العربية English

سياسة الخصوصية

توضح هذه السياسة كيفية جمع توثيق للبيانات الشخصية، ومعالجتها، وحفظها، والإفصاح عنها، وإتلافها، وحقوق أصحاب البيانات الشخصية وطرق ممارستها، وذلك وفقاً لنظام حماية البيانات الشخصية واللائحة التنفيذية والضوابط المعمول بها في المملكة العربية السعودية.

تنطبق هذه السياسة على موقعنا وخدماتنا الإلكترونية المرتبطة به على https://Tawthiqs.app وأي قنوات رقمية أخرى نستخدمها لتقديم الخدمة أو التواصل أو الدعم.

“توثيق” هو برنامج خدمة عبر الإنترنت (SaaS) لإنشاء سياسة الخصوصية وسياسة ملفات تعريف الارتباط وشروط الخدمة بما يتوافق مع قانون حماية البيانات الشخصي السعودي

أولاً: هوية جهة التحكم وبيانات التواصل

تعد توثيق جهة التحكم في البيانات الشخصية التي تتم معالجتها بموجب هذه السياسة، وذلك فيما يتعلق بالبيانات التي نحدد أغراض معالجتها وكيفيتها.

  • اسم الجهة: توثيق

  • البريد الإلكتروني لطلبات الخصوصية والحقوق: contact@tawthiqs.app

ثانياً: البيانات الشخصية التي قد نجمعها

نجمع ونعالج البيانات الشخصية اللازمة لتقديم الخدمة وتشغيلها والامتثال للمتطلبات النظامية، ويقتصر ذلك على الحد الأدنى اللازم بحسب طبيعة العلاقة والخدمة المستخدمة.

  • بيانات الحساب والهوية الأساسية، مثل الاسم ومعرفات الحساب والبيانات اللازمة لإنشاء الحساب وإدارته.
  • بيانات التواصل، مثل البريد الإلكتروني.
  • بيانات الفوترة والدفع والاشتراك، بالقدر اللازم لإدارة المقابل المالي والالتزامات المرتبطة بالخدمة.

ثالثاً: كيف نجمع بياناتك الشخصية

1. الجمع المباشر

  • منك مباشرةً عند إنشاء الحساب أو تعبئة النماذج أو التعاقد أو الدفع أو طلب الدعم أو التواصل معنا.
  • من المستخدم أو المسؤول الإداري عند إعداد الحسابات أو الصلاحيات أو مساحات العمل داخل الخدمة.

2. الجمع غير المباشر

رابعاً: ما إذا كان تقديم البيانات إلزامياً أو اختيارياً

  • تعد بعض البيانات إلزامية لتمكيننا من إنشاء الحساب أو تنفيذ التعاقد أو تقديم الخدمة أو الامتثال للمتطلبات النظامية، ويترتب على عدم تقديمها تعذر تنفيذ الخدمة أو جزء منها.

خامساً: ملفات تعريف الارتباط والتقنيات المشابهة

  • لا نستخدم ملفات تعريف الارتباط أو التقنيات المشابهة إلا بالقدر الفني اللازم لتشغيل الخدمة أو الحفاظ على استقرارها إذا اقتضى ذلك الواقع التشغيلي، ومع تحديث هذه السياسة عند حدوث تغيير جوهري في هذا النطاق.

سادساً: التسويق المباشر والرسائل غير الأساسية

  • لا نستخدم البيانات الشخصية للتسويق المباشر إلا إذا تغير ذلك مستقبلاً، وعندئذٍ نحدّث هذه السياسة ونستوفي المتطلبات النظامية ذات الصلة قبل البدء في هذا النوع من المعالجة.

