المادة 1 (الغرض ونطاق التطبيق)
تولي شركة TSBT Company Co.,Ltd. (المشار إليها فيما يلي باسم "الشركة") أهمية للمعلومات الشخصية للمستخدمين، وتلتزم بالقوانين واللوائح ذات الصلة. توضح سياسة معالجة المعلومات الشخصية هذه (المشار إليها فيما يلي باسم "هذه السياسة") البنود المتعلقة بفئات المعلومات الشخصية التي تجمعها الشركة فيما يتصل بالموقع الإلكتروني www.lemoninspect.com (المشار إليه فيما يلي باسم "الموقع") وخدمة تقارير تشخيص المركبات وسجلها القائمة على الذكاء الاصطناعي LemonInspect (المشار إليها فيما يلي باسم "الخدمة")، وأغراض جمعها، واستخدامها، والاحتفاظ بها وإتلافها، وتقديمها إلى أطراف ثالثة، ونقلها إلى الخارج.
تنطبق هذه السياسة على جميع المستخدمين في جميع أنحاء العالم، وتلتزم بالأحكام الإلزامية في الولايات القضائية التالية:
- جمهورية كوريا — قانون حماية المعلومات الشخصية (PIPA) والقوانين واللوائح ذات الصلة
- الإمارات العربية المتحدة(UAE) — القانون الاتحادي رقم 45/2021 (UAE PDPL)
- المملكة العربية السعودية — نظام حماية البيانات الشخصية(PDPL, Royal Decree M/19) ولوائح SDAIA
- المنطقة الاقتصادية الأوروبية(EEA) — اللائحة العامة لحماية البيانات(GDPR) *(في حال استخدام مقيم في EEA للخدمة)*
إذا كانت قوانين الولاية القضائية محل الإقامة تمنح حقوقًا تتجاوز الحقوق المنصوص عليها في هذه السياسة، فتكون الأولوية لتطبيق ذلك القانون المحلي.
تُطبق هذه السياسة مع السياسات الملحقة التالية: شروط الاستخدام, إخلاء المسؤولية, سياسة الاسترداد والإلغاء, سياسة ملفات تعريف الارتباط.
المادة 2 (الأساس القانوني لمعالجة المعلومات الشخصية)
تعالج الشركة المعلومات الشخصية وفقًا للأسس القانونية التالية:
- تنفيذ العقد: إنشاء التقارير وتقديمها من أجل توفير الخدمة
- الموافقة: المعالجة القائمة على موافقة المستخدم الصريحة (مثل تقديم الصور وبيانات التسجيلات الصوتية)
- الالتزامات القانونية: الوفاء بالالتزامات بموجب قوانين الضرائب والقانون التجاري وقانون التجارة الإلكترونية وغيرها
- المصالح المشروعة: أمن الخدمة، ومنع الاحتيال، وتحسين الخدمة
بالنسبة لمستخدمي EEA، تحتفظ الشركة بتقييم موازنة المصالح(LIA) موثقًا فيما يتعلق بالمعالجة المستندة إلى "المصالح المشروعة"، ويجوز للمستخدم الاعتراض في أي وقت على تلك المعالجة وفقًا للمادة 21 من GDPR.
المادة 3 (فئات المعلومات الشخصية التي يتم جمعها)
3.1. معلومات الحساب (يقدمها المستخدم مباشرة)
| البند | غرض الجمع | إلزامي/اختياري | الأساس القانوني |
|---|---|---|---|
| عنوان البريد الإلكتروني | إنشاء الحساب، المصادقة، إيصالات الشراء، إشعارات الخدمة | إلزامي | تنفيذ العقد / الموافقة (المادة 15 من PIPA) |
| كلمة المرور (معالجتها بالتجزئة) | أمن الحساب | إلزامي | تنفيذ العقد |
| الاسم/الاسم المستعار | تحديد الحساب | إلزامي | تنفيذ العقد |
| رقم الهاتف | استرداد الحساب، دعم العملاء | اختياري | الموافقة |
| نوع الحساب (فرد/شركة) | تحديد الشروط المطبقة، التحقق من المركز القانوني | إلزامي | المصالح المشروعة / تنفيذ العقد |
| اسم الشركة ورقم تسجيل الأعمال (الأعضاء من الشركات) | التحقق من حساب الشركة، إصدار الفواتير الضريبية | إلزامي بشروط | تنفيذ العقد / الالتزام القانوني |
3.2. بيانات المركبة (مقدمة من المستخدم أو مشتقة)
| البند | غرض الجمع | إلزامي/اختياري | الأساس القانوني |
|---|---|---|---|
| VIN (رقم هيكل المركبة) | تحديد المركبة، الاستعلام عن السجل، إنشاء التقرير | إلزامي | تنفيذ العقد |
| صور/صور فوتوغرافية للمركبة | تشخيص حالة المظهر الخارجي بالذكاء الاصطناعي (Vision AI — Core C، عند توفير هذه الميزة) | اختياري | تنفيذ العقد / الموافقة |
| تسجيلات صوتية مثل صوت المحرك | التشخيص الصوتي بالذكاء الاصطناعي (Sound Engine — Core B) | اختياري | تنفيذ العقد / الموافقة |
| بيانات تشخيص OBD-II | تحليل رموز التشخيص(DTC)، تقييم مراقبات الجاهزية (عند توفير هذه الميزة) | اختياري | تنفيذ العقد / الموافقة |
| مواصفات المركبة (الشركة المصنعة، الطراز، سنة الصنع، الفئة) | إنشاء التقرير، تقدير تكاليف الإصلاح، الاستعلام عن تصنيفات السلامة | إلزامي | تنفيذ العقد |
⚠️ إشعار متعلق بـ VIN: رقم هيكل المركبة(VIN) هو معلومات تعريف للمركبة وليس معلومات تعريف شخصية مباشرة. ومع ذلك، عند دمجه مع سجلات التسجيل، قد يحدد شخصًا معينًا، ولذلك تدير الشركة VIN على نحو مماثل للمعلومات الشخصية.
