيانات الموقع الدقيق (المتحكم في البيانات والمعالج) — إحداثيات GPS الدقيقة للسائقين (آخر موقع معروف ومسار التتبع المُسجَّل أثناء عمليات التوصيل) والإحداثيات المُرمَّزة جغرافيًا لنقاط التوصيل. ونتعامل مع تحديد الموقع الجغرافي الدقيق للسائقين باعتباره "تحديد موقع جغرافي دقيق" ومعلومات شخصية حساسة بموجب قانون ولاية كاليفورنيا، وبيانات شخصية عالية الخطورة بموجب القانون الأوروبي والبرازيلي (وهو ليس بذاته فئة خاصة من البيانات). ويُستخدم فقط لتقديم خدمة التوصيل والتحقق منها (انظر القسم 4).
• البيانات التقنية وبيانات القياس عن بُعد وسجلات الأخطاء (المتحكم في البيانات) — سجلات التطبيق والطلبات وتقارير الأخطاء التي قد تتضمن عناوين IP ومعلومات الجهاز والمتصفح ومعاملات الطلب والسياق الذي يلتقطه مزود مراقبة الأخطاء لدينا. ويرشّح تسجيل الطلبات لدينا حاليًا كلمات المرور فقط، لذا قد تظهر بيانات طلب أخرى في هذه السجلات وتقارير الأخطاء؛ وهذا قيد معروف نقوم بمراجعته.
• ملفات تعريف الارتباط وبيانات الجهاز (المتحكم في البيانات) — ملفات تعريف الارتباط الخاصة بالطرف الأول اللازمة لتشغيل الخدمة وعدد صغير من ملفات تعريف الارتباط الخاصة بأدوات الطرف الثالث (انظر القسم 5).

نحن لا نجمع عن قصد فئات خاصة من البيانات مثل البيانات البيومترية أو الصحية أو أرقام الضمان الاجتماعي الحكومية بخلاف المعرّفات الضريبية الموضّحة أعلاه، ولا نجمع عن علم بيانات من الأطفال (انظر قسم بيانات الأطفال في هذه السياسة).

نستخدم البيانات الشخصية فقط للأغراض المبيّنة أدناه، ونعتمد على أساس قانوني يتناسب مع كل غرض. ولا نعتمد على ادعاء موافقة واحد شامل لكل ما نقوم به.

