إشعار حماية البيانات (KVKK)
تاريخ آخر تحديث: 11.05.2026
أُعدّ هذا الإشعار من قبل Huma Yazılım Anonim Şirketi ("الشركة"، "المسؤول عن البيانات") بشأن البيانات الشخصية التي تتم معالجتها عبر تطبيق NUR للهاتف المحمول ("التطبيق")، وذلك وفقاً للمادة 10 من قانون KVKK رقم 6698 و"البيان الخاص بالإجراءات والمبادئ الواجب اتباعها في تنفيذ التزام الإشعار"، بهدف إعلام الأشخاص ذوي الصلة.
هذا النص وثيقة مستقلة منفصلة عن نص الموافقة الصريحة، وقد أُعدّ بما يتوافق مع قراري المبادئ رقم 2018/90 المؤرخ في 26/07/2018 ورقم 2026/347 الصادرين عن مجلس KVKK.
1. هوية المسؤول عن البيانات
| المعلومة | التفاصيل |
|---|---|
| الاسم التجاري | Huma Yazılım Anonim Şirketi |
| العنوان | Sarıdemir Mah. Ragıp Gümüşpala Cad. Ahenk Han İş Merkezi No: 29 İç Kapı No: 103 Fatih / İstanbul |
| رقم الهوية الضريبية | 4641985523 |
| Mersis No | 0464198552300001 |
| البريد الإلكتروني | destek@huma.ist / info@huma.ist |
2. فئات البيانات الشخصية المعالَجة
تتم معالجة فئات البيانات الشخصية التالية في نطاق تطبيق NUR:
2.1. بيانات الهوية
- الاسم، اللقب، اسم المستخدم، الصورة الشخصية، سنة الميلاد، معرّف مستخدم Firebase (UID)
2.2. بيانات التواصل
- عنوان البريد الإلكتروني (عبر Google/Apple Sign-in أو التسجيل اليدوي)
2.3. بيانات الجهاز والاتصال
- معرّف الجهاز (IDFV — iOS / Android ID)، IDFA/AAID (بموافقة صريحة)، رمز FCM (للإشعارات الفورية)، النظام الأساسي (iOS/Android)، إصدار التطبيق، إصدار نظام التشغيل، عنوان IP، إعدادات اللغة والمنطقة الزمنية
2.4. بيانات الموقع
- الموقع الدقيق (خط العرض، خط الطول) بقدر ما يسمح به الجهاز — لحساب أوقات الصلاة واتجاه القبلة. يُستخرج معرّف الدولة والمدينة عبر geocoding عكسي.
2.5. بيانات الاستخدام والتفاعل مع المحتوى
- أحداث التشغيل (
play_events): المحتوى الذي استمعتم إليه، المدة، نسبة الإكمال، وقت التشغيل - جلسات الذكر (
dhikr_sessions,dhikr_daily): التاريخ، مدة الجلسة، العدّاد - الإعجابات (
inspirations/likes)، المفضلات، غرف الذكر التي أنشأتموها/انضممتم إليها - أحداث التنقل داخل التطبيق، مدد عرض الشاشات
2.6. البيانات المالية وبيانات الاشتراك
- معرّفات معاملات المتجر (App Store / Play Store)، حالة الاشتراك (
isPremium,premiumUntil)، سجل المشتريات (عبر RevenueCat)، أسباب إلغاء الاشتراك
2.7. البيانات الاجتماعية وبيانات الدعوات
- رمز الدعوة (
inviteCode)، عدد الدعوات الناجحة (successfulInvites)، معلومات الاسم/البريد الإلكتروني/الصورة لمن دعوتموهم أو من دعاكم (بموافقة صريحة)
2.8. بيانات الأمن والسلامة
- تقارير سلامة الجهاز (FreeRASP — اكتشاف jailbreak/root، منع إساءة الاستخدام)
- رموز Firebase App Check (Play Integrity / App Attest)
