Privacy Policy

SECTION 1 — INTRODUCTION AND SCOPE

1.1 CARTRECOVR™ (the “Platform Operator,” “We,” “Us,” or “Our”) is committed to protecting and respecting the privacy of all individuals whose data we process. This Privacy Policy describes our practices in relation to the collection, use, storage, disclosure, and protection of personal data in connection with the CARTRECOVR™ Platform.

1.2 This Privacy Policy applies to: (a) Merchants who register for and use the Platform; and (b) End-Users whose personal data is processed by the Platform Operator on behalf of Merchants. It does not apply to data practices of Merchants vis-à-vis their own customers, for which Merchants bear sole and exclusive responsibility as independent data controllers.

1.3 We process personal data in compliance with: (a) the General Data Protection Regulation (EU) 2016/679 (“GDPR”); (b) the UK GDPR and Data Protection Act 2018; (c) the California Consumer Privacy Act (CCPA) as amended by the CPRA; (d) UAE Federal Decree-Law No. 45 of 2021 on Personal Data Protection; (e) Saudi Arabia’s Personal Data Protection Law (PDPL); and (f) all other applicable data protection and privacy laws in jurisdictions where we operate.

SECTION 2 — CATEGORIES OF DATA COLLECTED

2.1 Merchant Data

When a Merchant registers for and uses the Platform, we collect the following categories of Merchant Data:

Identity Data: Full legal name of authorised representative, company name, company registration number, VAT/tax identification number.
Contact Data: Business email address, business telephone number, registered business address, billing address.
Account Data: Username, encrypted password, account preferences, notification settings, API keys, webhook configurations.
Payment Data: Billing name, billing address, last four digits of payment card (full card numbers are not stored by us), payment gateway transaction identifiers, subscription history and invoicing records.
Technical Data: IP addresses, device identifiers, browser type and version, operating system, session logs, access times, referring URLs, and Platform usage patterns.
Integration Data: WhatsApp Business Account credentials and configuration, Meta Business Manager identifiers, e-commerce platform integration tokens, and connected store details.
Communication Data: Records of communications between the Merchant and our support team.

2.2 End-User Data

In providing the Services to Merchants, the Platform Operator processes the following categories of End-User Data on behalf of and under the instruction of Merchants:

Contact Data: Mobile phone numbers (used to identify WhatsApp accounts), first and last names (where provided by Merchants).
Transaction Data: Abandoned cart items, cart values, product identifiers and names, order details, order statuses, discount codes applied.
Engagement Data: Message delivery status, message read receipts, response rates, link-click events, opt-out/unsubscribe status.
Device Data: WhatsApp account status (active/inactive), device type as reported by Meta API.

IMPORTANT: End-User Data is processed solely under the instruction of the Merchant. The Platform Operator does not sell, rent, or share End-User Data with third parties for marketing purposes. End-Users seeking to exercise their data protection rights should contact the relevant Merchant directly.

SECTION 3 — HOW WE COLLECT DATA

We collect personal data through the following means:

Directly from Merchants upon registration, account configuration, and ongoing Platform use.
From Merchants’ e-commerce platforms via API integrations authorised by the Merchant.
Automatically through technical data collection (cookies, log files, pixel tags) as detailed in our Cookie Policy.
From third-party payment gateways upon completion of billing transactions.
From the WhatsApp Business API in respect of message delivery and engagement metadata.
From identity verification and fraud prevention service providers where applicable.

SECTION 4 — LAWFUL BASIS FOR PROCESSING

We process Merchant Data and End-User Data on the following legal bases:

Data Category	Legal Basis	Purpose
Merchant Identity & Contact	Contractual necessity (Art. 6(1)(b) GDPR)	Account creation, service delivery, billing, communications
Merchant Payment Data	Contractual necessity; Legal obligation	Processing subscriptions, fraud prevention, financial compliance
Merchant Technical Data	Legitimate interests (Art. 6(1)(f) GDPR)	Security monitoring, performance optimisation, abuse prevention
End-User Contact & Transaction Data	Merchant instruction; Legitimate interests	WhatsApp message delivery, cart recovery, order notifications
End-User Engagement Data	Legitimate interests	Analytics, deliverability optimisation, reporting to Merchants
Marketing Communications to Merchants	Consent; Legitimate interests	Product updates, feature announcements, promotional offers

