سياسة الخصوصية

سياسة الخصوصية العالمية لـ VOVE ID

(آخر تحديث: 26 مارس 2025)

نشكر لكم اطلاعكم على سياسة الخصوصية الخاصة بـ VOVE ID. توضح هذه السياسة الشاملة كيفية قيام VOVE ID (“نحن”) بجمع البيانات الشخصية واستخدامها وحمايتها عبر جميع خدماتنا ومنصاتنا. وهي تغطي ممارسات الخصوصية المتعلقة بـ:

• المستخدمين النهائيين – الأفراد الذين يخضعون للتحقق من الهوية عبر حزمة تطوير البرمجيات (SDK) أو واجهة برمجة التطبيقات (API) الخاصة بنا بناءً على طلب أحد عملائنا التجاريين (يُشار إليهم بـ “عملائنا”).

• زوار الموقع الإلكتروني – الأفراد الذين يزورون موقعنا الإلكتروني أو يستخدمون مواردنا عبر الإنترنت (بما في ذلك ملفات تعريف الارتباط لأغراض التتبع والتحليلات).

• العملاء التجاريون – ممثلو عملائنا التجاريين ومستخدمو خدماتهم ممن يصلون إلى لوحة معلومات VOVE ID والخدمات ذات الصلة (مستخدمو الأعمال بين الشركات أو B2B).

نحن ملتزمون بحماية بياناتكم بما يتوافق مع اللائحة العامة لحماية البيانات للاتحاد الأوروبي (GDPR) والقوانين العالمية المعمول بها في مجال الخصوصية. وقد تم تصميم هذه السياسة لتكون سهلة التصفح، مع أقسام واضحة لكل فئة من المستخدمين، ومكتوبة بلغة عربية رسمية وواضحة.

المتحكم في البيانات مقابل معالج البيانات – فهم دورنا: عند تقديم خدمات التحقق من الهوية لعملائنا، تعمل VOVE ID كمعالج بيانات يقوم بمعالجة البيانات الشخصية للمستخدمين النهائيين نيابةً عن العميل (الذي يُعد المتحكم في البيانات، ويتخذ قرارات بشأن أغراض المعالجة ووسائلها). وبمعنى آخر، إذا كنت تقوم بالتحقق من هويتك عبر VOVE ID، فإن الشركة التي وجهتك إلى خدمتنا (عميلنا) هي التي تقرر لماذا يتم معالجة بياناتك، ونحن نقوم بمعالجتها وفق تعليماتهم. وهذا يعني أيضًا أن على العميل أن يمتلك أساسًا قانونيًا صالحًا لطلبنا التحقق من هويتك، وعليه إبلاغك بكيفية تعامله وتعامل VOVE ID مع بياناتك. أما بالنسبة لتفاعلات البيانات الأخرى – مثل زيارتك لموقعنا الإلكتروني أو إدارتنا لحساب أحد العملاء – فإن VOVE ID تكون هي المتحكم في تلك البيانات.

يرجى الملاحظة: إذا كنت مستخدمًا نهائيًا يخضع للتحقق، تأكد من الاطلاع على إشعار الخصوصية الخاص بالشركة التي طلبت إجراء التحقق (عميلنا) بالإضافة إلى هذه السياسة.

سيشرح إشعار الخصوصية الخاص بتلك الشركة أغراضهم والأسس القانونية لديهم للتحقق من هويتك وكيفية ممارسة حقوقك لديهم. أما سياسة VOVE ID هذه فتوضح كيفية معالجتنا لبياناتك كجزء من تقديم خدماتنا لهم. تتضمن أقسام من هذه السياسة أيضًا حواشي أو ملاحظات يمكن تخصيصها لتكاملات عملاء محددة أو متطلبات معينة. ويسعدنا معالجة أي أسئلة محددة لدى العملاء عند الحاجة.

فيما يلي جدول المحتويات لتسهيل التصفح:

1. التعريفات الرئيسية

2. البيانات الشخصية التي نجمعها

3. 2.1 المستخدمون النهائيون (بيانات التحقق من الهوية)

4. 2.2 العملاء التجاريون (بيانات مستخدمي نظام B2B)

5. 2.3 زوار الموقع الإلكتروني (البيانات عبر الإنترنت)

6. الأغراض والأسس القانونية للمعالجة

7. 3.1 بالنسبة للمستخدمين النهائيين (التحقق من الهوية)

8. 3.2 بالنسبة للعملاء التجاريين (تقديم الخدمة)

9. 3.3 بالنسبة لزوار الموقع الإلكتروني (وظائف الموقع والتحليلات)

10. مشاركة البيانات والإفصاح عنها

11. تخزين البيانات ونقلها دوليًا

12. تدابير الأمان

13. 6.1 الضمانات التقنية

14. 6.2 التدابير التنظيمية

15. الاستجابة لحوادث خرق البيانات

16. الاحتفاظ بالبيانات

17. حقوقك بصفتك موضوع البيانات

18. 9.1 ممارسة حقوقك

19. اتخاذ القرارات الآلية والتنميط

20. تحديثات سياسة الخصوصية هذه

21. الاتصال بنا

1. التعريفات الرئيسية

للتوضيح، فيما يلي بعض المصطلحات الرئيسية المستخدمة في هذه السياسة:

• البيانات الشخصية – أي معلومات تتعلق بشخص طبيعي محدد الهوية أو يمكن تحديده (المشار إليه بـ “موضوع البيانات”). يشمل ذلك، على سبيل المثال، الاسم، وأرقام الهوية، وبيانات الموقع، والمعرفات الإلكترونية، والعوامل الخاصة بالهوية البدنية أو الجينية أو العقلية أو الاقتصادية أو الاجتماعية. في سياقنا، حتى الصورة الفوتوغرافية أو وثيقة الهوية التي تقدمها تعد بيانات شخصية.

• المعالجة – أي عملية تُجرى على البيانات الشخصية، مثل الجمع أو الاستخدام أو التخزين أو الحذف.

• موضوع البيانات – الفرد الذي تتعلق به البيانات الشخصية (هنا: المستخدمون النهائيون أو زوار الموقع أو ممثلو العملاء – أي أنت).

• متحكم البيانات – الكيان الذي يحدد أغراض معالجة البيانات الشخصية ووسائلها. فيما يتعلق بخدمات التحقق من الهوية، فإن عميلنا (الشركة التي طلبت التحقق الخاص بك) هو متحكم البيانات لبي…معالجة بيانات المستخدمين النهائيين. أما بالنسبة للبيانات التي نجمعها من موقعنا الإلكتروني أو عند إدارتنا لحساب أحد العملاء، فإن VOVE ID تكون المتحكم في تلك المعلومات.

• معالج البيانات – الكيان الذي يعالج البيانات الشخصية نيابةً عن المتحكم في البيانات. تقوم VOVE ID بدور معالج البيانات عند معالجتها بيانات المستخدمين النهائيين لغرض التحقق من الهوية بناءً على تعليمات عملائنا.

• العميل (الشركة العميلة) – شركة أو مؤسسة تستخدم خدمات VOVE ID للتحقق من هوية المستخدمين النهائيين. على سبيل المثال، بنك أو شركة تقنية مالية تقوم بدمج حزمة SDK الخاصة بنا للتحقق من هوية مستخدميها.

• المستخدم النهائي – الفرد الذي يتم التحقق من هويته عبر خدمة VOVE ID بناءً على طلب أحد العملاء. فعلى سبيل المثال، إذا كنت عميلًا لبنك يستخدم VOVE ID لإجراءات “اعرف عميلك” (KYC)، فأنت “المستخدم النهائي” في هذا السياق.

• زائر الموقع الإلكتروني – أي شخص يقوم بزيارة مواقعنا الإلكترونية (مثل voveid.com) أو يتفاعل مع محتوانا عبر الإنترنت.

• مستخدم B2B – شخص يعمل نيابةً عن عميل تجاري، مثل موظف أو مسؤول يصل إلى لوحة تحكم VOVE ID أو واجهة API الخاصة بنا.

• الخدمات – خدمات وحلول VOVE ID للتحقق من الهوية والخدمات ذات الصلة.

2. البيانات الشخصية التي نجمعها

نقوم بجمع أنواع مختلفة من البيانات الشخصية بناءً على كيفية تفاعلك مع VOVE ID. يوضح هذا القسم فئات البيانات التي نتعامل معها للمستخدمين النهائيين والعملاء التجاريين وزوار الموقع الإلكتروني.

2.1 المستخدمون النهائيون (بيانات التحقق من الهوية)

إذا كنت مستخدمًا نهائيًا يخضع للتحقق من الهوية عبر حزمة SDK أو منصة VOVE ID، فقد نجمع عنك البيانات الشخصية التالية:

• معلومات الهوية: معلومات تساعد في التعرف عليك، مثل اسمك الكامل، تاريخ الميلاد، مكان الميلاد، العنوان، الجنسية، وأية معلومات أخرى تقدمها أنت أو عميلنا خلال عملية التحقق. غالبًا ما تأتي هذه المعلومات من وثيقة الهوية التي تقدمها (مثل الاسم وتاريخ الميلاد الموجودين على بطاقتك أو جواز سفرك).

• تفاصيل الوثيقة: المعلومات المستخرجة من وثائق هويتك، بما في ذلك نوع الوثيقة (جواز سفر، بطاقة هوية، رخصة قيادة، إلخ)، رقم الوثيقة، تاريخ انتهاء الصلاحية، بلد الإصدار، والعلامات الأمنية. قد نجمع صورًا أو نسخًا ممسوحة ضوئيًا من وثيقة هويتك (الوجه الأمامي والخلفي) كجزء من هذه العملية.

• البيانات البيومترية (الصورة/الفيديو): تشمل صورتك الفوتوغرافية أو صورة “السيلفي” أو مقطع الفيديو الحي الذي يتم التقاطه أثناء عملية التحقق، إضافةً إلى المعرفات البيومترية المشتقة منها. على سبيل المثال، قد نسجل مقطع فيديو حي لك للتحقق من حيويتك (“liveness”) ثلاثي الأبعاد ولإجراء مطابقة للوجه مع صورة هويتك. يمكن أن ينتج عن ذلك بيانات بيومترية تُستخدم للتعرف عليك بشكل فريد (مثل قياسات الوجه أو القوالب البيومترية). تنويه حول البيانات الحساسة: تُعتبر البيانات البيومترية لأغراض التعرف من فئة خاصة من البيانات الشخصية بموجب GDPR. نحن لا نعالج هذه البيانات إلا في حدود الضرورة لمنع الاحتيال والتحقق من الهوية، وبما يتوافق مع القوانين المعمول بها (على سبيل المثال، الحصول على موافقتك الصريحة على المعالجة البيومترية إذا كان القانون يتطلب ذلك).

• معلومات الاتصال (إن وُجدت): في بعض الحالات، قد نجمع تفاصيل الاتصال مثل بريدك الإلكتروني أو رقم هاتفك. يمكن أن يحدث ذلك إذا طلب منا العميل الاتصال بك برابط أو رمز تحقق، أو إذا كانت هذه المعلومات مدرجة في وثيقة هويتك. نستخدم هذه المعلومات فقط للمساعدة في عملية التحقق (مثل إرسال رمز لمرة واحدة)، ما لم يتم تحديد خلاف ذلك.

• البيانات التقنية وبيانات الجهاز: معلومات حول الجهاز والشبكة التي تستخدمها لإجراء التحقق. يشمل ذلك عنوان IP الخاص بك (والموقع الجغرافي التقريبي المستنتج منه)، نوع الجهاز (مثل الطراز، نظام التشغيل، المتصفح)، معرفات الجهاز الفريدة، إعدادات اللغة، وبيانات القياس عن بعد (مثل بيانات المستشعر من الكاميرا أثناء اختبارات الكشف عن الحيوية). نجمع هذه البيانات لضمان الأمان (على سبيل المثال، اكتشاف الأجهزة المشبوهة أو المحاولات المتعددة) وتحسين تجربة المستخدم (مثل تحسين جودة الفيديو لجهازك).

• بيانات تعريف جلسة التحقق: البيانات التي يتم إنشاؤها أثناء جلسة التحقق، مثل الطوابع الزمنية عند إتمام الخطوات، ومعرفات المعاملة أو الجلسة، وسجلات أي أخطاء، والنتيجة النهائية للتحقق (مثل “تم التحقق” أو علامات لمشكلات محددة ككون الوثيقة منتهية الصلاحية أو عدم تطابق الوجه). قد نسجل أيضًا السبب إذا فشل التحقق (مثل “صورة الوثيقة غير واضحة” أو نتيجة فحص قوائم المراقبة الخارجية).

• بيانات منع الاحتيال: أي معلومات إضافية نستخلصها لمنع الاحتيال. على سبيل المثال، قد نقوم بتحليل أنماط معينة (مثل ما إذا تم استخدام نفس الجهاز أو الهوية في محاولات احتيال سابقة) أو استخدام تدقيقات من جهات خارجية (مثل التحقق من صحة وثيقة الهوية أو مقارنة اسمك بقوائم العقوبات أو قوائم الأشخاص المعرضين سياسيًا (PEP) إذا طلب عميلنا إجراء فحص مكافحة غسل الأموال). يمكن أن تشمل هذه البيانات درجات مخاطر أو إشارات تساعد عميلنا في اتخاذ قرار بالموافقة على معاملة ما أو رفضها.

2.2 العملاء التجاريون (بيانات مستخدمي B2B)

إذا كنت عميلاً تجاريًا أو مستخدمًا مخولاً لخدماتنا (على سبيل المثال، تعمل لدى شركة لديها حساب VOVE ID وتقوم بتسجيل الدخول إلى لوحة التحكم الخاصة بنا أو استخدام واجهة API)، فإننا نجمع بيانات شخصية لإدارة علاقتنا وتمكينك من استخدام VOVE ID. وقد يشمل ذلك:

• بيانات الاتصال: اسمك، بريدك الإلكتروني المهني، رقم هاتفك، مسمّاك الوظيفي/دورك، والشركة التي تمثلها. نجمع هذه المعلومات عندما تقوم أنت أو صاحب العمل بالتسجيل للحصول على خدمات VOVE ID، أو عند التواصل معنا، أو من خلال العقد المبرم معنا. نستخدم هذه البيانات للتعرف عليك والتواصل معك والمصادقة على وصولك إلى لوحة التحكم.

