سياسة الخصوصية

2. البيانات المجمعة

2.1 معلومات الحساب

عند إنشاء حساب، نجمع:

• عنوان البريد الإلكتروني: لتسجيل الدخول والتواصل واستعادة كلمة المرور
• كلمة المرور: مُجزَّأة باستخدام scrypt ولا يتم تخزينها أبداً بنص عادي
• تاريخ إنشاء الحساب

2.2 بيانات التمرين

لإنشاء خطط تدريب مخصصة، نجمع:

• هدف اللياقة البدنية: بناء العضلات، حرق الدهون، التحمل، إلخ.
• مستوى الخبرة: مبتدئ، متوسط، متقدم
• المعدات المتاحة: صالة رياضية، وزن الجسم، الدمبل، إلخ.
• تكرار التمرين المطلوب: عدد الجلسات في الأسبوع
• تفضيلات التمارين: التمارين المفضلة أو التمارين المحظورة
• سجل التدريب: الجلسات المكتملة، سجلات كل مجموعة (الوزن، التكرارات، وقت الراحة)، الأرقام القياسية الشخصية (1RM المُقدَّر)، الحجم لكل مجموعة عضلية، قياسات وزن الجسم، تعليقات الجلسة

2.3 بيانات الدفع

تتم معالجة المدفوعات حصرياً بواسطة Lemon Squeezy, LLC (تاجر السجل لدينا). تتولى Lemon Squeezy معالجة المدفوعات وتحصيل الضرائب وعمليات الاسترداد واسترجاع المدفوعات والامتثال المرتبط بالدفع مثل PCI. نحن لا نقوم أبداً بتخزين معلوماتك البنكية على خوادمنا.

يقوم Lemon Squeezy بجمع ومعالجة:

• رقم البطاقة الائتمانية، تاريخ الانتهاء، CVV
• اسم الفواتير والعنوان
• تفاصيل المعاملة (المبلغ، التاريخ، العملة)

نتلقى من Lemon Squeezy بيانات وصفية محدودة للفوترة والاشتراك اللازمة لتشغيل الخدمة، مثل حالة الاشتراك والخطة وتواريخ التجديد أو الانتهاء ومعرفات العميل والاشتراك لدى Lemon Squeezy ومعالج الدفع وروابط البوابة ومراجع المعاملات. وقد نحتفظ أيضاً ببريد الفوترة المرتبط بالاشتراك لأغراض الدعم والمطابقة واستعادة الحساب. نحن لا نتلقى ولا نخزن أبداً بيانات البطاقة الكاملة.

2.4 البيانات التقنية

نجمع:

• نوع الجهاز: متصفح ويب أو PWA مثبَّتة (iOS، Android، سطح المكتب)
• إصدار التطبيق
• إصدار نظام التشغيل
• تفضيل اللغة
• سجلات الأخطاء (لإصلاح الأخطاء)

لا نستخدم تحديد الموقع الدقيق ولا معرّفات الإعلانات على الهاتف (IDFA/AAID) لأغراض التتبع. وقد تُعالج بعض المعرّفات التقنية (بما في ذلك IP) بشكل مؤقت لأغراض الأمان ومنع الاحتيال والتوجيه، ثم تُخفّض أو تُحذف وفق قواعد الاحتفاظ.

2.5 بيانات اللياقة البدنية

لإنشاء برامج مخصصة، نجمع بموافقتك الصريحة:

• الوزن: لتكييف شدة التمرين
• الطول: لحساب معايير التدريب
• العمر: لتعديل صعوبة البرنامج
• الجنس: لتخصيص اختيار التمارين
• نوع الجسم: لتحسين استراتيجية التدريب
• هدف التدريب: لاختيار البرنامج المناسب

3. كيف نستخدم بياناتك

3.1 تقديم الخدمة

• إنشاء وإدارة حسابك
• إنشاء برامج تمرين مخصصة باستخدام الذكاء الاصطناعي
• تتبع تقدمك وسجل التدريب
• مزامنة البيانات عبر أجهزتك

الأساس القانوني: تنفيذ العقد (شروط الخدمة).