SECTION 5 — DATA RETENTION

We retain personal data only for as long as necessary to fulfil the purposes for which it was collected and to comply with our legal obligations:

Merchant Account Data: Retained for the duration of the active Subscription, plus seven (7) years following termination, for legal, tax, and audit purposes.
Merchant Payment Records: Retained for seven (7) years from the date of transaction in accordance with applicable financial record-keeping requirements.
End-User Data: Retained for the duration of the Merchant’s Subscription. Upon Subscription termination, End-User Data is retained for thirty (30) days to allow data export, after which it is securely and irreversibly deleted.
Technical/Log Data: Retained for a maximum of twelve (12) months for security monitoring and performance purposes.
Support Communications: Retained for three (3) years from the date of resolution.
Marketing Consent Records: Retained for the duration of consent plus three (3) years.

SECTION 6 — DATA SHARING AND THIRD-PARTY DISCLOSURE

6.1 Authorised Sub-Processors

We engage authorised third-party service providers to assist in delivering the Services. These sub-processors are bound by contractual data protection obligations that are equivalent to those applicable to the Platform Operator:

Cloud Hosting Providers (e.g., Amazon Web Services, Google Cloud, or Microsoft Azure)
WhatsApp/Meta Platforms Ireland Limited
Payment Processors (e.g., Stripe, Paddle)
Email Service Providers (e.g., SendGrid, Mailchimp)
Analytics Providers
Security and Fraud Prevention Providers

6.2 Legal Disclosure

We may disclose personal data where required to do so by Applicable Law, court order, or lawful request of governmental or regulatory authorities. We will, where permitted by law, notify affected Merchants prior to such disclosure.

6.3 Business Transfers

In the event of a merger, acquisition, restructuring, or sale of all or substantially all of the Platform Operator’s assets, personal data may be transferred to the acquiring entity, subject to the acquirer’s agreement to uphold the protections described in this Privacy Policy.

6.4 No Sale of Personal Data

WE DO NOT SELL, RENT, TRADE, OR OTHERWISE TRANSFER ANY MERCHANT DATA OR END-USER DATA TO THIRD PARTIES FOR THEIR OWN MARKETING OR COMMERCIAL PURPOSES.

SECTION 7 — DATA SUBJECT RIGHTS

7.1 Rights of Merchants (as Data Subjects)

Subject to applicable data protection law, Merchants have the following rights in relation to their personal data:

Right of Access: To obtain confirmation of whether we process personal data about them and to receive a copy thereof.
Right to Rectification: To request correction of inaccurate or incomplete personal data.
Right to Erasure (‘Right to be Forgotten’): To request deletion of personal data where it is no longer necessary.
Right to Restriction of Processing: To request that we restrict processing of their personal data in certain circumstances.
Right to Data Portability: To receive personal data in a structured, commonly used, and machine-readable format.
Right to Object: To object to processing based on legitimate interests.
Right to Withdraw Consent: Where processing is based on consent, to withdraw consent at any time without affecting the lawfulness of prior processing.
Rights under CCPA: California residents have additional rights including the right to know, delete, opt-out of sale, non-discrimination, and correction.

7.2 End-User Rights

End-Users wishing to exercise data subject rights should contact the Merchant (as Data Controller) directly. If End-Users contact the Platform Operator directly, we will redirect such requests to the relevant Merchant within seventy-two (72) hours.

7.3 Exercising Rights

Requests to exercise data subject rights should be directed to our Data Protection Officer at: [DPO_EMAIL]. We will respond to verifiable requests within thirty (30) days.

SECTION 8 — INTERNATIONAL DATA TRANSFERS

8.1 The Platform Operator may store and process personal data in data centres located outside the Merchant’s country of residence or the European Economic Area.

8.2 Where transfers of personal data from the EEA to third countries are required, we rely on one or more of the following safeguards: (a) Standard Contractual Clauses; (b) adequacy decisions; or (c) other lawful transfer mechanisms under applicable data protection law.

8.3 For transfers from the UAE, Saudi Arabia, and other MENA jurisdictions, we implement data localisation requirements where mandated by applicable law and maintain documentation of all cross-border data flows.

SECTION 9 — SECURITY

9.1 We implement comprehensive technical and organisational security measures designed to protect personal data against unauthorised access, disclosure, alteration, or destruction.

