Privacy Policy

Last updated: May 2026

This Policy explains what data Guideon (operating www.guideon.om) collects, why, and what choices you have. We respect your privacy and follow the principles of the EU GDPR and Oman's Personal Data Protection Law (PDPL Royal Decree 6/2022) even where not strictly required.

1. Data we collect

Category	Examples	Why
Account	Name, email, phone, password (hashed), nationality, preferred language	To create and secure your account
Profile (Guides)	Photo, bio, licence number, specialisations, destinations, pricing, video	To list your services
Bookings	Dates, tour details, party size, communication	To process your booking
Reviews & Content	Star ratings, written reviews, photos you upload	To display public reviews
Technical	IP address, browser, device, log timestamps	Security, fraud detection, analytics
Cookies & local storage	Session ID, language preference, theme, consent flags	To keep you signed in and remember preferences
Payment (when enabled)	Stripe handles card data — we only store a token & last-4 digits	To process payments

2. How we use your data

To provide the marketplace service (matching, booking, messaging).
To verify guides and prevent fraud.
To send transactional emails (booking confirmation, password reset, verification).
To send marketing emails — only if you opt in via the newsletter.
To improve the Platform (aggregated analytics).
To comply with legal obligations and respond to lawful requests.

3. Legal basis (for users in the EU)

We process your data based on: (a) Contract — necessary to deliver the service you booked; (b) Consent — for marketing communications and non-essential cookies; (c) Legitimate interest — security, fraud prevention; (d) Legal obligation — taxation, fraud reports.

4. Who we share data with

Guides & tourists you book with — your name, photo, contact details are shared to coordinate the tour.
Service providers — Supabase (database & storage), Resend (email), Cloudflare (DNS/CDN), Railway (hosting), Sentry (error monitoring), Stripe (when payments are enabled).
Authorities — when required by Omani law.

We never sell your personal data.

5. International transfers

Some service providers are located outside Oman (EU, USA). Where personal data is transferred internationally, we rely on standard contractual safeguards and the providers' own GDPR-compliant frameworks.

6. How long we keep your data

Account: until you delete it, or 24 months of inactivity, whichever first.
Bookings: 7 years for tax/legal reasons.
Reviews: indefinitely (anonymized after account deletion).
Logs: 30 days.
Marketing email: until you unsubscribe.

7. Your rights

You have the right to:

Access a copy of your data.
Correct inaccurate data — most fields editable in your dashboard.
Delete your account (some data retained for legal reasons).
Withdraw consent — unsubscribe from emails, revoke cookie consent.
Object to certain processing.
Portability — request your data in a machine-readable format.
Lodge a complaint with Oman's PDPA Office or your local data authority.

To exercise these rights email Hh95255450hh@hotmail.com. We respond within 30 days.

8. Security

We protect your data with:

HTTPS everywhere (TLS 1.3).
Bcrypt password hashing (industry standard).
Optional Two-Factor Authentication.
Encrypted storage on Supabase.
Rate limiting against brute-force.
Regular security audits of dependencies.

No system is 100% secure — if a breach occurs we will notify affected users within 72 hours of discovery.

9. Children

Our service is not directed at children under 16. We do not knowingly collect data from minors. Parents who become aware of such data may contact us for deletion.

10. Cookies

We use:

Essential cookies (session, CSRF, language) — required, no consent needed.
Analytics cookies — basic visitor statistics, only if you accept via the cookie banner.
No third-party advertising cookies.

11. Changes to this Policy

Material changes are notified by email 14 days in advance. The "Last updated" date at the top always shows the latest version.

12. Contact

Data controller: Guideon · Muscat, Sultanate of Oman

Email: Hh95255450hh@hotmail.com · WhatsApp: +968 9525 5450

سياسة الخصوصية

آخر تحديث: مايو 2026

توضّح هذه السياسة ما تجمعه Guideon (المُشغِّلة لـ www.guideon.om) من بيانات، ولماذا، وما الخيارات المتاحة لك. نحترم خصوصيتك ونتبع مبادئ اللائحة الأوروبية GDPR وقانون حماية البيانات الشخصية العُماني (PDPL — المرسوم السلطاني 6/2022) حتى لو لم يكن مطلوباً صراحةً.