3.3. معلومات المعاملات
| البند | غرض الجمع | إلزامي/اختياري | الأساس القانوني |
|---|---|---|---|
| سجل الشراء | توفير الخدمة، دعم العملاء، التحليل | إلزامي | تنفيذ العقد |
| وسيلة الدفع (آخر 4 أرقام من البطاقة فقط) | تحديد المعاملة، معالجة الاسترداد | إلزامي | تنفيذ العقد |
| إصدار التقرير وسجلات الوصول | تقديم التقرير، إعادة استخدام VIN نفسه لمدة 30 يومًا، إعادة العرض، إدارة من يستهدفهم الوصول التصحيحي، أدلة النزاعات | إلزامي | تنفيذ العقد / المصالح المشروعة |
| سجلات معاملات الرصيد | شحن الرصيد وخصمه، إدارة مدة صلاحية الرصيد غير المستخدم، منع الفوترة المكررة، الاسترداد أو استعادة الرصيد | إلزامي | تنفيذ العقد / الالتزام القانوني |
| معلومات الفاتورة الضريبية | الفوترة للشركات، الامتثال الضريبي | إلزامي بشروط | الالتزام القانوني (قانون الإطار الوطني للضرائب، قانون ضريبة القيمة المضافة) |
ملاحظة: لا تُخزن معلومات بطاقة الدفع الكاملة (رقم البطاقة، CVV، تاريخ الانتهاء) لدى الشركة. تتم جميع عمليات الدفع بواسطة وكيل دفع خارجي(PG) حاصل على اعتماد PCI-DSS.
3.4. المعلومات التي يتم جمعها تلقائيًا
| البند | غرض الجمع | إلزامي/اختياري | الأساس القانوني |
|---|---|---|---|
| عنوان IP | الأمن، منع الاحتيال، سجلات الموافقة، تحديد المنطقة | تلقائي | المصالح المشروعة |
| نوع المتصفح وإصداره | توافق الخدمة، التحليل | تلقائي | المصالح المشروعة |
| نوع الجهاز ونظام التشغيل | تحسين الخدمة | تلقائي | المصالح المشروعة |
| صفحات الزيارة ومدة البقاء | تحسين الخدمة، التحليل | تلقائي | المصالح المشروعة / الموافقة (ملفات تعريف الارتباط) |
| سجلات تفاعلات الموافقة | الامتثال القانوني، أدلة النزاعات | تلقائي | الالتزام القانوني / المصالح المشروعة |
| الطابع الزمني (UTC) | مسار التدقيق، سجلات الموافقة | تلقائي | الالتزام القانوني |
| تاريخ مرجعية التقرير، وقت العرض، سجلات طلب VIN | إدارة إصدارات التقارير، تطبيق سياسة إعادة الاستخدام لمدة 30 يومًا، إدارة الوصول التصحيحي للبنود غير المؤكدة، منع الاستخدام غير المشروع | تلقائي | تنفيذ العقد / المصالح المشروعة |
أجهزة الجمع التلقائي مثل ملفات تعريف الارتباط. تستخدم الشركة أجهزة جمع تلقائي مثل ملفات تعريف الارتباط والتخزين المحلي والبكسلات. يرجى الرجوع إلى سياسة ملفات تعريف الارتباط للمزيد من التفاصيل.
