Lemon Inspect
العودة إلى الصفحة الرئيسية
Policy Document

سياسة معالجة المعلومات الشخصية لـ LemonInspect

المادة 1 (الغرض ونطاق التطبيق)

تولي شركة TSBT Company Co.,Ltd. (المشار إليها فيما يلي باسم "الشركة") أهمية للمعلومات الشخصية للمستخدمين، وتلتزم بالقوانين واللوائح ذات الصلة. توضح سياسة معالجة المعلومات الشخصية هذه (المشار إليها فيما يلي باسم "هذه السياسة") البنود المتعلقة بفئات المعلومات الشخصية التي تجمعها الشركة فيما يتصل بالموقع الإلكتروني www.lemoninspect.com (المشار إليه فيما يلي باسم "الموقع") وخدمة تقارير تشخيص المركبات وسجلها القائمة على الذكاء الاصطناعي LemonInspect (المشار إليها فيما يلي باسم "الخدمة")، وأغراض جمعها، واستخدامها، والاحتفاظ بها وإتلافها، وتقديمها إلى أطراف ثالثة، ونقلها إلى الخارج.

تنطبق هذه السياسة على جميع المستخدمين في جميع أنحاء العالم، وتلتزم بالأحكام الإلزامية في الولايات القضائية التالية:

  • جمهورية كوريا — قانون حماية المعلومات الشخصية (PIPA) والقوانين واللوائح ذات الصلة
  • الإمارات العربية المتحدة(UAE) — القانون الاتحادي رقم 45/2021 (UAE PDPL)
  • المملكة العربية السعودية — نظام حماية البيانات الشخصية(PDPL, Royal Decree M/19) ولوائح SDAIA
  • المنطقة الاقتصادية الأوروبية(EEA) — اللائحة العامة لحماية البيانات(GDPR) *(في حال استخدام مقيم في EEA للخدمة)*

إذا كانت قوانين الولاية القضائية محل الإقامة تمنح حقوقًا تتجاوز الحقوق المنصوص عليها في هذه السياسة، فتكون الأولوية لتطبيق ذلك القانون المحلي.

تُطبق هذه السياسة مع السياسات الملحقة التالية: شروط الاستخدام, إخلاء المسؤولية, سياسة الاسترداد والإلغاء, سياسة ملفات تعريف الارتباط.

المادة 2 (الأساس القانوني لمعالجة المعلومات الشخصية)

تعالج الشركة المعلومات الشخصية وفقًا للأسس القانونية التالية:

  • تنفيذ العقد: إنشاء التقارير وتقديمها من أجل توفير الخدمة
  • الموافقة: المعالجة القائمة على موافقة المستخدم الصريحة (مثل تقديم الصور وبيانات التسجيلات الصوتية)
  • الالتزامات القانونية: الوفاء بالالتزامات بموجب قوانين الضرائب والقانون التجاري وقانون التجارة الإلكترونية وغيرها
  • المصالح المشروعة: أمن الخدمة، ومنع الاحتيال، وتحسين الخدمة

بالنسبة لمستخدمي EEA، تحتفظ الشركة بتقييم موازنة المصالح(LIA) موثقًا فيما يتعلق بالمعالجة المستندة إلى "المصالح المشروعة"، ويجوز للمستخدم الاعتراض في أي وقت على تلك المعالجة وفقًا للمادة 21 من GDPR.

المادة 3 (فئات المعلومات الشخصية التي يتم جمعها)

3.1. معلومات الحساب (يقدمها المستخدم مباشرة)

البندغرض الجمعإلزامي/اختياريالأساس القانوني
عنوان البريد الإلكترونيإنشاء الحساب، المصادقة، إيصالات الشراء، إشعارات الخدمةإلزاميتنفيذ العقد / الموافقة (المادة 15 من PIPA)
كلمة المرور (معالجتها بالتجزئة)أمن الحسابإلزاميتنفيذ العقد
الاسم/الاسم المستعارتحديد الحسابإلزاميتنفيذ العقد
رقم الهاتفاسترداد الحساب، دعم العملاءاختياريالموافقة
نوع الحساب (فرد/شركة)تحديد الشروط المطبقة، التحقق من المركز القانونيإلزاميالمصالح المشروعة / تنفيذ العقد
اسم الشركة ورقم تسجيل الأعمال (الأعضاء من الشركات)التحقق من حساب الشركة، إصدار الفواتير الضريبيةإلزامي بشروطتنفيذ العقد / الالتزام القانوني

3.2. بيانات المركبة (مقدمة من المستخدم أو مشتقة)

البندغرض الجمعإلزامي/اختياريالأساس القانوني
VIN (رقم هيكل المركبة)تحديد المركبة، الاستعلام عن السجل، إنشاء التقريرإلزاميتنفيذ العقد
صور/صور فوتوغرافية للمركبةتشخيص حالة المظهر الخارجي بالذكاء الاصطناعي (Vision AI — Core C، عند توفير هذه الميزة)اختياريتنفيذ العقد / الموافقة
تسجيلات صوتية مثل صوت المحركالتشخيص الصوتي بالذكاء الاصطناعي (Sound Engine — Core B)اختياريتنفيذ العقد / الموافقة
بيانات تشخيص OBD-IIتحليل رموز التشخيص(DTC)، تقييم مراقبات الجاهزية (عند توفير هذه الميزة)اختياريتنفيذ العقد / الموافقة
مواصفات المركبة (الشركة المصنعة، الطراز، سنة الصنع، الفئة)إنشاء التقرير، تقدير تكاليف الإصلاح، الاستعلام عن تصنيفات السلامةإلزاميتنفيذ العقد