3.2 الاتصالات

• إرسال رسائل بريد إلكتروني تعاملية (تأكيد الحساب، إعادة تعيين كلمة المرور)
• الإخطار بحالة الاشتراك (تذكيرات التجديد، فشل الدفع)
• توفير دعم العملاء

الأساس القانوني: تنفيذ العقد والمصلحة المشروعة.

3.3 معالجة الدفع

• معالجة مدفوعات الاشتراك عبر Lemon Squeezy
• إصدار الفواتير
• إدارة المبالغ المستردة

الأساس القانوني: تنفيذ العقد والالتزام القانوني (السجلات الضريبية: 10 سنوات).

3.4 تحسين الخدمة

• تحليل بيانات الاستخدام (عبر PostHog بموافقة، أو بشكل مجهول بدون موافقة)
• تحديد وإصلاح الأخطاء
• تطوير ميزات جديدة بناءً على احتياجات المستخدمين

الأساس القانوني: الموافقة للتحليلات المعرّفة. وتُطبق المصلحة المشروعة فقط على الإحصاءات المجمعة الناتجة عن أحداث تحليلية مجهولة في الذاكرة فقط ومعلمات حملات غير شخصية.

4. مزودو الخدمات الخارجيون

نشارك بياناتك مع هؤلاء الشركاء الموثوقين الذين يساعدوننا في تقديم الخدمة:

4.1 البنية التحتية

• Cloudflare, Inc. (شركة مسجلة في الولايات المتحدة): استضافة كاملة للتطبيق على Cloudflare Workers (Smart Placement)، قاعدة البيانات الرئيسية على Cloudflare D1 (SQLite على شبكة Cloudflare)، تخزين الكائنات R2 ضمن الولاية القضائية للاتحاد الأوروبي (وسائط التمارين)، ذاكرة التخزين المؤقت KV، Durable Objects (بيانات كل مستخدم مقيّدة بالولاية القضائية للاتحاد الأوروبي؛ الأقفال الموزَّعة وقفل الحساب تستخدم تلميحات تموضع في أوروبا الغربية)، Workers Rate Limit، Cloudflare Pages (موقع التسويق)، DNS، حماية DDoS، شبكة CDN، اكتشاف البلد عبر إشارات شبكة Cloudflare.
• Cloudflare Turnstile (CAPTCHA): الحماية من الروبوتات والإساءة عند التسجيل، وإعادة تعيين كلمة المرور، وطلبات OTP عبر البريد الإلكتروني. يعالج إشارات المتصفح الأدنى فقط، بدون ملفات تعريف ارتباط ولا بصمات تعريف.
• Resend (Plus Five Five, Inc.، الولايات المتحدة): البريد الإلكتروني للمعاملات (تأكيد الحساب، رمز OTP عبر البريد الإلكتروني، إعادة تعيين كلمة المرور، إشعارات الاحتفاظ). عمليات النقل مغطاة بالشروط التعاقدية القياسية (Standard Contractual Clauses).
• Bunny.net (BunnyWay d.o.o.، سلوفينيا، الاتحاد الأوروبي): شبكة توصيل محتوى للصور لموقع التسويق فقط. لا تتم معالجة أي بيانات لمستخدمين موثقين.
• Strapi (Strapi SAS، فرنسا، الاتحاد الأوروبي): نظام إدارة محتوى headless يستضيف محتوى المدونة لموقع التسويق فقط. لا تتم معالجة أي بيانات لمستخدمين موثقين.

تم توقيع اتفاقية معالجة بيانات (DPA Standard v4.3 من Cloudflare) بين JCODE وCloudflare, Inc.، مؤرخة في 2026-05-10، تتضمن الشروط التعاقدية القياسية (SCCs) للاتحاد الأوروبي للنقل إلى الدول التي لا تتمتع بمستوى ملاءمة.