• بيانات اعتماد الحساب: إذا كان لديك حساب لتسجيل الدخول إلى لوحة التحكم أو المنصة الخاصة بنا، فسنعالج اسم المستخدم وكلمة المرور الخاصة بك (مخزّنة بشكل مشفر) وأي معرفات خاصة بالحساب. أما لاستخدام واجهة API، فنصدر مفاتيح أو رموز API مرتبطة بحسابك. تقع على عاتقك مسؤولية الحفاظ على سرية بيانات تسجيل الدخول الخاصة بك؛ ولن نطلب منك أبدًا كلمة مرورك عبر البريد الإلكتروني أو الهاتف.

• بيانات استخدام الحساب: معلومات حول كيفية ومتى تستخدم خدماتنا الموجهة للأعمال (B2B). على سبيل المثال، قد نسجل آخر وقت قمت بتسجيل الدخول فيه، والإجراءات التي اتخذتها في لوحة التحكم (مثل بدء عملية تحقق أو عرض النتائج)، والإعدادات التي قمت بتكوينها، وسجلات تدقيق الوصول إلى البيانات، وإحصاءات الاستخدام. يُستخدم ذلك لتقديم الخدمة (وعرض نشاطك لك)، وكذلك لأغراض الأمان (مسارات التدقيق) وتحسين منصتنا.

• معلومات خاصة بالشركة: تفاصيل حول المؤسسة التي تمثلها، وقد تشمل عنوان الفواتير، رقم التعريف الضريبي/رقم ضريبة القيمة المضافة، خطة الاشتراك، وسجل المعاملات. ومع أن هذه العناصر غالبًا لا تعد بيانات شخصية (إذا كانت تتعلق بشركة)، إلا أن بعض العناصر مثل اسم شخص اتصال تجاري أو بريد إلكتروني مهني يمكن أن تكون بيانات شخصية. نحن نعالج هذه المعلومات للوفاء بعقدنا والتزاماتنا القانونية (الفوترة، المحاسبة).

• الاتصالات: نسخ من الاتصالات معك أو مع زملائك. على سبيل المثال، إذا أرسلت رسالة بريد إلكتروني إلى فريق الدعم أو المبيعات لدينا، أو شاركت في عرض توضيحي أو مكالمة، أو استخدمت ميزة الدردشة، فقد نحتفظ بسجل لتلك المراسلات وأي معلومات تقدمها. يساعدنا ذلك على متابعة طلباتك وتدريب فريقنا لتحسين خدمتنا لك.

• التفضيلات والتغذية الراجعة: قد نقوم أيضًا بالاحتفاظ بالمعلومات التي تقدمها حول تفضيلاتك (مثل إعدادات المنتج، تفضيلات الإشعارات) وأي ملاحظات أو ردود على الاستطلاعات تقدمها لنا. تُستخدم هذه البيانات الشخصية لتخصيص تجربتك وتحسين خدماتنا.

• التحقق من هوية العميل: في بعض الحالات، وخاصةً لأغراض الامتثال التنظيمي، قد نحتاج إلى التحقق من هويات عملائنا التجاريين أو ممثليهم (على سبيل المثال، إذا كان القانون يلزمنا بالتحقق عند إبرام شراكة مع شركة تقنية مالية). قد يتضمن ذلك جمع نسخة من وثيقة هويتك أو إثبات صلاحياتك بصفتك ممثلاً للعميل. لن نطلب مثل هذه المعلومات إلا عندما يقتضي القانون ذلك، وسنتعامل معها بنفس مستوى العناية المطبق على بيانات تحقق المستخدمين النهائيين.

ملاحظة: عادةً ما تكون بيانات العملاء التجاريين متعلقة بأنشطة العمل (معلومات اتصال مهنية)، ونفترض أنها مقدمة لنا بصفتك ممثلاً لشركتك. نحن لا نحتاج إلى بيانات شخصية حساسة من مستخدمينا التجاريين خارج نطاق ما يتطلبه الخدمة. يُرجى التأكد من أن أي بيانات شخصية تخص آخرين تزودنا بها (مثال: إضافة أحد أفراد الفريق إلى الحساب) يتم مشاركتها وفق القوانين المعمول بها وبموافقتهم إذا لزم الأمر.

2.3 زوار الموقع الإلكتروني (البيانات عبر الإنترنت)

عندما تزور موقعنا الإلكتروني، أو تستخدم خدماتنا عبر الإنترنت، أو تتفاعل معنا عبر الإنترنت (على سبيل المثال، قراءة وثائقنا أو مدوناتنا، أو الاتصال بنا عبر نموذج ويب)، فإننا نجمع بعض البيانات عنك وعن جهازك. يشمل ذلك:

• بيانات الاستخدام: معلومات حول كيفية استخدامك لموقعنا – مثل الصفحات أو الوثائق التي تطلع عليها، والروابط التي تنقر عليها، وتاريخ ووقت الوصول، ومدة الزيارة، والصفحة المُحيلَة (الصفحة التي قادتك إلى موقعنا). يساعدنا ذلك على فهم المحتوى الذي يفيد الزوار وتحسين تصميم موقعنا ومحتواه.

• معلومات الجهاز والمتصفح: تفاصيل تقنية مثل عنوان IP الخاص بك (والذي يمكن أن يشير إلى موقعك العام)، ونوع المتصفح وإصداره، ونوع جهازك (مثل هاتف محمول أو حاسوب مكتبي، ونظام التشغيل)، ودقة الشاشة، وإعدادات اللغة. نجمع ذلك عبر سجلات الخادم وأدوات التحليل لضمان عرض الموقع بشكل صحيح ولأغراض التصحيح ومراقبة الأمان.

• ملفات تعريف الارتباط ومعرفات التتبع: نستخدم ملفات تعريف الارتباط وتقنيات مشابهة (مثل إشارات الويب أو التخزين المحلي) لتحسين تجربتك على موقعنا. ملفات تعريف الارتباط هي ملفات نصية صغيرة يحفظها موقعنا في متصفحك. بعض هذه الملفات أساسية لعمل الموقع (مثلاً، لتذكر تفضيل لغتك أو إبقائك مسجلاً للدخول إذا كان الموقع يتطلب ذلك)؛ ويُستخدم البعض الآخر للتحليلات أو الإعلانات. على سبيل المثال، قد نستخدم Google Analytics أو أداة مشابهة تقوم بتعيين ملفات تعريف ارتباط لجمع إحصاءات استخدام مجمعة (مثل عدد الزوار، الصفحات الأكثر شعبية). وقد نستخدم أيضًا ملفات تعريف ارتباط لأغراض تسويقية، مثل وحدات بكسل Google أو LinkedIn، لتتبع التحويلات وإعادة استهداف الزوار بإعلاناتنا (بموافقتك). توفر إشعار ملفات تعريف الارتباط الخاص بنا تفاصيل عن كل ملف تعريف ارتباط وغرضه وكيفية إدارة تفضيلاتك.

• مدخلات النماذج والاتصالات: إذا قمت بملء نموذج على موقعنا (مثل نموذج “اتصل بنا”، أو نموذج التسجيل أو طلب العرض التجريبي، أو حقل التعليقات)، فسنقوم بجمع المعلومات التي تقدمها. عادةً ما يتضمن ذلك اسمك، وبريدك الإلكتروني، ورقم هاتفك، وشركتك، ومحتوى رسالتك. نستخدم هذه المعلومات للرد على استفسارك أو معالجة طلبك (على سبيل المثال، إنشاء حساب تجريبي أو تسجيلك في النشرة الإخبارية). قد نحتفظ أيضًا بنسخة من مراسلاتنا لأغراض حفظ السجلات.

• الاشتراك في النشرة الإخبارية/التسويق: إذا اشتركت في نشرتنا الإخبارية أو اخترت تلقي مراسلات تسويقية، فسنقوم بجمع تفاصيل الاتصال الخاصة بك (البريد الإلكتروني، وربما الاسم) بالإضافة إلى تفضيلات الاتصال الخاصة بك. سنرسل لك تحديثات ومعلومات تتماشى مع ما اشتركت فيه، ويمكنك إلغاء الاشتراك في أي وقت.

• وسائل التواصل الاجتماعي والروابط الخارجية: إذا وصلت إلى موقعنا عبر وسائل التواصل الاجتماعي أو تفاعلت مع مكوناتنا الإضافية الاجتماعية (مثل زر “مشاركة” أو “أعجبني”)، فقد تقوم تلك المنصات بجمع بعض المعلومات من خلال ملفات تعريف الارتباط الخاصة بها. نحن لا نتحكم في تلك التفاعلات – يُرجى الرجوع إلى سياسات الخصوصية الخاصة بتلك المنصات. قد نتلقى بيانات مجمعة من المنصات الاجتماعية (مثال: عدد الأشخاص الذين نقروا على منشورنا). وبالمثل، إذا كان موقعنا يتضمن محتوى من جهات خارجية (مثل مشغل فيديو أو بيئة تجريب كود)، فقد تجمع تلك الجهات الخارجية بيانات الاستخدام وفقًا لسياساتها.

ملفات تعريف الارتباط والموافقة: عند زيارتك الأولى لموقعنا، ستظهر لك لافتة أو إشعار بشأن ملفات تعريف الارتباط. باستثناء ملفات تعريف الارتباط الضرورية للغاية، لن نقوم بتعيين ملفات تعريف الارتباط (خاصة التحليلية أو الإعلانية) ما لم تمنح موافقتك. يمكنك إدارة تفضيلات ملفات تعريف الارتباط الخاصة بك في أي وقت من خلال أداة إعدادات ملفات تعريف الارتباط على موقعنا. لمزيد من التفاصيل، اقرأ إشعار ملفات تعريف الارتباط الخاص بنا (المشار إليه أعلاه)، والذي يعد جزءًا من سياسة الخصوصية هذه. (إذا كنت تقرأ هذه السياسة على منصة أحد العملاء حيث تم تضمين حزمة SDK الخاصة بنا، فلاحظ أن استخدام ملفات تعريف الارتباط قد يختلف – ما سبق ينطبق بشكل أساسي على موقع VOVE ID نفسه).

3. الأغراض والأسس القانونية للمعالجة

نقوم بمعالجة البيانات الشخصية فقط عندما يكون لدينا غرض محدد وأساس قانوني بموجب اللائحة العامة لحماية البيانات (GDPR) للقيام بذلك. يشرح هذا القسم سبب استخدامنا للبيانات الشخصية لكل فئة من الأفراد والأسس القانونية التي تجعل المعالجة مشروعة. نظرًا للوصول العالمي لخدماتنا، فإننا نعتمد بشكل أساسي على الأسس القانونية بموجب GDPR، كما نلتزم بالقوانين الأخرى المعمول بها في الدول التي نعمل فيها (ويمكننا تقديم تفاصيل إضافية لمناطق معينة عند الطلب).

3.1 بالنسبة للمستخدمين النهائيين (التحقق من الهوية)

• التحقق من الهوية ومنع الاحتيال: الغرض الأساسي هو التحقق من وثائق هويتك وبياناتك البيومترية للتأكد من أنك أنت الشخص الذي تدعي أنك هو، ولمكافحة الاحتيال. يتضمن ذلك التحقق من صحة وثائق الهوية، ومقارنة صورتك الحية بصورتك على وثيقة الهوية، وإجراء أية فحوصات أمنية مطلوبة (مثل قوائم مكافحة غسل الأموال إذا كانت قابلة للتطبيق). الأساس القانوني لهذه المعالجة عادة هو المصالح المشروعة – وتحديدًا المصلحة المشروعة لعميلنا في منع الاحتيال الهويوي وضمان تحديد هوية الشخص بشكل صحيح. يُعترف بمنع الاحتيال كأحد المصالح المشروعة بموجب GDPR. وفي كثير من الحالات، هناك أيضًا التزام قانوني: على سبيل المثال، قد يكون عميلنا ملزَمًا قانونًا بالتحقق من الهوية (مثل لوائح “اعرف عميلك” KYC، قوانين التحقق من العمر، إلخ)، مما يوفر أساسًا قانونيًا (الامتثال لالتزام قانوني) لمعالجة بياناتك. بالإضافة إلى ذلك، قد يكون التحقق ضروريًا لتنفيذ عقد بينك (المستخدم النهائي) وبين عميلنا – فمثلاً، إذا كنت تسجل في خدمة ويتوجب عليك التحقق من هويتك لإكمال التسجيل، فإن ذلك يُعتبر ضروريًا لتقديم الخدمة المطلوبة. نحن نعتمد على عميلنا في تحديد الأساس القانوني المناسب وفق سياقه، لكننا نضمن أن معالجتنا تتم بما يتماشى مع تلك الأغراض.

• الموافقة على استخدامات محددة: في بعض الولايات القضائية أو لبعض أنواع البيانات، قد يطلب عميلنا موافقتك قبل المعالجة. على سبيل المثال، قد تتطلب البيانات البيومترية (مثل مسح الوجه) موافقتك الصريحة بموجب المادة 9 من GDPR، ما لم ينطبق استثناء آخر. إذا طُلب منك الإقرار (مثلاً، بوضع علامة في مربع أو بالمتابعة بعد عرض إشعار) قبل أن نلتقط صورة السيلفي الخاصة بك أو وثيقتك، فستكون تلك الموافقة بمثابة أساس قانوني إضافي لنا ولعميلنا لمعالجة تلك البيانات. لن نستخدم البيانات البيومترية إلا في حدود ما هو ضروري لعملية التحقق وبما يتوافق مع أي موافقة تم الحصول عليها. لديك الحق في سحب موافقتك في أي وقت، ولكن يرجى ملاحظة أن ذلك قد يمنع استكمال عملية التحقق أو الخدمة المرتبطة.

