سياسة الخصوصية وحماية البيانات الشخصية

تلتزم شركة كونفرتي للتجارة الإلكترونية (CONVERTY FOR ECOMMERCE)، المُشغِّلة لمنصة converty.shop، بحماية خصوصية مستخدميها وصون بياناتهم الشخصية، وفقًا لأحكام القانون التونسي رقم 63 لسنة 2004 المتعلق بحماية المعطيات الشخصية، وما يسري من أحكام اللائحة الأوروبية العامة لحماية البيانات (GDPR) على العلاقات التعاقدية ذات الصلة.

تُحدّد هذه السياسة كيفية جمع المنصة للبيانات الشخصية، وأغراض استخدامها، والجهات التي قد تُشارَك معها، فضلًا عن الحقوق المكفولة للمستخدمين في هذا الشأن.

معلومات التواصل:

• البريد الإلكتروني: contact@converty.shop
• الهاتف: +216 48 272 872
• الموقع الإلكتروني: converty.shop

باستخدامك للمنصة أو التسجيل فيها، تقر بأنك اطلعت على هذه السياسة وفهمت مضمونها ووافقت عليها.

تسري هذه السياسة على:

• التجار: كل شخص طبيعي أو معنوي ينشئ حساباً على المنصة ويستخدم خدماتها لإنشاء متجر إلكتروني وإدارته.
• الزوار: كل من يتصفح المنصة أو يطلع على محتواها دون تسجيل.
• عملاء المتاجر: كل من يتعامل مع المتاجر الإلكترونية المنشأة عبر المنصة، سواء بالتسجيل أو التصفح أو إجراء عمليات الشراء.

لا تسري هذه السياسة على مواقع الأطراف الثالثة المرتبطة بالمنصة عبر روابط خارجية، إذ تخضع هذه المواقع لسياسات الخصوصية الخاصة بها.

تجمع المنصة الفئات التالية من البيانات:

• أولًا: بيانات الهوية
  تشمل: الاسم الكامل واسم المستخدم.
• ثانيًا: بيانات التواصل
  تشمل: عنوان البريد الإلكتروني، رقم الهاتف، العنوان البريدي أو الجغرافي، وبيانات التواصل الأخرى التي يُدخلها المستخدم.
• ثالثًا: بيانات تقنية
  تشمل: عنوان بروتوكول الإنترنت (IP Address)، نوع المتصفح وإصداره، نظام التشغيل، بيانات ملفات تعريف الارتباط (Cookies)، بيانات الجلسات، ومعرّفات الأجهزة.
• رابعًا: بيانات الاستخدام
  تشمل: صفحات المنصة التي تمّت زيارتها، مدة الجلسات، الروابط التي جرى النقر عليها، أنماط التصفح داخل المنصة، وسجلات التفاعل مع الخدمات.
• خامسًا: بيانات المتجر الإلكتروني
  تشمل: اسم المتجر، تفاصيل المنتجات والمخزون، سجلات الطلبيات، وبيانات العملاء التي يُدخلها التاجر ضمن متجره، وفق ما يُفصَّل في قسم "بيانات عملاء المتاجر" أدناه.
• سادسًا: كلمات المرور
  تُخزَّن كلمات المرور في صيغة مُشفَّرة (Hashed) باستخدام خوارزميات تشفير معيارية معتمدة، ولا يُمكن الاطلاع عليها بصورة نصية صريحة في أي حال من الأحوال.

تجمع المنصة البيانات من خلال المصادر التالية:

• أ) التسجيل وإنشاء الحساب: عند إنشاء حساب جديد على المنصة، يُقدّم المستخدم مجموعة من البيانات الشخصية اللازمة لتفعيل الخدمة.
• ب) الاستخدام اليومي للمنصة: تُجمَع بيانات الاستخدام والتقنية تلقائيًا خلال تصفّح المنصة والتفاعل مع خدماتها.
• ج) ملفات تعريف الارتباط وتقنيات التتبع: وفق ما يُفصَّل في قسم "ملفات تعريف الارتباط" أدناه.
• د) التواصل مع فريق الدعم: قد تُجمَع معلومات إضافية حين يتواصل المستخدم مع فريق الدعم الفني أو الإداري.
• هـ) الأطراف الثالثة: قد تتلقى المنصة بيانات تكميلية من شركاء الخدمة (كبوابات الدفع وشركات الشحن) عند استخدام خدماتهم.
• و) السجلات التقنية التلقائية: تُسجَّل بيانات تقنية على خوادم المنصة تلقائيًا عند كل دخول، تشمل عنوان IP وبيانات المتصفح وتفاصيل الجلسة.