⚠️ إشعار متعلق بـ VIN: رقم هيكل المركبة(VIN) هو معلومات تعريف للمركبة وليس معلومات تعريف شخصية مباشرة. ومع ذلك، عند دمجه مع سجلات التسجيل، قد يحدد شخصًا معينًا، ولذلك تدير الشركة VIN على نحو مماثل للمعلومات الشخصية.

3.3. معلومات المعاملات

البندغرض الجمعإلزامي/اختياريالأساس القانوني
سجل الشراءتوفير الخدمة، دعم العملاء، التحليلإلزاميتنفيذ العقد
وسيلة الدفع (آخر 4 أرقام من البطاقة فقط)تحديد المعاملة، معالجة الاستردادإلزاميتنفيذ العقد
إصدار التقرير وسجلات الوصولتقديم التقرير، إعادة استخدام VIN نفسه لمدة 30 يومًا، إعادة العرض، إدارة من يستهدفهم الوصول التصحيحي، أدلة النزاعاتإلزاميتنفيذ العقد / المصالح المشروعة
سجلات معاملات الرصيدشحن الرصيد وخصمه، إدارة مدة صلاحية الرصيد غير المستخدم، منع الفوترة المكررة، الاسترداد أو استعادة الرصيدإلزاميتنفيذ العقد / الالتزام القانوني
معلومات الفاتورة الضريبيةالفوترة للشركات، الامتثال الضريبيإلزامي بشروطالالتزام القانوني (قانون الإطار الوطني للضرائب، قانون ضريبة القيمة المضافة)

ملاحظة: لا تُخزن معلومات بطاقة الدفع الكاملة (رقم البطاقة، CVV، تاريخ الانتهاء) لدى الشركة. تتم جميع عمليات الدفع بواسطة وكيل دفع خارجي(PG) حاصل على اعتماد PCI-DSS.

3.4. المعلومات التي يتم جمعها تلقائيًا

البندغرض الجمعإلزامي/اختياريالأساس القانوني
عنوان IPالأمن، منع الاحتيال، سجلات الموافقة، تحديد المنطقةتلقائيالمصالح المشروعة
نوع المتصفح وإصدارهتوافق الخدمة، التحليلتلقائيالمصالح المشروعة
نوع الجهاز ونظام التشغيلتحسين الخدمةتلقائيالمصالح المشروعة
صفحات الزيارة ومدة البقاءتحسين الخدمة، التحليلتلقائيالمصالح المشروعة / الموافقة (ملفات تعريف الارتباط)
سجلات تفاعلات الموافقةالامتثال القانوني، أدلة النزاعاتتلقائيالالتزام القانوني / المصالح المشروعة
الطابع الزمني (UTC)مسار التدقيق، سجلات الموافقةتلقائيالالتزام القانوني
تاريخ مرجعية التقرير، وقت العرض، سجلات طلب VINإدارة إصدارات التقارير، تطبيق سياسة إعادة الاستخدام لمدة 30 يومًا، إدارة الوصول التصحيحي للبنود غير المؤكدة، منع الاستخدام غير المشروعتلقائيتنفيذ العقد / المصالح المشروعة

أجهزة الجمع التلقائي مثل ملفات تعريف الارتباط. تستخدم الشركة أجهزة جمع تلقائي مثل ملفات تعريف الارتباط والتخزين المحلي والبكسلات. يرجى الرجوع إلى سياسة ملفات تعريف الارتباط للمزيد من التفاصيل.

3.5. المعلومات التي لا يتم جمعها

لا تجمع الشركة المعلومات التالية:

  • معلومات التعريف الفريدة القانونية مثل رقم تسجيل المقيم، ورقم جواز السفر، ورقم رخصة القيادة
  • المعلومات البيومترية (البصمات، التعرف على الوجه)
  • المعلومات الصحية أو الطبية
  • أرقام الحسابات المالية (الحسابات البنكية، رقم بطاقة الائتمان الكامل)
  • معلومات الموقع الدقيقة بخلاف الموقع التقريبي المستند إلى IP
  • معلومات الأشخاص دون سن 18 عامًا (غير أنه بالنسبة للأعضاء المقيمين في كوريا، لا يجوز للقُصّر بموجب القانون المدني (دون سن 19 عامًا) التسجيل إلا إذا حصلوا على موافقة الممثل القانوني، وبالنسبة لمن هم دون سن 14 عامًا، تكون الموافقة الصريحة للممثل القانوني إلزامية وفقًا للمادة 22 من قانون حماية المعلومات الشخصية — انظر المادة 11)

المادة 4 (أغراض استخدام المعلومات الشخصية)

