اتفاقية معالجة البيانات دي ("DPA") بتطبق بين Madar AI (اللي بتديرها Zyrix Global Technologies في إستانبول) وعملاء Enterprise اللي استخدامهم للخدمة بيتضمّن معالجة Madar لبيانات شخصية بالنيابة عن العميل. بتكمّل شروط الخدمة، بتتبع هيكل GDPR Art. 28 / KVKK / PDPL، وهي الوثيقة اللي بنوقّعها كجزء من كل عقد Enterprise.
1. النطاق والأدوار
العميل هو مسؤول البيانات. Madar هي معالج البيانات. Madar بتعالج البيانات الشخصية فقط بناءً على تعليمات العميل الموثّقة، اللي محدّدة في Order Form وتكوين المنتج وهذه الـDPA. ما بنبيعش أو نشاركش أو نفصحش عن البيانات الشخصية لأطراف تالتة إلا للضرورة لتقديم الخدمة أو بالقانون.
2. الموضوع والمدة والطبيعة
الموضوع: تقديم منصة نمو Madar AI. الطبيعة والغرض: تحليل مستضاف لبيانات نمو تطبيق الموبايل بتاع العميل لإنتاج audits و forecasts و briefings ومقترحات أكشن ذاتية — كلها بتمرّ بأكشن معتمد من العميل قبل أي لمس لنظام خارجي. المدة: عمر اشتراك العميل زائد نافذة الحفاظ 30-يوم بعد الإلغاء. نوع البيانات: metrics حساب الأعمال، إنفاق ad-platform و metadata الـcreative، attribution events، بيانات الاشتراك/الفوترة، وتفاصيل تواصل المستخدمين المعتمدين بتوع العميل. ما بنعالجش بيانات فئة خاصة وما بنعالجش معرّفات المستخدم النهائي لمستخدمي تطبيق العميل.
3. التزامات Madar
بنضمن إن الأشخاص المعتمدين لمعالجة البيانات الشخصية ملتزمين بالسرية. بنطبّق الإجراءات التقنية والتنظيمية المذكورة في صفحة /security بتاعتنا (تشفير في النقل والـat-rest، تحكّمات وصول بأقل-امتياز، audit logging، إدارة الـvulnerabilities، incident response). بنساعد العميل في الرد على طلبات أصحاب البيانات وفي تلبية التزاماته الخاصة تحت GDPR Art. 32–36 / KVKK / PDPL.
4. المعالجين الفرعيين
بنستخدم قائمة صغيرة وثابتة من المعالجين الفرعيين لتقديم الخدمة (حالياً: AWS للاستضافة، Cloudflare للـedge والـDNS، Resend للبريد التعاملي، Supabase للـPostgres المُدار، Anthropic للـLLM الأساسي حيث المنتج بيستدعيه). القائمة الحالية بالعناوين وأغراض المعالجة منشورة على /legal/dpa/sub-processors. هنبلّغ العميل بالإيميل قبل 30 يوم على الأقل من إضافة أو استبدال أي معالج فرعي، والعميل يقدر يعترض على أسس معقولة كتابياً؛ لو ما قدرناش نتعامل مع الاعتراض، العميل يقدر يلغي الخدمة المتأثرة بدون غرامة.
5. النقل الدولي
المعالجة الأساسية في EU-West-2 (لندن) مع fail-over أمريكي للمرونة. معالجة بنطاق KSA/BAE المحلي متاحة بناءً على طلب لعملاء Enterprise (4–6 أسابيع إضافية للتجهيز). للنقل خارج EU/UK، بنعتمد على EU Standard Contractual Clauses (2021/914) مدعومة بـUK Addendum، وقواعد Türkiye الملزِمة للشركات تحت KVKK؛ لـKSA بنعتمد على آليات نقل عبر-الحدود المعتمدة من PDPL لما يتم تجهيز خيار المنطقة المحلية.