3.5. المعلومات التي لا يتم جمعها
لا تجمع الشركة المعلومات التالية:
- معلومات التعريف الفريدة القانونية مثل رقم تسجيل المقيم، ورقم جواز السفر، ورقم رخصة القيادة
- المعلومات البيومترية (البصمات، التعرف على الوجه)
- المعلومات الصحية أو الطبية
- أرقام الحسابات المالية (الحسابات البنكية، رقم بطاقة الائتمان الكامل)
- معلومات الموقع الدقيقة بخلاف الموقع التقريبي المستند إلى IP
- معلومات الأشخاص دون سن 18 عامًا (غير أنه بالنسبة للأعضاء المقيمين في كوريا، لا يجوز للقُصّر بموجب القانون المدني (دون سن 19 عامًا) التسجيل إلا إذا حصلوا على موافقة الممثل القانوني، وبالنسبة لمن هم دون سن 14 عامًا، تكون الموافقة الصريحة للممثل القانوني إلزامية وفقًا للمادة 22 من قانون حماية المعلومات الشخصية — انظر المادة 11)
المادة 4 (أغراض استخدام المعلومات الشخصية)
| الغرض | البيانات المستخدمة |
|---|---|
| توفير الخدمة — إنشاء تقارير مساعدة فحص المركبات وسجلها، منح حق الوصول إلى إصدارات التقارير القائمة وإدارة إعادة العرض | معلومات الحساب والمركبة والمعاملات |
| معالجة المساعدة على الفحص القائمة على الذكاء الاصطناعي — تنفيذ تحليل محرك المساعدة على الفحص من LemonInspect | معلومات المركبة (الصوت، VIN، والصور وOBD-II عند توفير الميزة ذات الصلة) |
| إدارة إصدار التقرير والوصول التصحيحي — تطبيق سياسة إعادة استخدام VIN نفسه لمدة 30 يومًا، تسجيل تاريخ مرجعية التقرير، إدارة من يستهدفهم الوصول التصحيحي للبنود غير المؤكدة | معلومات الحساب والمركبة والمعاملات والمعلومات التقنية |
| معالجة الدفع — معالجة الشراء، إصدار الإيصالات، الاسترداد | معلومات الحساب والمعاملات |
| الامتثال للالتزامات القانونية — الاحتفاظ بسجلات الموافقة، الاستجابة للطلبات القانونية، الإقرارات الضريبية | الكل |
| تسوية النزاعات — الدفاع في حالات رد المبالغ المدفوعة، تقديم أدلة لإجراءات التحكيم | معلومات الحساب والمعاملات والمعلومات التقنية |
| تحسين الخدمة — تحليل أنماط الاستخدام، تحسين دقة الذكاء الاصطناعي (معالجة بإزالة التعريف/التجميع) | المعلومات التقنية ومعلومات الاستخدام |
| التواصل — تأكيد الشراء، تحديثات الخدمة، إشعارات تغيير السياسات | الحساب (البريد الإلكتروني) |
| الأمن — كشف الاحتيال، منع الوصول غير المصرح به | المعلومات التقنية ومعلومات الحساب |
لا تستخدم الشركة المعلومات الشخصية للأغراض التالية:
- بيع المعلومات الشخصية إلى أطراف ثالثة
- التنميط الإعلاني أو الاستهداف السلوكي
- اتخاذ قرارات آلية ذات أثر قانوني (تحليل المساعدة على الفحص القائم على الذكاء الاصطناعي ليس إلا معلومات مرجعية)
4.1. سياسة بيانات تدريب نماذج الذكاء الاصطناعي
يجوز للشركة استخدام بيانات التشخيص التي تمت إزالة تعريفها وتجميعها (بعد إزالة معلومات التعريف الشخصية وVIN ومعلومات الموقع) لتحسين دقة نماذج الذكاء الاصطناعي وتطوير ميزات تشخيص جديدة. ومع ذلك:
- لا تُستخدم الصور الأصلية والتسجيلات الصوتية وبيانات التشخيص الخام التي يقدمها المستخدم مباشرة في تدريب نماذج الذكاء الاصطناعي دون موافقة اختيارية صريحة(opt-in) منفصلة
- عند إدخال برنامج اختياري للمساهمة ببيانات التدريب في المستقبل، تكون المشاركة طوعية بالكامل ولا تؤثر في توفير الخدمة أو الرسوم
- يمكن استخلاص الأنماط الإحصائية غير المحددة للهوية (مثل: "اكتشاف إشارات تآكل سلسلة التوقيت في X% من مركبات Genesis G80 لعام 2019") من البيانات المجمعة دون إسنادها إلى أي فرد
المادة 4-2 (الإخطار بتسرب المعلومات الشخصية)
في حال حدوث تسرب للمعلومات الشخصية قد يشكل خطرًا على حقوق المستخدم وحرياته، تقوم الشركة بما يلي:
- إخطار السلطات الرقابية ذات الصلة (مثل لجنة حماية المعلومات الشخصية في كوريا، والسلطة الرقابية الرئيسية في EEA، ومكتب بيانات الإمارات العربية المتحدة) خلال 72 ساعة من وقت العلم بالتسرب، وفقًا للمادة 34 من قانون حماية المعلومات الشخصية، والمادتين 33-34 من GDPR، وUAE PDPL
- إخطار المستخدمين المتأثرين دون تأخير عبر البريد الإلكتروني المسجل للحساب
- تقديم تفاصيل عن طبيعة التسرب، وأنواع البيانات المتأثرة، والنتائج المتوقعة، والتدابير المتخذة للتخفيف من الضرر
المادة 5 (تقديم المعلومات الشخصية إلى أطراف ثالثة)
5.1. خدمات الذكاء الاصطناعي والبنية التحتية الخارجية (بما في ذلك النقل إلى الخارج)