تُستخدَم البيانات المجمّعة للأغراض التالية:

• أ) تقديم الخدمات وتشغيلها: إنشاء حسابات المستخدمين، تفعيل المتاجر الإلكترونية، معالجة الطلبيات، وتوفير كافة الوظائف التشغيلية للمنصة.
• ب) التواصل والدعم الفني: إرسال الإخطارات المتعلقة بالحساب والمعاملات، والرد على استفسارات المستخدمين ومتطلبات الدعم الفني.
• ج) إدارة المدفوعات والتسويات المالية: معالجة العمولات والمدفوعات المتعلقة باستخدام المنصة بالتنسيق مع بوابات الدفع المعتمدة.
• د) تحسين جودة الخدمات: تحليل أنماط الاستخدام لتطوير الميزات وتحسين أداء المنصة وتجربة المستخدم.
• هـ) التسويق والاتصالات الترويجية: إرسال رسائل إخبارية وعروض وتحديثات للمستخدمين الذين وافقوا على تلقّيها، مع إتاحة حق إلغاء الاشتراك في أي وقت.
• و) فحص الحسابات وإدارة المخاطر: مراجعة حسابات التجار وأنماط معاملاتهم للكشف عن مؤشرات الاحتيال أو الاستخدام المخالف لسياسات المنصة، وذلك صونًا لسلامة المجتمع التجاري بأكمله.
• ز) حماية الحقوق: الدفاع عن حقوق المنصة ومستخدميها وتسوية النزاعات عند الاقتضاء.

تستند المنصة في معالجة البيانات الشخصية إلى الأُسس القانونية التالية وفقًا للقانون التونسي رقم 63 لسنة 2004 وأحكام GDPR ذات الصلة:

• أ) الموافقة الصريحة: عند الطلب من المستخدم تقديم موافقته على جمع بيانات بعينها لأغراض محددة، كالرسائل التسويقية وملفات تعريف الارتباط غير الضرورية. ويحق للمستخدم سحب موافقته في أي وقت دون أن يؤثر ذلك على مشروعية المعالجة السابقة.
• ب) الضرورة التعاقدية: معالجة البيانات اللازمة لتنفيذ العقد المبرم بين المنصة والمستخدم، كإنشاء الحساب وتشغيل المتجر وإدارة المدفوعات.
• ج) المصلحة المشروعة: معالجة البيانات لأغراض تحليل الاستخدام، وتحسين الخدمات، والكشف عن الاحتيال، وحماية أمن المنصة — بما لا يتعارض مع حقوق المستخدمين وحرياتهم الأساسية.

عدم البيع أو التأجير

لا تبيع المنصة بياناتك الشخصية ولا تُؤجّرها ولا تتاجر فيها لأي طرف ثالث.

حالات المشاركة المشروعة

يجوز للمنصة مشاركة البيانات في الحالات التالية حصرًا:

• أ) مزوّدو الخدمات: مشاركة البيانات مع الشركاء التقنيين المكلفين بتقديم خدمات ضرورية للتشغيل كالاستضافة السحابية، وبوابات الدفع، وشركات الشحن، وأدوات التحليل.
• ب) منتجات الشركاء: عند اختيار المستخدم تفعيل تطبيقات أو خدمات طرف ثالث مدمجة في المنصة، قد تشارك البيانات اللازمة لتشغيل هذه المنتجات مع مزوديها، وذلك بعلم المستخدم ووفق شروط الخدمة الخاصة بكل طرف.
• ج) المراجعون والمدققون: مشاركة البيانات مع مراجعي الحسابات أو الاستشاريين القانونيين الملتزمين بالسرية المهنية بموجب القانون أو التعاقد.
• د) الاندماج والاستحواذ: في حال بيع المنصة أو اندماجها أو استحواذ جهة أخرى على أصولها، قد تنتقل البيانات إلى الجهة الخلف، مع الالتزام بإخطار المستخدمين مسبقاً.
• هـ) حماية الحقوق: حين تكون المشاركة ضرورية للدفاع عن حقوق المنصة القانونية أو الحقوق التعاقدية لمستخدميها.

