سياسة الخصوصية
آخر تحديث: مايو 2026
آخر تحديث: 2026-05-26 تاريخ التفعيل: 2026-05-26
سياسة الخصوصية دي بتشرحلك إزاي Codezilla ("Codezilla" أو "إحنا") بنجمع وبنستخدم وبنخزّن وبنحمي البيانات الشخصية لما تستخدم Codezilla v2، اللي هي منصة الـ AI agent بتاعتنا اللي بتشتغل على WhatsApp وInstagram للمشاريع الصغيرة والمتوسطة ("SMBs") في مصر.
كتبنا السياسة دي بلغة بسيطة عشان أي حد يفهمها. لو في حاجة مش واضحة، ابعتلنا إيميل على [email protected] وإحنا هنشرحلك.
1. إحنا مين
الجهة المسؤولة عن بيانات حسابات الـ tenant operators (يعني صاحب المشروع اللي مفتح حساب عندنا) هي:
- الكيان القانوني:
Codezilla - بلد التسجيل: جمهورية مصر العربية
- الموقع التسويقي: https://codezillaeg.com
- إيميل الخصوصية: [email protected]
إحنا شركة مسجلة في مصر وبنشتغل تحت قانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020 ("PDPL"). كمان لما يكون في داعي، بنمشّي شغلنا على نفس مبادئ اللائحة الأوروبية لحماية البيانات ("GDPR") لإن في عملاء نهائيين بيكلموا الـ SMB المصري على WhatsApp أو Instagram ممكن يكونوا قاعدين في أوروبا.
في علاقتين مختلفين خالص
Codezilla بتتعامل مع البيانات الشخصية في دورين مختلفين، والفرق ده مهم جداً لحقوقك:
- Tenant operators (صاحب الـ SMB اللي مفتح حساب على Codezilla): إحنا هنا الـ controller يعني المسؤولين عن بيانات حسابك. إحنا اللي بنقرر نجمع إيه وليه.
- العملاء النهائيين للـ tenant (الناس اللي بيبعتوا رسايل لـ SMB على WhatsApp أو Instagram متوصّل بـ Codezilla): الـ SMB نفسه هو الـ controller بتاع المحادثات دي، يعني هو المسؤول عنها. Codezilla هنا بتشتغل processor نيابة عن الـ SMB عشان تطلع الردود بالـ AI. لو إنت عميل نهائي وعايز تستخدم حقوقك على رسايلك، أول حد تروحله هو الـ SMB اللي إنت بتكلمه، وإحنا هنساعد الـ SMB إنه يرد عليك.
2. البيانات اللي بنجمعها
2.1 من الـ tenant operators (أصحاب حسابات الـ SMBs)
لما صاحب الـ SMB يعمل حساب ويستخدم Codezilla، إحنا بنجمع:
- الاسم بالكامل، اسم النشاط التجاري، الإيميل، رقم الموبايل
- بيانات الدخول اللي بتتدار عن طريق Supabase Auth (الباسوردات معمول لها hashing، توكنز الجلسة، معرفات OAuth لو سجلت دخول بـ Google)
- نوع النشاط (مطعم، عيادة، فندق، صالون، جيم، عقارات، وكالة ماركتنج، مكتب محاماة، ريتيل، مدرسة، توصيل)
- بيانات الفوترة: نوع الاشتراك، الفواتير، توكنز طريقة الدفع اللي بترجعهالنا Paymob أو Fawry أو VCash (إحنا أبداً مش بنخزّن أرقام الكروت كاملة عندنا)
- محتوى قاعدة المعرفة (knowledge base) اللي بترفعه: المنيوهات، قوايم الأسعار، الأسئلة الشائعة، سياسات المحل، الصور، المستندات
- بيانات تشغيلية: WhatsApp Business Account ID، Instagram Business Account ID، معرفات أرقام التليفونات، توكنز الـ webhook
- بيانات الاستخدام: إنت فتحت أنهي features، حجم الرسايل، logs الأخطاء، مقاييس الأداء
2.2 من العملاء النهائيين للـ tenant (الناس اللي بيكلموا الـ SMB على WhatsApp أو Instagram)
لما عميل نهائي يبعت رسالة لـ SMB قناته متوصّلة على Codezilla، الـ SMB (بصفته الـ controller) بيأمر Codezilla إنها تعالج البيانات دي:
- معرف المستخدم على WhatsApp أو Instagram ورقم تليفونه
- محتوى الرسايل المتبادلة بالكامل (نص، صور، فويس نوتس، لوكيشن، مستندات)
- الاسم اللي بيظهر للعرض، لو المنصة شاركته أو لو ظهر في المحادثة
- عنوان التوصيل، لو العميل النهائي قاله (للمطاعم، التوصيل، الـ e-commerce)
- تفاصيل الطلب أو الحجز (الأصناف، التواريخ، المواعيد، عدد الأشخاص، نوع العربية، نوع الغرفة، إلخ)
- طريقة الدفع ورقم العملية، لو الـ SMB بيقبض من العميل عن طريق Paymob أو Fawry أو VCash من خلال الشات
- علامات المشاعر والنوايا (sentiment وintent) اللي الـ AI بتاعنا بيطلعها للـ SMB عشان التحليلات
إحنا مش بنطلب من العملاء النهائيين أرقام الرقم القومي، الديانة، الآراء السياسية، البيانات الصحية، أو أي بيانات حساسة تانية. لو العميل النهائي بمزاجه شارك معلومات زي دي جوه شات مع الـ SMB، يبقى الـ SMB هو المسؤول إنه يتعامل معاها بطريقة قانونية.