• إنشاء الحساب والمصادقة — لإنشاء حسابك وتأمينه. الأساس: تنفيذ عقد (⁨⁨GDPR⁩ Art. 6(1)(b)⁩؛ ⁨LGPD⁩ execução de contrato؛ غرض تجاري بموجب ⁨CCPA⁩).
• الفوترة والاشتراكات — لإدارة الاشتراكات وتحصيل الدفع عبر ⁨Stripe⁩ والاحتفاظ بسجلات الفواتير والضرائب. الأساس: تنفيذ عقد والامتثال لالتزام قانوني (⁨⁨GDPR⁩ Art. 6(1)(b)⁩ و(c)؛ ⁨LGPD⁩ execução de contrato وobrigação legal).
• تنفيذ التوصيل وتحديد المسارات — لتخطيط عمليات التوصيل وتنفيذها والتحقق منها، بما في ذلك الترميز الجغرافي وحساب المسار. الأساس: تنفيذ عقد (⁨⁨GDPR⁩ Art. 6(1)(b)⁩؛ ⁨LGPD⁩ execução de contrato).
• إسناد السائق وتتبّع GPS — لإسناد عمليات التوصيل وتوفير الرؤية التشغيلية وإثبات الخدمة والسلامة أثناء عمليات التوصيل النشطة. الأساس: تنفيذ عقد مدعوم بمصلحتنا المشروعة في الرؤية التشغيلية وإثبات الخدمة وسلامة السائق والمستلِم — وليس الموافقة. ويحق لك الاعتراض على المعالجة القائمة على المصلحة المشروعة. ويُعامَل تحديد الموقع الجغرافي الدقيق باعتباره معلومات شخصية حساسة بموجب قانون كاليفورنيا ويُستخدم فقط لتقديم الخدمة.
• إشعارات العملاء والبريد الإلكتروني المعاملاتي — لإرسال رسائل تشغيلية مثل إشعارات الحساب والتوصيل والفوترة (وليست تسويقية). الأساس: تنفيذ عقد (⁨⁨GDPR⁩ Art. 6(1)(b)⁩؛ ⁨LGPD⁩ execução de contrato).
• مراقبة الأخطاء والأمن — للحفاظ على أمان المنصة وبيانات عملائنا وتوافرها وخلوّها من إساءة الاستخدام. الأساس: مصلحتنا المشروعة في الأمن (⁨GDPR⁩ Art. 6(1)(f)؛ ⁨LGPD⁩ legítimo interesse). ويحق لك الاعتراض.
• تحليلات المنتج — لفهم كيفية استخدام الخدمة وتحسينها. نستخدم تحليلات من الطرف الأول تعمل من جانب الخادم ولا تضبط ملف تعريف ارتباط للتتبع. الأساس: مصلحتنا المشروعة في تحسين الخدمة، مع إتاحة الانسحاب عبر مراسلتنا على ⁨[email protected]⁩ — وليس الموافقة.
• تتبّع العملاء المحتملين والتحويل — لقياس كيفية اكتساب الحسابات التجارية وتحويلها، وهو ما يتضمن إرسال اسم مسؤول رئيسي وبريده الإلكتروني وبعض تفاصيل الحساب إلى مزود تتبّع. الأساس: مصلحتنا المشروعة في قياس الاكتساب، مع إتاحة الانسحاب عبر مراسلتنا على ⁨[email protected]⁩ — وليس الموافقة.
• الاحتفاظ القانوني والضريبي — للامتثال لالتزامات الفوترة والضرائب وغيرها من الالتزامات القانونية. الأساس: الامتثال لالتزام قانوني (⁨GDPR⁩ Art. 6(1)(c)؛ ⁨LGPD⁩ obrigação legal).

بالنسبة للبيانات التي يرفعها أصحاب الأعمال عن عملائهم وسائقيهم، لا تملك Delivery365 أساسًا قانونيًا مستقلًا. ونحن نعالج تلك البيانات فقط بصفتنا معالج البيانات وفق تعليمات صاحب العمل، ويقوم صاحب العمل، بصفته المتحكم في البيانات، باختيار الأساس القانوني وتوثيقه وإعلام الأفراد المتأثرين.

نستخدم عددًا صغيرًا من ملفات تعريف الارتباط الخاصة بالطرف الأول الضرورية لتشغيل الخدمة، إضافةً إلى عدد صغير من ملفات تعريف ارتباط أدوات الطرف الثالث التي قد تضبطها برامج نصية خارجية. ونحن لا نُحمّل أي أداة تتبّع تحليلات أو إعلانات من طرف ثالث على جانب العميل، ولا نضبط ملف تعريف ارتباط تحليلات من طرف ثالث: فتحليلات منتجنا (⁨Ahoy⁩) تعمل من جانب الخادم مع إيقاف واجهة برمجة التطبيقات، لذا فهي لا تضبط أي ملف تعريف ارتباط على جانب العميل.

تسجّل لافتة ملفات تعريف الارتباط العامة إقرارك في وحدة التخزين المحلية (localStorage) في متصفحك (تحت المفتاح "⁨accept-terms⁩")، وليس في ملف تعريف ارتباط. ونحن لا نُشغّل منصة لإدارة الموافقة (CMP)؛ فإدارة تفضيلات ملفات تعريف الارتباط عبر منصة موافقة خارجة عن نطاق هذه الخدمة.