تستخدم المنصة بوابات دفع تشغلها جهات خارجية معتمدة. وعند إتمام أي معاملة مالية، تخضع بيانات الدفع لسياسات الخصوصية الخاصة بتلك الجهات. لا تتحمل المنصة أي مسؤولية عن المعالجة التي تجريها هذه الجهات على بيانات الدفع.

ما هي ملفات تعريف الارتباط؟

ملفات تعريف الارتباط (Cookies) هي ملفات نصية صغيرة تخزن على جهاز المستخدم عند زيارة المنصة، وتمكن المنصة من التعرف على المتصفح وتذكر التفضيلات وتحسين تجربة الاستخدام.

أنواع ملفات تعريف الارتباط المستخدمة:

إدارة ملفات تعريف الارتباط:

يمكن للمستخدم في أي وقت تعديل إعدادات الكوكيز عبر:

• لوحة إعدادات الخصوصية المتاحة في المنصة.
• إعدادات المتصفح (رفض جميع الكوكيز أو حذفها). تجدر الإشارة إلى أن رفض الكوكيز الضرورية قد يعيق بعض وظائف المنصة الأساسية.

تطبق المنصة منظومة متكاملة من التدابير الأمنية لحماية البيانات الشخصية، تشمل:

• تشفير الاتصالات: تعتمد المنصة بروتوكولات SSL/TLS لتشفير جميع البيانات المنقولة بين المستخدم والخوادم.
• تشفير كلمات المرور: تخزن كلمات المرور بصيغة مشفرة (Hashed) باستخدام خوارزميات تشفير قوية معتمدة، ولا يمكن استرجاعها بأي حال.
• ضوابط الوصول: يخضع الوصول إلى قواعد البيانات ومعلومات المستخدمين لقواعد صارمة تقيد الاطلاع على البيانات بالموظفين المخولين وفق مبدأ الحاجة إلى المعرفة فحسب.
• المراجعات الأمنية: تجري المنصة مراجعات أمنية دورية للبنية التحتية التقنية، وتعالج الثغرات المكتشفة بصفة استباقية.
• حماية تقنية متعددة الطبقات: تشمل جدران الحماية (Firewalls)، وأنظمة كشف التسلل، والمراقبة المستمرة للأنشطة غير المعتادة.

مع ذلك، لا تضمن المنصة الحماية المطلقة من كل مخاطر الاختراق الإلكتروني، وتشجع المستخدمين على اختيار كلمات مرور قوية وحفظ سرية بيانات دخولهم.

تحتفظ المنصة بالبيانات الشخصية وفق المدد التالية:

• بيانات الحساب النشط: تحتفظ ببيانات الحساب طوال فترة سريان العلاقة التعاقدية مع المستخدم.
• البيانات المالية وسجلات المعاملات: تحتفظ بها لمدة خمس (5) سنوات من تاريخ كل معاملة وفقاً للمتطلبات المحاسبية والضريبية النافذة.
• سجلات الاستخدام والتقنية: تحتفظ بها لمدة اثني عشر (12) شهراً من تاريخ توليدها.
• بيانات ما بعد إغلاق الحساب: عند إنهاء الحساب، تحذف البيانات الشخصية خلال تسعين (90) يوماً، مع الاحتفاظ بالحد الأدنى اللازم للامتثال للمتطلبات القانونية طوال المدة القانونية المقررة.
• بيانات الدعم الفني والمراسلات: تحتفظ بها لمدة ثلاث (3) سنوات من تاريخ آخر تواصل.