• تقديم الخدمة نيابةً عن العميل: نقوم بمعالجة نتائج التحقق ونقلها إلى عميلنا لتمكينه من تقديم خدماته لك (مثال: فتح حسابك أو الموافقة على معاملتك). يمكن اعتبار الأساس القانوني هنا المصالح المشروعة لكلٍ من العميل ولك بصفتك المستخدم النهائي – فلك مصلحة في الوصول الآمن إلى الخدمة، وللعميل مصلحة في التأكد من هويتك لتقديم الخدمة بأمان. وفي الحالات التي تتفاعل فيها مباشرة مع خدمة التحقق الخاصة بنا ضمن عملية التسجيل في خدمة العميل، يمكن أيضًا اعتبار ذلك ضروريًا لتنفيذ عقد مبرم معك (العقد هنا هو موافقتك على الخضوع لإجراءات KYC لاستخدام منصة العميل).

• تحسين الجودة والتدريب (بشكل محدود ومع ضمانات): نحن نعمل باستمرار على تحسين تقنية التحقق من الهوية لدينا (على سبيل المثال، تحسين خوارزميات التعرف على الوثائق أو تقليل التحيز في مطابقة الوجوه). للقيام بذلك، قد نستخدم بيانات مجهولة أو مجمعة من عمليات تحقق سابقة. كلما أمكن، نقوم بتحويل البيانات بحيث لا يمكن ربطها بشخص محدد (وبالتالي لا تعود تعتبر بيانات شخصية). إذا احتجنا يومًا لاستخدام أي بيانات تعريفية لتطوير النظام داخليًا (ونحن نسعى لتجنب ذلك)، فسوف نتأكد من وجود أساس قانوني مثل المصلحة المشروعة (مصلحتنا في تحسين خدماتنا) مصحوبًا بضمانات قوية، أو سنسعى للحصول على موافقة إضافية. هام: أي استخدام من هذا القبيل لتحسين الخدمة منفصل عن عملية التحقق التي نقوم بها لعميلنا ويتم في إطار دور VOVE ID كمتحكم في البيانات. نحن لا نستخدم بياناتك لأغراض تطوير المنتج بشكل عام بطريقة تؤثر على خصوصيتك دون ضمان إما جعلها مجهولة المصدر أو إجرائها بمستويات عالية من الأمان والامتثال القانوني. هدفنا الأساسي هو استخدام البيانات الحقيقية فقط بالقدر الضروري والاعتماد قدر الإمكان على بيانات صناعية أو مجهولة لأغراض التدريب.

• الامتثال والدعاوى القانونية: قد نعالج بيانات المستخدمين النهائيين إذا لزم الأمر للامتثال للقوانين أو للرد على الإجراءات القانونية. على سبيل المثال، بموجب بعض اللوائح قد نحتاج إلى الاحتفاظ بسجلات التحقق لفترة معينة، أو تقديم معلومات إلى جهات إنفاذ القانون أو الجهات التنظيمية عند الطلب القانوني (انظر قسم 4. مشاركة البيانات أدناه). يمكن أن يكون الأساس القانوني هنا هو الامتثال لالتزام قانوني. وبالمثل، إذا احتجنا إلى معالجة البيانات لإثبات أو ممارسة أو الدفاع عن مطالبات قانونية (مثال: لإثبات أنه تم إجراء تحقق بشكل صحيح في حالة نزاع)، فسنعتمد على المصلحة المشروعة (مصلحتنا في حماية أعمالنا، أو مصلحة عميلنا في مقاضاة حالات الاحتيال).

3.2 بالنسبة للعملاء التجاريين (تقديم الخدمة)

بالنسبة لعملائنا التجاريين ومستخدمي خدماتهم، تكون VOVE ID متحكم البيانات عند معالجة بياناتك الشخصية في سياق تقديم خدمات التحقق من الهوية لمؤسستك. تشمل أغراضنا والأسس القانونية ما يلي:

• تقديم الخدمة والوفاء بعقدنا: نستخدم بيانات اتصال العملاء وحساباتهم لإعداد حساب مؤسستك وإدارته، والتحقق من هويتك، وتقديم خدمات التحقق من الهوية لشركتك. يشمل ذلك صيانة لوحة التحكم الخاصة بك، وتمكينك من إجراء عمليات التحقق، وتوفير الدعم الفني. الأساس القانوني هو تنفيذ عقد – فعندما سجلت شركتك معنا، أصبح هناك اتفاق مبرم، ويجب علينا معالجة بياناتك (بصفتك المستخدم) للوفاء بالتزاماتنا بموجب ذلك العقد (مثال: ضمان أن المستخدمين المخوّلين فقط يمكنهم الوصول إلى الحساب، وتوفير تقارير الاستخدام، إلخ). إذا لم تكن أنت شخصيًا الموقع على العقد ولكنك مستخدم مخوّل، فإن الأساس القانوني لدينا هو مصلحتنا المشروعة في تقديم الخدمة لصاحب العمل الخاص بك وضمان الوصول المصرح به.

• الاتصالات والدعم: نعالج معلومات الاتصال الخاصة بك للتواصل معك بشأن الخدمة. يشمل ذلك إرسال إعلانات متعلقة بالخدمة (مثل تحديثات حول توفر المنصة، أو تحديثات أمنية أو خصوصية على هذه السياسة)، والاستجابة لطلبات الدعم، وإشعارك بالميزات أو التحسينات الجديدة. الأساس القانوني هنا هو المصالح المشروعة – فمن مصلحتنا (وعادة مصلحتك أيضًا) إبقاؤك على اطلاع حول الخدمة التي تستخدمها. على سبيل المثال، إذا كنا نقوم بصيانة للنظام، فمن مصلحتنا المشروعة إبلاغ المستخدمين عبر البريد الإلكتروني عن فترات التوقف. وعندما تتواصل معنا بسؤال، فمن مصلحتنا المشروعة استخدام معلوماتك للرد عليك. في بعض الحالات، قد تكون هذه الاتصالات ضرورية لتنفيذ العقد (مثلاً، إرسال بريد إلكتروني ترحيبي لك لتفعيل حسابك قد يُعتبر جزءًا من تقديم الخدمة). نحن نضمن أن أي اتصالات ذات طابع تسويقي لا تُرسل إلا وفقًا للقوانين المعمول بها (راجع النقطة التالية).

• التسويق والرؤى: إذا كنت جهة اتصال تجارية أبدت اهتمامًا بـ VOVE ID (مثال: من خلال التسجيل لتجربة خدمة أو تنزيل ورقة بيضاء)، فقد نرسل لك اتصالات تسويقية ذات صلة مثل تحديثات المنتج، النشرات الإخبارية أو دعوات للفعاليات. سنقوم بذلك إما بموافقتك (مثلاً، إذا اخترت عبر تحديد مربع أنك توافق على تلقي التحديثات) أو بموجب المصلحة المشروعة إذا كنت عميلًا قائمًا أو في سياق يتوقع فيه مثل هذا التواصل (تسمح GDPR وبعض القوانين بالتسويق بين الشركات B2B للعملاء القائمين على أساس المصلحة المشروعة، فيما يُسمى أحيانًا “الموافقة الضمنية”، طالما يوجد خيار سهل لإلغاء الاشتراك). في جميع الحالات، لديك الحق في رفض رسائل البريد الإلكتروني التسويقية في أي وقت بالنقر على “إلغاء الاشتراك” في الرسالة أو بالاتصال بنا. نحن لا نقوم بإرسال رسائل جماعية مزعجة، ولا نشارك معلومات الاتصال الخاصة بك مع جهات خارجية لأغراضهم التسويقية الخاصة.

• الفوترة والإدارة: نعالج البيانات الشخصية اللازمة للفوترة وإدارة الحساب. على سبيل المثال، يحتوي نظامنا المالي على اسم جهة اتصال الفواتير ومعلومات الاتصال الخاصة بها، والفواتير الصادرة، وحالة الدفع. الأسس القانونية هي تنفيذ العقود (يتعين علينا إصدار فواتير كجزء من اتفاقية الخدمة) والالتزامات القانونية (علينا الاحتفاظ بسجلات معينة للأغراض الضريبية والمحاسبية). إذا استخدمنا معالج دفع أو تعاملنا مع معلومات بطاقة الائتمان، فإن تلك المعلومات تُعالج بشكل آمن ووفقًا لمعايير صناعة بطاقات الدفع؛ وعادةً ما نحتفظ بتفاصيل الدفع عبر معالجي دفع معتمدين وليس في أنظمتنا الخاصة.

• الأمان ومنع إساءة الاستخدام: لحماية خدماتنا وحسابك، نقوم بمراقبة وتسجيل أنشطة معينة في لوحة التحكم الخاصة بالعملاء وواجهة API. على سبيل المثال، قد نسجّل محاولات تسجيل الدخول الفاشلة، وأنماط الاستخدام التي تشير إلى إساءة محتملة، أو حالات الوصول التي تؤدي إلى إطلاق قواعد أمنية. الأساس القانوني هو المصالح المشروعة – مصالحنا ومصالحك – في الحفاظ على خدمة آمنة. يساعد هذا في منع الوصول غير المصرح به إلى بيانات التحقق الحساسة ويضمن أننا نفي بوعدنا التعاقدي بمعالجة آمنة. إذا اكتشفنا مشكلة (مثل تعرض مفتاح API للحساب للاختراق)، فسنستخدم بيانات الاتصال الخاصة بك لتنبيهك ومساعدتك في حلها.

• تحسين الخدمة والتحليلات: قد نستخدم بيانات الاستخدام الخاصة بعملائنا التجاريين (بشكل مجمع ومجهول قدر الإمكان) لفهم كيفية أداء خدماتنا، وأي الميزات هي الأكثر استخدامًا، وما الذي يمكن تحسينه. على سبيل المثال، قد نحلل متوسط الوقت المطلوب لإكمال عملية تحقق أو الميزات التي يستخدمها العملاء بكثرة. الأساس القانوني هو المصلحة المشروعة – إدارة خدمة فعالة وسهلة الاستخدام. تدور هذه التحليلات حول استخدام المنتج بشكل عام ولا تركز عادةً على الأفراد، ولكن إلى الحد الذي تتضمن فيه أية بيانات شخصية (مثل نقرات مسؤول ما)، فإننا نقوم بإخفاء هويتها أو تجميعها. إذا أردنا استخدام أي تعليقات أو دراسة حالة تتضمن شخصًا معرفًا، سنطلب موافقته.

• الامتثال والمتطلبات القانونية: قد نعالج بيانات العملاء للامتثال للقوانين (مثال: متطلبات “اعرف عميلك التجاري” أو قيود التصدير، إلخ). إذا كنت مثلاً تعمل في قطاع منظم، فقد نكون مطالبين بإجراء قدر من العناية الواجبة. قد يشمل ذلك استخدام بياناتك للتأكد من أننا نستطيع قانونيًا تقديم خدماتنا لك (مثل التحقق من عدم وجود اسمك في قوائم العقوبات إذا تطلب القانون ذلك لعقودنا). الأساس القانوني سيكون الامتثال لالتزام قانوني أو مصلحتنا المشروعة في الامتثال للقانون ومنع إساءة استخدام خدماتنا.

باختصار، بالنسبة لمستخدمي خدمة B2B، نستخدم بياناتك بشكل أساسي لإدارة علاقتنا التجارية مع شركتك – تقديم الخدمة، دعمك، تحسين المنتج، والوفاء بواجباتنا القانونية. نحن نقوم بذلك بطريقة تحترم خصوصيتك، ولا نستخدم معلوماتك لأغراض غير ذات صلة مثل الإعلانات لأطراف ثالثة غير مرتبطة.

3.3 بالنسبة لزوار الموقع الإلكتروني (وظائف الموقع والتحليلات)

بالنسبة لزوار موقعنا الإلكتروني (ممن قد لا يستخدمون خدمة التحقق من الهوية الخاصة بنا مباشرة)، فإننا نعالج البيانات الشخصية بشكل أساسي لتشغيل موقعنا وتعلم كيفية تحسينه. تشمل الأغراض والأسس القانونية ما يلي:

• تشغيل الموقع وتأمينه: عندما تحمل صفحات موقعنا، فإن أنظمتنا تعالج حتمًا بيانات جهازك وشبكتك لتوصيل المحتوى إليك. يشمل ذلك تمرير المحتوى إلى عنوان IP الخاص بك وتهيئة العرض ليناسب جهازك. الأساس القانوني للتشغيل الأساسي للموقع هو مصلحتنا المشروعة في توفير موقع إلكتروني معلوماتي وآمن (كما يعترف البند التمهيدي 49 من GDPR بأن ضمان أمن الشبكات والمعلومات هو مصلحة مشروعة). كما نقوم بتسجيل الأحداث (مثل الأخطاء أو أنماط الوصول غير العادية) للحفاظ على الأمان – وهذا أيضًا بموجب المصالح المشروعة (حماية موقعنا ومستخدمينا من النشاط الخبيث). بدون هذه المعالجة، لا يمكن للموقع أن يعمل بشكل سليم.

• التحليلات ومراقبة الأداء: نود فهم كيفية تفاعل الزوار مع موقعنا حتى نتمكن من تحسين التخطيط والمحتوى والأداء. لتحقيق ذلك، نستخدم أدوات تحليل تجمع بيانات الاستخدام وتعيّن ملفات تعريف ارتباط غير أساسية. الأساس القانوني لملفات تعريف الارتباط الخاصة بالتحليلات هو الموافقة. عند زيارتك الأولى، لن نقوم بتفعيل أدوات التحليلات الخاصة بنا (مثل Google Analytics) إلا إذا وافقت عليها عبر لافتة ملفات تعريف الارتباط. إذا اخترت “موافق”، فإننا نعالج بيانات مثل الصفحات التي تمت زيارتها، والنقرات، والموقع الجغرافي العام لتوليد رؤى (مثل البلدان الأكثر زيارةً، الصفحات الأكثر جذبًا للاهتمام). يساعدنا ذلك في اتخاذ قرارات مثل تحسين الوثائق الشائعة أو تحسين أوقات التحميل. يمكنك سحب موافقتك في أي وقت من خلال تعديل إعدادات ملفات تعريف الارتباط الخاصة بك (ولن يؤثر ذلك على التصفح الأساسي للموقع). نحن نضبط أدوات التحليل الخاصة بنا على نحو يحترم الخصوصية – على سبيل المثال، قد نخفي جزءًا من عنوان IP الخاص بك، ولا نسمح لمزود خدمة التحليلات باستخدام البيانات لأغراضهم الخاصة.

