سياسة الخصوصية

1. من نحن

KPILoop هي منصة برمجيات كخدمة تساعد المؤسسات على تحديد وتتبع وتحسين مؤشرات الأداء الرئيسية عبر مستويات متعددة في الشركة. تشمل خدمتنا لوحات معلومات قائمة على الأدوار للمسؤولين والمديرين والموظفين والتنفيذيين؛ وإدارة دورات مؤشرات الأداء الرئيسية؛ والتحليلات وإعداد التقارير؛ والرؤى المدعومة بالذكاء الاصطناعي التي يتم إنشاؤها من خلال Google Gemini لمساعدة المستخدمين على تحديد الاتجاهات والمخاطر والإجراءات اللاحقة.

الكيان القانوني المسؤول عن هذه المعالجة هو KPILoop.com — خدمات التكنولوجيا والإدارة، ومقره في RURI2795 الرياض، الرمال، المملكة العربية السعودية. اعتمادًا على علاقتك بنا، قد نعمل كمراقب للبيانات (لبيانات الحساب والفوترة التي نقرر كيفية استخدامها) أو كمعالج للبيانات (عندما يستخدم العملاء من المؤسسات KPILoop لمعالجة بيانات أداء الموظفين بموجب تعليماتهم الخاصة).

2. نطاق هذه السياسة

تنطبق هذه السياسة عند زيارتك لصفحاتنا العامة، أو التسجيل للحصول على نسخة تجريبية مجانية، أو إنشاء حساب، أو شراء اشتراك، أو الاتصال بالدعم، أو التفاعل مع KPILoop بأي طريقة أخرى. كما تنطبق عندما يقوم صاحب عمل أو مؤسسة عميلة بإنشاء ملف تعريف المستخدم الخاص بك ومنحك حق الوصول إلى المنصة كجزء من برنامج أداء.

لا تتجاوز هذه السياسة الترتيبات التعاقدية بين KPILoop والعملاء من الشركات، ولا تنطبق على خدمات الجهات الخارجية التي لديها إشعارات خصوصية خاصة بها. عند دمج مقدمي خدمات خارجيين في خدمتنا، مثل معالجة الدفع أو البنية التحتية السحابية، قد تنطبق ممارسات الخصوصية الخاصة بهم أيضًا على البيانات التي يتعامل معها هؤلاء المزودون مباشرة.

3. فئات البيانات الشخصية التي نجمعها

نقوم بجمع البيانات مباشرة منك، ومن مؤسستك، ومن جهازك، ومن سجلات الخدمة.

3.1 معلومات الهوية والحساب

• الاسم الكامل، وعنوان البريد الإلكتروني للعمل، والدور/المنصب، وتفاصيل المؤسسة.
• بيانات اعتماد الحساب وبيانات تسجيل الدخول الوصفية (على سبيل المثال، الطوابع الزمنية وسجلات نجاح/فشل تسجيل الدخول).
• خطة الاشتراك، وحالة التجربة، وملكية الحساب، وتعيينات المسؤولين.

3.2 بيانات الأداء والبيانات التنظيمية

• تعريفات مؤشرات الأداء الرئيسية، والأهداف، والأوزان، ونماذج التسجيل، والملاحظات، وسجلات الدورات.
• ملاحظات المدير، وتحديثات الموظفين، وتعليقات التقدم، ونتائج الأهداف.
• الهياكل الإدارية، والتسلسلات الهرمية للأدوار، وإعدادات رؤية لوحة المعلومات.

3.3 بيانات الدفع والمعاملات

• بيانات الاتصال الخاصة بالفوترة، ومراجع الفواتير، وحالة الاشتراك، ومعرفات المعاملات.
• رموز طرق الدفع وبيانات أحداث الدفع الوصفية التي تقدمها شركة ميسّر.
• إشارات منع الاحتيال ومخاطر الرسوم المطلوبة للتحقق من صحة المعاملات.