قد تنقل البيانات الشخصية إلى خوادم أو معالجين خارج حدود الجمهورية التونسية لأغراض الاستضافة السحابية أو تقديم الخدمات التقنية. وفي هذه الحالات، تلتزم المنصة بما يلي:

• التحقق من أن الدول المستقبلة أو الجهات المستلمة توفر مستوى حماية ملائماً للبيانات الشخصية.
• إبرام اتفاقيات معالجة بيانات تعاقدية مع الجهات المستلمة تلزمها بمعايير الحماية المنصوص عليها في القانون التونسي رقم 63 لسنة 2004.
• تطبيق آليات النقل المعتمدة من هيئة حماية المعطيات الشخصية التونسية (INPDP) أو ما يعادلها، عند الاقتضاء.

يتمتع كل مستخدم للمنصة بالحقوق التالية فيما يخص بياناته الشخصية:

• حق الوصول: الحق في الاطلاع على البيانات الشخصية التي تحتفظ بها المنصة بشأنه.
• حق التصحيح: الحق في طلب تصحيح أي بيانات غير دقيقة أو مجزأة أو مضللة.
• حق الحذف: الحق في طلب حذف بياناته الشخصية حيثما انتفت المبررات القانونية أو التعاقدية للاحتفاظ بها.
• حق تقييد المعالجة: الحق في طلب تقييد معالجة بياناته في حالات محددة كالطعن في دقتها أو الاعتراض على استخدامها لغايات بعينها.
• حق نقل البيانات: الحق في استلام بياناته الشخصية بصيغة إلكترونية منظمة ومقروءة آلياً، ونقلها إلى جهة أخرى حيثما كان ذلك ممكناً تقنياً.
• حق الاعتراض: الحق في الاعتراض على معالجة بياناته لأغراض التسويق المباشر أو الأغراض القائمة على المصلحة المشروعة.
• حق سحب الموافقة: الحق في سحب الموافقة على معالجة البيانات في أي وقت، دون أن يمس ذلك مشروعية المعالجة السابقة.

لممارسة أيٍّ من الحقوق المذكورة، يتعيّن على المستخدم:

• أ) التواصل مع المنصة عبر البريد الإلكتروني: contact@converty.shop، مع الإشارة الواضحة إلى الحق المطلوب ممارسته وتقديم ما يُثبت هويته.
• ب) تلتزم المنصة بالرد على الطلب خلال ثلاثين (30) يومًا من تاريخ استلامه، مع إمكانية مدّ هذه المدة ثلاثين يومًا إضافيًا في الحالات المعقّدة مع إخطار المستخدم بذلك.
• ج) في حال عدم الرضا عن الرد، يحق للمستخدم رفع شكوى إلى الهيئة الوطنية لحماية المعطيات الشخصية (INPDP) في تونس.

التمييز بين الأدوار:

تعمل المنصة في ما يخص بيانات عملاء المتاجر الإلكترونية بوصفها معالج بيانات (Data Processor) نيابة عن التجار الذين يعدون مسؤولين عن المعالجة (Data Controllers). ويترتب على ذلك:

• يتحمل التاجر المسؤولية الكاملة عن تحديد أغراض ومناهج معالجة بيانات عملائه وفق القوانين النافذة.
• تقدم المنصة البنية التقنية اللازمة لمعالجة هذه البيانات وفق تعليمات التاجر، دون أن تتصرف فيها لحسابها الخاص.
• تلتزم المنصة بتطبيق معايير أمنية ملائمة لحفظ بيانات عملاء المتاجر وحمايتها.

أنواع البيانات المُجمَعة عن عملاء المتاجر

تشمل البيانات التي قد تُعالَج من خلال المنصة نيابةً عن التجار:

• أ) بيانات التسجيل في المتجر: الاسم، البريد الإلكتروني، رقم الهاتف، وعنوان التوصيل.
• ب) بيانات التصفح والتفاعل: الصفحات التي شاهدها العميل، المنتجات التي تصفّح عليها، وسلّة التسوق.
• ج) بيانات الطلبيات: تفاصيل المشتريات، قيمة الطلبيات، تاريخ الشراء، وحالة التوصيل.

يتعيّن على كل تاجر نشر سياسة خصوصية خاصة بمتجره تُفصح فيها لعملائه عن أغراض جمع بياناتهم وآلية استخدامها.