الغرضالبيانات المستخدمة
توفير الخدمة — إنشاء تقارير مساعدة فحص المركبات وسجلها، منح حق الوصول إلى إصدارات التقارير القائمة وإدارة إعادة العرضمعلومات الحساب والمركبة والمعاملات
معالجة المساعدة على الفحص القائمة على الذكاء الاصطناعي — تنفيذ تحليل محرك المساعدة على الفحص من LemonInspectمعلومات المركبة (الصوت، VIN، والصور وOBD-II عند توفير الميزة ذات الصلة)
إدارة إصدار التقرير والوصول التصحيحي — تطبيق سياسة إعادة استخدام VIN نفسه لمدة 30 يومًا، تسجيل تاريخ مرجعية التقرير، إدارة من يستهدفهم الوصول التصحيحي للبنود غير المؤكدةمعلومات الحساب والمركبة والمعاملات والمعلومات التقنية
معالجة الدفع — معالجة الشراء، إصدار الإيصالات، الاستردادمعلومات الحساب والمعاملات
الامتثال للالتزامات القانونية — الاحتفاظ بسجلات الموافقة، الاستجابة للطلبات القانونية، الإقرارات الضريبيةالكل
تسوية النزاعات — الدفاع في حالات رد المبالغ المدفوعة، تقديم أدلة لإجراءات التحكيممعلومات الحساب والمعاملات والمعلومات التقنية
تحسين الخدمة — تحليل أنماط الاستخدام، تحسين دقة الذكاء الاصطناعي (معالجة بإزالة التعريف/التجميع)المعلومات التقنية ومعلومات الاستخدام
التواصل — تأكيد الشراء، تحديثات الخدمة، إشعارات تغيير السياساتالحساب (البريد الإلكتروني)
الأمن — كشف الاحتيال، منع الوصول غير المصرح بهالمعلومات التقنية ومعلومات الحساب

لا تستخدم الشركة المعلومات الشخصية للأغراض التالية:

  • بيع المعلومات الشخصية إلى أطراف ثالثة
  • التنميط الإعلاني أو الاستهداف السلوكي
  • اتخاذ قرارات آلية ذات أثر قانوني (تحليل المساعدة على الفحص القائم على الذكاء الاصطناعي ليس إلا معلومات مرجعية)

4.1. سياسة بيانات تدريب نماذج الذكاء الاصطناعي

يجوز للشركة استخدام بيانات التشخيص التي تمت إزالة تعريفها وتجميعها (بعد إزالة معلومات التعريف الشخصية وVIN ومعلومات الموقع) لتحسين دقة نماذج الذكاء الاصطناعي وتطوير ميزات تشخيص جديدة. ومع ذلك:

  • لا تُستخدم الصور الأصلية والتسجيلات الصوتية وبيانات التشخيص الخام التي يقدمها المستخدم مباشرة في تدريب نماذج الذكاء الاصطناعي دون موافقة اختيارية صريحة(opt-in) منفصلة
  • عند إدخال برنامج اختياري للمساهمة ببيانات التدريب في المستقبل، تكون المشاركة طوعية بالكامل ولا تؤثر في توفير الخدمة أو الرسوم
  • يمكن استخلاص الأنماط الإحصائية غير المحددة للهوية (مثل: "اكتشاف إشارات تآكل سلسلة التوقيت في X% من مركبات Genesis G80 لعام 2019") من البيانات المجمعة دون إسنادها إلى أي فرد

المادة 4-2 (الإخطار بتسرب المعلومات الشخصية)

في حال حدوث تسرب للمعلومات الشخصية قد يشكل خطرًا على حقوق المستخدم وحرياته، تقوم الشركة بما يلي:

  • إخطار السلطات الرقابية ذات الصلة (مثل لجنة حماية المعلومات الشخصية في كوريا، والسلطة الرقابية الرئيسية في EEA، ومكتب بيانات الإمارات العربية المتحدة) خلال 72 ساعة من وقت العلم بالتسرب، وفقًا للمادة 34 من قانون حماية المعلومات الشخصية، والمادتين 33-34 من GDPR، وUAE PDPL
  • إخطار المستخدمين المتأثرين دون تأخير عبر البريد الإلكتروني المسجل للحساب
  • تقديم تفاصيل عن طبيعة التسرب، وأنواع البيانات المتأثرة، والنتائج المتوقعة، والتدابير المتخذة للتخفيف من الضرر

المادة 5 (تقديم المعلومات الشخصية إلى أطراف ثالثة)

5.1. خدمات الذكاء الاصطناعي والبنية التحتية الخارجية (بما في ذلك النقل إلى الخارج)

لإنشاء التقارير وتشغيل الخدمة، تنقل الشركة البيانات إلى الجهات الخارجية التالية في الخارج:

المتلقيالبيانات المنقولةالغرضدولة النقلوقت النقل
Google LLC (Gemini Pro Vision API)صور/صور فوتوغرافية للمركبةتحليل الحالة البصرية بالذكاء الاصطناعي (Core C، عند توفير هذه الميزة)الولايات المتحدة وغيرها (Google Cloud)عند طلب إنشاء تقرير للميزة ذات الصلة
Google LLC (Gemini API)مطالبات نصية تلخص تشخيص المركبةالاستدلال متعدد الوسائط، إنشاء سرد التقريرالولايات المتحدة وغيرها (Google Cloud)عند طلب إنشاء التقرير
OpenAI, Inc.بيانات تشخيص المركبة، مطالبات نصيةتحليل وإنشاء سرد قائم على LLM (سلسلة GPT)الولايات المتحدة (Microsoft Azure)عند طلب إنشاء التقرير
Anthropic, PBCبيانات تشخيص المركبة، مطالبات نصيةتحليل وإنشاء سرد قائم على LLM (سلسلة Claude)الولايات المتحدة (AWS)عند طلب إنشاء التقرير
Amazon Web Services, Inc. (AWS)معلومات الحساب، VIN، بيانات المركبة، مخرجات التقرير، سجلات الموافقة (جميع البنود)قاعدة بيانات سحابية ومصادقة وتخزين (خلفية الخدمة)الولايات المتحدة (us-east / ap-northeast وغيرها)طوال مدة التسجيل واستخدام الخدمة
Cloudflare, Inc.حركة مرور الويب، عنوان IP، User-Agent، ملفات تعريف الارتباط، بيانات تعريف الطلباتCDN، الدفاع ضد DDoS، DNS، WAF (بوابة استضافة الموقع)شبكة anycast عالمية (الولايات المتحدة والاتحاد الأوروبي وآسيا وغيرها)تلقائيًا عند الوصول إلى الموقع

⚠️ إشعار النقل إلى الخارج (المادة 28-8 من قانون حماية المعلومات الشخصية / المادة 46 من GDPR):

إن النقل إلى الجهات الخارجية في الخارج الواردة في الجدول أعلاه ضروري لتوفير الخدمة (تنفيذ العقد)، وتضمن الشركة تدابير حماية مناسبة من خلال إبرام بنود تعاقدية قياسية(SCC) أو اتفاقيات معالجة بيانات(DPA) مع كل متلقٍ. يستند هذا النقل إلى تدابير الحماية المناسبة (مثل SCC) بموجب الفقرة 1 من المادة 28-8 من قانون حماية المعلومات الشخصية في جمهورية كوريا، وبالنسبة لمستخدمي EEA يستند إلى الضمانات المناسبة بموجب المادة 46 من GDPR. تُخطر الشركة بوضوح بحقيقة هذا النقل إلى الخارج في شاشة تسجيل العضوية.

النتائج عند تعذر النقل. يشكل هذا النقل إلى الخارج الأساس التقني للخدمة (قاعدة البيانات السحابية وCDN واستدلال الذكاء الاصطناعي)، ولذلك يكون التسجيل وإنشاء التقارير غير ممكنين تقنيًا دون النقل. قد لا توفر الدولة المعنية المستوى نفسه من حماية المعلومات الشخصية الذي توفره جمهورية كوريا.

5.1A. عزل بيانات المستخدم

تُستخدم الصور والتسجيلات الصوتية وبيانات التشخيص الأخرى التي يقدمها المستخدم فقط لإنشاء تقرير ذلك المستخدم. إذا طلب عدة مستخدمين تقارير بشأن VIN نفسه:

  • تُعالج الوسائط (الصور، الصوت) التي يقدمها كل مستخدم بصورة معزولة، ولا تُدرج في تقرير مستخدم آخر أو تُعرض فيه أو تكون قابلة للوصول إليه
  • قد تُدرج البيانات العامة (سجل VIN، سجلات الاستدعاء، تصنيفات السلامة) في عدة تقارير لـ VIN نفسه لأنها ناشئة عن مصادر عامة تابعة لأطراف ثالثة وليست مواد مقدمة من المستخدم

5.2. الاستعلام عن مصادر البيانات العامة

لتحرير التقرير، يتم الاستعلام عن مصادر البيانات العامة والحكومية التالية. في هذا الاستعلام لا تُنقل المعلومات الشخصية للمستخدم، ويُستخدم فقط VIN ومعلومات تعريف المركبة:

  • NHTSA (الإدارة الوطنية للسلامة المرورية على الطرق السريعة في الولايات المتحدة) — الاستدعاءات، شكاوى المستهلكين، تصنيفات السلامة
  • وزارة الأراضي والبنية التحتية والنقل / هيئة السلامة المرورية الكورية(KATRI) — سجلات الاستدعاء الكورية
  • Euro NCAP — تصنيفات السلامة الأوروبية
  • IIHS (معهد التأمين للسلامة على الطرق السريعة في الولايات المتحدة) — تصنيفات اختبارات التصادم
  • KNCAP (تقييم سلامة السيارات الجديدة في كوريا) — تصنيفات اختبارات التصادم الكورية
  • KIDI (معهد تطوير التأمين) — تصنيفات خسائر التأمين