• تخصيص تجربتك: قد نستخدم ملفات تعريف الارتباط لتذكر الخيارات التي تتخذها، مثل تفضيل اللغة أو الإعدادات الأخرى، بحيث تحصل على تجربة متسقة في الزيارات اللاحقة. قد يكون الأساس القانوني لهذه التفضيلات هو الموافقة (إذا لم تكن ضرورية بشكل صارم) أو المصلحة المشروعة إذا كان الهدف منها تحسين تجربة المستخدم بشكل طفيف فقط. على سبيل المثال، قد يُعتبر تذكر تفضيل اللغة من المصلحة المشروعة لأنه أمر متوقع وله تأثير خصوصية طفيف. في كل الأحوال، لديك القدرة عبر إعدادات المتصفح أو لافتة ملفات تعريف الارتباط الخاصة بنا على تعطيل مثل هذه الملفات إذا رغبت.

• الاستجابة لطلباتك: إذا أرسلت نموذجًا للاتصال، أو اشتركت في نشرة إخبارية، أو طلبت عرضًا توضيحيًا، سنستخدم البيانات التي قدمتها لتلبية ذلك الطلب. يعتمد الأساس القانوني على السياق: يمكن أن يكون الموافقة (إذا قمت بوضوح بتقديم بياناتك طوعًا)، أو خطوة تمهيدية لعقد (إذا كنت تستفسر عن خدماتنا، فإننا نعتبرك عميلًا محتملاً وتعقبنا كشيء طلبته). في جميع الحالات، سنستخدم معلوماتك فقط للرد بشكل مناسب – على سبيل المثال، إذا طرحت سؤالًا، فسنجيب عليه؛ وإذا اشتركت في نشرة إخبارية، فسنرسلها إليك. إذا أصبحت عميلًا، فستتم معالجة بياناتك بعد ذلك وفقًا لقسم العملاء التجاريين؛ وإذا لم تصبح، فقد نتواصل معك من حين لآخر ولكن فقط بموافقتك أو على أساس المصلحة المشروعة كما تم وصفه أعلاه في قسم التسويق.

• الإعلانات وإعادة الاستهداف: نحن لا نبيع بياناتك للمعلنين. ولكن، قد نقوم بتشغيل إعلاناتنا الخاصة عبر الإنترنت ونستخدم أدوات (مثل إعلانات Google أو LinkedIn) لقياس فعاليتها أو لـ”إعادة استهداف” الزوار (عرض إعلاناتنا للأشخاص الذين زاروا موقعنا). قد يتضمن ذلك تعيين ملفات تعريف ارتباط أو بكسلات لطرف ثالث. إن الأساس القانوني لمثل هذه ملفات تعريف الارتباط التسويقية هو الموافقة. إذا لم تسمح بملفات تعريف الارتباط التسويقية، فلن تتلقى إعادة استهداف من طرفنا. وإذا وافقت، فقد تجمع تلك الأطراف (مثل Google) بعض بيانات الاستخدام الخاصة بك على موقعنا لمساعدتنا في معرفة، مثلاً، ما إذا كان شخص ما رأى إعلانًا وانتهى به الأمر إلى زيارة موقعنا، أو للسماح لنا بعرض إعلان لخدمتنا لك على موقع آخر. سنقدم تفاصيل حول أي من هذه الملفات في إشعار ملفات تعريف الارتباط الخاص بنا وسنحترم اختيارك.

• الامتثال والحماية: قد نعالج بيانات زوار الموقع للامتثال للمتطلبات القانونية أو لحماية حقوقنا. على سبيل المثال، قد نحتفظ بسجلات الخادم (بما في ذلك عناوين IP) لفترة معينة كإجراء أمني وللتحقيق في حال تم إساءة استخدام موقعنا (مثل محاولة اختراق أو نشر محتوى غير قانوني عبر نموذج). قد يكون الأساس القانوني هو المصلحة المشروعة (الحفاظ على الأمان والامتثال القانوني) أو الالتزام القانوني إذا كان يتعين علينا الاحتفاظ ببيانات معينة. يتم عادةً الوصول إلى هذه السجلات فقط عند الضرورة (مثل لأغراض التصحيح أو تحليل الأمان) ويتم حذفها بأمان بعد فترة الاحتفاظ (انظر قسم 8. الاحتفاظ بالبيانات أدناه).

باختصار، بالنسبة لزوار الموقع، فإن معظم المعالجة غير الأساسية (مثل التحليلات/الإعلانات) تتم فقط إذا أبديت موافقتك. أما المعالجة الضرورية للتشغيل الأساسي وللأمان فتستند إلى مصلحتنا المشروعة في تشغيل موقع إلكتروني موثوق وآمن تتوقعه عند تصفحك له. إننا نهدف إلى الشفافية وإعطائك التحكم في أي بيانات غير ضرورية للاستخدام الأساسي لمواردنا عبر الإنترنت.

4. مشاركة البيانات والإفصاح عنها

نتعامل مع بياناتك الشخصية بعناية وسرية. نحن لا نبيع بياناتك الشخصية لأي أطراف ثالثة. ولكن، لكي تعمل خدماتنا، نحتاج أحيانًا إلى مشاركة البيانات مع جهات موثوقة معينة. فيما يلي توضيح للأطراف التي قد نتشارك معها البيانات، وتحت أي ظروف:

• عملاؤنا (الشركات التجارية): إذا كنت مستخدمًا نهائيًا يجري التحقق منه، سنشارك نتائج التحقق من هويتك مع العميل الذي طلب إجراء التحقق. في الواقع، تزويد العميل بنتيجة التحقق هو جوهر الخدمة – على سبيل المثال، قد نرسل تقرير التحقق ووثائق هويتك والبيانات ذات الصلة إلى الشركة التي تحتاج إلى التحقق من هويتك. سيستخدم ذلك العميل المعلومات وفقًا لإشعار الخصوصية الخاص به والقانون المعمول به. نحن لا نفصح عن بياناتك إلا إلى العميل المحدد الذي خول عملية التحقق الخاصة بك؛ ولا نبثها لأي جهة أخرى. إذا طلبت منك عدة شركات بشكل منفصل إجراء عمليات تحقق (مثال: تقوم بالتسجيل لدى مصرفين مختلفين وكلاهما يستخدم VOVE ID)، فإن كل شركة لن تطلع إلا على بيانات طلباتها الخاصة.

• مزودو الخدمة (المعالِجون الثانويون): نعتمد على مزودي خدمة خارجيين موثوقين لمساعدتنا في تقديم خدماتنا. يعمل هؤلاء المزودون كمعالِجين ثانويين، مما يعني أنهم يعالجون البيانات الشخصية نيابةً عنا (وبناءً على تعليماتنا). تشمل المعالِجين الثانويين الرئيسيين ما يلي:

• • استضافة السحابة والبنية التحتية: نستخدم منصة Google Cloud (GCP) في الاتحاد الأوروبي لاستضافة وتخزين غالبية البيانات الشخصية. تُحفظ بيانات التحقق الخاصة بك وقواعد بياناتنا وخوادمنا في مراكز بيانات آمنة داخل الاتحاد الأوروبي. تعمل Google كمعالِج ثانوي لنا لتخزين البيانات ونقلها، لكنها لا تستطيع استخدام بياناتك لأي غرض آخر. لدينا مع Google اتفاقية معالجة بيانات متوافقة مع GDPR تتضمن بنودًا تعاقدية قياسية (SCCs) لأي عمليات نقل ضرورية (انظر قسم 5. النقل الدولي).

  • أدوات التحقق من الهوية: في بعض الحالات، قد نستخدم برامج أو خدمات خارجية مدمجة في عملية التحقق خاصتنا. على سبيل المثال، قد نستخدم خدمة لفحص موثوقية الوثائق، أو مزود خوارزمية بيومترية، أو قاعدة بيانات مكافحة غسل الأموال (AML). تتلقى هذه الجهات ما يلزم من البيانات (مثل صورة الهوية أو الاسم للتحقق من عدم وروده في قائمة عقوبات) وتعيد لنا النتائج. وهي ملزمة بموجب عقود بألا تستخدم البيانات إلا لغرض التحقق المقصود.

  • خدمات الاتصالات: نستخدم بعض الأدوات للتواصل مع المستخدمين النهائيين والعملاء. على سبيل المثال، خدمة إرسال بريد إلكتروني (لإرسال رموز أو إيصالات)، أو بوابة رسائل SMS (لإرسال رموز تحقق نصية)، أو منصة دعم عملاء (لإدارة الاستفسارات). قد تتعامل هذه الجهات مع بيانات شخصية مثل بريدك الإلكتروني أو هاتفك أو اسمك في سياق تلك الاتصالات. وهي ملتزمة بالحفاظ عليها آمنة وسرية.

  • شركاء التحليلات والتسويق: بالنسبة لموقعنا، قد نستخدم مزودي خدمات تحليلية (مثل Google Analytics) أو منصات إعلانية (مثل إعلانات Google، LinkedIn) كما ورد سابقًا. يعمل هؤلاء كمُعالِجين أو متحكمين مستقلين في مجالهم. نحن نضمن تقليل مشاركة البيانات إلى الحد الأدنى (مثال: قد نشارك معرفًا مجزّأً، أو نستخدم الإعدادات المضمنة لتعزيز الخصوصية). ولا يمكنهم تحديد هويتك شخصيًا من البيانات التي نشاركها لأغراض التحليل، وأي استخدام أوسع للبيانات (مثلاً بواسطة Google لتخصيص الإعلانات) يخضع لموافقتك ولسياسة الخصوصية الخاصة بهم.

  • بائعون آخرون: قد نستعين ببائعين آخرين لخدمات محددة مثل النسخ الاحتياطي للبيانات، أو شبكات توصيل المحتوى (CDNs)، أو مراقبة الأمان. أي بائع من هذا القبيل لديه وصول إلى البيانات الشخصية يتم تقييمه من حيث الأمان والخصوصية، ويلتزم بموجب العقد بمعايير صارمة لحماية البيانات.

• نقل الأعمال (عمليات الاندماج والاستحواذ): إذا كانت VOVE ID جزءًا من اندماج أو استحواذ أو إفلاس أو بيع كل أو بعض أصولنا، فقد يتم نقل البيانات الشخصية إلى الكيان الخلف أو المستحوذ. سنضمن أن أي كيان من هذا القبيل يكون ملتزمًا باحترام هذه السياسة (أو سيتم إخطارك وسيُمنح لك خيار الرفض إذا سمحت القوانين بذلك). سنلزم أيضًا الطرف المستلم بألا يستخدم بياناتك إلا لنفس الأغراض التي جمعناها لها، ما لم توافق على معالجة جديدة.

نؤكد على أن أي طرف ثالث يتلقى بيانات شخصية منا سيلتزم بحمايتها وفقًا لقوانين حماية البيانات المعمول بها. نحن لا نسمح لأي مستلم من الأطراف الثالثة باستخدام البيانات الشخصية لأغراضه التسويقية الخاصة أو لأي أغراض غير تلك الموصوفة في هذه السياسة.

علاوة على ذلك، فنحن لا نشارك بيانات تحقق المستخدم النهائي مع عملاء آخرين أو أي أطراف غير مخول لها – إذ إن كل عميل يمكنه الوصول إلى بياناته فقط. داخليًا، فإن الوصول إلى البيانات الشخصية محدود للغاية: يصل موظفونا إلى بياناتك على أساس “الحاجة إلى المعرفة” ووفق مبدأ الحد الأدنى من الامتيازات، ما يعني أن الموظفين الذين يحتاجون تلك البيانات فقط لأداء عملهم (مثلاً، مهندس دعم فني يقوم باستكشاف مشكلة) يمكنهم رؤيتها. جميع الموظفين والمتعاقدين يخضعون لالتزامات الحفاظ على السرية.

5. تخزين البيانات ونقلها دوليًا

ندرك أهمية الاحتفاظ بالبيانات الشخصية ليس فقط بشكل آمن، ولكن أيضًا في مواقع ملائمة. نشرح هنا أين نخزن البيانات وكيف نتعامل مع عمليات نقل البيانات الدولية.

• التخزين الأساسي في الاتحاد الأوروبي: يتم افتراضيًا تخزين جميع البيانات الشخصية التي يتم جمعها عبر خدمات VOVE ID على خوادم آمنة موجودة داخل الاتحاد الأوروبي. نحن نستخدم مراكز بيانات منصة Google Cloud داخل الاتحاد الأوروبي (مثلاً، في بلجيكا و/أو هولندا) لقواعد بياناتنا وتخزين الملفات والخوادم. عبر إبقاء البيانات داخل الاتحاد الأوروبي، نضمن حماية معلوماتك بموجب قوانين صارمة لحماية البيانات في المنطقة الاقتصادية الأوروبية (EEA). تتمتع Google Cloud بشهادات أمن قوية وتمتثل لمدونة سلوك الاتحاد الأوروبي، ولا تتصرف إلا وفق تعليماتنا فيما يتعلق ببياناتك. نحن لا نخزن بيانات شخصية في ولايات قضائية لا تتمتع بحماية بيانات كافية إلا إذا كان ذلك ضروريًا ومع وجود ضمانات مناسبة، كما سيتم شرحه أدناه.

• نطاق العمليات الجغرافي: حالياً، ترتكز عمليات VOVE ID الأساسية في المغرب والاتحاد الأوروبي. قد يكون لدينا موظفون أو شركاء خارج الاتحاد الأوروبي يساعدون في تقديم خدماتنا (مثال: مركز دعم عملاء أو فريق تطوير). ومع ذلك، حتى لو كان فريقنا خارج الاتحاد الأوروبي، فسيصلون إلى البيانات عن بُعد على خوادم داخل الاتحاد الأوروبي. لدينا ضوابط ومراقبة صارمة لضمان أن أي وصول يتم بشكل آمن (مثل عبر اتصالات مشفرة وشبكات VPN) ومحدود للأغراض المصرح بها فقط.