4.2 الدفع

• Lemon Squeezy, LLC: تاجر السجل (Merchant of Record)، معالجة الدفع، تحصيل الضرائب، الفواتير، متوافق مع PCI-DSS

لمزيد من التفاصيل حول كيفية معالجة Lemon Squeezy لبياناتك، راجع سياسة خصوصية Lemon Squeezy.

4.3 التحليلات

• PostHog (eu.posthog.com، منطقة الاتحاد الأوروبي): تحليلات معرّفة قائمة على الموافقة، أو تحليلات مجهولة في الذاكرة فقط بدون تخزين PostHog دائم، لإحصاءات مجمعة.

عمليات النقل الدولية: قاعدة بياناتك الرئيسية (Cloudflare D1) وتخزين الكائنات الخاص بك (Cloudflare R2 ضمن الولاية القضائية للاتحاد الأوروبي) يعملان على شبكة Cloudflare الطرفية؛ عمليات النقل بين مناطق Cloudflare مغطاة بـ Data Processing Addendum من Cloudflare والشروط التعاقدية القياسية (SCCs). Cloudflare ذاتها وLemon Squeezy وResend هي شركات مسجلة في الولايات المتحدة وقد تعالج البيانات خارج المنطقة الاقتصادية الأوروبية؛ في جميع الحالات نعتمد على ضمانات النقل الخاصة باللائحة العامة لحماية البيانات (SCCs و/أو قرارات الملاءمة).

5. مشاركة البيانات

نحن لا نبيع بياناتك الشخصية لأطراف ثالثة أبداً.

قد نشارك البيانات فقط في هذه الحالات:

• بموافقتك: إذا قمت بالتصريح صراحةً
• التزام قانوني: أمر محكمة، طلب تنظيمي
• مزودو الخدمات: المذكورون في القسم 4 أعلاه
• نقل الأعمال: في حالة الاندماج أو الاستحواذ أو بيع الأصول (سيتم إخطارك)

6. استخدام البيانات لتحسين الذكاء الاصطناعي

بموافقتك الصريحة، ولتحسين جودة البرامج المنشأة لجميع المستخدمين، قد نستخدم بيانات تمرين مُجمَّعة ومجهولة الهوية لتحسين القواعد والإستدلالات التي تشغّل ميزات الذكاء الاصطناعي لدينا (مثل تجميع التمارين، واكتشاف الهضاب، وتطور الأوزان). يتم إنشاء تقرير AI Coach (WorkoutGen Max) محلياً داخل WorkoutGen من إشارات المتتبع المجمَّعة — ولا تُشارَك أي بيانات شخصية مع موفري LLM خارجيين.

ضمانات الحماية:

• لا تُستخدم معرفات مباشرة (الاسم، البريد الإلكتروني) في مسار تحسين الذكاء الاصطناعي هذا.
• يتم إخفاء هوية البيانات (معرف عشوائي)
• فقط بيانات التمرين (الهدف، المستوى، المعدات، التقدم)
• لا تُعالج بيانات تشخيص أو علاج طبي.
• تخزين مقيّد بالاتحاد الأوروبي لبيانات كل مستخدم وكائنات R2؛ وتغطي اتفاقية معالجة البيانات الخاصة بـ Cloudflare والبنود التعاقدية القياسية المعالجة الطرفية العالمية
• يمكنك إلغاء الاشتراك عبر support@workoutgen.app

الأساس القانوني: الموافقة الصريحة (الاشتراك عبر الإعدادات > الخصوصية). يمكنك سحب موافقتك في أي وقت.

7. الاحتفاظ بالبيانات

• الحساب النشط: يتم الاحتفاظ بالبيانات طالما أن الحساب نشط
• الحساب المحذوف: يتم حذف البيانات في غضون 30 يوماً (باستثناء الالتزامات القانونية)
• الفواتير: 10 سنوات (متطلبات القانون الضريبي). سجل تدقيق الأمان (حذف الحساب، تغيير البريد الإلكتروني، أحداث إلغاء الاشتراك مع معرّفات مُجزَّأة): 3 سنوات.
• سجلات التحليلات: 12 شهراً كحد أقصى
• الحسابات غير النشطة: سنة واحدة من عدم النشاط ← تحذير عبر البريد الإلكتروني ← حذف بعد 30 يوماً
• الحسابات غير المؤكدة: تُحذف تلقائياً بعد 90 يوماً إذا لم يتم التحقق من عنوان البريد الإلكتروني.

