سياسة الخصوصية

المسؤول عن المعالجة هو Athleex، ومقره المسجَّل في إيطاليا. لممارسة حقوقك أو لأي طلب يتعلق بمعالجة البيانات الشخصية، يمكنك الكتابة إلى: info@athleex.com.

يعالج Athleex فئات البيانات الشخصية التالية، وفقًا لتفاعلك مع الخدمة:

• بيانات التعريف والاتصال: الاسم واللقب والبريد الإلكتروني والهاتف وعنوان مكان العمل (للمدربين الشخصيين).
• بيانات المصادقة: كلمة مرور مجزّأة بـ bcrypt، ورموز جلسة JWT مشفّرة.
• بيانات صحية (المادة 9 من GDPR): الوزن، نسبة الدهون، القياسات الجسمية، أهداف التدريب والبيانات البيومترية المقدمة طوعًا من الرياضي، حصرًا بناءً على موافقة صريحة منفصلة.
• المحتوى المرفوع: صور التقدم، مرفقات الدردشة، الفواتير.
• بيانات الاستخدام: التمارين المكتملة، المجموعات والتكرارات، الحجم، السلاسل، الكؤوس المفتوحة.
• بيانات الدفع: تتم معالجتها حصريًا عبر Stripe. Athleex لا يحفظ مطلقًا أرقام البطاقات أو رموز CVV أو البيانات المصرفية.
• السجلات التقنية: عنوان IP، ومعرّف المتصفح، وطوابع وقت الوصول، وتُحفظ لأغراض الأمان ومنع الإساءة.

• تقديم الخدمة (المادة 6/1/ب من GDPR، تنفيذ عقد): إنشاء الحساب، إدارة علاقة المدرب-الرياضي، تعيين البرامج، الدردشة، الفوترة.
• معالجة البيانات الصحية (المادة 9/2/أ من GDPR، موافقة صريحة): إدخال القياسات البيومترية، صور التقدم، اليوميات الغذائية. الموافقة قابلة للسحب في أي وقت من إعدادات الملف الشخصي.
• الالتزامات القانونية (المادة 6/1/ج من GDPR): حفظ بيانات الفوترة وفقًا للمرسوم الرئاسي 633/1972 لمدة 10 سنوات.
• المصلحة المشروعة (المادة 6/1/و من GDPR): أمن البنية التحتية، منع الاحتيال والإساءة، التحليلات المجمَّعة غير المعرِّفة.
• التسويق والنشرة الإخبارية (المادة 6/1/أ من GDPR، الموافقة): فقط عبر اشتراك صريح. قابل للسحب في أي وقت.

• بيانات الحساب: طوال فترة العلاقة بالإضافة إلى 12 شهرًا بعد إنهائها، ما لم يُطلب الحذف.
• بيانات الفوترة: 10 سنوات (التزام مدني وضريبي).
• سجلات الأمان: 12 شهرًا.
• البيانات الصحية: تُحفظ طالما الموافقة فعّالة؛ وفي حال السحب تُحذف خلال 30 يومًا.

قد تُشارَك البيانات مع الأطراف التالية بصفتهم معالجين (المادة 28 من GDPR):

• Hetzner Online GmbH (البنية التحتية للخوادم، ألمانيا — المنطقة الاقتصادية الأوروبية).
• Stripe Payments Europe Ltd. (المدفوعات، أيرلندا — المنطقة الاقتصادية الأوروبية).
• Meta Platforms Ireland Ltd. (تكامل واتساب للأعمال وإنستغرام، فقط إذا فعّل المدرب التكامل — المنطقة الاقتصادية الأوروبية).
• Resend, Inc. (مزود البريد الإلكتروني للمعاملات لإشعارات الخدمة، الولايات المتحدة — نقل بموجب البنود التعاقدية النموذجية).

يتم أي نقل خارج المنطقة الاقتصادية الأوروبية بعد اعتماد البنود التعاقدية النموذجية بموجب المواد 44 وما يليها من GDPR.