5.3. مقدمو خدمات البنية التحتية

المقدمالغرضبيانات الوصول
Cloudflare, Inc. (الولايات المتحدة، anycast عالمي)بوابة الموقع — CDN / الدفاع ضد DDoS / DNS / WAFحركة مرور الويب، عنوان IP، User-Agent، ملفات تعريف الارتباط، بيانات تعريف الطلبات
Amazon Web Services, Inc. (AWS) (الولايات المتحدة)قاعدة بيانات سحابية / مصادقة / تخزين كائنات / حوسبة بلا خادمبيانات الحساب وVIN والمركبة ومخرجات التقرير وسجلات الموافقة (مشفرة عند التخزين والنقل)
Supabase, Inc. (الولايات المتحدة، مستضاف على AWS)قاعدة بيانات علائقية / مصادقة / API فوريمعلومات الحساب، بيانات تعريف التقرير، رموز المصادقة
Vercel, Inc. (الولايات المتحدة)استضافة الواجهة الأمامية / شبكة الحافة / CI·CDحركة مرور الويب، عنوان IP، User-Agent، سجلات الطلبات
Google LLC (الولايات المتحدة وغيرها)استدلال الذكاء الاصطناعي — Gemini API (عند توفير ميزة Core C البصرية / إنشاء سرد التقرير)صور المركبة (عند توفير هذه الميزة)، مطالبات ملخص التشخيص
OpenAI, Inc. (الولايات المتحدة)استدلال الذكاء الاصطناعي — سلسلة GPT (إنشاء التحليل والسرد)بيانات تشخيص المركبة، مطالبات نصية
Anthropic, PBC (الولايات المتحدة)استدلال الذكاء الاصطناعي — سلسلة Claude (إنشاء التحليل والسرد)بيانات تشخيص المركبة، مطالبات نصية
PayPal, Inc. (الولايات المتحدة)معالجة الدفع — خارجي (معتمد PCI-DSS)بيانات الدفع فقط (لا يتم تخزين رقم البطاقة وCVV)
PortOne (جمهورية كوريا)معالجة الدفع — ربط PG المحلي (معتمد PCI-DSS)بيانات الدفع فقط (لا يتم تخزين رقم البطاقة وCVV)
Google LLC (Google Workspace) (الولايات المتحدة)إرسال رسائل البريد الإلكتروني الخاصة بالمعاملات والمصادقة (إيصالات الشراء، إشعارات الاسترداد، تجديد الموافقة، مصادقة التسجيل)عنوان البريد الإلكتروني، الاسم (الإرسال من [email protected])

5.4. الإفصاح القانوني

يجوز للشركة الإفصاح عن المعلومات الشخصية في الحالات التالية:

  • بموجب أمر محكمة أو مذكرة استدعاء أو إجراء قانوني
  • إجراءات التحكيم (قواعد التحكيم الدولي للمجلس الكوري للتحكيم التجاري)
  • طلب من جهة حكومية ذات صلاحية قانونية
  • لحماية الحقوق القانونية للشركة أو سلامة المستخدمين

المادة 6 (الاحتفاظ بالمعلومات الشخصية وإتلافها)

نوع المعلوماتمدة الاحتفاظالأساس
معلومات الحسابمدة الاحتفاظ بالحساب + 3 سنوات بعد الانسحابالقانون التجاري؛ تسوية النزاعات
بيانات المركبة (VIN، الصور، الصوت)1 سنة بعد إنشاء التقريرتحسين الخدمة؛ تسوية النزاعات
سجلات المعاملات5 سنواتالامتثال للضرائب (قانون الإطار الوطني للضرائب، قانون ضريبة القيمة المضافة)
سجلات الموافقة (IP، الطابع الزمني، إصدار الشروط)5 سنوات أو حتى انتهاء النزاع ذي الصلةالالتزامات القانونية؛ الدفاع ضد رد المبالغ المدفوعة
المعلومات التقنية/معلومات الاستخدام1 سنة (ثم إزالة التعريف)المصالح المشروعة
التقارير المنشأة (نتائج التحليل باستثناء الوسائط الأصلية)مدة إمكانية عرض التقرير للعضو هي، اعتبارًا من تاريخ منح حق الوصول حسب الخطة، 6 أشهر(180 يومًا) لـ Single Report، و1 سنة(365 يومًا) لـ Multi-Check Pack وDealer Starter Pack؛ وتحتفظ الشركة داخليًا بها لمدة 3 سنوات من تاريخ إنشاء التقرير لأغراض الاستجابة للنزاعات ثم تتلفهاتنفيذ العقد؛ تسوية النزاعات
سجلات الوصول إلى التقرير وإصداره5 سنوات أو حتى انتهاء النزاع ذي الصلةتنفيذ العقد؛ تسوية النزاعات؛ الدفاع ضد رد المبالغ المدفوعة
تأكيد إشعار إعادة استخدام التقرير/تاريخ المرجعية5 سنوات أو حتى انتهاء النزاع ذي الصلةدليل على أن المستخدم قد أُخطر بتاريخ مرجعية التقرير وسياسة إعادة الاستخدام لمدة 30 يومًا
تأكيد إشعار الوصول التصحيحي للبنود غير المؤكدة5 سنوات أو حتى انتهاء النزاع ذي الصلةدليل إشعار بأن البنود غير المؤكدة قد تظل غير مؤكدة وأن الوصول التصحيحي محدود

التمييز بين مدة العرض والاحتفاظ الداخلي. إن الفترة التي يمكن للعضو خلالها عرض التقرير وتنزيل PDF (اعتبارًا من تاريخ منح حق الوصول حسب الخطة، 6 أشهر(180 يومًا) لـ Single Report، و1 سنة(365 يومًا) لـ Multi-Check Pack وDealer Starter Pack) منفصلة عن فترة احتفاظ الشركة بالتقرير داخليًا (3 سنوات من تاريخ الإنشاء، لأغراض الاستجابة للنزاعات). وبعبارة أخرى، حتى بعد انتهاء مدة عرض العضو، تحتفظ الشركة داخليًا بالتقرير (نتائج التحليل باستثناء الوسائط الأصلية) للاستجابة للنزاعات ورد المبالغ المدفوعة.