سابعاً: أغراض المعالجة والمسوغات التي نعتمد عليها بحسب كل نشاط

نعرض أدناه الأنشطة الرئيسية لمعالجة البيانات الشخصية، مع ربط كل نشاط بالغرض والفئات ذات الصلة والمسوغ المعتمد عليه:

  • الغرض: إنشاء الحسابات وتقديم الخدمة الأساسية وإدارة العلاقة مع المستخدم أو العميل. فئات البيانات ذات الصلة: بيانات الحساب، بيانات التواصل، بيانات الفوترة والاشتراك المسوغ: تنفيذ اتفاق يكون صاحب البيانات الشخصية طرفاً فيه، أو اتخاذ خطوات سابقة على التعاقد بناءً على طلبه. صفة التزويد: تقديم هذه البيانات إلزامي بالقدر اللازم لتحقيق الغرض المحدد أو الوفاء بالمتطلبات النظامية ذات الصلة. الجهات التي قد يترتب على هذا النشاط الإفصاح لها أو إتاحة الوصول لها: مزودو الاستضافة والبنية التشغيلية، مزودو الدفع مثل Paddle قاعدة الاحتفاظ: طوال مدة الحساب ثم 30 يوماً بعد الإغلاق

  • الغرض: معالجة الاشتراكات والفوترة والمدفوعات وإثبات العمليات المالية المرتبطة بالخدمة. فئات البيانات ذات الصلة: بيانات الفوترة والاشتراك المسوغ: تنفيذ اتفاق يكون صاحب البيانات الشخصية طرفاً فيه، أو اتخاذ خطوات سابقة على التعاقد بناءً على طلبه. قد يستلزم ذلك الاحتفاظ بسجلات إضافية للامتثال للالتزامات النظامية والمالية. صفة التزويد: تقديم هذه البيانات إلزامي بالقدر اللازم لتحقيق الغرض المحدد أو الوفاء بالمتطلبات النظامية ذات الصلة. الجهات التي قد يترتب على هذا النشاط الإفصاح لها أو إتاحة الوصول لها: مزودو الدفع مثل Paddle قاعدة الاحتفاظ: طوال مدة الاشتراك ثم المدة المحاسبية النظامية

لا نعالج البيانات الشخصية لاحقاً على نحو يتنافى مع الغرض الذي جُمعت من أجله إلا إذا توافر مسوغ نظامي يجيز ذلك، وبعد استيفاء المتطلبات النظامية ذات الصلة.

ثامناً: الإفصاح عن البيانات الشخصية وإتاحتها للغير

يقتصر الوصول إلى البيانات الشخصية داخل الجهة على من تستدعي أعمالهم ذلك، وقد نفصح عن البيانات الشخصية أو نتيح الوصول إليها أو معالجتها في الحدود التي يجيزها النظام وبما يتناسب مع الغرض المحدد وبالحد الأدنى اللازم.

  • مزودو الخدمات أو جهات المعالجة التي تعمل نيابةً عنا لأغراض الاستضافة أو التشغيل أو الدعم أو الدفع أو الصيانة، وفق تعليماتنا والضوابط التعاقدية والنظامية الواجبة.
  • مزودو الدفع والفوترة بالقدر اللازم لإتمام المعاملات المالية والتحقق منها ومعالجتها.
  • من مزودي الدفع الذين قد نعتمد عليهم بحسب إعداد المنتج: Paddle.

تاسعاً: توزيع الأدوار بين جهة التحكم وجهة المعالجة

يختلف دورنا في معالجة البيانات الشخصية بحسب نوع البيانات والعلاقة النظامية أو التعاقدية المرتبطة بها.

1. الحالات التي نعمل فيها جهة تحكم

  • نكون جهة تحكم بالنسبة لبيانات الحسابات والتواصل والدعم والفوترة والبيانات التشغيلية التي نجمعها مباشرة لإدارة المنتج وتشغيله.

2. آلية توجيه الطلبات بحسب الدور

  • توجه طلبات الحقوق والشكاوى المتعلقة بالبيانات التي نتحكم فيها مباشرة إلينا عبر قنوات الخصوصية أو الشكاوى الموضحة في هذه السياسة.

عاشراً: مكان التخزين والاستضافة ونقل البيانات خارج المملكة

قد تتطلب بعض عمليات المعالجة أو الدعم أو الاستضافة أو الخدمات المساندة نقل البيانات الشخصية إلى خارج المملكة العربية السعودية أو الإفصاح عنها لجهة خارج المملكة، وذلك فقط عند توافر المسوغ النظامي والضمانات الكافية والحد الأدنى اللازم من البيانات وبما يتفق مع الاشتراطات النظامية المطبقة.