2.3 بيانات بتتجمع تلقائياً على الموقع التسويقي وعلى الـ dashboard
- IP address، نوع المتصفح، نوع الجهاز، الرابط اللي جاي منه الزائر
- Cookies وتقنيات مشابهة — شوف القسم رقم 9
3. ليه بنجمع البيانات دي (الأساس القانوني)
تحت المادة 2 من قانون PDPL والمادة 6 من GDPR، إحنا بنعتمد على واحد من الأسس القانونية دي لكل عملية معالجة:
| عملية المعالجة | الأساس القانوني (PDPL / GDPR) |
|---|---|
| فتح حساب tenant operator والحفاظ عليه | تنفيذ عقد (PDPL Art. 2(c)؛ GDPR Art. 6(1)(b)) |
| معالجة رسايل العملاء النهائيين عشان نطلع ردود الـ AI | تنفيذ العقد بين الـ SMB وعميله؛ Codezilla بتشتغل بناءً على تعليمات الـ SMB الموثقة كـ processor |
| بعتة إيميلات تشغيلية (فوترة، أمان، إشعارات الخدمة) للـ tenant operators | تنفيذ عقد (PDPL Art. 2(c)؛ GDPR Art. 6(1)(b)) |
| بعتة إيميلات تسويقية (نشرات، نصايح عن المنتج) للـ tenant operators | موافقة (consent) — وتقدر تلغي الاشتراك في أي وقت (PDPL Art. 2(a)؛ GDPR Art. 6(1)(a)) |
| كشف الاحتيال، منع سوء الاستخدام، logging الأمان | مصلحة مشروعة (GDPR Art. 6(1)(f))؛ التزام قانوني تحت PDPL Art. 4 |
| الالتزام بالضرايب والمحاسبة والالتزامات القانونية المصرية التانية | التزام قانوني (PDPL Art. 2(d)؛ GDPR Art. 6(1)(c)) |
| تحليلات مجمعة عبر التينانتس عشان نحسّن المنتج | مصلحة مشروعة؛ بتتجمع البيانات وبتتشال منها الهوية قبل ما تتستخدم |
الـ SMB المسؤول إنه يحدد الأساس القانوني الخاص بيه مع عملائه النهائيين (في العادي: تنفيذ عقد، أو موافقة (consent) بيتم جمعها عن طريق إشعار من نوع "لما تبعتلنا رسالة، إنت موافق على..." الـ SMB هو اللي بيعرضه).
4. إزاي بنستخدم مزودي الـ AI (نقل البيانات للـ processors)
عشان نطلع ردود نيابة عن الـ SMB، Codezilla بتبعت الأجزاء اللازمة من المحادثة لمزودي نماذج اللغة الكبيرة ("LLM"). المزودين دول بيشتغلوا sub-processors عندنا وموقعين معانا اتفاقيات معالجة بيانات:
- Anthropic (عيلة Claude) — المزود الأساسي للباقات المدفوعة
- OpenAI (عيلة GPT) — احتياطي وعشان توليد الـ embeddings
- Moonshot AI (Kimi) / DeepSeek — بنستخدمهم في الباقة المجانية والشغل اللي بنبص فيه على التكلفة
إحنا بنبعت بس الحد الأدنى من الـ context اللي محتاجينه: آخر رسالة من العميل، تاريخ المحادثة القريب (في الغالب آخر 20 لفّة)، ومقتطفات من قاعدة المعرفة بتاعة الـ SMB اللي الـ AI محتاجها عشان يرد على السؤال. إحنا مش بنبعت باسوردات الـ tenant operators ولا أرقام كروت دفع ولا أي بيانات من tenants تانية للمزودين دول.