لا توجه المنصة خدماتها إلى الأشخاص الذين تقل أعمارهم عن ثمانية عشر (18) عاماً، ولا تجمع بياناتهم عن قصد.

في حال اكتشاف أن قاصراً قدم بياناته دون موافقة وليه القانوني، تلتزم المنصة بحذف هذه البيانات فور علمها بذلك. ويشجع أولياء الأمور على التواصل مع المنصة عبر contact@converty.shop في حال الاشتباه في وجود مثل هذه الحالات.

الاتصالات الخدمية:

بعض الرسائل ترسل إلى المستخدمين باعتبارها جزءاً لا يتجزأ من تقديم الخدمة، كإخطارات الحساب، وتأكيدات المعاملات، والتنبيهات الأمنية. لا يمكن إلغاء الاشتراك في هذه الاتصالات طوال فترة الاستخدام النشطة للمنصة.

الاتصالات التسويقية:

• لا ترسل الرسائل التسويقية إلا للمستخدمين الذين أبدوا موافقتهم الصريحة على تلقيها.
• يحق للمستخدم في أي وقت إلغاء الاشتراك في الرسائل التسويقية بإحدى الطرق التالية:
  - النقر على رابط "إلغاء الاشتراك" الوارد في نهاية كل رسالة إلكترونية.
  - تعديل إعدادات الإشعارات في لوحة التحكم الخاصة به.
  - التواصل مع الدعم الفني عبر contact@converty.shop.
• يلتزم بتنفيذ طلب إلغاء الاشتراك خلال خمسة عشر (15) يوم عمل من تاريخ الطلب.

توفر المنصة ميزة اختيارية للربط مع جوجل شيتس تتيح للتجار تصدير بيانات طلباتهم تلقائيًا إلى جدول بيانات جوجل شيتس. يصف هذا القسم كيفية وصول المنصة إلى بيانات مستخدمي جوجل واستخدامها وتخزينها وحمايتها فيما يتعلق بهذه الميزة.

نطاق الوصول

تطلب المنصة صلاحية drive.file عبر بروتوكول OAuth من جوجل. تقصر هذه الصلاحية وصول المنصة حصريًا على الملفات التي تنشئها المنصة نفسها. لا يمكن للمنصة الوصول إلى أي ملفات أخرى في حساب جوجل درايف الخاص بالمستخدم أو عرضها أو تعديلها أو حذفها. لا تطلب المنصة الوصول إلى جهات الاتصال أو البريد الإلكتروني أو التقويم أو أي خدمات جوجل أخرى.

كيفية استخدام بيانات جوجل

عند ربط التاجر بجوجل شيتس، تقوم المنصة بالإجراءات التالية:

• إنشاء جدول بيانات جوجل شيتس جديد واحد في حساب جوجل درايف الخاص بالتاجر.
• تعبئته ببيانات طلبات المتجر، بما في ذلك: رقم المرجع، اسم العميل، رقم الهاتف، المدينة، العنوان، المنتجات، الكميات، حالة الطلب، تفاصيل التوصيل، والتواريخ.
• مزامنة الطلبات الجديدة دوريًا للحفاظ على تحديث جدول البيانات.

البيانات المخزنة من قبل المنصة

تخزن المنصة في قاعدة بياناتها فقط ما يلي للحفاظ على الاتصال: معرّف جدول البيانات، رابط جدول البيانات، ورمز تحديث OAuth. لا تخزن المنصة نسخًا من محتوى جدول البيانات على خوادمها.

الاحتفاظ والحذف

يتم الاحتفاظ برمز تحديث OAuth ومرجع جدول البيانات طالما أن ربط جوجل شيتس نشط في حساب التاجر. عند إلغاء التاجر للربط، تقوم المنصة فورًا بحذف رمز تحديث OAuth ومرجع جدول البيانات من قاعدة بياناتها. لا يتم حذف جدول البيانات نفسه من جوجل درايف الخاص بالتاجر ويبقى تحت سيطرته الكاملة.

إلغاء الوصول

يمكن للتجار إلغاء الربط في أي وقت من لوحة تحكم كونفرتي. كما يمكنهم إلغاء وصول المنصة من صفحة أذونات حساب جوجل.