• النقل خارج الاتحاد الأوروبي: كلما قمنا نحن (أو معالِجونا الثانويون) بنقل بيانات شخصية من الاتحاد الأوروبي إلى دولة لا تعتبر “ملائمة” من قبل المفوضية الأوروبية (أي أن قوانين حماية البيانات الخاصة بتلك الدولة لا تعتبر مكافئة لمعايير الاتحاد الأوروبي)، فإننا نعتمد على آليات قانونية معتمدة لضمان بقاء بياناتك محمية. الآلية الأساسية التي نستخدمها هي البنود التعاقدية القياسية للمفوضية الأوروبية (SCCs). وهذه التزامات تعاقدية بيننا (أو بين شركائنا) وبين المستلم للبيانات تلزم بتوفير نفس مستوى حماية البيانات كما هو الحال داخل الاتحاد الأوروبي. على سبيل المثال:

• • إذا كان عميلنا خارج الاتحاد الأوروبي ويحتاج إلى استلام بيانات مستخدم نهائي (مثلاً، بنك في منطقة الشرق الأوسط وشمال أفريقيا أو في الولايات المتحدة يستخدم خدمتنا)، فسيشمل عقدنا مع ذلك العميل بنود CCT تلزمه بحماية البيانات.

  • إذا استخدمنا معالِجًا ثانويًا في الولايات المتحدة أو في دولة أخرى (مثلاً، خدمة بريد إلكتروني)، فسنبرم معه اتفاقية CCT أو ترتيبًا معادلاً. بالإضافة إلى ذلك، حيثما كان مناسبًا، نطبّق ضمانات إضافية على هذه التحويلات، مثل التشفير أثناء النقل وفي التخزين، وسياسات للتعامل مع أي طلبات حكومية للوصول إلى البيانات (تماشيًا مع متطلبات حكم “Schrems II”).

• آليات نقل أخرى: إذا لم تكن اتفاقيات CCT قابلة للتطبيق أو كافية في سيناريو معين، فقد نعتمد على آليات أخرى معتمدة بموجب GDPR: على سبيل المثال، قرار ملاءمة (إذا تم نقل البيانات إلى دولة تعتبرها الاتحاد الأوروبي ملائمة، مثل سويسرا أو ربما المملكة المتحدة)، أو قواعد شركات ملزمة (إذا قمنا بتطبيقها مستقبلًا لعمليات النقل داخل المجموعة)، أو موافقتك الصريحة في حالات نادرة (مع تنويه واضح بالمخاطر). سنختار دائمًا الآلية التي توفر أفضل حماية للبيانات والتي يمكن تنفيذها عمليًا في الحالة المعنية.

6. تدابير الأمان

نحن نتعامل مع أمن البيانات بجدية بالغة، ونعمل على تطبيق تدابير تقنية وتنظيمية صارمة لحماية بياناتك الشخصية. فيما يلي نظرة عامة على تدابير الأمان الرئيسية لدينا:

6.1 الضمانات التقنية

• تشفير البيانات: يتم تشفير كافة البيانات الشخصية أثناء نقلها وعند تخزينها. وهذا يعني أنه عندما يتم إرسال بياناتك بين جهازك وخوادمنا (أو بين خوادمنا ومعالِجينا الثانويين)، فإننا نستخدم بروتوكولات تشفير قوية (مثل HTTPS/TLS) لمنع التنصت. وبالمثل، فإن البيانات المخزنة (قواعد البيانات، النسخ الاحتياطية، إلخ) يتم تشفيرها باستخدام خوارزميات تشفير حديثة. يضمن التشفير أنه حتى لو وقعت البيانات في الأيدي الخاطئة، فلن تكون قابلة للقراءة.

• التحكم في الوصول والمصادقة: يتم التحكم بصرامة في الوصول إلى أنظمتنا ومستودعات البيانات عبر تحكم بالوصول قائم على الأدوار (RBAC). لا يمكن لأي شخص الوصول إلى البيانات الشخصية سوى الموظفين المخوّلين الذين لديهم حاجة فعلية لمعرفة تلك البيانات، ويقتصر وصولهم على الحد الأدنى اللازم وفقًا لدورهم. نفرض مصادقة قوية (بما في ذلك المصادقة متعددة العوامل (MFA) لموظفينا والمسؤولين) لمنع عمليات تسجيل الدخول غير المصرح بها. يتم تسجيل الوصول الإداري إلى الأنظمة الحساسة ومراجعته بانتظام.

• أمان الشبكة: يتم حماية خوادمنا بجدران حماية وتقسيم للشبكة. نفصل بين البيئات بحيث تكون الأنظمة المواجهة للإنترنت، على سبيل المثال، منفصلة عن قواعد البيانات الداخلية. نحن نستخدم أنظمة كشف ومنع التطفل (IDS/IPS) ومراقبة مستمرة للشبكة. نجري عمليات مسح أمني واختبارات اختراق منتظمة للعثور على نقاط الضعف ومعالجتها. كما نستخدم شبكات VPN آمنة وقنوات مشفرة لأي إدارة عن بُعد.

• تطوير برامج آمن: يتبع فريقنا الهندسي ممارسات وأطر برمجية آمنة. نجري مراجعات للكود ونستخدم أدوات فحص آلية للكشف عن نقاط الضعف الأمنية في برامجنا. قبل نشر الميزات أو التحديثات الجديدة، فإنها تخضع للاختبار (بما في ذلك اختبارات الأمان). لدينا أيضًا برنامج مكافآت الثغرات أو برنامج إفصاح مسؤول يشجع باحثي الأمن على إبلاغنا بالمشكلات.

• تقليل البيانات وإخفاء الهوية: كلما أمكن، نخفض مقدار البيانات المحددة للهوية في أنظمتنا. على سبيل المثال، لأغراض تدريب الخوارزميات، نستخدم بيانات مجهولة الهوية. وفي الأنظمة التشغيلية، قد نقوم باستبدال معرفات مباشرة برموز (pseudonymization)، بحيث لا يمكن الربط الكامل بالهوية إلا باستخدام جدول منفصل (يخضع لرقابة مشددة). بهذه الطريقة، حتى لو تم الوصول إلى قاعدة بيانات داخلية، فإن البيانات لن تكون محددة الهوية على الفور دون المفتاح.

• المراقبة والتسجيل: لدينا نظام شامل لتسجيل الدخوليات والإجراءات في أنظمتنا. تُولد الأنظمة الحرجة تنبيهات عند حدوث أنشطة غير اعتيادية (مثل محاولات تسجيل دخول متعددة فاشلة، أو عمليات تصدير كبيرة للبيانات). نوظف مراقبة على مدار الساعة (24/7) بحيث يتم إبلاغ فريق الأمان لدينا بسرعة بأي حوادث أو حالات شاذة محتملة. كما تساعدنا سجلاتنا في التحليل الجنائي إذا حدث خطأ ما، حتى نتمكن من تتبع المشكلة.

• النسخ الاحتياطية والاستعادة: نقوم بإجراء نسخ احتياطية منتظمة للبيانات المهمة لمنع فقدانها. يتم تشفير النسخ الاحتياطية وتخزينها بشكل آمن (مع مراعاة نفس متطلبات إقامة البيانات – مثلاً، داخل الاتحاد الأوروبي). نقوم باختبار خطط استعادة الطوارئ لدينا بشكل دوري للتأكد من أننا قادرون على استعادة توفر البيانات والوصول إليها في الوقت المناسب حال وقوع حادث فيزيائي أو تقني. فترة الاحتفاظ الافتراضية للنسخ الاحتياطية محدودة، ثم يتم حذفها بشكل آمن.

6.2 التدابير التنظيمية

• سياسات الوصول والتدريب: يخضع جميع موظفي VOVE ID ومتعاقديها لفحوص خلفية حيثما يسمح القانون، ويجب عليهم توقيع اتفاقيات سرية. نقدم تدريبًا منتظمًا لجميع الموظفين حول ممارسات الخصوصية وأمن البيانات، لضمان فهمهم لمسؤولياتهم في حماية البيانات الشخصية والتعرف على أساليب الهندسة الاجتماعية أو المخاطر الأخرى. تحدد سياساتنا الداخلية كيفية التعامل مع البيانات والإبلاغ عنها والتخلص منها. عدد قليل فقط من الفريق المخوّل لديه إمكانية الوصول إلى بيانات المستخدمين الإنتاجية، وذلك أيضًا ضمن ظروف صارمة.

• فريق مخصص للأمن والخصوصية: لدينا فريق مخصص مسؤول عن الإشراف على الأمان والامتثال لحماية البيانات. يشمل هذا الفريق مهندسين أمنيين ومسؤولي امتثال ومسؤول حماية بيانات (DPO) (سواء كان مطلوبًا بموجب القانون أو تم تعيينه من قبلنا طوعًا). يقوم هذا الفريق بإجراء تقييمات للمخاطر وتقييمات لتأثيرات الخصوصية. كما أننا نستعين بمدققين مستقلين أو خبراء لتقييم ضوابط الأمان لدينا بانتظام (بما في ذلك اختبار اختراق سنوي وربما تدقيقات مثل SOC 2 أو ISO 27001 مع نمو شركتنا).

• إدارة مخاطر الطرف الثالث: قبل إشراك أي معالِج ثانوي أو بائع قد يتعامل مع بيانات شخصية، نقوم بتقييم وضعه الأمني وامتثاله. نتأكد من وجود اتفاقية معالجة بيانات موقعة معه. نطلب من معالِجينا الثانويين الحصول على شهادات أو تدقيقات ملائمة (مثل ISO 27001، SOC 2 أو ما شابه) أو أن يثبتوا امتثالهم لـ GDPR. نراقب امتثالهم، وسنُنهي العقود إذا لم يلبِّ أي بائع متطلبات الأمان الخاصة بنا.

• مبدأ الحد الأدنى من الامتياز & الحاجة إلى المعرفة: كما ذكرنا، داخليًا نتبع مبدأ الحد الأدنى من الامتياز. يمكن لوكلاء الدعم أو التحقق لدينا رؤية البيانات المرتبطة بمهمتهم فقط (مثلاً، يمكن لوكيل الدعم الاطلاع على تفاصيل جلسة تحقق المستخدم النهائي فقط عند استكشاف تلك الجلسة لصالح العميل، وحتى في تلك الحالة قد يتم إخفاء بيانات حساسة مثل صور الهوية الكاملة ما لم تكن ضرورية للغاية). يتم تسجيل الوصول إلى بيانات الإنتاج ويتطلب موافقة إدارية.

• الأمان الفيزيائي: رغم اعتمادنا الكبير على البنية التحتية السحابية، إلا أن أي مكتب أو بيئة مركز بيانات نعمل فيها تكون مؤمّنة. مكاتبنا لديها ضوابط وصول (بطاقات تعريف/نظم بيومترية) وسياسات للزوار. بالنسبة لمراكز البيانات السحابية، فإننا نعتمد على الأمان الفيزيائي للمزود (والذي يتضمن لدى Google Cloud حراسة على مدار الساعة/طوال الأسبوع، وصول بيومتري، إلخ). نحن لا نخزن بيانات شخصية حساسة على حواسيب أو أجهزة الموظفين؛ كل شيء موجود في بيئات سحابية آمنة. أجهزة الموظفين مشفرة وتتم إدارتها مركزيًا لفرض الأمان (مع إمكانية المسح عن بعد، إلخ).

• خطة الاستجابة للحوادث: لدينا خطة استجابة للحوادث توضح الخطوات المتبعة لكشف واحتواء والتحقيق وإخطار الأطراف المعنية بحوادث الأمان. يتم تدريب الموظفين الرئيسيين على إجراءات الطوارئ. نقوم بمحاكاة سيناريوهات اختراق لضمان جاهزيتنا. راجع القسم التالي حول الاستجابة لحوادث خرق البيانات لمعرفة تفاصيل كيفية تعاملنا مع أي حوادث فعلية.

• الشهادات وبرامج الامتثال: نقوم بمراجعة ضوابط الأمان لدينا باستمرار مقارنةً بالمعايير الصناعية والتهديدات الناشئة للحفاظ على تحديث إجراءات الحماية. هدفنا هو الحفاظ على وضع أمني “متطور” ومواكب لأعلى المعايير، مع ضمان السرية والسلامة وتوافر البيانات التي تعهدون بها إلينا.

7. الاستجابة لحوادث خرق البيانات

على الرغم من أفضل جهودنا، لا يوجد نظام آمن بنسبة 100%. في حال وقوع خرق للبيانات الشخصية (حادث أمني يؤدي إلى الإتلاف أو الفقدان أو التعديل العرضي أو غير القانوني، أو الكشف أو الوصول غير المصرح به إلى البيانات الشخصية)، لدى VOVE ID خطة واضحة للاستجابة بسرعة وفعالية للحد من أي ضرر والامتثال لالتزاماتنا القانونية.

التعرف على الحادث واحتواؤه: أنظمة المراقبة لدينا وموظفونا مدربون على اكتشاف أي حوادث أمنية محتملة. في اللحظة التي نشك فيها بوقوع خرق بيانات، يتدخل فريق الاستجابة للحوادث لدينا فورًا. نجمع تفاصيل حول ما حدث، وما هي البيانات المعنية، ومَن يمكن أن يكون متضررًا. نعمل على احتواء الخرق فورًا – مثلاً، عزل الأنظمة المتأثرة، إلغاء المفاتيح أو بيانات الاعتماد المُخترَقة، أو إيقاف هجوم جارٍ – لمنع أي وصول غير مصرح به إضافي.

التقييم: سنقيّم نطاق وشدة الخرق. يشمل ذلك تحديد حجم البيانات والأفراد المتأثرين، ونوع البيانات (مثلاً، ما إذا كانت تتضمن معلومات حساسة مثل وثائق هوية أو بيانات بيومترية)، والعواقب المحتملة على المستخدمين. كما نحدد ما إذا كان الخرق مرجحًا أن يؤدي إلى أي خطر على حقوق الأفراد وحرياتهم – إذ يُفرّق GDPR بين الخروقات التي تشكل خطرًا وتلك التي لا تشكل خطرًا، مما يؤثر على متطلبات الإبلاغ.