لإنشاء التقارير وتشغيل الخدمة، تنقل الشركة البيانات إلى الجهات الخارجية التالية في الخارج:
| المتلقي | البيانات المنقولة | الغرض | دولة النقل | وقت النقل |
|---|---|---|---|---|
| Google LLC (Gemini Pro Vision API) | صور/صور فوتوغرافية للمركبة | تحليل الحالة البصرية بالذكاء الاصطناعي (Core C، عند توفير هذه الميزة) | الولايات المتحدة وغيرها (Google Cloud) | عند طلب إنشاء تقرير للميزة ذات الصلة |
| Google LLC (Gemini API) | مطالبات نصية تلخص تشخيص المركبة | الاستدلال متعدد الوسائط، إنشاء سرد التقرير | الولايات المتحدة وغيرها (Google Cloud) | عند طلب إنشاء التقرير |
| OpenAI, Inc. | بيانات تشخيص المركبة، مطالبات نصية | تحليل وإنشاء سرد قائم على LLM (سلسلة GPT) | الولايات المتحدة (Microsoft Azure) | عند طلب إنشاء التقرير |
| Anthropic, PBC | بيانات تشخيص المركبة، مطالبات نصية | تحليل وإنشاء سرد قائم على LLM (سلسلة Claude) | الولايات المتحدة (AWS) | عند طلب إنشاء التقرير |
| Amazon Web Services, Inc. (AWS) | معلومات الحساب، VIN، بيانات المركبة، مخرجات التقرير، سجلات الموافقة (جميع البنود) | قاعدة بيانات سحابية ومصادقة وتخزين (خلفية الخدمة) | الولايات المتحدة (us-east / ap-northeast وغيرها) | طوال مدة التسجيل واستخدام الخدمة |
| Cloudflare, Inc. | حركة مرور الويب، عنوان IP، User-Agent، ملفات تعريف الارتباط، بيانات تعريف الطلبات | CDN، الدفاع ضد DDoS، DNS، WAF (بوابة استضافة الموقع) | شبكة anycast عالمية (الولايات المتحدة والاتحاد الأوروبي وآسيا وغيرها) | تلقائيًا عند الوصول إلى الموقع |
⚠️ إشعار النقل إلى الخارج (المادة 28-8 من قانون حماية المعلومات الشخصية / المادة 46 من GDPR):
إن النقل إلى الجهات الخارجية في الخارج الواردة في الجدول أعلاه ضروري لتوفير الخدمة (تنفيذ العقد)، وتضمن الشركة تدابير حماية مناسبة من خلال إبرام بنود تعاقدية قياسية(SCC) أو اتفاقيات معالجة بيانات(DPA) مع كل متلقٍ. يستند هذا النقل إلى تدابير الحماية المناسبة (مثل SCC) بموجب الفقرة 1 من المادة 28-8 من قانون حماية المعلومات الشخصية في جمهورية كوريا، وبالنسبة لمستخدمي EEA يستند إلى الضمانات المناسبة بموجب المادة 46 من GDPR. تُخطر الشركة بوضوح بحقيقة هذا النقل إلى الخارج في شاشة تسجيل العضوية.
النتائج عند تعذر النقل. يشكل هذا النقل إلى الخارج الأساس التقني للخدمة (قاعدة البيانات السحابية وCDN واستدلال الذكاء الاصطناعي)، ولذلك يكون التسجيل وإنشاء التقارير غير ممكنين تقنيًا دون النقل. قد لا توفر الدولة المعنية المستوى نفسه من حماية المعلومات الشخصية الذي توفره جمهورية كوريا.
5.1A. عزل بيانات المستخدم
تُستخدم الصور والتسجيلات الصوتية وبيانات التشخيص الأخرى التي يقدمها المستخدم فقط لإنشاء تقرير ذلك المستخدم. إذا طلب عدة مستخدمين تقارير بشأن VIN نفسه:
- تُعالج الوسائط (الصور، الصوت) التي يقدمها كل مستخدم بصورة معزولة، ولا تُدرج في تقرير مستخدم آخر أو تُعرض فيه أو تكون قابلة للوصول إليه
- قد تُدرج البيانات العامة (سجل VIN، سجلات الاستدعاء، تصنيفات السلامة) في عدة تقارير لـ VIN نفسه لأنها ناشئة عن مصادر عامة تابعة لأطراف ثالثة وليست مواد مقدمة من المستخدم
5.2. الاستعلام عن مصادر البيانات العامة
لتحرير التقرير، يتم الاستعلام عن مصادر البيانات العامة والحكومية التالية. في هذا الاستعلام لا تُنقل المعلومات الشخصية للمستخدم، ويُستخدم فقط VIN ومعلومات تعريف المركبة:
- NHTSA (الإدارة الوطنية للسلامة المرورية على الطرق السريعة في الولايات المتحدة) — الاستدعاءات، شكاوى المستهلكين، تصنيفات السلامة
- وزارة الأراضي والبنية التحتية والنقل / هيئة السلامة المرورية الكورية(KATRI) — سجلات الاستدعاء الكورية
- Euro NCAP — تصنيفات السلامة الأوروبية
- IIHS (معهد التأمين للسلامة على الطرق السريعة في الولايات المتحدة) — تصنيفات اختبارات التصادم
- KNCAP (تقييم سلامة السيارات الجديدة في كوريا) — تصنيفات اختبارات التصادم الكورية
- KIDI (معهد تطوير التأمين) — تصنيفات خسائر التأمين
5.3. مقدمو خدمات البنية التحتية
| المقدم | الغرض | بيانات الوصول |
|---|---|---|
| Cloudflare, Inc. (الولايات المتحدة، anycast عالمي) | بوابة الموقع — CDN / الدفاع ضد DDoS / DNS / WAF | حركة مرور الويب، عنوان IP، User-Agent، ملفات تعريف الارتباط، بيانات تعريف الطلبات |