1. البيانات التي نجمعها

الفئة	أمثلة	لماذا
الحساب	الاسم، البريد، الهاتف، كلمة المرور (مُشفّرة)، الجنسية، اللغة المفضّلة	لإنشاء وتأمين حسابك
الملف الشخصي (المرشدون)	صورة، نبذة، رقم الترخيص، التخصصات، الوجهات، الأسعار، فيديو	لإدراج خدماتك
الحجوزات	التواريخ، تفاصيل الرحلة، حجم المجموعة، الرسائل	لمعالجة حجزك
التقييمات والمحتوى	النجوم، التعليقات، الصور المرفوعة	لعرض التقييمات العامة
تقنية	IP، المتصفح، الجهاز، طوابع زمنية	الأمان، اكتشاف الاحتيال، التحليلات
الكوكيز والتخزين المحلي	معرّف الجلسة، تفضيل اللغة، الوضع، إعدادات الموافقة	لإبقائك مسجّل الدخول وحفظ التفضيلات
الدفع (عند التفعيل)	Stripe يعالج بيانات البطاقات — نحفظ فقط رمزاً وآخر 4 أرقام	لمعالجة المدفوعات

2. كيف نستخدم بياناتك

لتقديم خدمة السوق (المطابقة، الحجز، الرسائل).
للتحقّق من المرشدين ومنع الاحتيال.
لإرسال البريد المعاملاتي (تأكيد الحجز، إعادة تعيين كلمة المرور، التحقّق).
لإرسال البريد التسويقي — فقط إذا اشتركت في النشرة الإخبارية.
لتحسين المنصة (تحليلات مُجمَّعة).
للالتزام بالواجبات القانونية والاستجابة للطلبات المشروعة.

3. الأساس القانوني (للمستخدمين في الاتحاد الأوروبي)

نُعالج بياناتك بناءً على: (أ) العقد — لتقديم الخدمة المحجوزة؛ (ب) الموافقة — للتسويق والكوكيز غير الضرورية؛ (ج) المصلحة المشروعة — الأمان ومنع الاحتيال؛ (د) الواجب القانوني — الضرائب وتقارير الاحتيال.

4. مع مَن نُشارك البيانات

المرشدون والسياح الذين تحجز معهم — الاسم والصورة وبيانات التواصل تُشارك لتنسيق الرحلة.
مزوّدو الخدمة — Supabase (قاعدة بيانات وتخزين)، Resend (بريد)، Cloudflare (DNS/CDN)، Railway (استضافة)، Sentry (مراقبة الأخطاء)، Stripe (عند تفعيل الدفع).
السلطات — عند الإلزام بموجب القانون العُماني.

لا نبيع بياناتك الشخصية أبداً.

5. النقل الدولي

بعض مزوّدي الخدمة خارج عُمان (الاتحاد الأوروبي، الولايات المتحدة). عند نقل البيانات دولياً نعتمد على ضمانات تعاقدية معيارية وأُطُر المزوّدين المتوافقة مع GDPR.

6. مدة الاحتفاظ

الحساب: حتى تحذفه أو 24 شهراً من الخمول، أيهما أقرب.
الحجوزات: 7 سنوات لأسباب ضريبية/قانونية.
التقييمات: إلى أجل غير مسمى (تُجهَّل بعد حذف الحساب).
السجلات: 30 يوماً.
البريد التسويقي: حتى تلغي الاشتراك.

7. حقوقك

يحق لك:

الوصول إلى نسخة من بياناتك.
التصحيح — معظم الحقول قابلة للتعديل من لوحة التحكم.
الحذف — حذف حسابك (بعض البيانات تُحفظ قانونياً).
سحب الموافقة — إلغاء الاشتراك بالبريد، إلغاء موافقة الكوكيز.
الاعتراض على معالجة معيّنة.
قابلية النقل — طلب بياناتك بصيغة قابلة للقراءة آلياً.
الشكوى أمام مكتب حماية البيانات العُماني أو سلطة بلدك.

لممارسة هذه الحقوق راسلنا على Hh95255450hh@hotmail.com. نرد خلال 30 يوماً.

8. الأمان

نحمي بياناتك بـ:

HTTPS في كل مكان (TLS 1.3).
تشفير كلمات المرور بـ Bcrypt (المعيار الصناعي).
المصادقة الثنائية الاختيارية.
تخزين مُشفّر على Supabase.
Rate Limiting لمواجهة هجمات Brute-force.
تدقيق أمني منتظم للمكتبات.

لا يوجد نظام آمن 100%. إن وقع اختراق فسنُخطر المتأثّرين خلال 72 ساعة من اكتشافه.

9. الأطفال

خدمتنا غير موجّهة للأطفال دون 16 سنة. لا نجمع بيانات منهم عمداً. الأهل المُلاحظون لمثل هذه البيانات يمكنهم التواصل معنا للحذف.

10. الكوكيز

كوكيز ضرورية (الجلسة، CSRF، اللغة) — لازمة، لا تحتاج موافقة.
كوكيز تحليلية — إحصاءات أساسية، فقط بموافقتك عبر شريط الكوكيز.
لا توجد كوكيز إعلانية من أطراف ثالثة.

11. تعديلات السياسة

التعديلات الجوهرية تُبلَّغ بالبريد قبل 14 يوماً. تاريخ "آخر تحديث" أعلاه يعرض دائماً الإصدار الحالي.

12. التواصل

مسؤول البيانات: Guideon · مسقط، سلطنة عُمان

البريد: Hh95255450hh@hotmail.com · واتساب: +968 9525 5450

← Back to Home