9.2 Despite our security measures, no data transmission over the internet or electronic storage system can be guaranteed to be 100% secure. The Platform Operator cannot guarantee the absolute security of any data transmitted to or stored on the Platform.

9.3 In the event of a personal data breach that is likely to result in a risk to the rights and freedoms of affected individuals, the Platform Operator will notify the relevant supervisory authority within seventy-two (72) hours and affected Merchants without undue delay.

SECTION 10 — COOKIES AND TRACKING TECHNOLOGIES

10.1 We use cookies and similar tracking technologies on our website and Platform for the following purposes: (a) essential functionality (session management, authentication); (b) performance and analytics; (c) functionality and personalisation; and (d) marketing and advertising (with consent).

10.2 Merchants may control non-essential cookie usage through our Cookie Preference Centre accessible from the Platform’s footer. Essential cookies cannot be disabled without affecting Platform functionality.

SECTION 11 — CHILDREN’S PRIVACY

The Platform is designed exclusively for business use and is not intended for persons under the age of eighteen (18). We do not knowingly collect personal data from minors. If we become aware that personal data from a person under the age of 18 has been collected without appropriate consent, we will delete such data promptly.

SECTION 12 — CONTACT AND COMPLAINTS

For any questions, concerns, or complaints regarding this Privacy Policy or our data processing practices, please contact our Data Protection Officer

سياسة الخصوصية

القسم الأول — المقدمة والنطاق

1.1 تلتزم CARTRECOVR™ («مشغّل المنصة» أو «نحن») بحماية خصوصية جميع الأفراد الذين نعالج بياناتهم واحترامها. تصف سياسة الخصوصية هذه ممارساتنا المتعلقة بجمع البيانات الشخصية واستخدامها وتخزينها والإفصاح عنها وحمايتها في سياق منصة CARTRECOVR™. 1.2 تنطبق سياسة الخصوصية هذه على: (أ) التجار الذين يسجّلون في المنصة ويستخدمونها؛ (ب) المستخدمين النهائيين الذين تُعالَج بياناتهم الشخصية من قِبَل مشغّل المنصة نيابةً عن التجار. لا تنطبق هذه السياسة على ممارسات التجار فيما يخص بيانات عملائهم، إذ يتحمل التجار وحدهم المسؤولية الكاملة عن ذلك بوصفهم مسؤولي بيانات مستقلين. 1.3 نعالج البيانات الشخصية بما يتوافق مع: (أ) اللائحة الأوروبية العامة لحماية البيانات (GDPR) رقم 2016/679؛ (ب) قانون GDPR في المملكة المتحدة وقانون حماية البيانات لعام 2018؛ (ج) قانون خصوصية المستهلك في كاليفورنيا (CCPA) بصيغته المعدَّلة بموجب قانون CPRA؛ (د) المرسوم بقانون الاتحادي الإماراتي رقم (45) لسنة 2021 بشأن حماية البيانات الشخصية؛ (هـ) نظام حماية البيانات الشخصية في المملكة العربية السعودية
(PDPL)؛ (و) جميع قوانين حماية البيانات والخصوصية المعمول بها في الولايات القضائية التي نعمل فيها.

يعمل بالقوانين والتشريعات المعمول بها في المملكة الاردنية الهاشمية

القسم الثاني — فئات البيانات المجمَّعة

2.1 بيانات التاجر عند تسجيل التاجر في المنصة واستخدامها، نجمع فئات بيانات التاجر التالية:

بيانات الهوية: الاسم القانوني الكامل للممثل المفوّض، واسم الشركة، ورقم التسجيل التجاري، والرقم الضريبي (ضريبة القيمة المضافة).
بيانات التواصل: عنوان البريد الإلكتروني التجاري، ورقم الهاتف التجاري، والعنوان التجاري المسجّل، وعنوان الفوترة.
بيانات الحساب: اسم المستخدم، وكلمة المرور المشفَّرة، وتفضيلات الحساب، وإعدادات الإشعارات، ومفاتيح API، وتهيئات الـ webhook.
بيانات الدفع: اسم الفوترة وعنوانه، والأرقام الأربعة الأخيرة من بطاقة الدفع (لا نقوم بتخزين أرقام البطاقات الكاملة)، ومعرّفات معاملات بوابة الدفع، وسجل الاشتراكات والفواتير.
البيانات التقنية: عناوين IP، ومعرّفات الأجهزة، ونوع المتصفح وإصداره، ونظام التشغيل، وسجلات الجلسات، وأوقات الدخول، وعناوين URL المرجعية، وأنماط استخدام المنصة.