| Amazon Web Services, Inc. (AWS) (الولايات المتحدة) | قاعدة بيانات سحابية / مصادقة / تخزين كائنات / حوسبة بلا خادم | بيانات الحساب وVIN والمركبة ومخرجات التقرير وسجلات الموافقة (مشفرة عند التخزين والنقل) |
| Supabase, Inc. (الولايات المتحدة، مستضاف على AWS) | قاعدة بيانات علائقية / مصادقة / API فوري | معلومات الحساب، بيانات تعريف التقرير، رموز المصادقة |
| Vercel, Inc. (الولايات المتحدة) | استضافة الواجهة الأمامية / شبكة الحافة / CI·CD | حركة مرور الويب، عنوان IP، User-Agent، سجلات الطلبات |
| Google LLC (الولايات المتحدة وغيرها) | استدلال الذكاء الاصطناعي — Gemini API (عند توفير ميزة Core C البصرية / إنشاء سرد التقرير) | صور المركبة (عند توفير هذه الميزة)، مطالبات ملخص التشخيص |
| OpenAI, Inc. (الولايات المتحدة) | استدلال الذكاء الاصطناعي — سلسلة GPT (إنشاء التحليل والسرد) | بيانات تشخيص المركبة، مطالبات نصية |
| Anthropic, PBC (الولايات المتحدة) | استدلال الذكاء الاصطناعي — سلسلة Claude (إنشاء التحليل والسرد) | بيانات تشخيص المركبة، مطالبات نصية |
| PayPal, Inc. (الولايات المتحدة) | معالجة الدفع — خارجي (معتمد PCI-DSS) | بيانات الدفع فقط (لا يتم تخزين رقم البطاقة وCVV) |
| PortOne (جمهورية كوريا) | معالجة الدفع — ربط PG المحلي (معتمد PCI-DSS) | بيانات الدفع فقط (لا يتم تخزين رقم البطاقة وCVV) |
| Google LLC (Google Workspace) (الولايات المتحدة) | إرسال رسائل البريد الإلكتروني الخاصة بالمعاملات والمصادقة (إيصالات الشراء، إشعارات الاسترداد، تجديد الموافقة، مصادقة التسجيل) | عنوان البريد الإلكتروني، الاسم (الإرسال من [email protected]) |
5.4. الإفصاح القانوني
يجوز للشركة الإفصاح عن المعلومات الشخصية في الحالات التالية:
- بموجب أمر محكمة أو مذكرة استدعاء أو إجراء قانوني
- إجراءات التحكيم (قواعد التحكيم الدولي للمجلس الكوري للتحكيم التجاري)
- طلب من جهة حكومية ذات صلاحية قانونية
- لحماية الحقوق القانونية للشركة أو سلامة المستخدمين
المادة 6 (الاحتفاظ بالمعلومات الشخصية وإتلافها)
| نوع المعلومات | مدة الاحتفاظ | الأساس |
|---|---|---|
| معلومات الحساب | مدة الاحتفاظ بالحساب + 3 سنوات بعد الانسحاب | القانون التجاري؛ تسوية النزاعات |
| بيانات المركبة (VIN، الصور، الصوت) | 1 سنة بعد إنشاء التقرير | تحسين الخدمة؛ تسوية النزاعات |
| سجلات المعاملات | 5 سنوات | الامتثال للضرائب (قانون الإطار الوطني للضرائب، قانون ضريبة القيمة المضافة) |
| سجلات الموافقة (IP، الطابع الزمني، إصدار الشروط) | 5 سنوات أو حتى انتهاء النزاع ذي الصلة | الالتزامات القانونية؛ الدفاع ضد رد المبالغ المدفوعة |
| المعلومات التقنية/معلومات الاستخدام | 1 سنة (ثم إزالة التعريف) | المصالح المشروعة |
| التقارير المنشأة (نتائج التحليل باستثناء الوسائط الأصلية) | مدة إمكانية عرض التقرير للعضو هي، اعتبارًا من تاريخ منح حق الوصول حسب الخطة، 6 أشهر(180 يومًا) لـ Single Report، و1 سنة(365 يومًا) لـ Multi-Check Pack وDealer Starter Pack؛ وتحتفظ الشركة داخليًا بها لمدة 3 سنوات من تاريخ إنشاء التقرير لأغراض الاستجابة للنزاعات ثم تتلفها | تنفيذ العقد؛ تسوية النزاعات |
| سجلات الوصول إلى التقرير وإصداره | 5 سنوات أو حتى انتهاء النزاع ذي الصلة | تنفيذ العقد؛ تسوية النزاعات؛ الدفاع ضد رد المبالغ المدفوعة |
| تأكيد إشعار إعادة استخدام التقرير/تاريخ المرجعية | 5 سنوات أو حتى انتهاء النزاع ذي الصلة | دليل على أن المستخدم قد أُخطر بتاريخ مرجعية التقرير وسياسة إعادة الاستخدام لمدة 30 يومًا |
| تأكيد إشعار الوصول التصحيحي للبنود غير المؤكدة | 5 سنوات أو حتى انتهاء النزاع ذي الصلة | دليل إشعار بأن البنود غير المؤكدة قد تظل غير مؤكدة وأن الوصول التصحيحي محدود |
التمييز بين مدة العرض والاحتفاظ الداخلي. إن الفترة التي يمكن للعضو خلالها عرض التقرير وتنزيل PDF (اعتبارًا من تاريخ منح حق الوصول حسب الخطة، 6 أشهر(180 يومًا) لـ Single Report، و1 سنة(365 يومًا) لـ Multi-Check Pack وDealer Starter Pack) منفصلة عن فترة احتفاظ الشركة بالتقرير داخليًا (3 سنوات من تاريخ الإنشاء، لأغراض الاستجابة للنزاعات). وبعبارة أخرى، حتى بعد انتهاء مدة عرض العضو، تحتفظ الشركة داخليًا بالتقرير (نتائج التحليل باستثناء الوسائط الأصلية) للاستجابة للنزاعات ورد المبالغ المدفوعة.
