اتفاقية معالجة البيانات (DPA)

1. نطاق المعالجة

الغرض: تشغيل خدمات SpaSuit للمركز (حجوزات، فوترة، CRM، تقارير)
المدة: طوال فترة اشتراك المركز + 60 يوم بعد الإنهاء
أنواع البيانات: بيانات الزبائن، الموظفين، الحجوزات، الفواتير، نقاط الولاء، بطاقة السلامة (حساسة)
فئات الأشخاص: زبائن المركز، موظفوه، إدارته
البنية التحتية: Supabase (SOC 2 Type II + ISO 27001 + GDPR certified)

2. التزامات المركز (Controller)

الحصول على موافقات صحيحة من أصحاب البيانات
الموافقة الصريحة المنفصلة للبيانات الحساسة (بطاقة السلامة)
نشر سياسة خصوصية خاصة بالمركز
ضمان دقة البيانات المُدخَلة

3. التزامات SpaSuit (Processor)

معالجة البيانات فقط وفق تعليماتك (عبر إعدادات المنصة)
السرية: إلزام موظفينا بالتزامات سرية كتابية
تشفير TLS 1.3 (نقل) + AES-256 (تخزين) + Field-level AES-256-GCM للبيانات الصحية
RLS + RBAC + سجلات تدقيق (Read Audit + Platform Audit + Centers Audit)
نسخ احتياطية وفق سياسة Supabase + Per-tenant JSON export متاح للمركز
إبلاغك بأي اختراق خلال 72 ساعة من اكتشافه
مساعدتك في الرد على طلبات أصحاب البيانات (30 يوم كحد أقصى)

4. مزوّدو الخدمة (Sub-processors)

توافق على استخدام SpaSuit لـ 10 مزوّدي خدمة:

البنية التحتية الأساسية

Supabase Inc. — قاعدة البيانات + المصادقة + التخزين (SOC 2 Type II + ISO 27001 + GDPR، Frankfurt EU)
Vercel Inc. — الاستضافة + Edge Functions + الـ CDN (SOC 2 Type II + ISO 27001)
Cloudflare Inc. — إدارة الـ DNS + Turnstile (CAPTCHA) + Email Routing (SOC 2 Type II + ISO 27001)

المراقبة والإشعارات

Sentry — رصد الأخطاء التقنية (EU region + إخفاء PII تلقائياً، SOC 2 Type II + ISO 27001)
Resend — البريد الإلكتروني للتذاكر والإشعارات (SOC 2 + GDPR)
Healthchecks.io — مراقبة الـ Cron jobs (بدون أي بيانات شخصية، SOC 2)
UptimeRobot — مراقبة توفّر الموقع (HTTPS pings، بدون أي بيانات شخصية، SOC 2)

الجهات الحكومية والتكاملات

ZATCA (الزكاة والضريبة) — الفوترة الإلكترونية Phase 2 (التزام نظامي — PDPL Art. 5.1.b، المملكة العربية السعودية)
Google LLC — خط Cairo للواجهة (CSS public فقط، بدون مشاركة بيانات شخصية)

مخطط مستقبلاً (يحتاج موافقتك المنفصلة)

Meta WhatsApp — التذكيرات والإشعارات (سيُفعَّل بموافقة منفصلة)
بوابات الدفع — Moyasar / HyperPay / Tap (سيُختار واحد لاحقاً عند تفعيل الدفع الإلكتروني)

⚖️ شرط الإشعار المسبق

إضافة Sub-processor جديد تتطلب إشعارك مسبقاً بـ 30 يوم. يحق لك الاعتراض خلال 14 يوم من تاريخ الإشعار.

5. الامتثال لـ PDPL Article 29 (نقل البيانات)

نلتزم بمتطلبات PDPL Article 29 بشأن مواقع المعالجة من خلال: عقود معالجة بيانات (DPAs) رسمية مع كل مزوّد، تشفير AES-256 + TLS 1.3 لكل البيانات، واعتماد البنية التحتية ذات الشهادات الدولية (SOC 2 + ISO 27001 + GDPR).

6. حقوق أصحاب البيانات

عند ورود طلب من زبون أو موظف (وصول، تصحيح، حذف، نقل):

المركز يتولّى الرد المباشر
SpaSuit توفّر الأدوات التقنية لتنفيذ الطلب
زمن الاستجابة الإجمالي: 30 يوم كحد أقصى (PDPL)

7. الإنهاء وإعادة البيانات

عند إنهاء الاشتراك، تستمر هذه الاتفاقية 60 يوم إضافية
خلال هذه الـ 60 يوم: يمكنك تحميل بياناتك كاملة (JSON)
بعدها: تُحذف ملفات الـ Storage
بيانات الفواتير تُحفَظ 10 سنوات (متطلب ZATCA)

8. القانون والاختصاص

تخضع هذه الاتفاقية لأنظمة المملكة العربية السعودية، وخاصة:

نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية
نظام التجارة الإلكترونية
اللائحة التنفيذية للفوترة الإلكترونية (ZATCA)

المحاكم المختصة في الرياض هي صاحبة الاختصاص الحصري.

للاستفسار أو طلب نسخة موقّعة: admin@spasuit.app

راجع أيضاً: شروط الاستخدام · سياسة الخصوصية

اتفاقية معالجة البيانات

ما هي اتفاقية معالجة البيانات؟

الطرف الأول (المعالج)