2.2 بيانات المستخدم النهائي في إطار تقديم الخدمات للتجار، يعالج مشغّل المنصة نيابةً عن التجار وبتعليمات منهم فئات بيانات المستخدم النهائي التالية:

بيانات التواصل: أرقام الهواتف الجوالة (المستخدمة للتعرف على حسابات واتساب)، والأسماء الأولى وأسماء العائلة (عند توفيرها من قِبَل التجار).
بيانات المعاملات: عناصر السلّة المهجورة، وقيمة السلّة، ومعرّفات المنتجات وأسماؤها، وتفاصيل الطلبات وحالاتها، ورموز الخصم المطبَّقة.
بيانات التفاعل: حالة تسليم الرسائل، وإيصالات قراءة الرسائل (عند توافرها عبر Meta API)، ومعدلات الاستجابة، وأحداث النقر على الروابط، وحالة إلغاء الاشتراك.

هام: تُعالَج بيانات المستخدم النهائي فحسب بموجب تعليمات التاجر. لا يقوم مشغّل المنصة ببيع بيانات المستخدم النهائي أو تأجيرها أو مشاركتها مع أطراف ثالثة لأغراض تسويقية. يتعين على المستخدمين النهائيين الراغبين في ممارسة حقوقهم في مجال حماية البيانات التواصل مباشرةً مع التاجر المعني.

القسم الثالث — كيفية جمع البيانات

نجمع البيانات الشخصية من خلال الوسائل التالية:

مباشرةً من التجار عند التسجيل وتهيئة الحساب والاستخدام المستمر للمنصة.
من منصات التجارة الإلكترونية الخاصة بالتجار عبر تكاملات API المرخَّصة من قِبَل التاجر.
تلقائياً من خلال جمع البيانات التقنية (ملفات تعريف الارتباط، وملفات السجلات، وعلامات البكسل).
من بوابات الدفع الخارجية عند إتمام معاملات الفوترة.
من واجهة برمجة تطبيقات واتساب للأعمال فيما يخص البيانات الوصفية لتسليم الرسائل والتفاعل معها.

القسم الرابع — الأساس القانوني للمعالجة

نعالج بيانات التاجر وبيانات المستخدم النهائي استناداً إلى الأسس القانونية التالية:

ضرورة تنفيذ العقد: معالجة بيانات هوية التاجر وبيانات التواصل وبيانات الدفع لإنشاء الحسابات وتقديم الخدمات والفوترة.
الالتزام القانوني: الامتثال للمتطلبات التنظيمية المالية وقوانين حماية البيانات المعمول بها.
المصالح المشروعة: معالجة البيانات التقنية لأغراض المراقبة الأمنية وتحسين الأداء ومنع الإساءة.
تعليمات التاجر: معالجة بيانات المستخدم النهائي بوصف مشغّل المنصة معالجاً للبيانات.
الموافقة: الاتصالات التسويقية الموجَّهة للتجار.

القسم الخامس — الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية فقط للمدة اللازمة لتحقيق الأغراض التي جُمعت من أجلها وللوفاء بالتزاماتنا القانونية:

بيانات حساب التاجر: تُحفظ طوال مدة الاشتراك النشط، إضافةً إلى سبع (7) سنوات بعد إنهاء العقد لأغراض قانونية وضريبية وتدقيق.
سجلات دفع التاجر: تُحفظ لمدة سبع (7) سنوات من تاريخ المعاملة.
بيانات المستخدم النهائي: تُحفظ طوال مدة اشتراك التاجر. عند إنهاء الاشتراك، تُحتفظ بهذه البيانات لمدة ثلاثين (30) يوماً لتمكين تصديرها، ثم تُحذف بصورة آمنة وغير قابلة للاسترداد.
البيانات التقنية وسجلات النشاط: تُحفظ لمدة أقصاها اثنا عشر (12) شهراً.
مراسلات الدعم: تُحفظ لمدة ثلاث (3) سنوات من تاريخ حل المشكلة.