افتراضياً، الاتفاقيات المدفوعة بتاعتنا مع Anthropic وOpenAI بتضمن إن الرسايل اللي بتتبعت عن طريق الـ API مش بتتستخدم في تدريب نماذجهم الأساسية. المزودين بتوع الباقة المجانية واللي بنبص فيهم على التكلفة (Kimi، DeepSeek) ممكن يكون عندهم التزامات أضعف بخصوص استخدام البيانات — إحنا حاطين قايمة بالـ sub-processors الحاليين والسياسة الفرعية المحدّثة على https://codezillaeg.com/legal/subprocessors.
قايمة بكل الـ sub-processors (مزودي AI، استضافة سحابية، دفع، إيميل، SMS) متحدّثة على الـ URL اللي فوق، وبتتحدّث كل ما نضيف أو نشيل مزود. أي تغييرات جوهرية بنبلّغ بيها الـ tenant operators عن طريق الإيميل قبل ما تطبّق بـ 14 يوم على الأقل.
5. هنخزّن البيانات لحد إمتى
| نوع البيانات | مدة الاحتفاظ |
|---|---|
| بيانات حساب الـ tenant operator (اسم، إيميل، تسجيل دخول) | طول عمر الحساب + 90 يوم بعد ما يتقفل |
| سجلات الفوترة والفواتير | 5 سنين بعد المعاملة (قانون الضرايب المصري) |
| محتوى رسايل العملاء النهائيين | 12 شهر افتراضياً؛ الـ SMB يقدر يضبطها لفترة أقصر أو أطول من الـ dashboard بتاعه (الحد الأدنى 30 يوم، والحد الأقصى 24 شهر) |
| العلامات اللي بيطلعها الـ AI (intent، sentiment) | نفس مدة الرسالة الأصلية |
| التحليلات المجمعة (من غير معرفات شخصية) | إلى أجل غير مسمى |
| سجلات الـ webhook ومسارات التدقيق (audit trails) | 12 شهر |
| النسخ الاحتياطية على Cloudflare R2 | 30 يوم متجدّدين — أي نسخة احتياطية أقدم من 30 يوم بتتمسح للأبد |
| قايمة الإيميل التسويقية | لحد ما المشترك يلغي الاشتراك، بعدها 30 يوم بس عشان نمسك سجل المنع |
أول ما مدة الاحتفاظ تخلص، البيانات بتتمسح للأبد أو بتتحوّل لمجهولة الهوية بشكل ما يتراجعش. طلبات المسح من العملاء النهائيين (اللي بتمر عن طريق الـ SMB) بنرد عليها في خلال 30 يوم، إلا لو في التزام قانوني علينا إننا نحتفظ بالبيانات.
6. البيانات بتتخزّن فين (والنقل عبر الحدود)
6.1 التخزين الأساسي
- قاعدة بيانات التطبيق (PostgreSQL): متستضافة على VPS بتاعنا في
the European Union - الكاش والطوابير (Redis): على نفس الـ VPS، localhost بس
- تخزين الملفات والنسخ الاحتياطية: Cloudflare R2 (شبكة التخزين العالمية بتاعة Cloudflare)
- دليل المصادقة (authentication): Supabase Auth (منصة Supabase)
- توصيل الإيميلات: Resend (للمعاملات) ومزود التسويق بتاعنا
6.2 النقل عبر الحدود
لو the European Union خارج مصر، استضافة بياناتك في الخارج بتعتبر نقل عبر الحدود تحت المادة 14 من PDPL. إحنا بنعتمد على الضمانات دي:
- حماية كافية أو معادلة: بنختار مزودين في دول مركز حماية البيانات الشخصية المصري معترف بيها كدول بتوفر حماية كافية، أو موقعين معانا اتفاقية معالجة بيانات ملزمة متماشية مع GDPR/PDPL.
- البنود التعاقدية القياسية (SCCs): بالنسبة للنقل لمزودي الـ AI وCloudflare، إحنا موقعين اتفاقيات معالجة البيانات الخاصة بيهم اللي فيها الـ EU SCCs.
- التشفير أثناء النقل: كل البيانات بتطلع من سيرفراتنا فوق TLS 1.2 أو أعلى.