- سجلات الجلسات، محاولات تسجيل الدخول الفاشلة
2.9. بيانات الأعطال والأداء
- تقارير أعطال Firebase Crashlytics، مقاييس الأداء، آثار استدعاء الأخطاء (مع معرّف جهاز مجهول)
2.10. بيانات التسويق والتواصل
- تفضيلات الاتصالات التجارية (push/البريد الإلكتروني/SMS)، حالة تسجيل İYS
3. أغراض معالجة البيانات الشخصية
تُعالَج البيانات أعلاه للأغراض التالية:
- إنشاء الحساب والتحقق من الهوية (المادة 5/2(ج) — تنفيذ العقد)
- تقديم الخدمات: بث محتوى النشيد الديني/الدعاء/القرآن، أوقات الصلاة، عدّاد الذكر، التنزيل دون اتصال
- التخصيص: المحتوى الموصى به، قوائم المفضلة، أهداف الذكر
- التفاعل الاجتماعي: غرف الذكر، نظام الدعوات، الإعجابات
- إدارة الدفع والاشتراك: عضوية Premium، التجديد التلقائي، التحقق من المشتريات
- الأمن ومنع إساءة الاستخدام: سلامة الجهاز، التحكم في الجلسات، اكتشاف الانتهاكات، AppCheck
- الوفاء بالالتزامات القانونية: حفظ السجلات وفق قانون رقم 5651، سياسة الإتلاف وفق المادة 7 من KVKK، الالتزامات الضريبية
- التحليلات وتطوير المنتج: إحصاءات الاستخدام، اختبارات A/B (بموافقة صريحة)
- عرض الإعلانات: إعلانات AdMob لمستخدمي الفئة المجانية (التخصيص بموافقة صريحة)
- إرسال الرسائل التجارية الإلكترونية: العروض، الإعلانات (بموافقة صريحة، قانون رقم 6563 + İYS)
4. الأسباب القانونية لمعالجة البيانات الشخصية (المادة 5 من KVKK)
| الأساس القانوني | فئات البيانات المعنية |
|---|---|
| المادة 5/2(أ) — النص الصريح في القوانين | سجلات الأمن (قانون رقم 5651) |
| المادة 5/2(ج) — إبرام أو تنفيذ العقد | بيانات الهوية، التواصل، المالية/الاشتراك |
| المادة 5/2(ح) — الالتزام القانوني | سجلات السجلات، السجلات الضريبية، سجلات التدقيق |
| المادة 5/2(هـ) — إثبات الحق أو ممارسته أو حمايته | الاستجابة للطلبات القضائية/الإدارية |
| المادة 5/2(و) — المصلحة المشروعة | Crashlytics، سلامة الجهاز، منع الاحتيال |
| المادة 5/1 — الموافقة الصريحة | تخصيص الإعلانات، التحليلات، مشاركة PII في الدعوات، النقل عبر الحدود، الاتصالات التجارية |
5. نقل البيانات الشخصية
5.1. النقل داخل البلاد
يجوز نقل بياناتكم الشخصية إلى الأطراف التالية:
- الجهات والمؤسسات العامة المختصة والجهات القضائية/الإدارية: عند الطلب بموجب التزام قانوني
- المستشارون الضريبيون والمدققون: لأغراض إجراءات التدقيق القانوني
- مزودو الخدمات: نظام إدارة الرسائل (İYS — للاتصالات التجارية)، مكاتب المحاماة
5.2. النقل عبر الحدود (المادة 9 من KVKK + لائحة 10.07.2024)
يوضح هذا القسم الأسس القانونية والضمانات المطبقة لنقل البيانات الشخصية المعالَجة في نطاق تطبيق NUR إلى معالجي البيانات في الخارج، وفقاً لـ المادة 9 من KVKK و**"لائحة نقل البيانات الشخصية إلى خارج البلاد" المؤرخة في 10 يوليو 2024**.