أما ملفات تعريف الارتباط الدقيقة التي تضبطها البرامج النصية لطرف ثالث ⁨Cloudflare⁩ ⁨Turnstile⁩ و⁨TurboChat⁩ فيتحكم بها هؤلاء البائعون ولا يمكن تحديدها بدقة من شيفرتنا الخاصة؛ ولتلك الصفوف نصفها بأنها يتحكم بها البائع وقيد المراجعة، وعليك الرجوع إلى سياسة البائع المعنية للحصول على القائمة النهائية.

وملفات تعريف الارتباط والتقنيات المماثلة المستخدمة هي:

لتقديم الخدمة نعتمد على المعالجين الفرعيين المذكورين أدناه. ويعمل كل منهم بصفته معالج البيانات / مزود خدمة / operador، إذ يعالج البيانات الشخصية نيابةً عنا بموجب شروط معالجة البيانات (مثل الشروط المستوفية للمادة 28 من ⁨GDPR⁩، أو متطلبات مزود الخدمة في ⁨CCPA⁩، أو متطلبات الـ operador في ⁨LGPD⁩). ولا ندرج إلا المعالجين الفرعيين الذين تعتمد عليهم الخدمة فعليًا.

تحليلاتنا من الطرف الأول العاملة من جانب الخادم (⁨Ahoy⁩) تُبقي بياناتها داخل قاعدة بياناتنا الخاصة ولا ترسل بيانات إلى طرف ثالث، كما تعمل طابور المهام والذاكرة المؤقتة المستضافة ذاتيًا لدينا (⁨Redis⁩ / ⁨Sidekiq⁩) على بنيتنا التحتية الخاصة؛ وليس أيٌّ منهما معالجًا فرعيًا من طرف ثالث، وإن كانت حمولات المهام المحفوظة في ⁨Redis⁩ قد تشير إلى بيانات شخصية أثناء انتظار تنفيذ مهمة. وحيثما لم تُؤكَّد بعد منطقة استضافة معالج فرعي أو ضمانة نقله، تظهر ضمانته على أنها "⁨⁨SCCs⁩/⁨DPF⁩ — to be confirmed⁩" ويجري وضعها في صيغتها النهائية كجزء من المراجعة القانونية لهذه المسودة (انظر القسم 7).

والمعالجون الفرعيون هم:

لأن Delivery365 تُقدَّم عالميًا، يقع بعض المعالجين الفرعيين المذكورين في القسم 6 خارج المنطقة الاقتصادية الأوروبية (EEA)، بما في ذلك في الولايات المتحدة. وهذا يعني أن بياناتك الشخصية قد تُنقل إلى دول تختلف قوانين حماية البيانات فيها عن قوانين مكان إقامتك وتُعالَج فيها. ونحن لا ندّعي أننا لا ننقل البيانات الشخصية دوليًا أبدًا؛ بل نعتمد بدلًا من ذلك على آلية نقل معترف بها لكل عملية نقل، مُسمّاة لكل معالج فرعي في القسم 6.

وآليات النقل التي نعتمد عليها، بحسب فئة المعالج الفرعي، هي:

• ⁨Stripe⁩ وGoogle Maps و⁨Cloudflare⁩ — إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (⁨DPF⁩)، مع امتداده الخاص بالمملكة المتحدة وامتداد ⁨DPF⁩ بين سويسرا والولايات المتحدة حيثما انطبق، مدعومًا بالبنود التعاقدية القياسية (⁨SCCs⁩) كحل احتياطي.
• Mailtrap — البنود التعاقدية القياسية للاتحاد الأوروبي مع ملحق نقل البيانات الدولي للمملكة المتحدة.
• ⁨DigitalOcean Spaces⁩ — البنود التعاقدية القياسية مع تثبيت المنطقة، بحيث تبقى البيانات المخزَّنة في المنطقة التي نختارها.
• ⁨Honeybadger⁩ و⁨TurboChat⁩ و⁨Risenexa⁩ وExpo — لا تزال منطقة استضافة هؤلاء البائعين وضمانة نقلهم قيد التأكيد كجزء من المراجعة القانونية لهذه المسودة؛ وتظهر ضمانتهم على أنها "⁨⁨SCCs⁩/⁨DPF⁩ — to be confirmed⁩" ويجب ألا تُقرأ على أنها ادعاء نهائي مُتحقَّق منه.

