سياسة الخصوصية — Scorella

آخر تحديث: 2026-05-06 تاريخ السريان: 2026-05-06

⚠️ ملاحظة هامة. هذه الوثيقة مسوَّدة أعدّها فريق الهندسة بناءً على

تدفّق البيانات الفعلي في تطبيق Scorella، ولا تُعتبر استشارة قانونية.

قبل النشر يجب مراجعتها مع محامٍ متخصّص في خصوصية البيانات بحسب القوانين

السارية في كل دولة تنوي تشغيل الخدمة فيها (خاصة GDPR الأوروبية،

CCPA/CPRA في كاليفورنيا، PDPL السعودية، PDPL الإماراتية).

تشرح هذه السياسة كيفية جمع Scorella ("نحن"، "التطبيق") لبيانات المستخدمين واستخدامها وحمايتها عند استخدامك للتطبيق والخدمات المرتبطة به.

١. هويتنا

يقوم بتشغيل Scorella السيد أحمد طلبة ("المُشغِّل"). للتواصل في أي شأن متعلّق بالخصوصية: [email protected]

٢. البيانات التي نجمعها

٢-١ ما تقدّمه أنت

• بيانات الحساب: البريد الإلكتروني، اسم المستخدم، كلمة المرور (نخزّنها

مُجزَّأة bcrypt — لا نراها أبداً)، تاريخ الميلاد، النبذة الشخصية، الصورة الرمزية.

• معرّفات الدخول الاجتماعي: Google ID أو Apple ID لو سجّلت بهما.
• محتوى تنشئه: الفيديوهات التي ترفعها وعناوينها وأوصافها، التعليقات،

الإعجابات، المتابعات، الرسائل المباشرة، حظر الحسابات، البلاغات.

• مراسلاتك مع الدعم: أي شيء ترسله لنا عبر البريد.

٢-٢ بيانات تُجمع تلقائياً

• رمز إشعارات الجهاز (FCM): معرّف من Firebase يستعمَل لإرسال إشعارات

push إليك.

• إشارات الاستخدام: الفيديوهات التي تشاهدها (تُحسَب كمشاهدات)، أحداث

المتابعة وإلغاء المتابعة، أحداث فتح التطبيق اليومية لتتبّع الـ streak.

• بيانات تشخيص الأخطاء: الأخطاء غير المعالَجة، تتبّعات الأداء وتقارير

الأعطال (مأخوذة بنسبة ٪١٠ في الإنتاج). تُمحى رؤوس Authorization والـ cookies والـ API keys قبل خروج البيانات من جهازك.

• بيانات الطلب: عنوان IP، user-agent، ومعرّف UUID لكل طلب لربط السجلات

أثناء التشخيص.

٢-٣ ما لا نجمعه

• لا نصل لجهات الاتصال، التقويم، الميكروفون، أو الموقع إلا عند استخدام الميزة

المتعلقة (الكاميرا والميكروفون يُستخدمان فقط أثناء تسجيل الفيديو).

• لا نبيع بياناتك لأي طرف ثالث.
• لا نستخدم فيديوهاتك لتدريب نماذج ذكاء اصطناعي.

٣. كيف نستخدم البيانات

نستخدم البيانات أعلاه لـ: 1. تقديم الخدمة الأساسية: إنشاء الحساب، تسجيل الدخول، رفع الفيديو، التشغيل، المتابعة، المراسلة، الإشعارات. 2. حماية الخدمة من الإساءة: rate limiting، Moderation للحسابات والمحتوى (انظر §٥)، تسجيل audit للإجراءات الحسّاسة (حذف الحساب، الحظر، تصدير البيانات، رفض المحتوى). 3. إرسال البريد المعاملاتي مثل إعادة تعيين كلمة المرور وتأكيد البريد. 4. تشخيص المشاكل وإصلاحها عبر تتبّع الأخطاء المُجمَّع. 5. الامتثال لأي التزامات قانونية والاستجابة للطلبات الرسمية.

لا نستخدم بياناتك في الإعلانات ولا في أي تصنيف آلي يُنتج آثاراً قانونية.

٤. الأسس القانونية (GDPR)

في حال انطباق GDPR نعتمد على:

• تنفيذ العقد — تقديم الخدمة التي اشتركتَ فيها.
• المصلحة المشروعة — حماية الخدمة، منع الاحتيال، إصلاح الأخطاء، التشغيل

الكفء.

• الموافقة — إشعارات push (تستطيع سحب الموافقة من إعدادات الجهاز)،

وأي أذونات اختيارية تمنحها.

• الالتزام القانوني — الاستجابة للطلبات الرسمية.