الإبلاغ الداخلي: تضمن سياسة التصعيد الداخلية لدينا إبلاغ الأشخاص المناسبين، بما في ذلك الإدارة التنفيذية، ومسؤول حماية البيانات لدينا (إن وجد)، وفريق الأمن لدينا. إذا كان الخرق يتعلق بأنظمة يديرها معالِج ثانوي، فإننا نبلغ ذلك المعالِج أيضًا وننسق جهود الاستجابة معه.

معالجة المشكلة: سنحدد السبب الجذري للخرق ونتخذ إجراءات تصحيحية لمنع تكراره. قد يشمل ذلك تصحيح برنامج، أو تغيير الإعدادات، أو تعزيز المراقبة، أو حتى اتخاذ إجراءات إدارية (تأديب/إعادة تدريب الموظفين) إذا كان الخطأ بشريًا. نقوم بتوثيق كل ما نتعلمه لضمان المساءلة والتحسين.

إخطار الأطراف المتأثرة: نحن ملتزمون بالشفافية تجاه الحوادث الجسيمة. بصفتنا معالج بيانات لبيانات المستخدم النهائي، سنقوم بإخطار العميل المتأثر (المتحكم بالبيانات) دون تأخير غير مبرر بعد اكتشاف الخرق. يتيح ذلك لعميلنا الوفاء بالتزامه بإبلاغ الجهات التنظيمية أو الأفراد حسب الاقتضاء. سنزوده بجميع المعلومات ذات الصلة بالخرق، بما في ذلك طبيعة الحادث، والبيانات المتأثرة، والعواقب المحتملة، والإجراءات المتخذة للتخفيف منها. سنساعد عميلنا في التواصل مع مستخدميه النهائيين إذا لزم الأمر.

إذا كانت VOVE ID هي المتحكم بالبيانات المتضررة (مثلاً، خرق لبيانات زائر موقع أو بيانات حساب عميل تجاري)، فإن لدينا واجبات قانونية بالإخطار:

• السلطة الإشرافية: إذا كان الخرق مرجحًا أن يؤدي إلى خطر على حقوق وحريات الأفراد (مثال: خطر سرقة الهوية أو الاحتيال أو الضرر المعنوي أو أثر مهم آخر)، سنبلغ عنه إلى هيئة حماية البيانات المعنية دون تأخير غير مبرر، وفي غضون 72 ساعة إن أمكن. سيتضمن تقريرنا طبيعة الخرق، وفئات وعدد الأفراد والسجلات المتأثرة تقريبيًا، والعواقب المحتملة، والإجراءات المتخذة أو المقترحة لمعالجته. إذا لم نتمكن من تقديم كل التفاصيل خلال 72 ساعة، فسنقدم المعلومات الأولية ثم نكملها بأقرب وقت.

• الأفراد المتأثرون: إذا كان الخرق مرجحًا أن يؤدي إلى خطر مرتفع على حقوقك وحرياتك، فسوف نبلغك أنت أيضًا (الأفراد المعنيين). يُقصد بالخطر المرتفع احتمال تعرضك لضرر كبير – على سبيل المثال، إذا تم تسريب معلومات هويتك أو كلمة مرورك ويمكن إساءة استخدامها. ستكون رسالتنا إليك بلغة واضحة، تصف ما حدث وأي خطوات ينبغي عليك اتخاذها لحماية نفسك (مثل تغيير كلمات المرور أو الحذر من محاولات الاحتيال)، بالإضافة إلى معلومات الاتصال بنا لمزيد من الاستفسارات. قد لا نتصل بالأفراد مباشرة إذا كانت البيانات المعنية تخص مستخدمين نهائيين تحت سيطرة عميل – ففي هذه الحالة عادة سيتولى العميل إبلاغهم، غالبًا بمساعدتنا. إذا كنا قد جعلنا البيانات غير قابلة للقراءة (مثل عبر تشفير قوي) أو اتخذنا إجراءات تحييد الخطر، أو إذا كان الإبلاغ الفردي يتطلب جهدًا غير متناسب (وعندها سنقوم بإعلان عام)، فقد لا يقتضي GDPR إخطارًا فرديًا. ولكن نهجنا الافتراضي هو التحوط لصالح الشفافية.

الامتثال التنظيمي: نحن نُوثّق جميع الخروقات واستجاباتنا لها، وفق مبدأ المساءلة في GDPR. إذا لزم الأمر، سنتواصل مع سلطات حماية البيانات لتزويدها بمعلومات إضافية. لا نرى في الاستفسارات التنظيمية مواجهة عدائية بل فرصة لضمان أننا عالجنا المشكلة بشكل صحيح. سنلتزم بأي توجيهات تقدمها السلطات بخصوص مزيد من الإجراءات.

التحسين المستمر: بعد حل الخرق، نجري تحليلًا لاحقًا لاستخلاص الدروس. نقوم بتحديث إجراءات الأمان وخطة الاستجابة لدينا بناءً على ما تعلمناه. هدفنا هو منع الحوادث المستقبلية وتعزيز أنظمتنا. غالبًا ما تؤدي الاختراقات (حتى الطفيفة منها) إلى تطبيق ضوابط أكثر صرامة.

كن مطمئنًا بأننا نتعامل مع أي حادث أمني بأقصى قدر من الاستعجال والمهنية. إن حماية بياناتك هي أولويتنا القصوى، وفي حال حدث شيء خاطئ، سنفعل كل ما بوسعنا لتصحيح الوضع وإبقائك مطلعًا على كل خطوة.

8. الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية فقط طوال المدة اللازمة لتحقيق الأغراض الموضحة في هذه السياسة، أو بحسب ما يتطلبه القانون أو التزاماتنا التعاقدية. إن الاحتفاظ بالبيانات لفترة أطول من اللازم قد يزيد من مخاطر الخصوصية، لذا نحن نسعى لتقليل فترة الاحتفاظ. أدناه نوضح مدة الاحتفاظ بأنواع مختلفة من البيانات والمعايير التي نستخدمها لتحديد تلك الفترات.

• بيانات تحقق المستخدم النهائي: افتراضيًا، تحتفظ VOVE ID بالبيانات الشخصية التي يتم جمعها خلال عملية التحقق من الهوية لفترة محدودة، وبعدها يتم حذفها أو جعلها مجهولة بشكل لا رجعة فيه. إن سياسة الاحتفاظ القياسية لدينا لسجلات التحقق لا تتجاوز 3 سنوات من تاريخ التحقق. في كثير من الحالات، نحتفظ بالبيانات التفصيلية (مثل الصور ومقاطع الفيديو والوثائق) لمدة أقصر (على سبيل المثال، [90 يومًا] في التخزين “النشط” المتاح لعميلنا)، ثم نقوم بأرشفة البيانات بشكل آمن ومحدود الوصول لبقية فترة الاحتفاظ. يتم الاحتفاظ بالبيانات المؤرشفة لأغراض التدقيق والامتثال أو معالجة النزاعات فقط، ولا يمكن الوصول إليها بسهولة للاستخدام العادي. بعد انتهاء فترة الاحتفاظ، نقوم بحذف البيانات الشخصية بشكل آمن، بما في ذلك النسخ الاحتياطية.

• • الاحتفاظ المخصص للعميل: قد يطلب بعض عملائنا من المؤسسات الكبرى فترة احتفاظ مختلفة لتلبية متطلباتهم التنظيمية. على سبيل المثال، قد يتعين على مؤسسة مالية الاحتفاظ بسجلات “اعرف عميلك” (KYC) لمدة 5 سنوات بموجب القانون، أو على العكس من ذلك قد تطلب خدمة تراعي الخصوصية حذف البيانات في وقت أقرب (لنقل، بعد 30 يومًا). نحن نوفر لعملائنا المرونة لضبط فترة الاحتفاظ عبر منصتنا أو بطلب خاص. إذا حدد العميل احتفاظًا مخصصًا، فسوف يتجاوز ذلك إعدادنا الافتراضي لتلك البيانات (وعادةً سيتم إبلاغك بذلك عبر إشعار خصوصية العميل). وفي كل الأحوال، نحن لا نحتفظ أبدًا ببيانات شخصية للمستخدمين النهائيين إلى الأبد وسنلتزم بتعليمات المتحكم في هذا الصدد.

  • البيانات البيومترية: بالنسبة للمعرّفات البيومترية (مثل قوالب الوجه)، نطبق فترة احتفاظ أكثر صرامة بما يتوافق مع التوجيهات القانونية. على سبيل المثال، قد يتم الاحتفاظ بقوالب الوجه فقط للمدة اللازمة لإكمال عملية التحقق ثم حذفها أو تخزينها بشكل منفصل مع توفير حماية إضافية. كما ذكرنا سابقًا، نحن لا نحتفظ افتراضيًا ببيانات الوجه البيومترية لأكثر من 3 سنوات، وغالبًا لفترة أقصر بكثير. تفرض بعض القوانين (مثل قانون خصوصية المعلومات الحيوية BIPA في ولاية إلينوي بالولايات المتحدة) حذف البيانات البيومترية بمجرد تحقيق الغرض منها أو خلال 3 سنوات. نحن نصمم سياسة الاحتفاظ الخاصة بنا لتلبية أشد القواعد المعمول بها صرامةً.

  • البيانات المجهولة: قد نحتفظ ببيانات مجهولة (لم تعد بيانات شخصية) مشتقة من عمليات التحقق لأغراض التحليل أو التدريب بعد انتهاء فترة الاحتفاظ، حيث إنها لا تشكل أي خطر على الخصوصية. على سبيل المثال، قد نحتفظ بمعلومات إحصائية مثل “معدلات النجاح” أو خصائص غير محددة الهوية تُستخدم لتحسين خوارزمياتنا بمرور الوقت. هذه البيانات لن تعرّفك ولا تخضع للحذف بناءً على طلبك لأنها غير مرتبطة بأي فرد.

• بيانات العملاء التجاريين: إذا كنت عميلًا أو مستخدمًا لخدمتنا الموجهة للأعمال، فإننا نحتفظ ببياناتك طوال مدة العلاقة التجارية وبعدها حسب الحاجة. تحديدًا:

• • معلومات حسابك والملف الشخصي يتم الاحتفاظ بها طالما بقيت شركتك عميلاً لنا وكان حسابك نشطًا. إذا تركت الشركة أو تم إلغاء تنشيط حسابك، سنزيل أو نجعل مجهولة البيانات الشخصية المرتبطة بمستخدمك بعد فترة زمنية معقولة، باستثناء الحد الذي تكون فيه مضمنة في سجلات عمل يتعين علينا الاحتفاظ بها.

  • معلومات العقد والمعاملات (مثل الاتفاقية الرئيسية، سجلات الفواتير، تذاكر الدعم) يتم الاحتفاظ بها طوال مدة العقد وبشكل عام لمدة لا تقل عن 3 سنوات بعد إنهائه. هذا للامتثال لمتطلبات حفظ السجلات القانونية (على سبيل المثال، قد تتطلب قوانين المحاسبة/الضرائب الاحتفاظ بالفواتير 7 سنوات) وللحصول على المعلومات الضرورية في حالة وجود التزامات أو نزاعات بعد العقد. نحن نؤرشف سجلات العملاء القديمة بشكل آمن ونقيد الوصول إليها.

  • الاتصالات معك (البريد الإلكتروني، سجلات الدردشة) قد يتم الاحتفاظ بها لفترة أقصر [مثل سنتين] ما لم تحتوي على معلومات أعمال هامة نحتاج للاحتفاظ بها لفترة أطول. نقوم بتنظيف المراسلات القديمة التي لم تعد ضرورية بشكل دوري.

  • قائمة إلغاء الاشتراك: إذا قمت بإلغاء الاشتراك من المراسلات التسويقية، سنحتفظ بمعلومات الاتصال الخاصة بك في قائمة كبت بشكل دائم لضمان احترام طلب إلغاء الاشتراك ذلك (هذه ممارسة معيارية لتجنب إرسال بريد دون قصد لأولئك الذين اختاروا عدم الاستلام). تتضمن قائمة الكبت أقل قدر ممكن من المعلومات (عادةً البريد الإلكتروني وحالة إلغاء الاشتراك فقط).

• بيانات زوار الموقع الإلكتروني:

• • سجلات خادم الويب (التي قد تحتوي على عناوين IP وطوابع زمنية للزيارة) يتم الاحتفاظ بها بشكل عام لفترة قصيرة، عادةً من عدة أسابيع إلى بضعة أشهر (مثل 1-3 أشهر)، ما لم تكن هناك حاجة للاحتفاظ بها لفترة أطول لتحليلات الأمان. نحن ندور هذه السجلات ونحذفها بانتظام. أما السجلات المطلوبة لتحقيقات قانونية أو أمنية فقد يتم الاحتفاظ بها حتى حل تلك القضايا.

  • بيانات التحليلات يتم الاحتفاظ بها وفق الإعدادات الخاصة بنا لدى مزود التحليلات. حاليًا، تم تعيين فترة احتفاظ بياناتنا في Google Analytics على 14 شهرًا بشكل افتراضي (وهو إعداد شائع)، ما يعني أن البيانات الأقدم يتم حذفها تلقائيًا من التقارير. نحن لا نخزن بيانات التحليلات الخام خارج إطار فترة الاحتفاظ التي حددها المزود.

  • ملفات تعريف الارتباط المخزنة في متصفحك لها فترات انتهاء صلاحية خاصة بها. بعض ملفات تعريف الارتباط (مثل ملفات تعريف ارتباط الجلسة) تنتهي عند إغلاق المتصفح. أما الأخرى (مثل ملفات تفضيلات أو ملفات تحليلات) فقد تستمر لبضعة أشهر أو سنة أو سنتين. يوضح إشعار ملفات تعريف الارتباط لدينا مدة حياة كل ملف. يمكنك مسح ملفات تعريف الارتباط من متصفحك في أي وقت لحذفها على الفور.