لا يقوم KPILoop بتخزين أرقام البطاقات الكاملة الأولية أو قيم التحقق من البطاقة على خوادمه الخاصة. تتم معالجة بيانات اعتماد الدفع بواسطة شركة ميسّر وفقًا لبيئة الدفع المنظمة الخاصة بها.

3.4 بيانات الاستخدام والتشخيص والبيانات الفنية

• عنوان IP، ونوع المتصفح، وتفاصيل الجهاز، والمنطقة الزمنية، وتفضيلات اللغة.
• أحداث استخدام الميزات، ونشاط الجلسة، وسجلات طلبات واجهة برمجة التطبيقات، وقياس الأداء عن بعد.
• معرفات ملفات تعريف الارتباط والتقنيات المماثلة الموضحة في سياسة ملفات تعريف الارتباط الخاصة بنا.

4. كيف نجمع البيانات الشخصية

نقوم بجمع المعلومات بأربع طرق أساسية. أولاً، نقوم بجمع المعلومات التي تقدمها مباشرة، مثل نماذج التسجيل، وتعديلات الملف الشخصي، ورسائل الدعم، والطلبات القانونية. ثانيًا، نقوم بجمع البيانات من مسؤولي المؤسسات الذين يقومون بتكوين حسابات المستخدمين وتعيين هياكل الأداء.

ثالثًا، نقوم بجمع البيانات التي ينشئها النظام أثناء تفاعلك مع KPILoop، بما في ذلك السجلات المطلوبة للأمان والموثوقية وتحسين المنتج والتدقيق. رابعًا، نتلقى بيانات من شركاء ومعالجين موثوق بهم، بما في ذلك ميسّر لأحداث الدفع وخدمات البنية التحتية من Google Cloud المستخدمة لاستضافة وتشغيل تطبيقنا.

5. أغراض المعالجة

نقوم بمعالجة البيانات الشخصية لتوفير وتأمين وتحسين وتشغيل KPILoop بشكل قانوني.

• لإنشاء وإدارة الحسابات، والمصادقة على الوصول، وفرض الأذونات القائمة على الأدوار.
• لتشغيل لوحات معلومات مؤشرات الأداء الرئيسية، وأدوات إعداد التقارير، وحسابات النقاط، وإشعارات سير العمل.
• لإنشاء محتوى وتحليلات مدعومة بالذكاء الاصطناعي من خلال ميزات Google Gemini التي يطلبها المستخدمون.
• لمعالجة الاشتراكات والفواتير وأحداث الدفع عبر ميسّر.
• لتوفير الانضمام والدعم، بما في ذلك الاستجابة لطلبات الخصوصية والأمان.
• لمراقبة أداء المنصة، ومنع إساءة الاستخدام، واكتشاف الاحتيال، والتحقيق في الحوادث.
• للامتثال للالتزامات القانونية في المملكة العربية السعودية والأطر الأخرى المعمول بها.
• للاحتفاظ بالسجلات اللازمة لإعداد التقارير المالية والضرائب وإدارة المنازعات.

نحن لا نبيع البيانات الشخصية لوسطاء البيانات. نحن لا نقوم بتصنيف الأفراد للإعلانات من جهات خارجية.

6. الأسس القانونية للمعالجة

عندما تتطلب القوانين المعمول بها أساسًا قانونيًا، فإننا نعتمد على واحد أو أكثر مما يلي: أداء العقد، والمصالح المشروعة، والالتزام القانوني، والموافقة. ينطبق أداء العقد عندما يتعين علينا معالجة البيانات لتوفير حسابك واشتراكك ووظائف المنصة. تنطبق المصالح المشروعة على تعزيز الأمان، وموثوقية الخدمة، والتحليلات الداخلية، ومنع الاحتيال حيث تكون هذه المصالح متناسبة ولا تتجاوز حقوقك.

ينطبق الالتزام القانوني على السجلات المحاسبية الإلزامية، والطلبات التنظيمية، ومطالب الإنفاذ القانونية. تنطبق الموافقة عند الحاجة لملفات تعريف الارتباط غير الأساسية أو الاتصالات الاختيارية. يجوز لك سحب الموافقة في أي وقت، لكن السحب لا يؤثر على المعالجة التي تم إجراؤها بالفعل قبل السحب.