٥. moderation للمحتوى

عند رفع فيديو، يُفحص thumbnail آلياً عبر خدمة Sightengine (طرف ثالث متخصّص في تصنيف الصور) للكشف عن المحتوى الإباحي أو الأسلحة أو المخدّرات أو الكحول أو العنف أو المحتوى المهين قبل النشر. الفيديوهات التي تفشل هذا الفحص تُحذف ولا تظهر في الـ feed. هذا قرار آلي بالكامل، ويمكنك التظلّم بالتواصل معنا.

٦. المشاركة والمعالجون الفرعيون

لا نبيع ولا نؤجّر بياناتك. نشاركها فقط مع المعالجين الفرعيين الضروريين:

| المعالج | الغرض | البيانات | المنطقة | |---|---|---|---| | DigitalOcean | الاستضافة + Spaces + CDN | كل بيانات الخدمة | أوروبا (أمستردام) | | Google Firebase (FCM) | إشعارات push | رمز FCM + محتوى الإشعار | متعدّد المناطق | | Google / Apple Sign-In | تسجيل الدخول | البريد + معرّف المزوّد (فقط لو اخترتها) | متعدّد المناطق | | Resend | البريد المعاملاتي | عنوان البريد + محتوى الرسالة | أوروبا/أمريكا | | Sightengine | moderation | thumbnail الفيديو | أوروبا | | Sentry (mureai org) | تتبّع الأخطاء | stack traces بدون auth/cookies | أوروبا |

لا ننقل بياناتك لأي جهة أخرى إلا إذا فرض القانون ذلك.

٧. مدة الاحتفاظ

• بيانات الحساب: حتى تحذف الحساب.
• الفيديوهات والمنشورات: حتى تحذف العنصر أو الحساب.
• سجل الإشعارات: آخر ٥٠ لكل مستخدم.
• سجلات audit: ١٢ شهراً على الأقل لأسباب أمنية.
• بيانات الأخطاء: ٩٠ يوماً.
• سجلات Resend: بحسب سياستهم (٣٠ يوماً حالياً).

عند حذف الحساب، نُزيل ملفك الشخصي ومحتواك من قاعدة البيانات نهائياً؛ النسخ الاحتياطية تُحذف خلال ٣٠ يوماً في دورة backup التالية.

٨. حقوقك

أينما كنت تستطيع:

• الوصول لبياناتك — GET /users/me/export من التطبيق أو مراسلتنا.
• حذف الحساب وكل ما يرتبط به — Settings → Delete account.
• تصحيح البيانات الخاطئة — Settings → Edit profile.
• سحب الموافقة على إشعارات push — Settings → Notifications.

لو كنت في الاتحاد الأوروبي أو المملكة المتحدة، لك إضافة:

• الاعتراض على المعالجة المبنية على المصلحة المشروعة.
• تقييد المعالجة.
• نقل بياناتك (data portability).
• رفع شكوى لدى سلطة حماية البيانات في بلدك.

نستجيب للطلبات المُتحقَّق منها خلال ٣٠ يوماً.

٩. الأطفال

التطبيق غير موجَّه للأطفال دون سن ١٣ (١٦ في بعض دول الاتحاد الأوروبي). لا نجمع بيانات الأطفال عن قصد. لو علمتَ أن طفلاً أنشأ حساباً، تواصل معنا لحذفه.

١٠. الأمان

• كلمات السر مُجزَّأة bcrypt بقوّة ١٠.
• refresh tokens مُجزَّأة قبل التخزين وتُدوَّر مع كل refresh.
• الاتصال بالـ API مشفَّر TLS 1.2+.
• أسرار FCM والـ SMTP محفوظة فقط كمتغيّرات بيئة (env)، لا في source control.
• رؤوس Authorization و Cookie و X-API-Key تُحذف من تقارير الأخطاء.

لا يوجد نظام آمن ١٠٠٪. لو شككتَ أن حسابك اختُرق، تواصل معنا فوراً وغيّر كلمة المرور.

١١. النقل الدولي

البنية التحتية الأساسية في أمستردام (الاتحاد الأوروبي). بعض المعالجين يعملون في الولايات المتحدة، وفي تلك الحالات نعتمد آليات النقل المعتمدة (Standard Contractual Clauses أو ما يعادلها).

١٢. تعديلات على هذه السياسة

قد نُحدّث السياسة. تاريخ "آخر تحديث" يتغيّر تبعاً لذلك. التغييرات الجوهرية تُعلَن داخل التطبيق أو عبر البريد قبل سريانها بـ ١٤ يوماً على الأقل.

١٣. التواصل

لأي سؤال أو لممارسة حقوقك: [email protected]