وتفرض الأنظمة المختلفة متطلبات مختلفة على عمليات النقل هذه، ونراعيها على النحو التالي:

• المملكة المتحدة — البنود التعاقدية القياسية للاتحاد الأوروبي وحدها لا تكفي لعمليات النقل المقيَّدة بموجب قانون حماية البيانات في المملكة المتحدة. ولعمليات النقل إلى المملكة المتحدة نعتمد على اتفاقية نقل البيانات الدولية للمملكة المتحدة (⁨IDTA⁩) أو ملحق المملكة المتحدة لبنود الاتحاد الأوروبي التعاقدية القياسية، بصيغتها المحدَّثة من مكتب مفوض المعلومات (⁨ICO⁩)، إلى جانب تقييم لمخاطر النقل.
• البرازيل — بموجب ⁨LGPD⁩ وقواعد النقل الدولي للهيئة الوطنية لحماية البيانات (⁨ANPD⁩)، تعتمد عمليات النقل من البرازيل على البنود التعاقدية القياسية المعتمَدة من ⁨ANPD⁩ (cláusulas-padrão) أو أساس قانوني آخر بموجب المادة 33، إضافةً إلى أساس قانوني للمعالجة نفسها. كما ننشر معلومات عن عمليات النقل الدولي باللغة البرتغالية على موقعنا، ويمكنك طلب النص الكامل لبنود النقل ذات الصلة، الذي سنقدّمه خلال 15 يومًا (مع مراعاة حماية الأسرار التجارية)، كجزء من حقك في المعلومات بموجب ⁨LGPD⁩.
• سويسرا — بالنسبة للأفراد في سويسرا نعتمد، حيثما انطبق، على امتداد إطار خصوصية البيانات بين سويسرا والولايات المتحدة للمعالجين الفرعيين في الولايات المتحدة الذين يحملونه. ولا ندّعي أننا عيّنّا ممثلًا سويسريًا.

ولا تُغني آلية النقل عن الحاجة إلى أساس قانوني للمعالجة الأساسية؛ فكلاهما ينطبق. وإذا كانت لديك أسئلة حول عملية نقل محددة، فراسلنا على ⁨[email protected]⁩.

نحتفظ بالبيانات الشخصية فقط طالما كان لدينا غرض وأساس قانوني للاحتفاظ بها، ونصف أدناه مدة الاحتفاظ بكل فئة، بحسب الفئة والمعايير التي نستخدمها. ولا نعتمد على عبارة مجرّدة "طالما كان ذلك ضروريًا" دون سند خلفها. وبعض الفترات الرقمية المحددة (مثل العدد الدقيق للأيام التي يُحتفظ فيها ببيانات GPS للسائق، أو مدة الاحتفاظ بسجلات التطبيق) لا تزال قيد التحديد كجزء من المراجعة القانونية لهذه المسودة، وحيثما كان الأمر كذلك نقول ذلك بدلًا من اختلاق رقم.

بالنسبة للبيانات التي نتحكم بها:

