ملحق معالجة البيانات

ملحق معالجة البيانات

متوافق مع المادة 28 من GDPR + KVKK. العميل هو المتحكِّم. Gurulu هي المعالج. يُقبَل بالإحالة عند التسجيل؛ وتتوفر نسخة موقّعة في باقة الدفع حسب الاستخدام.

آخر تحديث · 19 مايو 2026

القبول بالإحالة

بإنشائك مساحة عمل في Gurulu واستيعابك بيانات أحداث العميل، فإنك تقبل ملحق معالجة البيانات هذا نيابةً عن مؤسستك. لا يلزم توقيع للباقة المجانية — فالملحق مُدمَج بالإحالة في شروط الخدمة. يمكن لعملاء باقة المخصصة طلب نسخة موقّعة بشكل متبادل على قالب ورقي من Gurulu أو التفاوض على تعديلات. راسل legal@gurulu.io.

01. Parties

يُبرَم هذا الملحق بين العميل (الكيان الذي اشترك في Gurulu، ويتصرّف بصفته متحكِّمًا في البيانات) وGurulu Bilişim (التي تتصرّف بصفتها معالجًا للبيانات). حيث يكون العميل نفسه معالجًا لمتحكِّم أعلى في السلسلة، يمتد هذا الملحق ليشمل ذلك الترتيب بوصفه سلسلة معالجة فرعية.

02. الموضوع والمدة

الموضوع: معالجة بيانات أحداث العميل والبيانات الشخصية ذات الصلة من قِبل Gurulu بغرض تقديم خدمات التحليلات، والهوية، والإسناد، والإشعارات الموصوفة في الشروط. المدة: مدة الاشتراك الأساسي، إضافةً إلى نافذة تصدير مدتها 30 يومًا بعد الإنهاء. بعد ذلك، تُحذف بيانات أحداث العميل في عملية المحو المجدولة التالية مع مراعاة الاحتفاظ بالنسخ الاحتياطية (35 يومًا) والاحتفاظ بسجل التدقيق (7 سنوات).

03. فئات البيانات الشخصية

تعالج Gurulu فئات البيانات الشخصية التالية نيابةً عن العميل: • المعرّفات — anonymous_id، وperson_id، والبريد الإلكتروني المُجزَّأ، والهاتف المُجزَّأ، وبصمة الجهاز. • السلوكية — تدفق الأحداث (مشاهدات الصفحات، والنقرات، والأحداث المخصصة)، والبيانات الوصفية للجلسة، ومواضع القمع. • التقنية — عنوان IP (مُقتطع إلى منطقة تقريبية بعد المعالجة)، ووكيل المستخدم، والمُحيل، وحجم الشاشة. • حالة الموافقة — لقطة موافقة من 4 فئات لكل حدث (الضرورية / التحليلات / التسويق / الوظيفية). لا تتطلب Gurulu فئات حساسة من البيانات الشخصية (المادة 9 من GDPR). يجب على العملاء عدم إرسال بيانات الفئات الخاصة دون التواصل أولًا عبر privacy@gurulu.io لتهيئة الضمانات المناسبة.

04. فئات أصحاب البيانات

أصحاب البيانات هم المستخدمون النهائيون للعميل — عادةً الزوار، والمستخدمون المسجّلون، والعملاء، والعملاء المحتملون، وأي شخص طبيعي يتفاعل مع موقع العميل الإلكتروني، أو تطبيقه على الجوال، أو سير العمل على جانب الخادم، أو خطاف الويب الخلفي.

05. التزامات المعالج (المادة 28(3))

تلتزم Gurulu بما يلي: • معالجة بيانات أحداث العميل بناءً على تعليمات موثَّقة من العميل فقط. • ضمان أن يكون الأفراد المخوَّلون بمعالجة بيانات أحداث العميل ملتزمين بالسرية. • تطبيق تدابير تقنية وتنظيمية مناسبة — TLS 1.3 أثناء النقل، وAES-256 أثناء الراحة، وأمان على مستوى الصف في Postgres، وRBAC، وسجل تدقيق مُفعَّل افتراضيًا، وعزل إقليمي. • مساعدة العميل في الاستجابة لطلبات أصحاب البيانات ضمن جداول زمنية معقولة. • إخطار العميل بأي اختراق للبيانات الشخصية دون تأخير لا مبرر له، وفي جميع الأحوال خلال 72 ساعة من العلم به. • حذف بيانات أحداث العميل أو إعادتها عند نهاية العقد، مع مراعاة نوافذ الاحتفاظ المذكورة أعلاه. • إتاحة جميع المعلومات اللازمة لإثبات الامتثال والسماح بعمليات تدقيق بما لا يزيد عن مرة واحدة سنويًا (أو بوتيرة أكبر عند الاقتضاء المعقول بموجب القانون أو من سلطة رقابية).