العلاقة مع الوسائط الأصلية. تُتلف الوسائط الأصلية المقدمة من المستخدم (الصور والصوت) بعد مرور 1 سنة من إنشاء التقرير، وبعد ذلك يُحتفظ بالتقرير كمخرج ثابت يحتوي فقط على نتائج التحليل دون الوسائط الأصلية. لا تتضمن سجلات الوصول إلى التقرير وإصداره (5 سنوات) الوسائط الأصلية، فهي بيانات تعريفية لأغراض أدلة النزاعات.
طريقة الإتلاف:
- الملفات الإلكترونية: الحذف بوسائل تقنية غير قابلة للاستعادة
- المخرجات المطبوعة: الفرم أو الحرق
المادة 7 (حقوق المستخدم)
7.1. الحقوق الأساسية (جميع المستخدمين)
| الحق | المحتوى |
|---|---|
| طلب الاطلاع | طلب نسخة من المعلومات الشخصية الخاصة به التي تحتفظ بها الشركة |
| طلب التصحيح | طلب تصحيح المعلومات غير الدقيقة أو غير المكتملة |
| طلب الحذف | طلب حذف المعلومات الشخصية (باستثناء ما يخضع لالتزامات الاحتفاظ القانونية) |
| طلب وقف المعالجة | طلب وقف معالجة المعلومات الشخصية |
| سحب الموافقة | سحب الموافقة المقدمة سابقًا (لا يؤثر ذلك في مشروعية المعالجة قبل السحب) |
| الاعتراض | الاعتراض على المعالجة المستندة إلى المصالح المشروعة |
| رفض القرارات الآلية وطلب تفسيرها | وفقًا للمادة 37-2 من قانون حماية المعلومات الشخصية (النافذة بتعديل عام 2024)، يحق للمستخدم، إذا كان القرار المتخذ بواسطة نظام مؤتمت بالكامل (مثل الذكاء الاصطناعي) يؤثر تأثيرًا كبيرًا في حقوق العضو أو التزاماته، رفض ذلك القرار أو طلب تفسير لمعايير القرار وأساسه. ملاحظة: تُقدم تشخيصات الذكاء الاصطناعي لدى الشركة (بما في ذلك Trust Score) كمعلومات مرجعية فقط ولا تُعد قرارات آلية ذات أثر قانوني، إلا أنه يجوز للعضو ممارسة هذا الحق. |
| تقديم شكوى | تقديم شكوى إلى سلطة الرقابة على المعلومات الشخصية في الولاية القضائية لمحل الإقامة |
7.2. طريقة ممارسة الحقوق وفترة الاستجابة
جهة الاستقبال: [email protected]
ترد الشركة أو تعالج الطلب خلال الفترات التالية من تاريخ استلام الطلب (وفقًا للقانون المطبق):
| القانون المطبق | فترة الاستجابة |
|---|---|
| قانون حماية المعلومات الشخصية في كوريا (PIPA) | خلال 10 أيام (الاطلاع، التصحيح، الحذف) |
| GDPR الأوروبي | خلال 30 يومًا (يمكن التمديد لمدة شهر واحد) |
| UAE PDPL | خلال 30 يومًا |
يجوز للشركة إجراء إجراءات التحقق من الهوية.