الأسس القانونية للنقل (المادة 9 من KVKK):
- الخيار الأول: العقد القياسي (SCC) (المادة 9/4/ب من KVKK) — عقد قياسي موقّع بين المسؤول عن البيانات ومعالج البيانات، معلَن من قبل مجلس KVKK
- الأساس التكميلي: الموافقة الصريحة (المادة 9/6 من KVKK) — للحالات التي يكون فيها العقد القياسي (SCC) غير كافٍ أو غير قابل للتطبيق
5.2.1. Google LLC (الولايات المتحدة الأمريكية)
| المعلومة | التفاصيل |
|---|---|
| العنوان | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA |
| العقد | Google Cloud Data Processing Addendum + العقد القياسي (SCC) لـ KVKK |
| الحالة | موقّع وساري المفعول |
| الخدمات | Firebase Auth، Cloud Firestore، Cloud Functions، FCM، Firebase Analytics، Crashlytics، Google AdMob، Geocoding/Maps API، AppCheck (Play Integrity) |
| البيانات المنقولة | الهوية، التواصل، الجهاز، الموقع (الدقيق)، الاستخدام، IDFA/AAID (بموافقة صريحة)، الأعطال/الأداء |
| الأمن | TLS 1.2+ أثناء النقل، Google Cloud KMS أثناء التخزين، ISO 27001/27017/27018، SOC 2 Type II |
5.2.2. Apple Inc. (الولايات المتحدة الأمريكية)
| المعلومة | التفاصيل |
|---|---|
| العنوان | One Apple Park Way, Cupertino, CA 95014, USA |
| العقد | Apple Developer Program Agreement + العقد القياسي (SCC) لـ KVKK |
| الحالة | موقّع وساري المفعول |
| الخدمات | Sign in with Apple، App Attest، App Tracking Transparency (IDFA) |
| البيانات المنقولة | الهوية (البريد الإلكتروني، الاسم)، الجهاز، IDFA (بموافقة صريحة) |
| الأمن | TLS 1.2+، Apple Hardware Security Module، ISO 27001 |
5.2.3. RevenueCat Inc. (الولايات المتحدة الأمريكية)
| المعلومة | التفاصيل |
|---|---|
| العنوان | 870 Market St, San Francisco, CA 94102, USA |
| العقد | RevenueCat DPA + العقد القياسي (SCC) لـ KVKK |
| الحالة | موقّع وساري المفعول |
| الخدمات | إدارة الاشتراكات، تكامل المتجر، التحقق من المشتريات |
| البيانات المنقولة | App User ID، معرّف معاملة Apple/Google، معرّف المنتج، حالة الاشتراك |
| الأمن | TLS 1.2+، تشفير AES-256 أثناء التخزين، SOC 2 Type II |
5.2.4. MP3Quran.net (المملكة العربية السعودية)
- الخدمة: بث محتوى تلاوة القرآن (HTTP GET فقط)
- البيانات المنقولة: لا تُنقل أي بيانات شخصية — مجرد طلب محتوى مجهول. يتم إخفاء هوية IP الخاص بالمستخدم عبر CDN-edge
- الأساس القانوني: لا يوجد نقل؛ يقع خارج نطاق المادة 9 من KVKK
5.2.5. الحالات التي يكون فيها العقد القياسي (SCC) غير كافٍ
في بعض أنشطة المعالجة (مثل طلبات الوصول الحكومية في الولايات المتحدة — FISA 702، CLOUD Act)، قد لا يوفر العقد القياسي وحده ضمانة كافية. في هذه الحالات:
- التدابير التكميلية: التشفير (TLS)، الترميز (Pseudonymization)، تقليل البيانات
- أساس الموافقة الصريحة (المادة 9/6 من KVKK): إذا تبيّن أن التدابير أعلاه غير كافية، تُؤخذ موافقتكم الصريحة أساساً قانونياً إضافياً. تُقيَّم الموافقة على نص الموافقة الصريحة ضمن هذا النطاق.
5.2.6. الضمانات الإضافية للنقل
- العقود القياسية مدتها 5 سنوات وتُجدَّد تلقائياً
- يُحتفظ بحقنا في إجراء تدقيق سنوي مع معالجي البيانات
- تقوم لجنة النقل عبر الحدود الداخلية في الشركة بإجراء جرد للنقل وتقييم للمخاطر كل 6 أشهر
6. طرق جمع البيانات الشخصية
تُجمع البيانات عبر القنوات التالية:
- مباشرة من المستخدم: نموذج التسجيل، إعدادات الملف الشخصي، إجراءات المستخدم
- تلقائياً: القياس عن بُعد داخل التطبيق، تخزين SDK المشابه لملفات تعريف الارتباط/التخزين المحلي، سجلات النظام
- عمليات تكامل الأطراف الثالثة: Google/Apple Sign-in (التحقق من البريد الإلكتروني/الاسم)، RevenueCat (معاملات المتجر)، FCM (رمز push)
- عبر نظام الدعوات: بالبيانات التي شاركها مستخدم آخر دعاكم (يماثل المادة 14 من GDPR — المادة 10 من KVKK)
7. سياسة الاحتفاظ بالبيانات الشخصية والإتلاف
يحدد هذا القسم مدد الاحتفاظ ومحفّزات الإتلاف وطرق الإتلاف للبيانات الشخصية المعالَجة، وذلك وفقاً لـ المادة 7 من KVKK و"لائحة محو البيانات الشخصية أو إتلافها أو إخفاء هويتها".