• بيانات الحساب والهوية (المتحكم في البيانات) — يُحتفظ بها طوال مدة الحساب. وعند حذف حساب صاحب عمل أو مستخدم بوابة عملاء أو سائق أو موظف، تُزال السجلات المرتبطة. كما نحتفظ بالبيانات للمدة التي يقتضيها القانون الضريبي والمحاسبي والتجاري المعمول به، وللمدة اللازمة لإثبات المطالبات القانونية أو ممارستها أو الدفاع عنها، ثم تُحذف بعد ذلك.
• سجلات الفوترة والضرائب (المتحكم في البيانات) — يُحتفظ بها للمدة التي يقتضيها القانون الضريبي والمحاسبي المعمول به (التزام قانوني بموجب ⁨GDPR⁩ Art. 6(1)(c) / ⁨LGPD⁩ obrigação legal)، وهي عادةً عدة سنوات، حتى بعد إغلاق الحساب.
• بيانات GPS والموقع للسائق (المتحكم في البيانات / المعالج) — يُحتفظ بنقاط تتبّع GPS للسائق طوال مدة سجل التوصيل المرتبط وتُحذف معه (حذف نهائي متسلسل عند إزالة التوصيل الأصل). ولا يوجد تطهير تلقائي منفصل أقصر لنقاط GPS، ويجري وضع مدة احتفاظ مستقلة محددة لبيانات الموقع في صيغتها النهائية كجزء من المراجعة القانونية لهذه المسودة؛ ولا نذكر رقمًا مختلَقًا هنا.
• سجلات التطبيق والطلبات وبيانات المهام في الخلفية وتقارير الأخطاء والتحليلات (المتحكم في البيانات) — تشمل عناصر مثل سجلات تطبيق Rails وحمولات طابور المهام المحفوظة أثناء انتظار مهمة في الخلفية وتحليلاتنا من الطرف الأول والسياق الذي يلتقطه مزود مراقبة الأخطاء لدينا. ولهذه الفئات لم تُحدَّد بعد مدة ثابتة واحدة في إعداداتنا: فهي تُحتفظ بها طوال مدة الحساب إضافةً إلى المدة التي يقتضيها القانون الضريبي أو التجاري المعمول به وحاجتنا التشغيلية والأمنية، ويجري وضع الفترات الرقمية المحددة في صيغتها النهائية كجزء من المراجعة القانونية لهذه المسودة. وبعض هذه المخازن يحتفظ بها المعالجون الفرعيون وتخضع لمدة احتفاظهم الخاصة (انظر القسم 6).

أما البيانات التي يرفعها صاحب العمل عن عملائه وسائقيه (حيث تكون Delivery365 معالج البيانات)، فيخضع الاحتفاظ بها لتعليمات صاحب العمل المتحكم في البيانات واتفاقه معنا. ونحتفظ بتلك البيانات أثناء استخدام صاحب العمل للخدمة ونحذفها وفق تعليماته — بما في ذلك عبر الحذف المتسلسل الذي يزيل سجلات عميل أو توصيل عند حذف السجل الأصل. ويكون صاحب العمل، بصفته المتحكم في البيانات، مسؤولًا عن تحديد مدة الاحتفاظ بتلك البيانات.

وعند انتهاء مدة الاحتفاظ، نحذف البيانات أو، حيثما يتعذّر الحذف فورًا (مثل البيانات المحفوظة في النسخ الاحتياطية أو في مخزن معالج فرعي)، نعزلها عن أي معالجة أخرى إلى أن يتسنّى حذفها.

نأخذ أمن البيانات الشخصية على محمل الجد ونطبّق تدابير تقنية وتنظيمية مناسبة مصمَّمة لحمايتها من الوصول أو التعديل أو الإفصاح أو الإتلاف غير المصرّح به. والتدابير الموصوفة هنا هي الضوابط التي تنفّذها أنظمتنا فعليًا؛ ونصفها بعبارات عامة بدلًا من الكشف عن تفاصيل الإعداد التي قد تساعد مهاجمًا.

وتشمل التدابير التي نطبّقها:

• التشفير أثناء النقل — تُحمى حركة البيانات بين متصفحك أو جهازك وخدمتنا، وبين خدمتنا والمعالجين الفرعيين الذين نعتمد عليهم، باستخدام أمن طبقة النقل (⁨TLS⁩)، وتتحقق اتصالاتنا من الخادم إلى المعالج الفرعي من شهادة الطرف الآخر.
• حماية كلمات المرور — تُخزَّن كلمات مرور الحسابات فقط كقيم تجزئة أحادية الاتجاه مملّحة (⁨bcrypt⁩)، وليس أبدًا كنص عادي.
• حماية مفاتيح واجهة برمجة التطبيقات — تُخزَّن مفاتيح واجهة برمجة تطبيقات التكامل فقط كملخّصات ⁨SHA-256⁩ أحادية الاتجاه، وليس أبدًا كالمفتاح الأصلي.
• تخزين الملفات الخاص — تُخزَّن الملفات المرفوعة (مثل صور إثبات التسليم) في تخزين كائنات غير عام وتُقدَّم فقط عبر روابط محدودة المدة وعند الطلب بدلًا من عناوين URL عامة.
• مصادقة تطبيق الهاتف المحمول — يصادق تطبيق السائق على الهاتف المحمول برموز مُوقَّعة (⁨JWT⁩) يمكن إبطالها فرديًا.
• العزل متعدد المستأجرين — تُفصل بيانات كل عميل تجاري منطقيًا، ويُحدَّد نطاق الوصول بحيث لا يستطيع عميل تجاري قراءة بيانات عميل آخر.
• الحماية من إساءة الاستخدام والروبوتات — تُحمى النماذج العامة بتحدٍّ للحماية من الروبوتات وإساءة الاستخدام، وتخضع واجهة برمجة تطبيقات التكامل لدينا لتحديد المعدّل.

لا توجد طريقة نقل عبر الإنترنت أو طريقة تخزين إلكتروني آمنة تمامًا، لذا فبينما نسعى لحماية بياناتك الشخصية لا يمكننا أن نعدك بأنها ستكون دائمًا آمنة تمامًا. ولا ندّعي أي شهادة أمنية في هذه المسودة، ولا نؤكّد تشفير البيانات أثناء الراحة، لأن ذلك قيد التأكيد بشكل منفصل كجزء من المراجعة القانونية والبنية التحتية؛ ويصف هذا القسم فقط الضوابط التي تنفّذها شيفرتنا فعليًا. وإذا كنت تعتقد أن حسابك أو بياناتك قد تعرّضت للاختراق، فراسلنا على ⁨[email protected]⁩.

بحسب مكان إقامتك والقانون المنطبق عليك، تتمتع بحقوق على بياناتك الشخصية. ونحن نحترم هذه الحقوق بالنسبة للبيانات التي نتحكم بها. ولممارسة أي منها، أو لطرح سؤال حول هذه السياسة، راسلنا على ⁨[email protected]⁩. وسنتحقق من هويتك قبل التصرف بناءً على طلب، ولا نتقاضى رسومًا مقابل ممارسة حقوقك (إلا حيثما يكون الطلب غير مبرَّر بوضوح أو مفرطًا، بقدر ما يسمح به القانون)، ونهدف إلى الرد خلال شهر واحد، قد نمدّه بما يصل إلى شهرين إضافيين للطلبات المعقّدة أو المتعددة، مع إبلاغك إذا احتجنا إلى الوقت الإضافي.

إذا انطبق عليك القانون العام لحماية البيانات في الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية أو في المملكة المتحدة، فيحق لك: الوصول إلى بياناتك؛ تصحيح البيانات غير الدقيقة؛ محو بياناتك؛ تقييد معالجتنا؛ قابلية نقل البيانات؛ الاعتراض على المعالجة القائمة على مصالحنا المشروعة؛ وحيثما نعتمد على الموافقة، سحب تلك الموافقة في أي وقت دون التأثير على المعالجة السابقة. كما يحق لك تقديم شكوى إلى سلطة رقابية لحماية البيانات — سلطتك المحلية في الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية، أو مكتب مفوض المعلومات (⁨ICO⁩) في المملكة المتحدة — وإن كنا نطلب منك التواصل معنا أولًا على ⁨[email protected]⁩ حتى نحاول معالجة ما يقلقك.