8. أمان البيانات

نطبق تدابير أمنية معيارية في الصناعة:

التدابير التقنية

• التشفير: HTTPS/TLS للبيانات أثناء النقل، AES-256 للبيانات أثناء الراحة (عبر مزودي البنية التحتية)
• المصادقة: كلمات المرور مجزأة باستخدام scrypt؛ رموز OTP عبر البريد الإلكتروني (رموز لمرة واحدة) مجزأة قبل التخزين؛ قفل الحساب بعد 10 محاولات فاشلة خلال نافذة 15 دقيقة.
• التحكم في الوصول: مبدأ الحد الأدنى من الامتيازات
• المراقبة والوقاية من الإساءة: تحديد المعدلات الآلي (Cloudflare Workers Rate Limit و Durable Objects)، قفل الحساب بعد 10 محاولات تسجيل دخول فاشلة خلال 15 دقيقة، الحماية من الروبوتات عبر Cloudflare Turnstile عند التسجيل وإعادة تعيين كلمة المرور وطلبات OTP عبر البريد الإلكتروني، كشف التسلل الآلي.

التدابير التنظيمية

• عمليات تدقيق أمنية منتظمة
• تدريب الموظفين على حماية البيانات
• خطة الاستجابة للحوادث

في حال وقوع خرق لبيانات شخصية، نقوم بإخطار الجهة الرقابية المختصة ضمن المهل القانونية (المادة 33 من GDPR). وإذا كان الخرق مرجحًا أن يسبب خطرًا مرتفعًا على حقوقك وحرياتك، فسنبلغك دون تأخير غير مبرر (المادة 34 من GDPR).

9. حقوق الخصوصية الخاصة بك

بموجب GDPR وقوانين الخصوصية الأمريكية (CCPA، قوانين الولايات)، لديك الحقوق التالية:

الحق في الوصول

طلب نسخة من جميع البيانات الشخصية التي نحتفظ بها عنك.

الحق في التصحيح

تصحيح بياناتك الشخصية مباشرةً في التطبيق (الإعدادات > الحساب) أو الاتصال بنا.

الحق في الحذف

حذف حسابك في أي وقت (الإعدادات > حذف الحساب). سيتم مسح جميع البيانات في غضون 30 يوماً، باستثناء الالتزامات القانونية (الفواتير: 10 سنوات).

الحق في الاعتراض

الاعتراض على معالجة بياناتك للتحليلات أو تدريب الذكاء الاصطناعي.

الحق في النقل

تنزيل بياناتك بتنسيق منظم (JSON للتصدير الكامل للحساب، CSV لسجل متتبع الوزن) لنقلها إلى مكان آخر.

الحق في التقييد

طلب تجميد مؤقت لمعالجة البيانات أثناء نزاع.

الحق في سحب الموافقة

عندما تستند المعالجة إلى موافقتك (التحليلات، تحسين تدريب الذكاء الاصطناعي)، يمكنك سحبها في أي وقت من الإعدادات > الخصوصية. لا يؤثر السحب على مشروعية المعالجة التي تمت قبل السحب.

الحق في الانسحاب (CCPA)

يمكن لسكان كاليفورنيا إلغاء الاشتراك في "مبيعات" البيانات (نحن لا نبيع البيانات، ولكن يمكنك طلب الحذف).

