در «بلا بلا» (که از این پس «ما»، «فروشگاه» یا «سایت» نامیده می‌شود)، حریم خصوصی کاربران برای ما اولویت دارد. این سند توضیح می‌دهد که چه داده‌هایی جمع‌آوری، پردازش، ذخیره و محافظت می‌شود.

۱. محدوده و پذیرش

با ثبت‌ نام، ورود یا انجام هر خرید از وب‌سایت «بلا بلا»، تأیید می‌کنید که این سیاست را مطالعه و با شرایط آن موافقت کرده‌اید. اگر با هیچ بخشی از آن موافق نیستید، لطفاً از سرویس‌های ما استفاده نکنید.

۲. اطلاعاتی که جمع‌آوری می‌کنیم (به‌ تفکیک دسته)

۲.۱. اطلاعات شناسایی شخصی (PII)

· نام، نام خانوادگی، نام کاربری
· آدرس ایمیل، شماره موبایل، شماره تلفن ثابت
· آدرس پستی (استان، شهر، کد پستی، پلاک، واحد)

۲.۲. اطلاعات پرداخت و مالی

· جزئیات کارت بانکی (شماره کارت، تاریخ انقضا – از طریق درگاه بانکی پردازش می‌شود، نه در سرور ما)
· کد تخفیف استفاده شده، اعتبار کیف پول دیجیتال فروشگاه

۲.۳. اطلاعات رفتار کاربری

· تاریخچه جستجو، مشاهده محصولات، کلیک‌ها
· محتویات سبد خرید (حتی پیش از تکمیل خرید)
· امتیازها، نظرات و بازخوردهایی که ثبت می‌کنید

۲.۳. اطلاعات رفتار کاربری

· آدرس IP، نوع مرورگر و نسخه آن، سیستم‌عامل (ویندوز، iOS، اندروید)
· رزولوشن صفحه، زبان مرورگر، provider اینترنت
· شناسه دستگاه (برای اپلیکیشن موبایل در صورت وجود)

۲.۵. اطلاعات مکانی (در صورت اجازه)

· اگر موقعیت مکانی را در مرورگر مجاز کنید، ممکن است نزدیک‌ترین انبار یا هزینه ارسال را محاسبه کنیم.
. این اطلاعات ذخیره نشده و فقط به‌صورت لحظه‌ای استفاده می‌شود.

۳. نحوه جمع‌آوری اطلاعات

· مستقیم: از طریق فرم ثبت‌نام، فرم تکمیل سفارش، تماس با پشتیبانی، ثبت نظر یا تیکت
· غیرمستقیم: از طریق کوکی‌ها، پیکسل‌های ردیابی، ابزارهای تحلیلی (مثل گوگل آنالیتیکس، Clarity یا هاتجر)
· از منابع شخص ثالث: در صورت ورود با حساب گوگل یا اپل (فقط داده‌هایی که شما اجازه اشتراک می‌دهید)

۴. مبنای قانونی پردازش داده (مخصوص GDPR)

گر در اتحادیه اروپا یا کشورهای تحت GDPR هستید، ما داده‌های شما را بر اساس این مبانی پردازش می‌کنیم:
فعالیت مبنای قانونی
پردازش سفارش و ارسال کالا اجرای قرارداد
ارسال ایمیل‌های تأیید سفارش اجرای قرارداد
ارسال خبرنامه رضایت صریح شما (opt-in)
تحلیل رفتار برای بهبود سایت منفعت مشروع (با رعایت حداقل داده)
ذخیره اطلاعات مالی برای گزارش به سازمان امور مالیاتی الزام قانونی

۵. استفاده از اطلاعات (اهداف مشخص)

ما از داده‌ها صرفاً برای موارد زیر استفاده می‌کنیم:
1. انجام تعهدات قراردادی:
· پردازش و ارسال سفارش
· رسیدگی به مرجوعی و استرداد وجه

2. ارتباط با کاربر:
· اطلاع‌رسانی تغییر وضعیت سفارش (از طریق SMS/Email)
· پاسخ به سوالات پشتیبانی (حداکثر ۲۴ ساعت)

3. بهبود تجربه کاربری:
· شخصی‌سازی پیشنهاد محصولات (بر اساس تاریخچه بازدید)
· بهینه‌سازی سرعت سایت و رفع باگ

4. امنیت و پیشگیری از تقلب:
· شناسایی تراکنش‌های مشکوک
· جلوگیری از ثبت نظرات جعلی یا اسپم

5. بازاریابی (فقط با رضایت شما):
· ارسال ایمیل‌های تخفیف، محصولات جدید، جشنواره‌های فروش
· هدفمندسازی تبلیغات در شبکه‌های اجتماعی (با استفاده از داده‌های ناشناس)

۶. کوکی‌ها (Cookies) و فناوری‌های مشابه

ما از کوکی‌ها در چهار دسته استفاده می‌کنیم:
دسته نمونه غیرفعال کردن ممکن است باعث…
ضروری (Essential) نگهداری لاگین، سبد خرید از کار افتادن کامل سایت
عملکردی (Functional) ذخیره زبان و منطقه تنظیمات شما هر بار ریست شود
تحلیلی (Analytics) شمارش بازدیدکنندگان، نرخ پرش از دست دادن اطلاعات بهینه‌سازی
تبلیغاتی (Advertising) نمایش تبلیغات مرتبط دیدن تبلیغات تکراری و بی‌ربط

شما می‌توانید در اولین بازدید از طریق بنر کوکی، هر دسته را فعال/غیرفعال کنید. همچنین می‌توانید بعداً از بخش «تنظیمات حریم خصوصی» در پنل کاربری آن را تغییر دهید.