العلاقة مع الوسائط الأصلية. تُتلف الوسائط الأصلية المقدمة من المستخدم (الصور والصوت) بعد مرور 1 سنة من إنشاء التقرير، وبعد ذلك يُحتفظ بالتقرير كمخرج ثابت يحتوي فقط على نتائج التحليل دون الوسائط الأصلية. لا تتضمن سجلات الوصول إلى التقرير وإصداره (5 سنوات) الوسائط الأصلية، فهي بيانات تعريفية لأغراض أدلة النزاعات.

طريقة الإتلاف:

  • الملفات الإلكترونية: الحذف بوسائل تقنية غير قابلة للاستعادة
  • المخرجات المطبوعة: الفرم أو الحرق

المادة 7 (حقوق المستخدم)

7.1. الحقوق الأساسية (جميع المستخدمين)

الحقالمحتوى
طلب الاطلاعطلب نسخة من المعلومات الشخصية الخاصة به التي تحتفظ بها الشركة
طلب التصحيحطلب تصحيح المعلومات غير الدقيقة أو غير المكتملة
طلب الحذفطلب حذف المعلومات الشخصية (باستثناء ما يخضع لالتزامات الاحتفاظ القانونية)
طلب وقف المعالجةطلب وقف معالجة المعلومات الشخصية
سحب الموافقةسحب الموافقة المقدمة سابقًا (لا يؤثر ذلك في مشروعية المعالجة قبل السحب)
الاعتراضالاعتراض على المعالجة المستندة إلى المصالح المشروعة
رفض القرارات الآلية وطلب تفسيرهاوفقًا للمادة 37-2 من قانون حماية المعلومات الشخصية (النافذة بتعديل عام 2024)، يحق للمستخدم، إذا كان القرار المتخذ بواسطة نظام مؤتمت بالكامل (مثل الذكاء الاصطناعي) يؤثر تأثيرًا كبيرًا في حقوق العضو أو التزاماته، رفض ذلك القرار أو طلب تفسير لمعايير القرار وأساسه. ملاحظة: تُقدم تشخيصات الذكاء الاصطناعي لدى الشركة (بما في ذلك Trust Score) كمعلومات مرجعية فقط ولا تُعد قرارات آلية ذات أثر قانوني، إلا أنه يجوز للعضو ممارسة هذا الحق.
تقديم شكوىتقديم شكوى إلى سلطة الرقابة على المعلومات الشخصية في الولاية القضائية لمحل الإقامة

7.2. طريقة ممارسة الحقوق وفترة الاستجابة

جهة الاستقبال: [email protected]

ترد الشركة أو تعالج الطلب خلال الفترات التالية من تاريخ استلام الطلب (وفقًا للقانون المطبق):

القانون المطبقفترة الاستجابة
قانون حماية المعلومات الشخصية في كوريا (PIPA)خلال 10 أيام (الاطلاع، التصحيح، الحذف)
GDPR الأوروبيخلال 30 يومًا (يمكن التمديد لمدة شهر واحد)
UAE PDPLخلال 30 يومًا

يجوز للشركة إجراء إجراءات التحقق من الهوية.

7.3. حقوق إضافية للمستخدمين في الخارج

7.3.1. مستخدمو EEA (GDPR)

  • الحق في نقل البيانات (Data Portability): الحق في تلقي البيانات بصيغة منظمة وقابلة للقراءة آليًا
  • الحق في تقييد المعالجة (Right to Restriction): الحق في تقييد المعالجة في ظروف معينة
  • الحق في رفض اتخاذ القرارات الآلية: الحق في عدم الخضوع لقرار آلي بحت ذي أثر قانوني (تحليل المساعدة على الفحص القائم على الذكاء الاصطناعي لدى الشركة هو معلومات مرجعية وليس له أثر قانوني)
  • الحق في تقديم شكوى إلى سلطة رقابية: يمكن تقديم شكوى إلى سلطة حماية البيانات(DPA) في بلد الإقامة

7.3.2. مستخدمو UAE (UAE PDPL)

  • جميع الحقوق المنصوص عليها في القانون الاتحادي رقم 45/2021
  • حق الموافقة على النقل إلى الخارج (انظر المادة 8)
  • يمكن تقديم شكوى إلى مكتب بيانات الإمارات العربية المتحدة(UAE Data Office)

المادة 8 (النقل إلى الخارج)