بموجب المواد 15-22 من GDPR، يحق لك في أي وقت:

• الوصول إلى بياناتك والحصول على نسخة منظَّمة (قابلية النقل) من الإعدادات » تصدير البيانات (GDPR).
• تصحيح البيانات غير الصحيحة من ملفك الشخصي.
• الحذف («الحق في النسيان») من الإعدادات » حذف الحساب.
• تقييد والاعتراض على المعالجة لأغراض التسويق.
• سحب الموافقة للبيانات الصحية والنشرة الإخبارية في أي وقت.
• تقديم شكوى إلى الهيئة الإيطالية لحماية البيانات (garanteprivacy.it) إذا رأيت أن المعالجة تنتهك GDPR.

يستخدم Athleex فقط ملفات تعريف ارتباط تقنية للجلسة (الاسم: athleex_session) الضرورية لعمل الخدمة. لا نستخدم ملفات تعريف ارتباط للتصنيف الشخصي ولا للتتبع من أطراف ثالثة. وفقًا للفقرة التمهيدية 30 من GDPR وقرار الهيئة الإيطالية الصادر في 10 يونيو 2021، لا تتطلب ملفات تعريف الارتباط التقنية موافقة مسبقة.

نطبق تدابير تقنية وتنظيمية ملائمة للمخاطر: تشفير البيانات الحساسة في حالة السكون (AES-256-GCM) وأثناء النقل (TLS 1.3)، وتجزئة كلمات المرور باستخدام bcrypt، ومبدأ أقل امتياز، وعزل الجلسات عبر ملفات تعريف ارتباط JWT موقَّعة، وتقييد المعدل، وسجلات تدقيق إدارية، ونسخ احتياطية مشفّرة.

الخدمة غير مخصَّصة للقاصرين دون 18 عامًا. إذا تبيّن أن حسابًا يخص قاصرًا دون موافقة وليّ الأمر، سيتم حذف الحساب.

يحتفظ Athleex بالحق في تحديث هذه السياسة في حالة التغييرات التنظيمية أو التشريعية. تاريخ آخر تحديث مبيَّن في أعلى المستند. سيتم إبلاغ المستخدمين المسجلين بالتحديثات الجوهرية عبر البريد الإلكتروني.

يوفّر Athleex للرياضيين ميزة اختيارية تسمى Athlete Twin، تقوم بناءً على بيانات التدريب المتوفرة في الحساب (سجل التدريبات، التكرارات والأوزان، تقييمات RPE، الأهداف النشطة) بحساب:

• توقع للحد الأقصى لتكرار واحد (1RM) خلال 4 أسابيع للتمارين الأساسية؛
• مؤشر خطر التعافي / الإفراط في التدريب؛
• توقع تحقيق الأهداف؛
• درجة مركّبة من 0-100 تُسمى Athleex Score.

الأساس القانوني: المادة 6.1.أ من اللائحة العامة لحماية البيانات (GDPR) — موافقة صريحة من الرياضي. الميزة معطّلة افتراضيًا ويمكن تفعيلها من الإعدادات » Athlete Twin.

المنطق المستخدم (المادتان 13.2.و و22.3 من اللائحة — الحق في تفسير ذي مغزى): جميع التوقعات مبنية على أساليب إحصائية كلاسيكية وحتمية، دون أي خوارزميات تعلّم آلي غير شفافة:

• تقدير 1RM بصيغة Epley؛
• انحدار خطّي (المربعات الصغرى) على أعلى 1RM أسبوعي مع فاصل ثقة 95%؛
• متوسط متحرّك مرجّح أُسّي (EWMA) لإشارات التعب؛
• استقراء خطّي لتوقعات الأهداف.

الدلالة والنتائج المتوقعة: التوقعات معلوماتية وتحفيزية فقط. لا يستخدم Athleex هذه التوقعات لاتخاذ قرارات ذات أثر قانوني أو تأثير كبير على الرياضي.

الرؤية للمدرب: عند التفعيل، تكون التوقعات والدرجة مرئية للمدرب الشخصي المرتبط كأداة إدارة تدريب فقط.

الحقوق: يمكن للرياضي في أي وقت (1) سحب الموافقة من الإعدادات — يؤدي السحب إلى حذف فوري لكل التوقعات المخزّنة (المادة 17)؛ (2) طلب شرح مفصّل بمراسلة info@athleex.com؛ (3) الاعتراض على المعالجة (المادة 21).