لممارسة حقوقك:
البريد الإلكتروني: support@workoutgen.app
وقت الاستجابة: 30 يوماً كحد أقصى
قد يلزم التحقق من الهوية للأمان

تقديم شكوى:
سكان الاتحاد الأوروبي: هيئة حماية البيانات الوطنية الخاصة بك أو CNIL (cnil.fr)
سكان الولايات المتحدة: المدعي العام للولاية أو FTC (ftc.gov)

10. ملفات تعريف الارتباط وأدوات التتبع

يحترم WorkoutGen خياراتك المتعلقة بالخصوصية. نستخدم الحد الأدنى من ملفات تعريف الارتباط للوظائف الأساسية:

ملفات تعريف الارتباط الضرورية للغاية (لا تتطلب موافقة)

• جلسة المستخدم: للبقاء مسجلاً للدخول (ملف تعريف ارتباط جلسة مرتبط بسجل جلسة من جانب الخادم مُخزَّن في قاعدة بياناتنا)
• تفضيلات الواجهة: الوضع الداكن/الفاتح، اللغة

التحليلات القائمة على الموافقة

• PostHog: عند موافقتك نستخدم ملفات تعريف ارتباط وتخزينًا محليًا للتحليلات لقياس استخدام قابل للتعرّف. وعند عدم الموافقة تبقى التحليلات مجهولة وتستخدم تخزين PostHog في الذاكرة فقط: لا يتم حفظ أي معرّف PostHog بشكل دائم في ملفات تعريف الارتباط أو localStorage. تُستخدم الأحداث لإحصاءات مجمعة فقط، وتُحتفظ لمدة محدودة، ولا تُستخدم للإعلانات.

في زيارتك الأولى، يتيح لك شعار الموافقة قبول أو رفض ملفات تعريف الارتباط التحليلية غير الأساسية. يتم تخزين اختيارك محلياً ويمكن تغييره في أي وقت من الإعدادات > الخصوصية.

11. خصوصية الأطفال

لا يُقصد استخدام WorkoutGen من قبل المستخدمين الذين تقل أعمارهم عن سن الموافقة الرقمية في بلدهم: 15 عاماً في فرنسا (وفقاً لتطبيق فرنسا للائحة العامة لحماية البيانات)، و16 عاماً في الدول التي احتفظت بالقيمة الافتراضية للائحة، و13 عاماً في الولايات المتحدة (COPPA) والمملكة المتحدة. نحن لا نجمع عن قصد بيانات من الأطفال الذين تقل أعمارهم عن هذه الحدود.

إذا اكتشفنا أن بيانات طفل تم جمعها دون موافقة الوالدين، فسنحذفها على الفور.

يجب على المستخدمين الذين تتراوح أعمارهم بين 15 و17 عاماً الحصول على موافقة الوالدين/الوصي قبل إنشاء حساب.

12. إشارات "عدم التتبع"

تقدم بعض المتصفحات إشارات "عدم التتبع" (DNT). لا يستجيب WorkoutGen حالياً لإشارات DNT، لكننا نقلل التتبع افتراضياً (لا إعلانات، لا أدوات تتبع من طرف ثالث).

13. تحديثات السياسة

قد نقوم بتحديث سياسة الخصوصية هذه لتعكس التغييرات القانونية أو الميزات الجديدة. سنخطرك بالتغييرات الهامة عبر البريد الإلكتروني أو الإخطار داخل التطبيق.

يتم عرض تاريخ آخر تعديل في أعلى هذه الصفحة.

14. الاتصال ومسؤول حماية البيانات

لأي أسئلة حول حماية البيانات:

البريد الإلكتروني: support@workoutgen.app

الهاتف: +33 7 84 07 11 53

العنوان البريدي: JCODE، 25 rue de Ponthieu، 75008 Paris، France

مسؤول حماية البيانات (DPO): Jean-Baptiste Thery (نفس البريد الإلكتروني)

السلطة الإشرافية للاتحاد الأوروبي (CNIL):

هيئة حماية البيانات الفرنسية (CNIL - Commission Nationale de l'Informatique et des Libertés)

3 Place de Fontenoy، TSA 80715، 75334 Paris Cedex 07، France

هاتف: +33 1 53 73 22 22

الموقع الإلكتروني: www.cnil.fr