8.1. حالة النقل

المتلقيدولة النقلالبيانات المنقولةالغرضتدابير الحماية
Google LLCالولايات المتحدةصور المركبة (عند توفير هذه الميزة)، مطالبات التشخيصتحليل الذكاء الاصطناعي (Gemini API)Google DPA; SCC
Google LLC (Google Workspace)الولايات المتحدةعنوان البريد الإلكتروني، الاسمإرسال رسائل البريد الإلكتروني الخاصة بالمعاملات والمصادقةGoogle DPA; SCC
OpenAI, Inc.الولايات المتحدةبيانات تشخيص المركبة، مطالبات نصيةتحليل الذكاء الاصطناعي (سلسلة GPT)OpenAI DPA; SCC
Anthropic, PBCالولايات المتحدةبيانات تشخيص المركبة، مطالبات نصيةتحليل الذكاء الاصطناعي (سلسلة Claude)Anthropic DPA; SCC
Amazon Web Services, Inc. (AWS)الولايات المتحدةجميع بنود الحساب وVIN وبيانات المركبة والتقارير وسجلات الموافقةقاعدة بيانات سحابية / مصادقة / تخزينAWS DPA; SCC
Supabase, Inc.الولايات المتحدة (مستضاف على AWS)معلومات الحساب، بيانات تعريف التقرير، رموز المصادقةDB / مصادقة / API فوريSupabase DPA; SCC
Vercel, Inc.الولايات المتحدةحركة مرور الويب، IP، User-Agent، سجلات الطلباتاستضافة الواجهة الأمامية / شبكة الحافةVercel DPA; SCC
Cloudflare, Inc.anycast عالمي (الولايات المتحدة والاتحاد الأوروبي وآسيا)حركة مرور الويب، IP، User-Agent، ملفات تعريف الارتباط، بيانات تعريف الطلباتCDN / الدفاع ضد DDoS / DNS / WAFCloudflare DPA; SCC
PayPal, Inc.الولايات المتحدةبيانات الدفعمعالجة الدفع الخارجيPayPal DPA; SCC

8.2. الموافقة

إن النقل إلى الخارج إلى الدول المدرجة في جدول 8.1 أعلاه ضروري لتوفير الخدمة، وتضمن الشركة تدابير حماية مناسبة من خلال البنود التعاقدية القياسية(SCC) واتفاقيات معالجة البيانات(DPA) (المادة 28-8 من قانون حماية المعلومات الشخصية / المادة 46 من GDPR). تُخطر الشركة بحقيقة هذا النقل عند تسجيل العضوية، ويتم إبلاغ المستخدم بأن الدولة المعنية قد لا توفر المستوى نفسه من حماية المعلومات الشخصية الموجود في بلد الإقامة.

يمكن سحب الموافقة عن طريق التواصل على [email protected]. ومع ذلك، نظرًا لأن هذا النقل يشكل الأساس التقني للخدمة (DB وCDN والذكاء الاصطناعي)، فإن استخدام الخدمة الإضافي سيكون محدودًا عند سحب الموافقة، ولا يؤثر ذلك في التقارير التي تم إنشاؤها بالفعل.

المادة 9 (إدارة سجلات الموافقة)

تحتفظ الشركة بسجلات تفاعلات الموافقة لحماية الشركة والمستخدم:

بند السجلالغرض
اختيار نوع الحساب (فرد/شركة)تحديد الإطار القانوني المطبق
الموافقة على شروط الاستخدام (الإصدار + الطابع الزمني)دليل إبرام العقد
تأكيد إخلاء المسؤولية (الإصدار + الطابع الزمني)دليل تحديد المسؤولية
تأكيد سياسة الاسترداد (الإصدار + الطابع الزمني)دليل الدفاع ضد رد المبالغ المدفوعة
تأكيد إشعار إعادة استخدام التقرير/تاريخ المرجعية (إذا عُرض)دليل على أن المستخدم قد أُخطر بتاريخ مرجعية التقرير وسياسة إعادة الاستخدام لمدة 30 يومًا
تأكيد إشعار الوصول التصحيحي للبنود غير المؤكدة (إذا عُرض)دليل إشعار بأن البنود غير المؤكدة قد تظل غير مؤكدة وأن الوصول التصحيحي محدود
الموافقة على النقل إلى الخارج (الطابع الزمني)الامتثال لـ GDPR/UAE PDPL
عنوان IP في وقت الموافقةالتحقق من المنطقة، منع الاحتيال
سلسلة User-Agentتحديد الجهاز، سلامة سجل الموافقة

تُحتفظ سجلات الموافقة لمدة 5 سنوات أو حتى انتهاء النزاع ذي الصلة.

المادة 10 (تدابير ضمان الأمان)

تنفذ الشركة التدابير التقنية والإدارية التالية لحماية المعلومات الشخصية:

  • التشفير أثناء النقل: TLS 1.2 أو أعلى
  • التشفير عند التخزين: AES-256
  • التحكم في الوصول: التحكم في الوصول القائم على الأدوار، ومبدأ أقل الصلاحيات
  • المصادقة: معالجة كلمات المرور بالتجزئة الآمنة (bcrypt/Argon2)
  • المراقبة: كشف التسلل، سجلات الوصول، كشف الشذوذ
  • أمن المتعاقدين: مطالبة المعالجين من الأطراف الثالثة بمعايير أمنية مكافئة

لا يمكن لأي نظام أن يضمن الأمان بنسبة 100%، وتتخذ الشركة تدابير معقولة تجاريًا، لكنها لا تضمن الأمان المطلق للبيانات.