الحقوق الإضافية للمستخدمين في أوروبا موضحة في إشعار GDPR الخاص بنا.

7. ميزات الذكاء الاصطناعي ومعالجة Google Gemini

يتضمن KPILoop ميزات مدعومة بالذكاء الاصطناعي مصممة لتلخيص حالة مؤشرات الأداء الرئيسية، وتسليط الضوء على الاتجاهات، واقتراح إجراءات متابعة، ومساعدة المديرين على إعداد مراجعات عادلة ومستندة إلى البيانات. تعمل هذه الميزات عبر Google Vertex AI (Gemini) في منطقة us-central1 ضمن مهام سير عمل سحابية خاضعة لرقابتنا. تتم إزالة المعرّفات المباشرة من المدخلات قبل إرسالها إلى النموذج.

يتم إنشاء مخرجات الذكاء الاصطناعي من البيانات المقدمة إلى الميزة من قبل المستخدمين المصرح لهم. نقوم بتكوين ضوابط الوصول بحيث لا يصل المستخدمون إلا إلى البيانات المسموح لهم بمشاهدتها ضمن دورهم ونطاقهم التنظيمي. الاقتراحات التي ينشئها الذكاء الاصطناعي هي أدوات مساعدة وليست قرارات نهائية تلقائية بالمعنى الوارد في المادة 22 من اللائحة العامة لحماية البيانات. تظل المؤسسات مسؤولة عن المراجعة البشرية وقرارات التوظيف أو التعويض النهائية.

يمكن لمسؤولي المؤسسة تعطيل معالجة الذكاء الاصطناعي للمستأجر في أي وقت من إعدادات المؤسسة. عند التعطيل، يقوم KPILoop بحظر جميع استدعاءات ميزات الذكاء الاصطناعي على جانب الخادم وتظهر الواجهة في حالة معطّلة. يتم الاحتفاظ بذاكرة التخزين المؤقت للاستجابات لمدة 24 ساعة وبسجلات الطلبات لمدة 30 يومًا؛ ولا يتم الاحتفاظ بمخرجات الذكاء الاصطناعي على المدى الطويل بعد العرض. نوصي العملاء بتجنب إدخال بيانات شخصية حساسة غير ضرورية في حقول مؤشرات الأداء الرئيسية ذات النص المفتوح.

8. ملفات تعريف الارتباط والتقنيات ذات الصلة

نحن نستخدم التقنيات الأساسية والتحليلية للحفاظ على الجلسات، وتأمين الحسابات، وفهم استخدام المنتج، وتحسين الموثوقية. ملفات تعريف الارتباط الأساسية مطلوبة لتسجيل الدخول والتنقل ووظائف الحساب الأساسية. تساعدنا تقنيات التحليلات والتفضيلات في تقييم الأداء وتحديد الاختناقات وتحسين تجربة المستخدم.

يمكنك قراءة التفاصيل الكاملة، بما في ذلك فئات ملفات تعريف الارتباط، وفترات الاحتفاظ، والضوابط، في سياسة ملفات تعريف الارتباط الخاصة بنا.

9. مشاركة البيانات والكشف عنها — المعالجون الفرعيون

نحن نشارك البيانات فقط عند الضرورة لتقديم الخدمة أو الأمان أو القانون أو الالتزامات التعاقدية. معالجونا الفرعيون الحاليون هم:

• Google Cloud (Firebase وVertex AI): الاستضافة وقاعدة بيانات Firestore والمصادقة وخدمة الاستدلال للذكاء الاصطناعي. المناطق: nam5 (متعددة المناطق في الولايات المتحدة) وus-central1 (لـ Vertex AI). مشمولة باتفاقية معالجة بيانات Google Cloud وبنود تعاقدية معيارية للاتحاد الأوروبي.
• ميسّر: معالجة المدفوعات ورسوم الاشتراك. المنطقة: المملكة العربية السعودية. توجد اتفاقية معالجة بيانات. لا يخزن KPILoop بيانات البطاقات الأولية.
• Sentry (Functional Software GmbH): مراقبة الأخطاء وقياس الأداء عن بُعد. المنطقة: الاتحاد الأوروبي. يُحمَّل فقط بعد منح موافقة التحليلات. توجد اتفاقية معالجة بيانات وبنود تعاقدية معيارية.
• SendGrid (Twilio Inc.): توصيل البريد الإلكتروني للمعاملات (الدعوات وإعادة تعيين كلمة المرور وإشعارات طلبات حقوق البيانات). المنطقة: الولايات المتحدة. توجد اتفاقية معالجة بيانات وبنود تعاقدية معيارية.
• الإفصاحات القانونية والتنظيمية: عندما يقتضي القانون أو أمر محكمة أو طلب سلطة مشروعة.
• عمليات نقل الأعمال: في سيناريوهات الاندماج أو الاستحواذ أو التمويل أو إعادة التنظيم، مع مراعاة السرية وضمانات النقل القانونية.

نحن لا نشارك البيانات الشخصية مع المعلنين لاستهداف السلوك عبر المواقع ولا ندير نموذج عمل شبكة إعلانات لجهة خارجية. يتم نشر قائمة حالية بالمعالجين الفرعيين على https://kpiloop.com/legal/sub-processors، ونوفر إشعارًا لا يقل عن 30 يومًا قبل أي تغيير جوهري لعملاء المؤسسات.

10. عمليات النقل الدولية

يقع مقر KPILoop في المملكة العربية السعودية، وقد تتضمن بنيتنا التحتية المعالجة في ولايات قضائية متعددة حيث يعمل معالجونا الفرعيون. عندما ننقل البيانات الشخصية عبر الحدود، فإننا ننفذ ضمانات تعاقدية وتنظيمية مناسبة لفئة البيانات والقانون المعمول به.

قد تشمل الضمانات شروط حماية البيانات التعاقدية، وقيود الوصول، وتصميم الامتياز الأقل، والتشفير أثناء النقل وفي حالة عدم النشاط، والرقابة الموثقة للمعالج. يمكن للعملاء من الشركات طلب قائمة حالية بالمعالجين الفرعيين الرئيسيين من خلال قنوات الدعم.

11. الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية طالما كان ذلك ضروريًا لتقديم الخدمات، والوفاء بالالتزامات التعاقدية، والاحتفاظ بسجلات الأمان، وتلبية المتطلبات القانونية أو المحاسبية. فترات الاحتفاظ المحددة هي:

• سجلات الحسابات النشطة ومؤشرات الأداء الرئيسية: يتم الاحتفاظ بها خلال فترة الاشتراك.
• طلبات حذف الحساب: يتم الحذف الناعم فورًا، ثم الحذف النهائي بعد 30 يومًا عبر مهمة مجدولة تلقائيًا. يتم تعطيل المصادقة لحظة استلام الطلب.
• سجلات الموافقة (سجل التدقيق): يتم الاحتفاظ بها لمدة 3 سنوات بعد حذف الحساب لإثبات الموافقة المشروعة بموجب المادة 7 من اللائحة العامة لحماية البيانات.
• سجلات الفوترة والفواتير: يتم الاحتفاظ بها لمدة 7 سنوات للامتثال للقانون الضريبي السعودي.
• ذاكرة التخزين المؤقت لطلبات/استجابات الذكاء الاصطناعي: 24 ساعة. سجلات تنفيذ الذكاء الاصطناعي: 30 يومًا.
• أرشيفات تصدير حقوق البيانات: 7 أيام من الإنشاء، ثم يتم حذفها تلقائيًا من Firebase Storage.
• بيانات مراقبة أخطاء Sentry: 90 يومًا (الإعداد الافتراضي لـ Sentry).
• سجلات قائمة انتظار البريد الإلكتروني للمعاملات: 30 يومًا بعد الإرسال.