مدة الحفظ: يُحتفظ بسجل التوقعات لمدة أقصاها 60 يومًا ثم يُستبدل.

لممارسة حقوقك أو لأي استفسار اكتب إلى info@athleex.com. نجيب خلال 30 يومًا وفقًا للمادة 12 من GDPR.

لتقديم الخدمة نعتمد على المعالجين الفرعيين التاليين. يلتزم كل منهم باتفاقية معالجة البيانات (DPA) وآلية نقل ملائمة للمستلمين خارج المنطقة الاقتصادية الأوروبية (الشروط التعاقدية القياسية أو إطار EU-US Data Privacy Framework عند الاقتضاء).

• Hetzner Online GmbH (DE) — البنية التحتية للاستضافة (Postgres، خادم التطبيق). موقع البيانات: ألمانيا. الأساس القانوني: المادة 6(1)(ب) تنفيذ العقد.
• Stripe, Inc. (US) — معالجة المدفوعات. مستلم بموجب إطار EU-US DPF + SCC. يستلم فقط بيانات الفوترة (رمز البطاقة، العنوان، المبلغ). معتمد PCI-DSS Level 1.
• Meta Platforms Ireland Ltd / Meta Platforms, Inc. (IE/US) — قياس فاعلية الإعلانات (Pixel + Conversions API). مستلم بموجب إطار EU-US DPF. فقط بموافقة التسويق. يستلم معرّفات مجزّأة (البريد الإلكتروني، الهاتف، الاسم، الدولة، المعرف الخارجي) وبيانات وصفية للحدث. لا تتم مشاركة البيانات الشخصية بالنص الصريح أبدًا.
• Apple Inc. (US) — consegna notifiche push iOS/Safari (APNs gateway). Riceve esclusivamente endpoint cifrato del dispositivo. Resend, Inc. (US) — إرسال البريد الإلكتروني المعاملاتي + جمهور قائمة الانتظار. مستلم بموجب SCC. يستلم البريد الإلكتروني + الاسم + اللغة.
• OpenStreetMap Foundation / Nominatim (UK) — الترميز الجغرافي للبحث عن المدربين. يستلم فقط سلسلة العنوان التي يدخلها المستخدم (بدون معرفات أخرى).
• Google Ireland Limited / Google LLC (IE/US) — Google Analytics 4 (الخاصية الإلكترونية G-GRLNNH64JH) لقياس استخدام المنتج وGoogle Search Console لفهرسة SEO. فقط بموافقة التحليلات (Consent Mode v2 default-denied). يستلم عناوين IP مجهّلة وبيانات وصفية مجمّعة للأحداث؛ نُفعّل IP anonymization وads_data_redaction وurl_passthrough. مستلم بموجب إطار EU-US DPF + SCC.

قائمة المعالجين الفرعيين الكاملة مع روابط DPA منشورة أيضًا على /legal/sub-processors وتُحدَّث عند كل إضافة (مع إشعار مسبق لا يقل عن 30 يومًا للتغييرات الجوهرية).

يسري هذا القسم على المستخدمين المقيمين في الولايات القضائية المذكورة. النص الأصلي بالإنجليزية هو النسخة الملزمة قانونياً.

For California residents, Athleex complies with the California Consumer Privacy Act (CCPA) as amended by the California Privacy Rights Act (CPRA). You have the right to: (a) know what personal information we collect, use, disclose; (b) delete personal information; (c) correct inaccurate personal information; (d) opt out of "sale" or "sharing" (Athleex does NOT sell personal information; cross-context behavioural advertising is governed by the cookie banner and may be disabled at /legal/do-not-sell); (e) limit use of "sensitive personal information" (which we do not use beyond strictly necessary purposes); (f) non-discrimination. Equivalent rights apply to residents of Colorado, Connecticut, Virginia, Utah, Texas, Oregon, Tennessee, Indiana, Iowa, Montana, Florida, Delaware, New Hampshire, New Jersey, Maryland, Minnesota under their respective state privacy laws. To exercise rights write to info@athleex.com. We respond within 45 days (CCPA) — extendable once by another 45 days. Athleex is NOT a HIPAA Covered Entity or Business Associate; the service is wellness-tracking and not medical care.