المادة 11 (المعلومات الشخصية للقُصّر)

11.1. المبدأ العالمي. لا تستهدف الخدمة الأفراد دون سن 18 عامًا. لا تجمع الشركة عمدًا المعلومات الشخصية للقُصّر دون موافقة الشخص المعني أو ممثله القانوني.

11.2. كوريا دون سن 14 عامًا — موافقة الممثل القانوني إلزامية. وفقًا للمادة 22 من قانون حماية المعلومات الشخصية، تكون الموافقة الصريحة للممثل القانوني إلزامية لمعالجة المعلومات الشخصية للأطفال المقيمين في كوريا دون سن 14 عامًا، وأي معلومات جُمعت دون موافقة تُتلف فورًا.

11.3. كوريا من سن 14 عامًا إلى أقل من 19 عامًا. بالنسبة للقُصّر بموجب القانون المدني الكوري (دون سن 19 عامًا)، لا يكون هذا التسجيل للعضوية أو الدفع ممكنًا إلا إذا تم الحصول على موافقة الممثل القانوني، ويجوز للشخص المعني أو ممثله القانوني إلغاء العقد المبرم دون موافقة (انظر المادة 4.1 من شروط الاستخدام).

11.4. طلبات الإبلاغ والحذف. إذا علمتم بأن قاصرًا قدم معلومات شخصية إلى الشركة بما يخالف هذه السياسة، فيُرجى التواصل على [email protected] وستقوم الشركة بإتلاف تلك المعلومات دون تأخير.

المادة 12 (مسؤول حماية المعلومات الشخصية)

وفقًا للمادة 31 من قانون حماية المعلومات الشخصية، تعيّن الشركة مسؤول حماية المعلومات الشخصية(CPO) وتعلنه على النحو التالي:

  • الاسم: تشو غيوهان
  • المنصب: الرئيس التنفيذي
  • الانتماء: شركة TSBT Company Co.,Ltd.
  • البريد الإلكتروني: [email protected]
  • البريد: 196، World Cup-ro، Mapo-gu، Seoul، B105-E280 (Seongsan-dong، Daemyung Vichen City Officetel)

يجوز للمستخدمين توجيه جميع الاستفسارات والشكاوى وطلبات معالجة الأضرار المتعلقة بحماية المعلومات الشخصية، التي تنشأ أثناء استخدام خدمات الشركة، إلى مسؤول حماية المعلومات الشخصية. سترد الشركة على استفسارات المستخدمين وتعالجها دون تأخير.

المادة 13 (تغيير هذه السياسة)

يجوز للشركة تغيير هذه السياسة من وقت لآخر. في حال وجود تغيير مهم:

  • تنشر السياسة المعدلة على الموقع وتحدث تاريخ "آخر تعديل"
  • تقدم إشعارًا مسبقًا قبل 7 أيام على الأقل عبر البريد الإلكتروني المسجل
  • إذا استمر استخدام الخدمة بعد تاريخ النفاذ، يُعد ذلك موافقة على السياسة المعدلة

المادة 14 (طرق الانتصاف عند انتهاك الحقوق والمصالح)

إذا كانت هناك حاجة إلى الإبلاغ أو الاستشارة بشأن انتهاك المعلومات الشخصية، فيمكن التواصل مع الجهات التالية:

  • مركز الإبلاغ عن انتهاكات المعلومات الشخصية (وكالة الإنترنت والأمن الكورية): 118 / privacy.kisa.or.kr
  • لجنة تسوية منازعات المعلومات الشخصية: 1833-6972 / kopico.go.kr
  • قسم التحقيقات السيبرانية في مكتب الادعاء الأعلى: 1301 / spo.go.kr
  • مكتب التحقيقات السيبرانية في وكالة الشرطة الوطنية: 182 / ecrm.cyber.go.kr
  • لجنة حماية المعلومات الشخصية (PIPC): pipc.go.kr

يجوز للمستخدمين في الخارج تقديم شكوى إلى سلطة الرقابة على حماية البيانات في بلد إقامتهم (EEA: DPA في بلدهم، UAE: UAE Data Office، المملكة العربية السعودية: SDAIA).

المادة 15 (أولوية اللغة)

تُعد هذه السياسة باللغة الكورية هي النص الأصلي، وتُقدم النسخ المترجمة إلى الإنجليزية وغيرها من اللغات لراحة الأعضاء. في حال وجود اختلاف في التفسير بين النص الأصلي والترجمة، تكون الأولوية للنص الأصلي باللغة الكورية. غير أن ذلك لا ينطبق في حدود ما تقتضيه قوانين الولاية القضائية لمحل إقامة العضو من عرض باللغة المحلية كحكم إلزامي.

المادة 16 (جهة الاتصال)

البريد الإلكتروني: [email protected]

*تسري سياسة معالجة المعلومات الشخصية هذه اعتبارًا من 2026-05-29.*