۷. اشتراک‌گذاری اطلاعات با شخص ثالث

ما داده‌های شخصی شما را نمی‌فروشیم. اما برای انجام عملیات، اطلاعات را با این دسته از اشخاص به اشتراک می‌گذاریم:
· پست و تیپاکس و سایر سرویس‌های ارسال: نام، آدرس، کد پستی، شماره تلفن
· درگاه بانکی مربوطه پرداخت: مبلغ، آدرس بازگشت (بدون اطلاعات کارت)
· سرویس‌های ابری و میزبانی (داده‌ها روی سرور ایران): تمام داده ها رمزنگاری می‌شوند
· ابزارهای CRM و ارسال ایمیل (مثل وردپرس، سامانه پیامکی): ایمیل و شماره موبایل (فقط برای ارسال پیام‌های ضروری)

تضمین ما: تمام شرکای تجاری باید حداقل سطح امنیتی مشابه ما را داشته باشند و اجازه استفاده از داده‌ها برای مقاصد دیگر را ندارند.

۸. ذخیره‌سازی و امن

۸.۱. کجا ذخیره می‌شوند؟

اطلاعات شما روی سرورهای واقع در [استان/کشور] ذخیره می‌شود. تمام دیسک‌ها با AES-256 رمزگذاری شده‌اند.

۸.۲. پروتکل‌های امنیتی

· استفاده از گواهی SSL (همه ارتباطات رمزگذاری شده با TLS 1.2 یا بالاتر)
· ذخیره رمزهای عبور به صورت هش شده (bcrypt)
· لاگین دو مرحله‌ای (۲FA) برای حساب پشتیبانان
· پشتیبان‌گیری روزانه از پایگاه داده (نگهداری به مدت ۳۰ روز)

۸.۳. در صورت نفوذ

اگر نقض امنیتی رخ دهد که احتمال خطر جدی برای کاربران داشته باشد، ظرف ۷۲ ساعت از طریق ایمیل و پیامک اطلاع‌رسانی می‌کنیم.

۹. حقوق شما (دسترسی، اصلاح، حذف، انتقال)

شما به عنوان کاربر حق دارید:
حق توضیح زمان پاسخگوی
یدسترسی (Access) بدانید چه داده‌ای از شما داریم و چگونه استفاده می‌شود حداکثر ۷ روز
اصلاح (Rectification) اطلاعات نادرست مثل آدرس یا ایمیل را اصلاح کنید فوری در پنل کاربری
حذف (Erasure – «حق فراموش شدن») درخواست حذف کامل حساب و داده‌ها حداکثر ۳۰ روز (به جز داده‌های مالی که قانوناً باید ۱۰ سال نگهداری شوند)
محدودیت پردازش (Restriction) از پردازش داده‌تان برای بازاریابی جلوگیری کنید ۲۴ ساعت
انتقال داده (Portability) خروجی داده‌هایتان را در قالب JSON/CSV دریافت کنید ۱۴ روز
اعتراض (Objection) به پردازش بر اساس منفعت مشروع اعتراض کنید ۷ روز

برای اعمال هر یک از حقوق بالا، به بخش «درخواست حریم خصوصی» در پنل کاربری مراجعه کنید یا به info@blabla.com ایمیل بزنید.

۱۰. نگهداری داده‌ها (چقدر نگه می‌داریم؟)

نوع داده مدت نگهداری علت
اطلاعات سفارش (صورتحساب) ۱۰ سال (طبق قانون تجارت ایران) الزام مالیاتی و حقوقی
سبد خرید رها شده 1 روز ارسال یادآوری و بهبود تجربه
تاریخچه مرور (بدون لاگین) ۲۶ ماه (در گوگل آنالیتیکس) تحلیل روند
حساب کاربری غیرفعال ۲ سال عدم ورود → ایمیل هشدار → بعد حذف خودکار بهینه‌سازی دیتابیس
نظرات و امتیازها تا زمان حذف حساب (با ناشناس ماندن پس از حذف حساب) حفظ اعتبار نظرات دیگران

۱۱. اطلاعات کودکان

وب‌سایت «بلا بلا» برای افراد بالای ۱۸ سال طراحی شده است. اگر زیر ۱۸ سال دارید، تنها با اجازه والدین یا قیم قانونی می‌توانید ثبت‌نام کنید. ما آگاهانه اطلاعات افراد زیر ۱۳ سال را جمع‌آوری نمی‌کنیم. در صورت اطلاع، بلافاصله پاک می‌کنیم.

۱۲. تغییرات این سیاست

ممکن است این صفحه را به‌روز کنیم تا با قوانین جدید یا تغییرات سایت هماهنگ شود.
اگر تغییر ماهوی ایجاد شود (مثلاً افزودن هدف جدید برای پردازش داده)، حداقل ۱۴ روز قبل از اجرا، از طریق ایمیل و اطلاعیه در سایت به شما خبر می‌دهیم. ادامه استفاده از سایت پس از آن به معنی پذیرش تغییرات است.

۱۳. اطلاعات تماس با مسئول حریم خصوصی (DPO)

ما یک مسئول حفاظت از داده (داده‌پرداز یا DPO) تعیین کرده‌ایم:
· نام: [نام شخص یا تیم]
· ایمیل: dpo@blabla.com
· فرم تماس: [لینک به صفحه تماس با موضوع «حریم خصوصی»]
· آدرس پستی: [آدرس کامل شرکت]

با تشکر از اعتماد شما.تیم «بلا بلا» به حریم خصوصی‌تان احترام می‌گذارد.