6. الإجراءات الأمنية
التشفير: TLS 1.2+ في النقل؛ AES-256 at-rest لقواعد البيانات والـbackups. الوصول: SSO + 2FA إلزامي لكل موظفي Madar؛ وصول role-based بأقل-امتياز؛ مراجعات وصول ربع سنوية. التسجيل: audit logs append-only لكل وصول لبيانات العميل، محفوظة 13 شهر. إدارة الـvulnerabilities: scanning مستمر للـdependencies، pen test سنوي طرف-تالت (التالي: Q4 2026). Incident response: rotation on-call 24/7؛ runbook موثّق؛ tabletop exercise مرتين في السنة. الموقف التقني الكامل وخريطة الطريق على /security و /trust.
7. مساعدة حقوق أصحاب البيانات
لأي طلب صاحب بيانات (وصول، تصحيح، مسح، نقل، تقييد، اعتراض) بيوصل للعميل عن بيانات مستخدميه النهائيين أو موظفيه المحفوظة في Madar، هنوفّر، بناءً على تعليمات العميل، الوسائل التقنية لتصدير أو مسح البيانات دي في خلال 30 يوم. ما بنردّش مباشرة على أصحاب بيانات العميل؛ العميل بيفضل مسؤول البيانات.
8. إخطار الـbreach
بنبلّغ العميل بأي Personal Data Breach من غير تأخير غير مبرّر وفي خلال 72 ساعة على الأكتر من معرفتنا بيه. الإخطار بيتضمّن: طبيعة الـbreach، فئات وعدد تقريبي لأصحاب البيانات والسجلات المتأثرة، نقطة تواصل مسؤول حماية البيانات، النتائج المحتملة، والإجراءات المتخذة أو المقترحة. بنساعد العميل في الوفاء بالتزاماته الخاصة بالإخطار لسلطات الإشراف وأصحاب البيانات المتأثرين.
9. حقوق المراجعة
العميل يقدر يراجع امتثال Madar للـDPA بإشعار مسبق معقول (30 يوم على الأقل)، مش أكتر من مرة في السنة إلا في حالة Personal Data Breach مؤكّد. عملياً، بنرضي معظم المراجعات بتقريرنا السنوي طرف-تالت (SOC 2 Type II لما يبقى متاح) زائد رد كتابي على استبيان العميل. مراجعات على-الموقع متاحة لعملاء Enterprise على نفقة العميل.
10. إرجاع ومسح البيانات
عند إنهاء أو انتهاء الاشتراك، يقدر العميل يصدّر كل البيانات الشخصية عن طريق تصدير الـdashboard بكليكة واحدة (CSV + JSON) في أي وقت أثناء نافذة الحفاظ 30-يوم. بعد النافذة، بنمسح البيانات الشخصية بشكل دائم من أنظمة الإنتاج في خلال 7 أيام؛ الـbackups المشفّرة بتنتهي في rotation طبيعي (90 يوم بحد أقصى). عند الطلب بنوفّر شهادة مسح كتابية.
11. المسؤولية والقانون الحاكم
المسؤولية تحت هذا الـDPA بتخضع لبند تحديد-المسؤولية في شروط الخدمة. الـDPA بتخضع لقوانين Türkiye؛ النزاعات اللي ما يمكنش حلها بالتفاوض بحسن نية بتقدّم لمحاكم إستانبول. مفيش حاجة في الـDPA بتحدّ من حقوق أي صاحب بيانات تحت قانون حماية البيانات السارية.
12. التوقيع والتنفيذ
الـDPA بتتنفّذ كجزء من Enterprise Order Form. الـOrder Form الموقّعة وشروط الخدمة وهذه الـDPA وصفحة /security مع بعض بتشكّل عقد حماية البيانات الكامل بين الأطراف. لطلب نسخة PDF موقّعة أو لبدء محادثة العقد، ابعت إيميل لـenterprise@madarai.co باسم شركتك والـjurisdiction.
محتاج DPA موقّع؟
عقود Enterprise بتتضمّن DPA موقّع. ابعت إيميل لفريق العقود وبنبعت الـPDF في خلال يوم عمل واحد
enterprise@madarai.co →