سياسة الخصوصية

1. من هو المتحكم في البيانات

بالنسبة للبيانات التي يقدمها صاحب الجيم عن جيمه (نموذج العميل المحتمل، تفاصيل الفوترة، عنوان العمل)، نكون نحن المتحكم في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR). أما البيانات المتعلقة بأعضاء الجيم (الاسم، تاريخ التمارين، سجلات الحضور)، فإن الجيم هو المتحكم ونعمل نحن كمعالج للبيانات نيابة عن الجيم بموجب ملحق معالجة بيانات يشكّل جزءًا من شروط الخدمة.

2. ما الذي نجمعه

• بيانات الحساب: الاسم، عنوان البريد الإلكتروني، اسم الجيم، كلمة المرور المُهشّمة، رقم هاتف اختياري.
• بيانات الفوترة: آخر أربعة أرقام من بطاقتك، عنوان الفوترة، البلد. تتم معالجة أرقام البطاقات الكاملة مباشرة عبر بوابة الدفع ولا تصل أبدًا إلى خوادمنا.
• بيانات العضو (تُعالَج لصالح الجيم): الاسم، البريد الإلكتروني، سجلات التمارين، الحضور، مقاييس جسدية اختيارية إذا فعّلها الجيم.
• بيانات الاستخدام: الصفحات التي تمت زيارتها، الميزات المستخدمة، نوع الجهاز، عنوان IP، الموقع التقريبي المستخلص من IP.
• بيانات الدعم: الرسائل التي ترسلها إلى الدعم، المرفقات، لقطات الشاشة التي ترفعها.

3. كيف نستخدمها

نستخدم البيانات الشخصية لتشغيل الخدمة، وتحرير فواتيرها، والتواصل معك بشأنها، ومنع الاحتيال وإساءة الاستخدام، والامتثال للالتزامات القانونية، وتحسين المنتج. لا نبيع البيانات الشخصية، ولا نؤجّر قوائم الاتصال، ولا نشغّل إعلانات طرف ثالث على الخدمة.

4. مع من نشاركها

نشارك البيانات مع المعالجين الفرعيين الذين يحتاجون إليها لتقديم الخدمة: مضيف قاعدة بيانات (Supabase)، ومعالج مدفوعات (Stripe)، ومزوّد تسليم بريد إلكتروني (Resend)، ومنصة استضافة (Vercel)، وخدمة مراقبة الأخطاء (Sentry). كل منهم ملتزم باتفاقية معالجة بيانات، ونحتفظ بقائمة محدّثة على ironpath.health/subprocessors.

5. ملفات تعريف الارتباط

نستخدم عددًا قليلًا من ملفات تعريف الارتباط الضرورية تمامًا للحفاظ على تسجيل دخولك وتذكّر تفضيلاتك. نستخدم تحليلات من الطرف الأول لا تضع ملفات تتبّع عبر المواقع. لا نستخدم ملفات تعريف ارتباط تسويقية أو إعلانية.

6. حقوقك (GDPR)

إذا كنت في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا، فلديك الحق في الوصول إلى البيانات الشخصية التي نحتفظ بها عنك، وتصحيحها إذا كانت خاطئة، والطلب منا حذفها، وتقييد المعالجة أو الاعتراض عليها، ونقلها إلى مزوّد آخر، وسحب الموافقة في أي وقت. لممارسة أي من هذه الحقوق، أرسل بريدًا إلكترونيًا إلى privacy@ironpath.health وسنرد خلال 30 يومًا.

7. حقوقك (CCPA / CPRA)

يحق لسكان كاليفورنيا معرفة المعلومات الشخصية التي نجمعها، وحقّ حذفها، وحقّ تصحيحها، وحقّ الانسحاب من أي بيع أو مشاركة (نحن لا نقوم بأي منهما)، وحقّ عدم التمييز ضدهم بسبب ممارسة هذه الحقوق. أرسل طلبًا قابلًا للتحقق إلى privacy@ironpath.health.

8. الاحتفاظ بالبيانات

يتم الاحتفاظ ببيانات الحساب النشط طالما كان الحساب نشطًا. بعد الإلغاء نحتفظ بنسخة مجمّدة لمدة 90 يومًا حتى تتمكن من تغيير رأيك. بعد 90 يومًا نحذفها من أنظمة الإنتاج ومن النسخ الاحتياطية خلال 35 يومًا إضافيًا، إلا حيث يُلزمنا القانون بالاحتفاظ بسجلات الفوترة (عادةً 7 سنوات).

9. الأمان

البيانات مشفّرة أثناء النقل (TLS 1.2+) وأثناء التخزين (AES-256). الوصول إلى الإنتاج مقصور على عدد قليل من المهندسين، وكل إجراء يُسجَّل. نُجري اختبار اختراق سنويًا وننشر ملخصًا له عند الطلب.

10. عمليات النقل الدولية

مركز بياناتنا الرئيسي في الولايات المتحدة. حيث ننقل بيانات شخصية خارج المنطقة الاقتصادية الأوروبية أو المملكة المتحدة أو سويسرا، نعتمد على البنود التعاقدية القياسية للمفوضية الأوروبية والصكوك المكافئة في المملكة المتحدة وسويسرا.

11. الأطفال

خدمتنا غير موجّهة للأطفال دون سن 13 عامًا. لا نجمع عن قصد بيانات شخصية من أطفال دون سن 13 عامًا. إذا كنت تعتقد أن طفلًا قدّم لنا بيانات شخصية، فيرجى الاتصال بنا وسنقوم بحذفها.

12. التواصل

أرسل بريدًا إلكترونيًا إلى privacy@ironpath.health لأي سؤال يخص الخصوصية أو لممارسة أي حق ورد أعلاه. للاستفسارات المتعلقة بحماية البيانات من المنطقة الاقتصادية الأوروبية، يمكنك أيضًا التواصل مع ممثلنا في الاتحاد الأوروبي على العنوان المُدرج في صفحة المعالجين الفرعيين.