  • المعلومات المقدمة عبر النماذج (مثل طلبات الاتصال) يتم تخزينها في أنظمتنا (نظام إدارة علاقات العملاء أو البريد) عادةً حتى لم تعد هناك حاجة إليها. إذا لم تُصبح عميلاً أو لم تستمر المحادثة، فقد نحذف استفسارك بعد [12-24 شهرًا]. وإذا تعاملت معنا (على سبيل المثال أصبحت عميلاً)، تصبح البيانات جزءًا من سجلات العملاء وتخضع لسياسة الاحتفاظ الخاصة بالعملاء.

  • تسجيلات جلسات المستخدم (إذا استخدمنا في أي وقت أدوات تسجل كيفية تفاعل المستخدمين مع موقعنا – ونحن حاليًا لا نفعل – أو إذا كان لدينا تسجيلات ندوات عبر الإنترنت تشمل الحضور) فنحن نحتفظ بها فقط المدة اللازمة للتحليل أو لأغراض العرض، ثم نحذفها.

9. حقوقك بصفتك موضوع البيانات

بصفتك مستخدمًا لخدماتنا أو زائرًا لموقعنا، لديك حقوق معينة تتعلق ببياناتك الشخصية بموجب GDPR وقوانين حماية البيانات الأخرى. نحن ملتزمون باحترام حقوقك ومنحك التحكم في معلوماتك. فيما يلي نوضح حقوقك الأساسية كمساهم بيانات وكيف يمكنك ممارستها. (إذا كنت في نطاق ولاية قضائية ذات حقوق إضافية، مثل كاليفورنيا أو البرازيل، فعادة ما يتم تناول تلك الحقوق بشكل منفصل؛ يركز هذا القسم على الحقوق المنصوص عليها في GDPR والتي نمدها إلى جميع المستخدمين.)

• الحق في أن تكون على علم: لديك الحق في الحصول على معلومات واضحة وشفافة حول كيفية معالجتنا لبياناتك الشخصية – وهذا تحديدًا هو هدف سياسة الخصوصية هذه. نسعى لتزويدك بجميع التفاصيل حول ممارساتنا في البيانات. إذا كان هناك أي شيء غير واضح، يمكنك دائمًا أن تطلب منا مزيدًا من المعلومات.

• الحق في الوصول: لديك الحق في طلب تأكيد ما إذا كنا نعالج بياناتك الشخصية أم لا، وإذا كنا، يحق لك تلقي نسخة من تلك البيانات بالإضافة إلى معلومات إضافية. يُعرف هذا عمومًا باسم “طلب وصول موضوع البيانات” (DSAR). على سبيل المثال، يمكنك أن تطلب منا تزويدك بالبيانات التي لدينا عنك في أنظمتنا. سنقدمها مجانًا، وعادةً خلال شهر واحد. إذا طلبت نسخًا إضافية، قد نفرض رسومًا معقولة تستند إلى التكاليف الإدارية.

• الحق في التصحيح: لديك الحق في تصحيح البيانات الشخصية غير الدقيقة وإكمال البيانات الناقصة. إذا لاحظت أننا نحتفظ بمعلومات غير صحيحة عنك (مثلاً، خطأ في تهجئة اسمك أو معلومات اتصال قديمة)، فيرجى إبلاغنا حتى نتمكن من تصحيحها. في كثير من الحالات (مثل ملف المستخدم في حساب عميل)، يمكنك تصحيح بياناتك مباشرة من خلال إعدادات الحساب.

• الحق في المحو (الحق في النسيان): لديك الحق في طلب حذف بياناتك الشخصية في ظروف معينة. على سبيل المثال، إذا لم تعد البيانات ضرورية للأغراض التي تم جمعها لأجلها، أو إذا سحبت موافقتك ولم يعد لدينا أساس قانوني آخر للمعالجة، أو إذا اعترضت على المعالجة ولم يعد لدينا أسباب مشروعة تفوق مصلحتك، أو إذا عالجنا بياناتك بشكل غير قانوني – يمكنك أن تطلب منا محوها. سنحترم طلبات المحو الصحيحة ونحذف بياناتك، وسنطلب كذلك من معالِجينا حذفها، إلا حيث يتوجب علينا الاحتفاظ بها (مثلاً، بسبب التزامات قانونية أو دفاع عن دعاوى قانونية). سنبلغك إذا كان هذا هو الحال.

• الحق في تقييد المعالجة: لديك الحق في طلب تقييد معالجة بياناتك الشخصية في ظروف معينة. ينطبق ذلك إذا كنت تنازع دقة البيانات (سنقيد المعالجة أثناء التحقق)، أو إذا كانت المعالجة غير قانونية لكنك تفضل التقييد بدلاً من المحو، أو إذا لم نعد بحاجة إلى البيانات ولكنك تحتاجها لإقامة أو ممارسة أو الدفاع عن مطالبات قانونية، أو إذا كنت قد اعترضت على المعالجة (ريثما يتم التحقق مما إذا كانت لدينا أسباب مشروعة تفوق حقوقك). عندما يتم تقييد المعالجة، سنحتفظ ببياناتك لكننا لن نستخدمها (باستثناء، مثلاً، لحالات إقامة أو دفاع عن دعاوى قانونية، أو بموافقتك). سنبلغك عندما يتم رفع التقييد.

• الحق في قابلية نقل البيانات: بالنسبة للبيانات التي قدمتها لنا، لديك الحق في استلامها بصيغة منظمة وشائعة الاستخدام ويمكن قراءتها آليًا، كما لديك الحق في طلب نقلها إلى متحكم بيانات آخر حيثما كان ذلك ممكنًا تقنيًا. ينطبق هذا الحق عندما تستند المعالجة إلى موافقتك أو على عقد معك وكانت تتم بوسائل آلية. عمليًا، قد ينطبق ذلك إذا كنت مثلاً قد أدخلت بيانات في نموذج تسجيل وترغب في إعادة استخدامها في مكان آخر. سنوفر لك البيانات بصيغة CSV أو ما شابه بحيث يسهل استيرادها، وذلك بناءً على طلبك. لاحظ أن هذا الحق لا يُلزمنا بالاحتفاظ بالبيانات لفترة أطول من المعتاد؛ فهو يغطي فقط ما بحوزتنا من بيانات.

• الحق في الاعتراض: لديك الحق في الاعتراض في أي وقت على معالجة بياناتك الشخصية عندما تكون المعالجة مستندة إلى مصالحنا المشروعة، أو لأداء مهمة للمنفعة العامة/في إطار ممارسة سلطة رسمية (وهو أمر لا نقوم به عادة). إذا اعترضت، يتوجب علينا إيقاف معالجة بياناتك ما لم نُظهر أسبابًا مشروعة قاهرة تتجاوز مصالحك وحقوقك وحرياتك، أو كانت المعالجة لأغراض إقامة أو ممارسة أو الدفاع عن مطالبات قانونية. كما أن لديك الحق المطلق في الاعتراض على أي معالجة لبياناتك لأغراض التسويق المباشر. على سبيل المثال، إذا كنت تتلقى رسائل تسويقية منا ولا ترغب بذلك، يمكنك الاعتراض (إلغاء الاشتراك) وسنتوقف. وإذا اعترضت على معالجة ما لأغراض منع الاحتيال (استنادًا إلى المصلحة المشروعة)، سننظر في طلبك ونوازن بينه وبين ضرورة تلك المعالجة.

• الحق في عدم التعرض لقرار آلي بحت: لديك الحق في عدم التعرض لقرار يستند حصريًا إلى معالجة آلية، بما في ذلك بناء ملف شخصي، ينتج عنه تأثير قانوني أو تأثير مشابه بالغ الأهمية عليك، إلا إذا كان ذلك (أ) ضروريًا لإبرام أو تنفيذ عقد بيننا وبينك، (ب) مصرحًا به قانونًا، أو (ج) قائمًا على موافقتك الصريحة. بعبارة أبسط، إذا “قال الحاسوب لا” (مثال: رفض التحقق) بدون أي تدخل بشري، وكان لهذا الرفض تأثير كبير عليك، يمكنك طلب تدخل بشري أو الاعتراض على القرار. نحن نتناول نهجنا تجاه القرارات الآلية في القسم التالي. في عملياتنا، نضمن وجود مراجعة بشرية خاصة في الحالات الحدّية أو الفاشلة لضمان الإنصاف. كمستخدم نهائي، يمكنك أيضًا إثارة أي مخاوف من خلال عميلنا أو مباشرة لنا، وسنجعل شخصًا حقيقيًا يفحص الحالة.

• الحق في سحب الموافقة: عندما نعتمد على موافقتك لمعالجة البيانات (مثال: موافقتك على استخدام ملفات تعريف الارتباط أو معالجة البيانات البيومترية)، فإن لك الحق في سحب هذه الموافقة في أي وقت. لن يؤثر سحب الموافقة على مشروعية المعالجة التي تمت بالفعل بناءً عليها، لكنه سيوقف المعالجة المستقبلية للبيانات المعنية. فمثلاً، يمكنك تغيير إعدادات ملفات تعريف الارتباط لسحب موافقتك على التحليلات؛ أو إذا كنت وافقت على تحقق بيومتري ثم غيرت رأيك قبل إتمامه، يمكنك إبلاغنا أو إبلاغ العميل لإيقاف العملية. يرجى ملاحظة أنه إذا سحبت موافقة لازمة لتقديم خدمة (مثل التحقق من الهوية)، فقد يعيق ذلك إمكانية إكمال تلك الخدمة.

هذه الحقوق ليست مطلقة – فهناك استثناءات وشروط لانطباقها. على سبيل المثال، قد لا نمحو بيانات نحن ملزمون قانونًا بالاحتفاظ بها، أو قد نرفض طلب وصول واضح البطلان أو مفرط (لكن سنقدم تبريرًا في تلك الحالات). مع ذلك، سنقوم دائمًا بتقييم طلباتك والرد عليها بحسن نية ووفقًا للقوانين المعمول بها.

9.1 ممارسة حقوقك

كيفية تقديم طلب: لممارسة أي من حقوقك في حماية البيانات، يمكنك التواصل معنا باستخدام معلومات الاتصال الواردة في قسم 12. الاتصال بنا أدناه. أسهل طريقة عمومًا هي إرسال بريد إلكتروني إلينا على [email protected] (مع كتابة “الخصوصية” في موضوع الرسالة) موضحًا طلبك. يُرجى تحديد الحق الذي ترغب في ممارسته وأية تفاصيل ذات صلة (مثلاً، السياق الذي تعاملت معنا فيه، حتى نتمكن من تحديد بياناتك). يمكنك أيضًا إرسال طلبات عبر البريد إلى عنواننا أو استخدام أي بوابة إلكترونية قد نوفرها لطلبات الخصوصية.

التحقق من الهوية: حفاظًا على الأمان، قد نحتاج إلى التحقق من هويتك قبل تنفيذ طلبك. هذا لضمان أننا لا نفقد أو نحذف بيانات بناءً على طلب شخص ينتحل شخصيتك. قد نطلب منك تقديم معلومات تطابق ما لدينا في سجلاتنا، أو إذا لزم الأمر، نسخة من بطاقة هويتك (سنستخدمها فقط لتأكيد الهوية ثم نحذفها). بالنسبة للمستخدمين النهائيين، نظرًا لأننا ربما لا نملك بياناتك إلا عبر عميل، فقد نحيل طلبك لذلك العميل للتحقق من هويتك وتلبية طلبك (حيث إنه هو من جمع بياناتك أصلًا).

التصرف نيابةً عن آخر: إذا كنت وكيلاً مفوضًا تقدم طلبًا نيابة عن شخص آخر، فسنحتاج لإثبات التفويض (مثال: توكيل رسمي أو موافقة خطية من صاحب البيانات).

الرسوم والإطار الزمني: بشكل عام، لا نفرض رسومًا مقابل تلبية طلبات ممارسة الحقوق. إذا كان الطلب مجهدًا للغاية أو متكررًا، فإن القانون يسمح برسوم معقولة أو حتى رفض الطلب، لكننا عادة سنحاول تقديم نسخة واحدة من بياناتك مجانًا على الأقل. نهدف للرد على جميع الطلبات الصحيحة خلال شهر واحد من استلامها. إذا كان الطلب معقدًا أو لدينا عدد كبير من الطلبات، قد نمدد هذه المهلة شهرين إضافيين، ولكن سنخبرك بذلك خلال الشهر الأول مع شرح السبب. على سبيل المثال، قد يستغرق طلب وصول يتطلب جمع بيانات من أنظمة متعددة وقتًا أطول؛ وسنبقيك على علم بالمستجدات.

التعامل مع عملائنا (بالنسبة للمستخدمين النهائيين): إذا كنت مستخدمًا نهائيًا نعالج بياناته نيابة عن عميل، فغالبًا ما يكون من الأكثر فعالية توجيه طلبك لذلك العميل أولاً. باعتباره المتحكم في البيانات، يكون مسؤولا عن تلبية حقوقك. على سبيل المثال، إذا أردت نسخة من بيانات التحقق الخاصة بك، قد تزودك الشركة التي تحققت معها بتلك البيانات (غالبًا ما تتوفر لديهم عبر لوحة التحكم). إذا طلبت الحذف عبر العميل، فسيوجهنا لحذف السجلات حسب الحاجة. ومع ذلك، لا يوجد ما يمنعك من التواصل معنا مباشرةً – سنساعدك وننسق مع العميل ضمن الحدود المتاحة لنا. بموجب GDPR، كمعالِج يتعين علينا مساعدة المتحكم في تلبية طلبات مواضيع البيانات. لذا إذا تلقينا طلبًا ونعلم أنه يتعلق ببيانات عميل، قد نستشيره (مثلاً، للتحقق من أن إعطاء البيانات لك مناسب ولا ينتهك خصوصية شخص آخر) ثم نتابع التنفيذ وفقًا لذلك.