إذا انطبق عليك القانون البرازيلي ⁨LGPD⁩، فلك الحقوق المنصوص عليها في المادة 18، بما في ذلك: تأكيد أننا نعالج بياناتك والوصول إليها؛ التصحيح؛ إخفاء الهوية أو الحجب أو حذف البيانات غير الضرورية أو المفرطة أو المعالَجة على نحو غير ممتثل للقانون؛ قابلية النقل؛ حذف البيانات المعالَجة بموافقة؛ معلومات عن الجهات العامة والخاصة التي شاركنا معها بياناتك؛ معلومات عن إمكانية رفض الموافقة وعواقب ذلك؛ وإلغاء الموافقة. ولك أيضًا حق في المعلومات بشأن عمليات النقل الدولي لدينا: يمكنك طلب النص الكامل لبنود النقل ذات الصلة، الذي سنقدّمه خلال 15 يومًا (مع مراعاة حماية الأسرار التجارية). ويمكنك تقديم التماس إلى الهيئة البرازيلية لحماية البيانات (⁨ANPD⁩). وقناة اتصالنا لحماية البيانات (قناة الـ Encarregado) هي ⁨[email protected]⁩؛ ولا نُسمّي شخصًا بعينه في هذه المسودة.

إذا انطبق عليك قانون كاليفورنيا ⁨CCPA⁩/⁨CPRA⁩، فيحق لك: معرفة ما نجمعه من معلومات شخصية وكيف نستخدمها ونفصح عنها؛ الوصول إليها والحصول على نسخة منها؛ تصحيح المعلومات غير الدقيقة؛ حذفها؛ الانسحاب من بيع أو مشاركة المعلومات الشخصية؛ تقييد استخدام معلوماتك الشخصية الحساسة والإفصاح عنها (والتي تشمل، بالنسبة لخدمتنا، تحديد الموقع الجغرافي الدقيق للسائق)؛ وألّا تتعرض للتمييز بسبب ممارسة حقوقك. نحن لا نبيع أو نشارك معلوماتك الشخصية وفقًا لتعريف قانون ⁨CCPA⁩. وحيثما يُطلب ذلك، تُتاح خيارات "عدم بيع أو مشاركة معلوماتي الشخصية" و"تقييد استخدام معلوماتي الشخصية الحساسة" عبر مراسلتنا على ⁨[email protected]⁩. وبحسب ولايتك أو بلد إقامتك قد تتمتع بحقوق إضافية؛ راسلنا على ⁨[email protected]⁩ وسنساعدك.

أما الطلبات المتعلقة بالبيانات التي رفعها عميل تجاري (صاحب عمل) عن عملائه أو مستلِميه أو سائقيه، فيجب توجيهها إلى ذلك صاحب العمل، لأن صاحب العمل بالنسبة لتلك البيانات هو المتحكم في البيانات وتعمل Delivery365 بصفتها معالج البيانات لديه فقط. وإذا لم تكن متأكدًا ممن يتحكم في بياناتك، فراسلنا على ⁨[email protected]⁩ وسنوجّه طلبك إلى صاحب العمل المتحكم في البيانات الصحيح ونساعده في الرد.

Delivery365 أداة لوجستية بين الشركات (B2B) مخصَّصة للاستخدام من قِبل الشركات وموظفيها وسائقيها وعملائها، وهي ليست موجَّهة إلى الأطفال. ولا نقصد أن تُستخدم الخدمة من قِبل، ولا نجمع عن علم بيانات شخصية من، أفراد دون سن 16 عامًا (أو السن الأعلى للموافقة الرقمية الذي يحدده قانونك المحلي؛ وتستخدم بعض القوانين سنًّا أدنى، مثل 13 عامًا في الولايات المتحدة أو 13 عامًا بموجب إطار البرازيل الخاص ببيانات الأطفال).

نحن لا نُشغّل أي عملية للتحقق من السن أو لموافقة الوالدين، ولا نَعِد بذلك — فلا وجود لأي منها في الخدمة. وإذا علمنا أننا جمعنا بيانات شخصية من طفل دون أساس قانوني مناسب، فسنحذف تلك البيانات. وإذا كنت تعتقد أن طفلًا قد زوّدنا ببيانات شخصية، فراسلنا على ⁨[email protected]⁩ وسنتخذ الخطوات المناسبة لإزالتها.