06. Sub-processors

تستخدم Gurulu المعالجين الفرعيين المدرجين في سياسة الخصوصية (Hetzner، وResend، وStripe من المرحلة 2، وAWS Bedrock للحل الاحتياطي للذكاء الاصطناعي). يمنح العميل بموجب هذا تفويضًا عامًا لهؤلاء المعالجين الفرعيين. ستُخطر Gurulu العميل قبل 30 يومًا على الأقل من إضافة أو استبدال معالج فرعي يعالج بيانات أحداث العميل. يجوز للعميل الاعتراض لأسباب مشروعة تتعلق بحماية البيانات. إذا تعذّر على الطرفين الاتفاق، يجوز للعميل إنهاء الخدمة المتأثرة مع استرداد تناسبي للجزء غير المستخدم من الاشتراك.

07. عمليات النقل الدولية

تُعالَج بيانات أحداث العميل داخل الاتحاد الأوروبي (Hetzner Falkenstein رئيسية، وHelsinki للتجاوز عند الفشل). حيث يعالج معالج فرعي بيانات خارج المنطقة الاقتصادية الأوروبية — وهو محصور اليوم في AWS Bedrock في eu-central-1 (الواقعة داخل الاتحاد الأوروبي) للحل الاحتياطي للذكاء الاصطناعي فقط — توجد بنود تعاقدية معيارية (SCC) لتغطية مستوى التحكم الداخلي لـ AWS. لا تنقل Gurulu بيانات أحداث العميل إلى الولايات المتحدة، أو الصين، أو أي دولة ثالثة أخرى دون (أ) قرار كفاية، أو (ب) بنود تعاقدية معيارية (SCC) إضافةً إلى تقييم لأثر النقل، أو (ج) تعليمات صريحة من العميل.

08. التدابير الأمنية

التدابير الأمنية التفصيلية موصوفة على صفحة /security ومُدمَجة بالإحالة. باختصار: الإقامة في الاتحاد الأوروبي، وعزل المستأجرين (أمان على مستوى الصف في Postgres + بادئة لكل مستأجر في ClickHouse)، والتشفير (TLS 1.3 + AES-256)، والرابط السحري + RBAC + مفاتيح API ذات نطاق محدد، وتقسيم مناطق الخصوصية على المسارات الحساسة، وسجل تدقيق مُفعَّل افتراضيًا مع احتفاظ لمدة 7 سنوات، والتزام بالإخطار بالاختراق خلال 72 ساعة.

09. Liability

تخضع المسؤولية بموجب هذا الملحق وتُحدَّد سقوفها وفقًا لبند تحديد المسؤولية في شروط الخدمة الأساسية، مع مراعاة السقوف الإلزامية بموجب المادة 82 من GDPR / المادة 11 من KVKK التي لا يمكن استبعادها بالعقد.

10. Signatures

بالنسبة إلى الباقة المجانية، يُقبَل هذا الملحق بالإحالة وقت إنشاء مساحة العمل — لا يلزم توقيع يدوي. يجوز لعملاء الدفع حسب الاستخدام طلب نسخة PDF موقّعة بشكل متبادل على قالب ورقي من Gurulu؛ كما يمكننا مراجعة وثائق العميل الورقية المعقولة بشرط ألا تتعارض مع بنية الأمان أو المعالجين الفرعيين لدينا. لطلبات النسخة الموقّعة أو الشكل الورقي، راسل legal@gurulu.io. مهلة الإنجاز المعتادة 5 أيام عمل.

أسئلة ملحق معالجة البيانات · legal@gurulu.io

ملحق معالجة البيانات — Gurulu