القسم السادس — مشاركة البيانات والإفصاح للأطراف الثالثة

6.1 معالجو البيانات الفرعيون المعتمدون نستعين بمزودي خدمات خارجيين معتمدين للمساهمة في تقديم الخدمات. يخضع هؤلاء المعالجون الفرعيون لالتزامات تعاقدية لحماية البيانات مماثلة لتلك المطبَّقة على مشغّل المنصة:

مزودو استضافة السحابة (كـ Amazon Web Services أو Google Cloud أو Microsoft Azure).
واتساب/Meta Platforms Ireland Limited.
معالجو المدفوعات (كـ Stripe أو Paddle أو ما يعادلهما).
مزودو خدمات البريد الإلكتروني.
مزودو التحليلات.

6.2 الإفصاح القانوني يجوز لنا الإفصاح عن البيانات الشخصية إذا اقتضى ذلك القانون المعمول به أو أمر المحكمة أو الطلب المشروع من سلطة حكومية أو تنظيمية. سنسعى حيثما أجاز القانون ذلك إلى إخطار التجار المعنيين قبل الإفصاح.

6.3 عدم بيع البيانات الشخصية لا نقوم ببيع بيانات التاجر أو بيانات المستخدم النهائي أو تأجيرها أو مبادلتها أو نقلها بأي صورة كانت إلى أطراف ثالثة لأغراضها التسويقية أو التجارية الخاصة.

القسم السابع — حقوق أصحاب البيانات

7.1 حقوق التجار استناداً إلى قانون حماية البيانات المعمول به، يتمتع التجار بالحقوق التالية فيما يخص بياناتهم الشخصية:

حق الاطلاع، وحق التصحيح، وحق المحو (“الحق في النسيان”)، وحق تقييد المعالجة، وحق نقل البيانات، وحق الاعتراض.
الحقوق بموجب قانون CCPA لسكان كاليفورنيا.

7.2 حقوق المستخدمين النهائيين يتعيّن على المستخدمين النهائيين الراغبين في ممارسة حقوقهم كأصحاب بيانات التواصل مباشرةً مع التاجر (بوصفه مسؤول البيانات). وإذا تواصل المستخدمون النهائيون مع مشغّل المنصة مباشرةً، سنحيل هذه الطلبات إلى التاجر المعني في غضون اثنتين وسبعين (72) ساعة.

7.3 ممارسة الحقوق يُوجَّه طلب ممارسة حقوق أصحاب البيانات إلى مسؤول حماية البيانات لدينا على العنوان

القسم الثامن — نقل البيانات الدولي

8.1 قد يقوم مشغّل المنصة بتخزين البيانات الشخصية ومعالجتها في مراكز بيانات تقع خارج بلد إقامة التاجر أو المنطقة الاقتصادية الأوروبية. 8.2 في حال نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية إلى دول ثالثة، نستند إلى البنود التعاقدية القياسية المعتمدة من المفوضية الأوروبية أو قرارات الملاءمة. 8.3 فيما يخص النقل من الإمارات العربية المتحدة والمملكة العربية السعودية وغيرها من دول منطقة الشرق الأوسط وشمال أفريقيا، نطبّق متطلبات تحديد موقع البيانات حين يُلزم بها القانون المعمول به.

القسم التاسع — الأمن

9.1 نطبّق تدابير أمنية تقنية وتنظيمية شاملة مصمَّمة لحماية البيانات الشخصية من الوصول غير المصرح به أو الإفصاح أو التعديل أو الإتلاف. 9.2 في حال وقوع اختراق للبيانات الشخصية يُرجَّح أن يُشكّل خطراً على حقوق الأفراد وحرياتهم، سيُخطر مشغّل المنصة الجهة الرقابية المختصة في غضون اثنتين وسبعين (72) ساعة والتجار المتضررين دون تأخير غير مبرر.

القسم العاشر — خصوصية الأطفال

المنصة مخصصة حصراً للاستخدام التجاري وليست موجَّهة للأشخاص الذين تقل أعمارهم عن ثمانية عشر (18) عاماً. لا نجمع عن سابق علم البيانات الشخصية للقاصرين.

القسم الحادي عشر — التواصل والشكاوى

لأي استفسارات أو مخاوف أو شكاوى تتعلق بسياسة الخصوصية هذه أو ممارسات معالجة البيانات لدينا، يُرجى التواصل مع مسؤول حماية البيانات لدينا