واشنطن — قانون "صحتي بياناتي" (MHMDA, RCW 19.373): تُعدّ سجلات التدريب والقياسات الحيوية (بموافقة) ودرجات العافية وأي بيانات تُعرّف الحالة الصحية البدنية أو النفسية للمستهلك (في الماضي أو الحاضر أو المستقبل) "بيانات صحية للمستهلك" وفق MHMDA. بإنشاء حساب على Athleex يُعطي المقيمون في ولاية واشنطن موافقتهم الصريحة (RCW 19.373.020) لمعالجة هذه البيانات حصراً لأغراض تدريب العافية الموضحة في §3 أعلاه. لا تبيع Athleex أي بيانات صحية للمستهلك ولا تشاركها مع أطراف خارجية لأغراض إعلانية. تتلقى الجهات الفرعية المذكورة في §13 هذه البيانات بصفتها مزوّدي خدمة فقط بموجب اتفاقيات DPA مكتوبة تحظر أي استخدام مستقل. يحق للمقيمين في واشنطن في أي وقت سحب موافقتهم وطلب حذف بياناتهم الصحية عبر مراسلة info@athleex.com؛ يُنفَّذ الحذف لدى جميع الجهات الفرعية خلال 30 يوماً (RCW 19.373.040). يُحظر استخدام التحديد الجغرافي على البيانات الصحية للمستهلك ولا تمارسه Athleex.

يسري هذا القسم على المستخدمين المقيمين في الولايات القضائية المذكورة. النص الأصلي بالإنجليزية هو النسخة الملزمة قانونياً.

For Canadian users, Athleex complies with the Personal Information Protection and Electronic Documents Act (PIPEDA) at the federal level and with Quebec's Law 25 (formerly Bill 64) for Quebec residents. Quebec Law 25 introduces requirements stricter than GDPR for sensitive data and automated decisions; Athleex's Art.22 protections (Athlete Twin / Athleex Score) extend to Quebec users by default. The competent authority is the Office of the Privacy Commissioner of Canada (OPC) — priv.gc.ca — and for Quebec residents the Commission d'accès à l'information du Québec (CAI). To exercise PIPEDA / Law 25 rights write to info@athleex.com.

Para los usuarios residentes en México, Athleex actúa conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Tienes derecho a ejercer los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), así como a revocar tu consentimiento y limitar el uso o divulgación de tus datos. Para ello escribe a info@athleex.com. La autoridad competente es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Secretaría Anticorrupción y Buen Gobierno (SABG, successor to INAI as of March 2025)) — gob.mx/sabg. Las transferencias de datos hacia destinatarios fuera de México se realizan exclusivamente para cumplir el contrato con el usuario y para fines de prestación del servicio.

يسري هذا القسم على المستخدمين المقيمين في الولايات القضائية المذكورة. النص الأصلي بالإنجليزية هو النسخة الملزمة قانونياً.

Athleex is operated from Italy and processes personal data primarily under the EU GDPR. For users resident in Norway, Iceland, Liechtenstein, Andorra, Monaco, San Marino — the GDPR or a regime declared adequate by the European Commission applies. For users resident in countries with national data-protection laws aligned to the GDPR template — including Serbia, Bosnia and Herzegovina, Montenegro, North Macedonia, Albania, Kosovo, Ukraine, Moldova, Georgia, Armenia and Azerbaijan — Athleex applies GDPR-equivalent technical, organisational and contractual safeguards and recognises the rights granted by your local law. The competent supervisory authorities of those countries can be contacted directly; we cooperate with any lawful request. Where consent is required by your local law (e.g. Ukraine's 2024 amended Law on Personal Data Protection), the cookie banner and account-creation flows operate as the consent-collection mechanism. To exercise rights write to info@athleex.com.

يسري هذا القسم على المستخدمين المقيمين في الولايات القضائية المذكورة. النص الأصلي بالإنجليزية هو النسخة الملزمة قانونياً.

Athleex does not knowingly accept registrations from territories subject to comprehensive EU, UK, US or UN sanctions, including (without limitation) Belarus, North Korea, Iran, Syria, Cuba, the Crimea, Donetsk and Luhansk regions of Ukraine. Should an account be created from such a territory, we reserve the right to suspend it without prior notice and to comply with applicable sanctions law.