7.1. جدول مدد الاحتفاظ
| # | فئة البيانات | الأساس القانوني | مدة الاحتفاظ |
|---|---|---|---|
| 1 | بيانات المستخدم النشط | تنفيذ العقد | طوال فترة نشاط الحساب |
| 2 | سجلات الحسابات المحذوفة (مرمّزة) | عبء الإثبات | 3 سنوات |
| 3 | السجلات الضريبية/المالية (معرّف معاملة المتجر، الاشتراك) | VUK المادة 253 | 10 سنوات |
| 4 | سجلات حركة المرور (IP، الجلسة، الوصول) | قانون رقم 5651 | سنتان |
| 5 | أذونات التسويق (İYS) | قانون رقم 6563 + İYS | حتى سحب الإذن + 3 سنوات للإثبات |
| 6 | سجل تدقيق الموافقة الصريحة | عبء الإثبات وفق KVKK | 5 سنوات |
| 7 | تقارير أعطال Crashlytics | المصلحة المشروعة | 90 يوماً |
| 8 | أحداث Firebase Analytics | الموافقة الصريحة | 14 شهراً |
| 9 | بيانات الموقع الدقيق | تنفيذ العقد (وقت الصلاة) | الحذف خلال 24 ساعة بعد انتهاء غرض المعالجة |
| 10 | رمز FCM push | تنفيذ العقد | طوال فترة نشاط الحساب + 30 يوماً |
| 11 | سجلات الدعوات | تنفيذ العقد | حتى حذف الحساب |
| 12 | Play events | الموافقة الصريحة (تحليلات) | إخفاء الهوية بعد 12 شهراً |
| 13 | بيانات عدّاد الذكر | تنفيذ العقد | حتى حذف الحساب |
| 14 | سجلات سلامة الجهاز (FreeRASP، AppCheck) | المصلحة المشروعة | 90 يوماً |
| 15 | سجلات الشكاوى والإشراف | المصلحة المشروعة + الإثبات | 3 سنوات |
7.2. إجراءات حذف الحساب
الحذف المؤجل (عد تنازلي 72 ساعة): يبدأ المستخدم طلب الحذف عبر "الملف الشخصي > حذف حسابي". تُضبط راية isMarkedForDeletion=true. يمكن الإلغاء خلال 72 ساعة؛ وبعد انتهاء المدة، تعمل دالة processAccountDeletions في Cloud Functions.
الحذف الفوري (آني): خيار "احذف الآن" → استدعاء deleteAccountImmediately (محمي بـ AppCheck).
البيانات المحذوفة: وثيقة users/{uid} الرئيسية + المجموعات الفرعية (favorites, dhikr_stats, dhikr_daily, dhikr_sessions, personal_notifications, recommendations, stats)، البيانات المرتبطة (playlists, play_events, subscription_events, invites)، سجل مستخدم Firebase Auth.
البيانات المُحتفَظ بها بعد الحذف: deletion_logs (مرمّزة، 3 سنوات)، consent_audit_logs (5 سنوات، بمرجع مجهول)، السجلات الضريبية (10 سنوات)، سجلات حركة المرور (سنتان).