الاعتراض أو الحد من المعالجة: إذا اخترت الاعتراض على المعالجة أو سحب الموافقة، فسنوضح لك العواقب (إن وجدت) المترتبة على ذلك. على سبيل المثال، إذا اعترضت على معالجة ضرورية لخدمتنا المقدمة لعميل، فقد نضطر لإبلاغ العميل بأننا لن نستطيع متابعة عمليات التحقق المستقبلية الخاصة بك. إذا سحبت موافقتك على رسائل البريد الإلكتروني التسويقية، سنوقفها على الفور (قد يستغرق الأمر بضعة أيام للانعكاس عبر الأنظمة، لكن عادة ما يتم فورًا عبر رابط إلغاء الاشتراك). إذا أردت تقييد المعالجة، سنضع علامة على بياناتك بأنها “مقيّدة” ولن نستخدمها (عدا عن تخزينها) حتى يتم حل الأمر.

رفض الطلبات: في حالات نادرة، قد لا نتمكن من تلبية طلب ما. تشمل الأمثلة: عدم قدرتنا على حذف بيانات نحن ملزمون قانونًا بالاحتفاظ بها (سنخبرك بذلك ونحتفظ بالحد الأدنى فقط)؛ عدم قدرتنا على تقديم بيانات لو أن ذلك يمس حقوق شخص آخر (إذا كانت بياناتك مختلطة ببيانات آخرين وسيؤثر الكشف عنها على خصوصيتهم، سنعمل على فصل بياناتك)؛ أو إذا طلبت عدة نسخ أو قدمت طلبات متكررة بشكل مبالغ فيه، فقد نرفض الطلب أو نفرض رسومًا. إذا رفضنا جزءًا من طلب، فسنوضح لك بجلاء السبب، ونبيّن أية خيارات إضافية لديك (مثل تقديم شكوى لدى هيئة حماية البيانات، انظر أدناه).

الشكاوى: نشجعك على الاتصال بنا أولاً لحل أي أسئلة أو مشكلات لديك بشأن بياناتك الشخصية. ومع ذلك، إذا كنت تعتقد أننا لم نلتزم بقوانين حماية بياناتك، فيحق لك أيضًا تقديم شكوى إلى سلطة حماية البيانات المختصة (مثل لجنة حماية البيانات الشخصية (CNDP) في المغرب، أو هيئة حماية البيانات في بلدك داخل الاتحاد الأوروبي، أو مكتب مفوض المعلومات ICO في المملكة المتحدة، إلخ). يمكنك القيام بذلك في دولة عضو في الاتحاد الأوروبي حيث تقيم أو تعمل، أو حيث تعتقد أن الانتهاك وقع. سنعمل بتعاون كامل مع أي تحقيق من جهة تنظيمية وسنسعى لحل المسائل وديًا.

باختصار، حقوقك مهمة جدًا لنا. لقد وضعنا إجراءات لضمان قدرتنا على الوفاء بها. لا تتردد في ممارسة هذه الحقوق – فقد تم تصميمها لمنحك التحكم وراحة البال فيما يتعلق ببياناتك الشخصية.

10. اتخاذ القرارات الآلية والتنميط

تتضمن خدمات VOVE ID تقنيات متقدمة، بما في ذلك الذكاء الاصطناعي (AI) والتعلم الآلي، لتنفيذ عمليات التحقق من الهوية بكفاءة ودقة. نرغب في أن نكون شفافين حول كيفية عمل المعالجة الآلية في نظامنا، ودور البشر في عملية اتخاذ القرار.

العمليات الآلية في التحقق: عندما تخضع لعملية تحقق الهوية عبر VOVE ID، يتم أتمتة عدة خطوات. فعلى سبيل المثال، قد يتحقق نظامنا تلقائيًا مما إذا كانت وثيقة الهوية التي قدمتها أصلية (مثلاً عبر كشف العلامات الأمنية أو مقارنتها بقوالب قياسية)، أو يقارن صورتك الشخصية (السيلفي) بصورة هويتك باستخدام خوارزميات التعرف على الوجه. وقد نقوم أيضًا بتشغيل فحوص احتيال آلية – على سبيل المثال، وضع إشارة إذا تم استخدام نفس وثيقة الهوية عدة مرات أو إذا كانت هناك مؤشرات خطر معينة (كأن تكون الوثيقة منتهية الصلاحية أو يُشتبه أن الفيديو احتيالي). تساعد هذه العمليات الآلية في تسريع التحقق، غالبًا في الوقت الفعلي أو خلال دقائق.

أهمية القرارات: عادةً، تكون نتيجة العملية الآلية توصية أو درجة ثقة وليس حكمًا نهائيًا. على سبيل المثال، قد ينتج نظامنا درجة ثقة بأن صورة السيلفي الخاصة بك تطابق صورة وثيقة هويتك، أو نتيجةً بأن الوثيقة اجتازت فحوص الأصالة. ثم يستخدم عميلنا (الشركة التي تتحقق منك) تلك النتائج ليقرر ما إذا كان سيوافق على عملية التحقق أم لا. في كثير من الحالات، فإن القرارات التي تؤثر عليك (مثل هل يمكنك فتح الحساب أم لا) تُتخذ من قبل عميلنا، ربما بالاستناد إلى نتائجنا الآلية.

الإشراف البشري: نضمن وجود مراجعة وإشراف بشري في سير عمل التحقق من الهوية لدينا لتجنب قرارات مؤتمتة بالكامل قد تؤثر بشكل كبير على الأفراد. يتم مراجعة العديد من نتائج التحقق من الهوية من قبل أخصائيين مدربين، خاصة إذا كان النظام الآلي غير متيقن أو أشار إلى مشكلة. على سبيل المثال، إذا تعذر على خوارزمياتنا التحقق من وثيقتك أو وجهك بثقة كافية، فقد يتم تصعيد الحالة إلى مُحقّق بشري لمراجعة الصور يدويًا واتخاذ القرار. يضمن هذا النهج المدمج بين الأتمتة والإشراف البشري دقة أعلى وإنصافًا. نحن لا نعتمد فقط على الخوارزميات لقبول أو رفض الهوية – فعادة ما يكون هناك عنصر بشري مشارك، سواءً لدى VOVE ID أو لدى العميل، لمراجعة النتائج، ولا سيما في الحالات الحدّية.

لا قرارات قانونية أو جوهرية من VOVE ID وحدها: عادةً لا تتخذ VOVE ID بحد ذاتها أي قرارات ذات تأثير قانوني أو مشابه عليك دون تدخل بشري. خدمتنا تقدم نتائج التحقق من الهوية لعميلنا. في النهاية، يعود القرار لعميلنا – مثلاً، في قبولك كعميل لديه أو لا – بناءً على تلك النتائج وتقييمه الخاص. ومع ذلك، ندرك أن نتيجة تحقق سلبية قد يكون لها تأثير كبير (مثال: قد لا تتمكن من استخدام خدمة إذا لم يتم التحقق من هويتك). لذلك، نصمم أنظمتنا بحيث تقلل الأخطاء وتوفر سبلًا للتظلم.

حقوقك بخصوص القرارات الآلية: بموجب GDPR، لديك الحق في عدم الخضوع لقرار يستند فقط إلى المعالجة الآلية وله تأثير كبير عليك، ولديك الحق في طلب تدخل بشري، والتعبير عن وجهة نظرك، والطعن في القرار. إذا شعرت يومًا بأن قرارًا آليًا عبر نظامنا كان خاطئًا أو غير عادل، يمكنك التواصل مع عميلنا أو معنا لطلب مراجعة يدوية. على سبيل المثال، إذا تم رفض التحقق الخاص بك وتعتقد أن ذلك خطأ (ربما كانت جودة الصورة رديئة أو أن النظام أخطأ)، يمكنك طلب إعادة التحقق أو المراجعة. قد يكون لدى عميلنا إجراءاته الخاصة للتعامل مع هذه الاعتراضات، وسنساعده عبر توفير أية معلومات لازمة أو إجراء فحص ثانٍ بواسطة مُحقّق بشري.

التنميط: يمكن أن يعني “التنميط” في سياقنا تحليل جوانب متعلقة بك مثل سلوكك أو خصائصك بهدف تقييم مخاطر الاحتيال. نحن ننشئ بالفعل ملفات مخاطر في نطاق محدود (مثل سمعة الجهاز، نتائج عمليات التحقق السابقة). ومع ذلك، فإننا لا نقوم بتنميطك لأغراض تسويقية أو تقديم تنبؤات شخصية خارج إطار التحقق من الهوية. أي تنميط نقوم به يهدف فقط إلى التحقق من الهوية وكشف الاحتيال، وليس إلى تقييم شخصيتك أو عاداتك أو أهليتك الائتمانية مثلاً.

تدريب النماذج والإنصاف: يتم تدريب نماذج الذكاء الاصطناعي لدينا (مثل تلك المستخدمة لمطابقة الوجوه) على مجموعات بيانات متنوعة بهدف تحقيق الإنصاف وعدم التحيز. نحن نراقب بنشاط أي انحياز ونعمل على الحد منه (مثل الفروق في الدقة بين المجموعات الديموغرافية المختلفة). كما نختبر بانتظام أداء فحوصاتنا الآلية للتأكد من موثوقيتها. إذا وجدنا أية مشكلة منهجية، نقوم بتحديث نماذجنا، وفي تلك الأثناء نعتمد أكثر على الفحوص البشرية. نحن ندرك حساسية المطابقة البيومترية الآلية ونسعى لتحقيق معايير دقة عالية لتجنب حالات الرفض الخاطئ أو القبول الخاطئ.

الشفافية: إذا كان قرار أو نتيجة معينة تم توجيهها بشكل كبير بواسطة عمليات آلية، فإننا أو عميلنا سنزودك – عند الطلب – بمعلومات مفيدة حول المنطق المستخدم. قد نصف لك مثلاً: “تم وضع إشارة على وثيقتك باعتبارها مزورة محتملة بواسطة نظامنا الآلي بسبب عدم تطابق في البيانات، مما ساهم في اتخاذ قرار بإجراء مراجعة إضافية”. لن نكشف بالتفصيل عن خوارزمياتنا المملوكة، ولكننا سنشرح العوامل العامة.

باختصار، على الرغم من أن VOVE ID تستخدم أنظمة آلية متطورة لجعل التحقق من الهوية سريعًا وآمنًا، فإننا لا نسلم مصيرك لآلة دون أي مجال للتدخل. نحن نمزج بين التكنولوجيا والحكم البشري لضمان أن القرارات دقيقة ومبررة. وإذا شعرت في أي وقت أن جزءًا آليًا من خدمتنا تسبب في نتيجة غير صحيحة لك، فأخبر عميلنا أو أخبرنا – فلديك الحق في أن يقوم شخص حقيقي بمراجعة الموقف.

11. تحديثات سياسة الخصوصية هذه

قد نقوم بتحديث أو تعديل سياسة الخصوصية هذه من وقت لآخر لتعكس التغييرات في ممارساتنا أو تقنياتنا أو المتطلبات القانونية أو لأسباب تشغيلية أخرى. نريدك دائمًا على علم بكيفية تعاملنا مع بياناتك الشخصية، لذا سنقوم بإبلاغك بأي تغييرات مهمة ونشر السياسة المنقحة مع تاريخ سريان محدّث.

الإصدار والتاريخ: يمكنك العثور أعلى هذه السياسة على تاريخ “آخر تحديث”. يشير هذا التاريخ إلى وقت سريان النسخة الحالية. يمكن توفير النسخ الأقدم من سياسة الخصوصية الخاصة بنا عند الطلب (أو قد تكون مؤرشفة على موقعنا).

الإخطار بالتغييرات: إذا قمنا بإجراء تغييرات جوهرية على هذه السياسة – مثلاً، إذا بدأنا بمعالجة البيانات لغرض جديد، أو غيّرنا مدة احتفاظنا بالبيانات، أو أضفنا فئات جديدة من الجهات المستلمة – فسنتخذ الخطوات المناسبة لإبلاغك. قد يشمل ذلك:

• نشر إشعار بارز على موقعنا أو لوحة التحكم (مثل لافتة أو نافذة منبثقة) لإعلامك بالتحديث.

• إرسال إخطار عبر البريد الإلكتروني لعملائنا أو للمستخدمين (إذا كان لدينا بريدك الإلكتروني) يصف التغييرات.

• في بعض الحالات، قد نسعى للحصول على موافقتك على الممارسات الجديدة إذا تطلب القانون ذلك. على سبيل المثال، إذا كان الغرض الجديد يعتمد على الموافقة أو إذا كنا سنبدأ معالجة بيانات حساسة بطريقة جديدة، فسنضمن حصولك على خيار الموافقة قبل أن يحدث ذلك.

قد يتم إدخال تغييرات طفيفة (مثل التوضيحات أو التصحيحات اللغوية أو التحديثات التي لا تؤثر بشكل جوهري على الخصوصية) دون إشعار خاص سوى تحديث السياسة على موقعنا. ومع ذلك، نحرص على عدم إجراء تغييرات مفاجئة.

مراجعة السياسة: نحن نشجعك على مراجعة سياسة الخصوصية هذه بشكل دوري للبقاء مطلعًا على ممارساتنا المتعلقة بالبيانات. إذا واصلت استخدام خدمات VOVE ID أو موقعنا الإلكتروني بعد دخول نسخة جديدة من السياسة حيز التنفيذ، فسيُعتبر ذلك قبولًا للشروط المحدّثة (في حدود ما يسمح به القانون). إذا كنت لا توافق على أي تغييرات، ينبغي عليك التوقف عن استخدام خدماتنا، ويمكنك ممارسة حقوقك (مثل طلب حذف بياناتك).

لعملائنا: إذا قمنا بتحديث هذه السياسة، فلن يقلل ذلك من حقوقك-

للتواصل معنا:

إذا كانت لديك أي استفسارات تتعلق بسياسة الخصوصية هذه أو حول كيفية تعاملنا مع بياناتك الشخصية، يمكنك التواصل معنا عبر البريد الإلكتروني التالي:

• البريد الإلكتروني: [email protected]

• المسؤول عن حماية البيانات: طارق (Tarik)

• العنوان: VOVE ID Inc., 16192 الطريق الساحلي، ليويس، مقاطعة ساسيكس، ولاية ديلاوير، 19958، الولايات المتحدة الأمريكي