7.3. حقوق إضافية للمستخدمين في الخارج
7.3.1. مستخدمو EEA (GDPR)
- الحق في نقل البيانات (Data Portability): الحق في تلقي البيانات بصيغة منظمة وقابلة للقراءة آليًا
- الحق في تقييد المعالجة (Right to Restriction): الحق في تقييد المعالجة في ظروف معينة
- الحق في رفض اتخاذ القرارات الآلية: الحق في عدم الخضوع لقرار آلي بحت ذي أثر قانوني (تحليل المساعدة على الفحص القائم على الذكاء الاصطناعي لدى الشركة هو معلومات مرجعية وليس له أثر قانوني)
- الحق في تقديم شكوى إلى سلطة رقابية: يمكن تقديم شكوى إلى سلطة حماية البيانات(DPA) في بلد الإقامة
7.3.2. مستخدمو UAE (UAE PDPL)
- جميع الحقوق المنصوص عليها في القانون الاتحادي رقم 45/2021
- حق الموافقة على النقل إلى الخارج (انظر المادة 8)
- يمكن تقديم شكوى إلى مكتب بيانات الإمارات العربية المتحدة(UAE Data Office)
المادة 8 (النقل إلى الخارج)
8.1. حالة النقل
| المتلقي | دولة النقل | البيانات المنقولة | الغرض | تدابير الحماية |
|---|---|---|---|---|
| Google LLC | الولايات المتحدة | صور المركبة (عند توفير هذه الميزة)، مطالبات التشخيص | تحليل الذكاء الاصطناعي (Gemini API) | Google DPA; SCC |
| Google LLC (Google Workspace) | الولايات المتحدة | عنوان البريد الإلكتروني، الاسم | إرسال رسائل البريد الإلكتروني الخاصة بالمعاملات والمصادقة | Google DPA; SCC |
| OpenAI, Inc. | الولايات المتحدة | بيانات تشخيص المركبة، مطالبات نصية | تحليل الذكاء الاصطناعي (سلسلة GPT) | OpenAI DPA; SCC |
| Anthropic, PBC | الولايات المتحدة | بيانات تشخيص المركبة، مطالبات نصية | تحليل الذكاء الاصطناعي (سلسلة Claude) | Anthropic DPA; SCC |
| Amazon Web Services, Inc. (AWS) | الولايات المتحدة | جميع بنود الحساب وVIN وبيانات المركبة والتقارير وسجلات الموافقة | قاعدة بيانات سحابية / مصادقة / تخزين | AWS DPA; SCC |
| Supabase, Inc. | الولايات المتحدة (مستضاف على AWS) | معلومات الحساب، بيانات تعريف التقرير، رموز المصادقة | DB / مصادقة / API فوري | Supabase DPA; SCC |
| Vercel, Inc. | الولايات المتحدة | حركة مرور الويب، IP، User-Agent، سجلات الطلبات | استضافة الواجهة الأمامية / شبكة الحافة | Vercel DPA; SCC |
| Cloudflare, Inc. | anycast عالمي (الولايات المتحدة والاتحاد الأوروبي وآسيا) | حركة مرور الويب، IP، User-Agent، ملفات تعريف الارتباط، بيانات تعريف الطلبات | CDN / الدفاع ضد DDoS / DNS / WAF | Cloudflare DPA; SCC |
| PayPal, Inc. | الولايات المتحدة | بيانات الدفع | معالجة الدفع الخارجي | PayPal DPA; SCC |
8.2. الموافقة
إن النقل إلى الخارج إلى الدول المدرجة في جدول 8.1 أعلاه ضروري لتوفير الخدمة، وتضمن الشركة تدابير حماية مناسبة من خلال البنود التعاقدية القياسية(SCC) واتفاقيات معالجة البيانات(DPA) (المادة 28-8 من قانون حماية المعلومات الشخصية / المادة 46 من GDPR). تُخطر الشركة بحقيقة هذا النقل عند تسجيل العضوية، ويتم إبلاغ المستخدم بأن الدولة المعنية قد لا توفر المستوى نفسه من حماية المعلومات الشخصية الموجود في بلد الإقامة.
يمكن سحب الموافقة عن طريق التواصل على [email protected]. ومع ذلك، نظرًا لأن هذا النقل يشكل الأساس التقني للخدمة (DB وCDN والذكاء الاصطناعي)، فإن استخدام الخدمة الإضافي سيكون محدودًا عند سحب الموافقة، ولا يؤثر ذلك في التقارير التي تم إنشاؤها بالفعل.
المادة 9 (إدارة سجلات الموافقة)
تحتفظ الشركة بسجلات تفاعلات الموافقة لحماية الشركة والمستخدم:
| بند السجل | الغرض |
|---|---|
| اختيار نوع الحساب (فرد/شركة) | تحديد الإطار القانوني المطبق |
| الموافقة على شروط الاستخدام (الإصدار + الطابع الزمني) | دليل إبرام العقد |
| تأكيد إخلاء المسؤولية (الإصدار + الطابع الزمني) | دليل تحديد المسؤولية |
| تأكيد سياسة الاسترداد (الإصدار + الطابع الزمني) | دليل الدفاع ضد رد المبالغ المدفوعة |
| تأكيد إشعار إعادة استخدام التقرير/تاريخ المرجعية (إذا عُرض) | دليل على أن المستخدم قد أُخطر بتاريخ مرجعية التقرير وسياسة إعادة الاستخدام لمدة 30 يومًا |
| تأكيد إشعار الوصول التصحيحي للبنود غير المؤكدة (إذا عُرض) | دليل إشعار بأن البنود غير المؤكدة قد تظل غير مؤكدة وأن الوصول التصحيحي محدود |
| الموافقة على النقل إلى الخارج (الطابع الزمني) | الامتثال لـ GDPR/UAE PDPL |
| عنوان IP في وقت الموافقة | التحقق من المنطقة، منع الاحتيال |
| سلسلة User-Agent | تحديد الجهاز، سلامة سجل الموافقة |
تُحتفظ سجلات الموافقة لمدة 5 سنوات أو حتى انتهاء النزاع ذي الصلة.
المادة 10 (تدابير ضمان الأمان)
تنفذ الشركة التدابير التقنية والإدارية التالية لحماية المعلومات الشخصية:
- التشفير أثناء النقل: TLS 1.2 أو أعلى
- التشفير عند التخزين: AES-256
- التحكم في الوصول: التحكم في الوصول القائم على الأدوار، ومبدأ أقل الصلاحيات
- المصادقة: معالجة كلمات المرور بالتجزئة الآمنة (bcrypt/Argon2)
- المراقبة: كشف التسلل، سجلات الوصول، كشف الشذوذ
- أمن المتعاقدين: مطالبة المعالجين من الأطراف الثالثة بمعايير أمنية مكافئة
لا يمكن لأي نظام أن يضمن الأمان بنسبة 100%، وتتخذ الشركة تدابير معقولة تجاريًا، لكنها لا تضمن الأمان المطلق للبيانات.