7.3. طرق الإتلاف
- المحو (deletion): إزالة الوثائق والمجموعات الفرعية من Firestore باستخدام
delete()؛ حذف الملفات من Storage - الإتلاف (destruction): يتم الإتلاف في بيئات النسخ الاحتياطي (backup) عبر دوران النسخ الاحتياطي الدوري (30 يوماً كحد أقصى)
- إخفاء الهوية: البيانات التي قُطع ارتباطها بهوية المستخدم (مثل play_events بعد 12 شهراً) — تجزئة SHA-256 + اختزال التاريخ إلى مستوى الشهر-السنة
7.4. عملية الإتلاف الدورية
تُجري الشركة كل 6 أشهر جرداً للبيانات الشخصية وتدقيقاً للإتلاف:
- يتم تحديد البيانات التي انقضت مدد الاحتفاظ بها
- تُطبَّق طريقة الإتلاف المعنية
- يُحرَّر محضر إتلاف
- تُحفَظ محاضر الإتلاف لمدة 3 سنوات
7.5. استثناءات مدة الانتظار قبل الحذف
في الحالات التالية، قد تُحفظ بعض البيانات حتى مع وجود طلب لحذف الحساب:
- الالتزام القانوني: قانون رقم 5651، VUK، المادة 7/3 من KVKK (حظر المحو)
- الإجراءات القانونية الجارية: للبيانات موضوع الدعوى حتى انتهاء الإجراءات
- المصلحة المشروعة للشركة: سجلات تجزئة الاحتيال لمنع الإساءة المتكررة
في هذه الحالات، يُبلَّغ المستخدم.
8. حقوق الشخص ذي الصلة (المادة 11 من KVKK)
وفقاً للمادة 11 من KVKK والمواد 15-22 من GDPR، تتمتعون بالحقوق التالية:
أ) معرفة ما إذا كانت بياناتكم الشخصية تُعالَج أم لا ب) طلب معلومات حول معالجة بياناتكم الشخصية إن كانت قد عُولِجت ج) معرفة الغرض من معالجة بياناتكم الشخصية وما إذا كانت تُستخدم بما يتفق مع الغرض المقصود ح) معرفة الأطراف الثالثة التي نُقلت إليها بياناتكم الشخصية داخل البلاد أو خارجها د) طلب تصحيح بياناتكم الشخصية في حال معالجتها بشكل ناقص أو خاطئ هـ) الحق في النسيان: طلب محو أو إتلاف بياناتكم الشخصية ضمن الشروط المنصوص عليها في المادة 7 من KVKK و) طلب إبلاغ الأطراف الثالثة التي نُقلت إليها بياناتكم بالإجراءات المتخذة بموجب البندين (د) و(هـ) ز) الاعتراض على ظهور نتيجة في غير صالحكم نتيجة لتحليل البيانات المعالَجة حصرياً عبر أنظمة آلية ط) طلب التعويض عن الضرر في حالة تعرضكم لضرر بسبب معالجة البيانات الشخصية بشكل مخالف للقانون
بالإضافة إلى ذلك، يمكن استخدام حق قابلية نقل البيانات (المادة 20 من GDPR) — تنزيل بياناتكم بصيغة قابلة للقراءة آلياً — من قائمة "الملف الشخصي > الخصوصية والأذونات > تنزيل بياناتي".
9. قنوات تقديم الطلبات
لممارسة حقوقكم، يمكنكم تقديم طلباتكم عبر القنوات التالية:
- داخل التطبيق: قائمة "الملف الشخصي > الخصوصية والأذونات" (سجل الموافقات، تنزيل البيانات، حذف الحساب)
- البريد الإلكتروني:
destek@huma.istأوinfo@huma.ist - البريد: تقديم طلب كتابي إلى عنوان الشركة المذكور أعلاه
تُستكمل طلباتكم وفقاً لـ "البيان الخاص بإجراءات ومبادئ تقديم الطلبات إلى المسؤول عن البيانات" خلال 30 (ثلاثين) يوماً كحد أقصى ومجاناً. وفي حالة تطلّب العملية لتكلفة إضافية، يجوز طلب الأجر المحدد في التعرفة التي يضعها المجلس.
في حال رفضنا لطلبكم، أو وجدتم الرد على طلبكم غير كافٍ، أو لم نرد عليه في الوقت المحدد، يمكنكم تقديم شكوى إلى مجلس حماية البيانات الشخصية (المادة 14 من KVKK).
10. تحديثات إشعار حماية البيانات
قد يُراجَع هذا الإشعار بسبب التغييرات التشريعية أو التحديثات في نطاق الخدمة. في حالة التغييرات الجوهرية، نُبلغكم بشكل منفصل عبر مودال داخل التطبيق. يمكنكم دائماً الوصول إلى الإصدار الحالي من قائمة "الملف الشخصي > الوثائق القانونية" داخل التطبيق أو عبر العنوان https://nurapp.web.app/legal/kvkk.
تاريخ السريان: 11.05.2026 الإصدار: 2.0.0