صاحب Codezilla بلّغ مركز حماية البيانات الشخصية المصري بعمليات النقل عبر الحدود زي ما المادة 14 من PDPL طالبة، لو ده ينطبق.
7. إزاي بنأمّن البيانات
موضوع الأمان عندنا جدي. أهم الإجراءات اللي بنعملها:
- التشفير أثناء النقل: كل الترافيك بينك، بين عملائك النهائيين، وبين Codezilla، بيمشي على TLS 1.2 أو أعلى. الترافيك الداخلي بين الخدمات على الـ VPS بيمشي على localhost sockets ومش متعرض على الإنترنت العام.
- التشفير أثناء التخزين: قاعدة بيانات Postgres والنسخ الاحتياطية على Cloudflare R2 كلها مشفّرة وهي راكنة بـ AES-256.
- التحكم في الوصول: السيرفرات في الإنتاج مفيش حد بيوصلها غير مهندسين محددين بالاسم، وعن طريق SSH key authentication على بورت مش الافتراضي. حسابات الـ tenant operators بتستخدم Supabase Auth مع تفعيل اختياري للمصادقة الثنائية (two-factor authentication).
- عزل الشبكة: PostgreSQL وRedis وPgBouncer مش متاحين من الإنترنت العام. على فايروول الـ VPS بس البورتات 80، 443، وبورت SSH بتاعنا هي المفتوحة.
- عزل الـ tenants: كل صف في قاعدة البيانات معاه tenant ID، والوصول مفلتر عن طريق row-level security policies. أي SMB مستحيل يشوف بيانات SMB تاني.
- سجلات التدقيق: كل إجراءات الأدمن، تغييرات الفوترة، واستدعاءات أدوات الـ AI، كلها بتتسجّل مع التوقيت والشخص اللي عملها والمورد اللي اتعدّل عليه.
- إدارة الثغرات: الـ dependencies بنعمللها سكان كل أسبوع. التحديثات الحرجة بنطبّقها في خلال 7 أيام.
- النسخ الاحتياطية: نسخ احتياطية أوتوماتيك كل ليلة على Cloudflare R2، بتفضل محفوظة لـ 30 يوم. وبنعمل تجارب استرجاع كل 3 شهور.
- الاستجابة للحوادث: لو حصلت أي مشكلة أثّرت على بيانات شخصية، هنبلّغ مركز حماية البيانات الشخصية المصري في خلال 72 ساعة (المادة 7 من PDPL) وهنبلّغ الـ tenant operators المتأثرين، وحسب الحالة العملاء النهائيين كمان، في نفس الفترة دي.
مفيش نظام آمن 100%. لو حسيت إن في حد دخل حسابك من غير إذنك، ابعتلنا إيميل على [email protected] على طول.
8. حقوقك وإزاي تستخدمها
تحت المادتين 2 و5 من PDPL، والمواد 15 لـ 22 من GDPR، إنت ليك الحقوق دي:
| الحق | معناه إيه |
|---|---|
| الوصول | تاخد نسخة من البيانات الشخصية اللي عندنا عنك |
| التصحيح | تصحّح أي بيانات غلط أو ناقصة |
| المسح | تطلب نمسح بياناتك ("الحق في النسيان")، مع مراعاة الالتزامات القانونية اللي تخلينا نحتفظ ببيانات معينة |
| النقل | تستلم بياناتك في فورمات منظّمة وقابلة للقراءة من الآلة (JSON أو CSV) |
| التقييد | توقف المعالجة لحد ما النزاع يتحل |
| الاعتراض | تعترض على معالجة قايمة على مصلحة مشروعة، بما فيها التسويق المباشر |
| سحب الموافقة | تسحب موافقتك على أي حاجة قايمة على consent (زي الإيميلات التسويقية) في أي وقت |
| تقديم شكوى | تقدم شكوى لمركز حماية البيانات الشخصية المصري، أو لجهة الإشراف المحلية بتاعتك في الاتحاد الأوروبي لو إنت مقيم هناك |
إزاي تستخدم حقوقك
- Tenant operators: ادخل على الـ dashboard، روح Settings → Privacy. تقدر تصدّر بياناتك أو تقفل حسابك من هناك. لأي حاجة مش ظاهرة في الـ UI، ابعت إيميل لـ [email protected] من نفس الإيميل المسجّل على حسابك.