عدم مشاركة بيانات جوجل

لا تبيع المنصة أو تؤجر أو تشارك بيانات مستخدمي جوجل مع أي طرف ثالث. تُستخدم بيانات جوجل فقط لتوفير ميزة المزامنة الموضحة أعلاه. لا يصل أي موظف إلى محتويات جدول بيانات التاجر إلا إذا طلب التاجر صراحة الدعم الفني.

الأساس القانوني

تستند معالجة بيانات مستخدمي جوجل إلى الموافقة الصريحة للتاجر، المقدمة عند تفويض الربط من خلال مسار موافقة OAuth من جوجل، وفقًا للمادة 6(1)(أ) من اللائحة العامة لحماية البيانات (GDPR).

سياسة خصوصية جوجل

للاطلاع على كيفية جمع جوجل لبيانات المستخدمين واستخدامها وحمايتها، يرجى مراجعة سياسة خصوصية جوجل.

يلتزم استخدام كونفرتي ونقلها إلى أي تطبيق آخر للمعلومات المستلمة من واجهات برمجة تطبيقات جوجل بـسياسة بيانات مستخدم خدمات واجهة برمجة تطبيقات جوجل، بما في ذلك متطلبات الاستخدام المحدود.

تقيّد المنصة استخدامها لبيانات مستخدمي جوجل كما يلي:

• تُستخدم بيانات مستخدمي جوجل فقط لتوفير وتحسين ميزة مزامنة الطلبات عبر جوجل شيتس التي طلبها المستخدم صراحة.
• لا تُنقل بيانات مستخدمي جوجل إلى أطراف ثالثة، إلا عند الضرورة لتقديم الخدمة أو وفقًا لما يقتضيه القانون أو بموافقة صريحة من المستخدم.
• لا تُستخدم بيانات مستخدمي جوجل لأغراض إعلانية أو تسويقية.
• لا يُسمح لأي شخص بقراءة بيانات مستخدمي جوجل إلا بموافقة صريحة من المستخدم للدعم الفني، أو عند الضرورة لأغراض أمنية، أو وفقًا لما يقتضيه القانون.

في حال وقوع أي اختراق أمني من شأنه تعريض البيانات الشخصية للمستخدمين للخطر، تلتزم المنصة بما يلي:

• المباشرة فوراً في التحقيق في الاختراق وتقييم حجمه وأثره.
• إخطار المستخدمين المتضررين خلال اثنين وسبعين (72) ساعة من اكتشاف الاختراق، مع وصف واضح لطبيعة البيانات المتأثرة والإجراءات التوصوية لحماية أنفسهم.
• إبلاغ الجهات التنظيمية المختصة (ومنها الهيئة الوطنية لحماية المعطيات الشخصية INPDP) وفق الإطار القانوني المعمول به.
• اتخاذ كافة التدابير التقنية والإجرائية اللازمة لمعالجة الثغرة ومنع تكرارها.

تحتفظ المنصة بالحق في تعديل هذه السياسة من حين إلى آخر، استجابة للتطورات القانونية والتقنية أو تغييرات في طبيعة الخدمات المقدمة. عند إجراء أي تعديل جوهري على السياسة:

• يخطر المستخدمون المسجلون عبر البريد الإلكتروني المسجل لديهم قبل ثلاثين (30) يوماً من تاريخ سريان التعديل.
• تنشر النسخة المحدثة من السياسة على المنصة مع الإشارة إلى تاريخ سريانها.
• يعد استمرار المستخدم في استخدام المنصة بعد نفاذ التعديلات موافقة ضمنية منه عليها.

وفي حال رفض التعديلات، يحق للمستخدم إنهاء حسابه وفق الإجراءات المنصوص عليها في الشروط والأحكام العامة.

لأي استفسار يتعلق بهذه السياسة، أو لممارسة أي من الحقوق المذكورة فيها، يمكن التواصل مع المنصة عبر:

• البريد الإلكتروني: contact@converty.shop
• الهاتف: +216 48 272 872
• المقر: أريانة، المنيهلة — الجمهورية التونسية
• الموقع الإلكتروني: converty.shop