بمجرد انتهاء فترات الاحتفاظ وعدم وجود أساس قانوني متبقٍ، يتم حذف البيانات أو إخفاء هويتها أو جعلها غير قابلة للتعريف بشكل لا رجعة فيه بما يتماشى مع القيود التشغيلية.

12. أمن البيانات

نحن نستخدم ضوابط فنية وتنظيمية تهدف إلى حماية البيانات الشخصية من الوصول غير المصرح به والفقدان والكشف والتغيير وسوء الاستخدام. تشمل الضوابط إدارة الوصول، ولوحات المعلومات المقيدة بالأدوار، وقنوات النقل المشفرة، وتكوينات البنية التحتية الآمنة، والمراقبة، وإجراءات الاستجابة للحوادث.

لا يوجد نظام قائم على الإنترنت خالٍ من المخاطر تمامًا. إذا أثر حادث أمني على البيانات الشخصية، فسنتخذ خطوات معقولة للتحقيق في المشكلة واحتوائها ومعالجتها، وسنقدم إشعارات عند الاقتضاء بموجب القانون أو العقد.

13. حقوقك وخياراتك

بموجب اللائحة العامة لحماية البيانات والأطر المماثلة، لديك الحق في الوصول (المادة 15) والتصحيح (المادة 16) والمحو (المادة 17) والتقييد (المادة 18) والاعتراض على المعالجة (المادة 21) وطلب قابلية النقل (المادة 20) لبياناتك الشخصية. لديك أيضًا الحق في سحب الموافقة في أي وقت وتقديم شكوى لدى السلطة الإشرافية المختصة. تخضع بعض الحقوق لاستثناءات قانونية والتحقق من الهوية والجدوى الفنية.

إذا تم إنشاء حسابك من قبل صاحب العمل أو المؤسسة، فيجب عليك أولاً الاتصال بالمسؤول الداخلي، لأن تلك المؤسسة هي المتحكم في بيانات أدائك ويعمل KPILoop كمعالج بموجب تعليماتها. سندعم الطلبات الموجهة من المتحكم بموجب اتفاقيات معالجة البيانات المعمول بها. يمكنك تقديم طلبات الوصول والمحو مباشرة من إعدادات حسابك؛ يتم إرجاع عمليات التصدير الصغيرة مباشرة وتُسلَّم الأرشيفات الأكبر عبر رابط موقَّع بصلاحية 7 أيام.

لممارسة الحقوق مباشرة مع KPILoop، اتصل بنا على privacy@kpiloop.com. نستجيب للطلبات التي تم التحقق منها خلال 30 يومًا وفقًا للمادة 12(3) من اللائحة العامة لحماية البيانات.

14. بيانات الأطفال

KPILoop مخصص للاستخدام المهني والتنظيمي وليس موجهًا للأطفال. نحن لا نجمع عن قصد بيانات شخصية من الأطفال فيما يتعلق بالخدمات التعليمية أو الاجتماعية الموجهة للمستهلكين. إذا كنت تعتقد أن طفلاً قد قدم بيانات شخصية إلى KPILoop بشكل غير لائق، فيرجى الاتصال بنا حتى نتمكن من المراجعة واتخاذ الإجراء المناسب.

15. روابط وتكاملات الجهات الخارجية

قد يتضمن موقعنا الإلكتروني وتطبيقنا روابط لموارد أو وثائق أو نقاط نهاية تكامل تابعة لجهات خارجية. إذا اتبعت روابط خارجية، فستنطبق شروط وسياسات الخصوصية الخاصة بالجهة الخارجية على تفاعلك مع تلك الخدمة الخارجية. نحن لسنا مسؤولين عن ممارسات الخصوصية الخاصة بالجهات الخارجية خارج أنظمتنا الخاضعة للرقابة.

16. التغييرات على هذه السياسة

قد نقوم بتحديث هذه السياسة لتعكس التطورات القانونية أو الفنية أو التشغيلية. عندما تكون التغييرات جوهرية، سنقوم بتحديث تاريخ 'آخر تحديث' وتقديم إشعار إضافي عند الاقتضاء. تحكم أحدث نسخة منشورة ممارسات المعالجة الحالية.