نستخدم خوارزميات للمساعدة في تشغيل خدمة التوصيل — مثل تحسين مسارات التوصيل وحسابها، وترميز العناوين جغرافيًا إلى إحداثيات خريطة، وتقدير أوقات التوصيل والالتزام بمستوى الخدمة. وهذه أدوات تشغيلية تدعم الأشخاص الذين يديرون عمليات التوصيل؛ وهي بذاتها لا تتخذ قرارات تُحدِث آثارًا قانونية تخصّك أو تؤثر فيك بصورة مماثلة وجوهرية.

ولأن المرسِلين وأصحاب الأعمال يراجعون هذه المخرجات ويتصرفون بناءً عليها، فثمة تدخّل بشري ذو معنى، وهذه المعالجة ليست "اتخاذ قرار آلي بحت" من النوع الذي تتناوله المادة 22 من اللائحة ⁨GDPR⁩ (أو الحكم المماثل في المادة 20 من قانون ⁨LGPD⁩ البرازيلي). ومن ثَمّ فإننا لا نتخذ بشأنك قرارات آلية ذات آثار قانونية أو آثار مماثلة جوهرية.

نحن لا نرسل بياناتك الشخصية إلى أي خدمة ذكاء اصطناعي أو نموذج لغوي كبير من طرف ثالث لمعالجتها وقت التشغيل. وحيثما يُستخدم الذكاء الاصطناعي لمساعدتنا في إعداد مواد مثل ترجمات هذا الموقع، فإن ذلك يحدث أثناء عملية التطوير لدينا ولا ينطوي على معالجة بياناتك الشخصية.

قد نحدّث سياسة الخصوصية هذه من حين لآخر لتعكس تغييرات في كيفية معالجتنا للبيانات الشخصية، أو في الخدمة، أو في القانون المعمول به. وعندما نُجري تغييرًا جوهريًا، سنتخذ خطوات معقولة لتنبيهك إليه قبل أن يصبح ساريًا — مثلًا عبر إشعار داخل التطبيق أو بريد إلكتروني إلى أصحاب الحسابات المعنيين. أما بالنسبة للتحديثات غير الجوهرية، فسننشر السياسة المنقّحة بتاريخ سريان محدَّث، ونشجعك على مراجعة هذه الصفحة دوريًا.

نحن لا نتعهّد بإخطارك بكل تغيير طفيف، ولا يُنشئ هذا القسم التزامًا بإخطارك على نحو منفصل بشأن التغييرات على المعالجين الفرعيين الذين نستخدمهم؛ والقائمة الحالية للمعالجين الفرعيين موجودة في القسم 6.

⁨LEGAL_REVIEW_REQUIRED⁩ — سياسة الخصوصية هذه مسودة قابلة للدفاع عنها وقائمة على الأدلة، وليست استشارة قانونية. وهي تصف كيف تعالج Delivery365 فعليًا البيانات الشخصية بناءً على قاعدة الشيفرة والإعدادات لدينا، ويجب مراجعتها من قِبل مستشار قانوني مؤهل قبل الاعتماد عليها كوثيقة نهائية ومُلزِمة.

الإصدار: ⁨v2.0⁩.

تاريخ السريان: ⁨{{EFFECTIVE_DATE}}⁩. يظهر تاريخ السريان كعنصر نائب وسيُحدَّد بمجرد اكتمال المراجعة القانونية لهذه المسودة. وإلى ذلك الحين، ينبغي معاملة هذه الوثيقة كمسودة قيد المراجعة القانونية وليست استشارة قانونية نهائية.

كذلك يظهر الكيان القانوني المُشغِّل المسؤول عن الخدمة (⁨{{LEGAL_ENTITY}}⁩) وبعض التفاصيل الأخرى كعناصر نائبة بانتظار تلك المراجعة (انظر القسم 1). ويمكن إرسال الأسئلة حول هذه السياسة إلى ⁨[email protected]⁩.