المادة 11 (المعلومات الشخصية للقُصّر)
11.1. المبدأ العالمي. لا تستهدف الخدمة الأفراد دون سن 18 عامًا. لا تجمع الشركة عمدًا المعلومات الشخصية للقُصّر دون موافقة الشخص المعني أو ممثله القانوني.
11.2. كوريا دون سن 14 عامًا — موافقة الممثل القانوني إلزامية. وفقًا للمادة 22 من قانون حماية المعلومات الشخصية، تكون الموافقة الصريحة للممثل القانوني إلزامية لمعالجة المعلومات الشخصية للأطفال المقيمين في كوريا دون سن 14 عامًا، وأي معلومات جُمعت دون موافقة تُتلف فورًا.
11.3. كوريا من سن 14 عامًا إلى أقل من 19 عامًا. بالنسبة للقُصّر بموجب القانون المدني الكوري (دون سن 19 عامًا)، لا يكون هذا التسجيل للعضوية أو الدفع ممكنًا إلا إذا تم الحصول على موافقة الممثل القانوني، ويجوز للشخص المعني أو ممثله القانوني إلغاء العقد المبرم دون موافقة (انظر المادة 4.1 من شروط الاستخدام).
11.4. طلبات الإبلاغ والحذف. إذا علمتم بأن قاصرًا قدم معلومات شخصية إلى الشركة بما يخالف هذه السياسة، فيُرجى التواصل على [email protected] وستقوم الشركة بإتلاف تلك المعلومات دون تأخير.
المادة 12 (مسؤول حماية المعلومات الشخصية)
وفقًا للمادة 31 من قانون حماية المعلومات الشخصية، تعيّن الشركة مسؤول حماية المعلومات الشخصية(CPO) وتعلنه على النحو التالي:
- الاسم: تشو غيوهان
- المنصب: الرئيس التنفيذي
- الانتماء: شركة TSBT Company Co.,Ltd.
- البريد الإلكتروني: [email protected]
- البريد: 196، World Cup-ro، Mapo-gu، Seoul، B105-E280 (Seongsan-dong، Daemyung Vichen City Officetel)
يجوز للمستخدمين توجيه جميع الاستفسارات والشكاوى وطلبات معالجة الأضرار المتعلقة بحماية المعلومات الشخصية، التي تنشأ أثناء استخدام خدمات الشركة، إلى مسؤول حماية المعلومات الشخصية. سترد الشركة على استفسارات المستخدمين وتعالجها دون تأخير.
المادة 13 (تغيير هذه السياسة)
يجوز للشركة تغيير هذه السياسة من وقت لآخر. في حال وجود تغيير مهم:
- تنشر السياسة المعدلة على الموقع وتحدث تاريخ "آخر تعديل"
- تقدم إشعارًا مسبقًا قبل 7 أيام على الأقل عبر البريد الإلكتروني المسجل
- إذا استمر استخدام الخدمة بعد تاريخ النفاذ، يُعد ذلك موافقة على السياسة المعدلة
المادة 14 (طرق الانتصاف عند انتهاك الحقوق والمصالح)
إذا كانت هناك حاجة إلى الإبلاغ أو الاستشارة بشأن انتهاك المعلومات الشخصية، فيمكن التواصل مع الجهات التالية:
- مركز الإبلاغ عن انتهاكات المعلومات الشخصية (وكالة الإنترنت والأمن الكورية): 118 / privacy.kisa.or.kr
- لجنة تسوية منازعات المعلومات الشخصية: 1833-6972 / kopico.go.kr
- قسم التحقيقات السيبرانية في مكتب الادعاء الأعلى: 1301 / spo.go.kr
- مكتب التحقيقات السيبرانية في وكالة الشرطة الوطنية: 182 / ecrm.cyber.go.kr
- لجنة حماية المعلومات الشخصية (PIPC): pipc.go.kr
يجوز للمستخدمين في الخارج تقديم شكوى إلى سلطة الرقابة على حماية البيانات في بلد إقامتهم (EEA: DPA في بلدهم، UAE: UAE Data Office، المملكة العربية السعودية: SDAIA).
المادة 15 (أولوية اللغة)
تُعد هذه السياسة باللغة الكورية هي النص الأصلي، وتُقدم النسخ المترجمة إلى الإنجليزية وغيرها من اللغات لراحة الأعضاء. في حال وجود اختلاف في التفسير بين النص الأصلي والترجمة، تكون الأولوية للنص الأصلي باللغة الكورية. غير أن ذلك لا ينطبق في حدود ما تقتضيه قوانين الولاية القضائية لمحل إقامة العضو من عرض باللغة المحلية كحكم إلزامي.
المادة 16 (جهة الاتصال)
البريد الإلكتروني: [email protected]
*تسري سياسة معالجة المعلومات الشخصية هذه اعتبارًا من 2026-05-29.*
