# جاهزية الخصوصية و PDPL — Dealix

> وثيقة داخلية للمحاذاة مع نظام حماية البيانات الشخصية في المملكة. راجع المستشار القانوني قبل توقيع العملاء.

## أدوار المعالجة

- **Controller (المتحكم):** عادة العميل (صاحب علاقة العمل أو الفرد) الذي يحدد **لماذا** تُعالج البيانات في سياق أعماله.
- **Processor (المعالج):** Dealix عندما تعالج البيانات **بتعليمات العميل** لتوصيل الخدمة المتفق عليها في العقد/DPA.

حدّد في كل عرض أسعار/pilot: من يملك قرار الغرض القانوني، ومن يملك الاتصال المباشر مع الأفراد (حقوق الخصوصية).

## الأساس القانوني (أمثلة تشغيلية)

- تنفيذ عقد (اشتراك pilot / SaaS).
- موافقة صريحة لرسائل تسويقية أو معالجة حساسة إن وُجدت.
- الالتزامات القانونية (احتفاظ محدود بالفواتير/السجلات حسب المستشار).

## حقوق الأفراد

- طلب **الوصول / التصدير** لبيانات يمكن ربطها بشخص محدد في نطاق الخدمة.
- طلب **التصحيح** أو **الحذف** حيث ينطبق الأساس القانوني.
- قنوات الطلب: بريد تشغيلي موثّق + SLA داخلي (انظر [`SECURITY_RUNBOOK.md`](SECURITY_RUNBOOK.md)).

## subprocessors

ثبت قائمة مزودي البنية (استضافة، Supabase، Sentry، Langfuse، Moyasar، Meta WhatsApp عند التفعيل) في DPA أو ملحق تقني وحدّثها عند التغيير.

## نقل البيانات

إذا كانت خدمات خارج المملكة تُستخدم، وثّق الضمانات التعاقدية ( SCC / سياسات المزود ) مع المستشار.

## ما يجب ألا يحدث

- تخزين أسرار أو محتوى حساس غير مُقتضى في traces أو embeddings — استخدم [`should_block_embedding`](../auto_client_acquisition/v3/project_intelligence.py) والمراجعة اليدوية.
- إرسال تسويق بارد عبر WhatsApp بدون opt-in موثّق.

## مراجع داخلية

- [`DATA_MAP.md`](DATA_MAP.md)
- [`DATA_RETENTION_POLICY.md`](DATA_RETENTION_POLICY.md)
- [`SECURITY_PDPL_CHECKLIST.md`](SECURITY_PDPL_CHECKLIST.md)