- العملاء النهائيين: كلّم الـ SMB اللي إنت بتراسله. هو اللي بيتحكم في بيانات محادثتك ويقدر يطلب من Codezilla إنها تنفّذ طلبك. لو ما عرفتش توصل للـ SMB، تقدر تبعتلنا إيميل مباشرةً على [email protected] وإحنا هنوصّل طلبك للجهة المختصة.
إحنا بنرد على الطلبات اللي اتأكدنا من هوية صاحبها في خلال 30 يوم، زي ما المادة 5 من PDPL طالبة. ممكن نمدّ الفترة دي 30 يوم زيادة في الطلبات المعقّدة، وهنقولك لو هنعمل كده.
مش بناخد أي فلوس مقابل طلبات الحقوق، إلا لو كان الطلب واضح إنه بلا أساس أو زيادة عن اللزوم.
9. الـ Cookies
الموقع التسويقي بتاع Codezilla والـ dashboard بيستخدموا عدد قليل من الـ cookies والتقنيات الشبيهة:
- Cookies ضرورية جداً عشان جلسات الدخول والأمان (مش محتاجة موافقة منك)
- Cookies تفضيلات عشان اللغة (عربي / إنجليزي) والثيم
- Cookies تحليلات عشان نفهم الـ tenant operators بيفتحوا أنهي صفحات، وبنستخدمها بشكل مجمّع
إحنا مش بنستخدم cookies إعلانية من طرف تالت ولا trackers بتتعقّب المستخدمين عبر مواقع تانية. كل التفاصيل في سياسة الـ Cookies المنفصلة عندنا على https://codezillaeg.com/legal/cookies.
10. بيانات الأطفال
Codezilla خدمة بين شركات (B2B). إحنا مش بنقبل بمعرفتنا أي tenant operator يسجّل وعنده أقل من 18 سنة. الـ dashboard مش مصمّم للقاصرين ومش ينفع يستخدموه.
العملاء النهائيين اللي بيراسلوا SMB بنفترض إنهم بالغين وداخلين في معاملة مع الـ SMB ده (يطلبوا أكل، يحجزوا ميعاد، يسألوا عن خدمة). لو الـ SMB عرف أو شك في إن العميل النهائي قاصر، يبقى الـ SMB — بصفته الـ controller — هو المسؤول إنه يلتزم بمتطلبات حماية الأطفال تحت المادة 3 من PDPL والقوانين المحلية اللي تنطبق.
لو إنت شايف إن قاصر بعتلنا بيانات شخصية، ابعتلنا إيميل على [email protected] وإحنا هنمسح البيانات على طول.
11. التغييرات على السياسة دي
ممكن نحدّث سياسة الخصوصية دي من وقت لوقت عشان نعكس أي تغييرات في الخدمة بتاعتنا، أو في الـ sub-processors، أو في القانون. لما نعمل تغييرات جوهرية:
- بنحدّث تاريخ "آخر تحديث" في أول الصفحة دي
- بنبعت إيميل لكل الـ tenant operators النشطين قبل التفعيل بـ 14 يوم على الأقل
- بننشر إشعار في الـ dashboard
للتغييرات غير الجوهرية (تصحيح أخطاء إملائية، توضيح صياغة)، إحنا بس بنحدّث التاريخ. أحدث نسخة دايماً موجودة على https://codezillaeg.com/legal/privacy.
لو مش موافق على تغيير معيّن، تقدر تقفل حسابك قبل ما التغيير يتفعّل. قفل الحساب بيشغّل جدول الاحتفاظ بالبيانات اللي في القسم 5.
12. كلّمنا
لأي سؤال أو طلب أو شكوى عن الخصوصية:
- إيميل: [email protected]
- العنوان البريدي:
Codezilla، جمهورية مصر العربية (العنوان الكامل هيتضاف لاحقاً) - مركز حماية البيانات الشخصية المصري: لو مش راضي عن ردنا، من حقك تقدّم شكوى للمركز. التفاصيل: https://pdpc.gov.eg
- المقيمين في الاتحاد الأوروبي: كمان من حقك تقدّم شكوى لجهة حماية البيانات في بلدك.
إحنا هدفنا إننا نأكدلك استلام أي إيميل خصوصية في خلال 3 أيام عمل، ونرد عليك رد موضوعي كامل في خلال 30 يوم.
السياسة دي منشورة بالعربي وبالإنجليزي. لو في تعارض بين النسختين، النسخة العربية هي اللي بتسود في المسائل اللي بيحكمها القانون المصري، والنسخة الإنجليزية بتسود في المسائل اللي بتخص المستخدمين الدوليين.