  • الجهة أو النطاق الجغرافي: الاتحاد الأوروبي الغرض من النقل أو الإتاحة الخارجية: الاستضافة وتشغيل البنية الأساسية والخوادم والنسخ الاحتياطية. فئات البيانات المتأثرة: بيانات الحساب، بيانات التواصل، بيانات الفوترة والاشتراك نوع الجهة المستقبلة أو جهة الوصول: مزود خدمة أو بنية تقنية أو دعم متخصص خارج المملكة يقتصر وصوله أو معالجته على ما يلزم لتشغيل الخدمة. المسوغ النظامي للنقل أو الإفصاح: عند كون النقل أو الإتاحة خارج المملكة لازماً لتقديم الخدمة أو تنفيذ التزام تعاقدي أو تشغيل بنية لازمة للعميل أو لصاحب البيانات، وبعد استكمال اشتراطات نقل البيانات والضمانات النظامية ذات الصلة. الضمانات أو الضوابط المطبقة: اتخاذ ضمانات كافية للمحافظة على البيانات الشخصية وسريتها. طبيعة التكرار: مستمر بحسب تشغيل الخدمة هل يشمل Remote Access من خارج المملكة: نعم

  • الجهة أو النطاق الجغرافي: الاتحاد الأوروبي الغرض من النقل أو الإتاحة الخارجية: معالجة المدفوعات والاشتراكات والفوترة المرتبطة بالخدمة. فئات البيانات المتأثرة: بيانات الفوترة والاشتراك، بيانات التواصل، بيانات الحساب نوع الجهة المستقبلة أو جهة الوصول: مزود خدمة أو بنية تقنية أو دعم متخصص خارج المملكة يقتصر وصوله أو معالجته على ما يلزم لتشغيل الخدمة. المسوغ النظامي للنقل أو الإفصاح: عند كون النقل أو الإتاحة خارج المملكة لازماً لتقديم الخدمة أو تنفيذ التزام تعاقدي أو تشغيل بنية لازمة للعميل أو لصاحب البيانات، وبعد استكمال اشتراطات نقل البيانات والضمانات النظامية ذات الصلة. الضمانات أو الضوابط المطبقة: اتخاذ ضمانات كافية للمحافظة على البيانات الشخصية وسريتها. طبيعة التكرار: مستمر بحسب تشغيل الخدمة هل يشمل Remote Access من خارج المملكة: نعم

حادي عشر: مدة الاحتفاظ بالبيانات وكيفية إتلافها

نحتفظ بالبيانات الشخصية وفق فئات أو سيناريوهات محددة، وبما يتناسب مع الغرض من الجمع والمعالجة والالتزامات النظامية أو التعاقدية أو الحقوق أو النزاعات المرتبطة بها.

  • بيانات الحساب والهوية والتواصل: طوال مدة الحساب ثم 30 يوماً بعد الإغلاق مبرر الاحتفاظ: تشغيل الحسابات وتقديم الخدمة ومتابعة الالتزامات المرتبطة بها.

  • بيانات الفوترة والدفع والاشتراك: طوال مدة الاشتراك ثم المدة المحاسبية النظامية مبرر الاحتفاظ: إدارة المقابل المالي وإثبات المعاملات والالتزامات المالية أو النظامية.

وعند انتهاء الغرض أو مدة الاحتفاظ النظامية ذات الصلة، نطبق إجراءات الإتلاف أو إزالة الهوية المناسبة لكل فئة، بما في ذلك ما يلزم للنسخ الاحتياطية في الحدود النظامية المطبقة.

  • حذف البيانات من الأنظمة النشطة عند انتهاء مدة الاحتفاظ أو الغرض منها

ثاني عشر: حماية البيانات الشخصية

نتخذ إجراءات ووسائل تنظيمية وإدارية وتقنية مناسبة للمحافظة على البيانات الشخصية وحمايتها من الفقد أو التلف أو الوصول غير المشروع أو الاستخدام أو التعديل أو الإفصاح غير المصرح به، بما يتناسب مع طبيعة البيانات ومخاطر المعالجة.

  • تشفير البيانات أثناء النقل وعند الاقتضاء داخل البيئات المناسبة.

ثالث عشر: الإشعار عن حوادث تسرب البيانات الشخصية

  • في حال وقوع حادثة تسرب بيانات شخصية يترتب عليها ضرر محتمل على البيانات أو على صاحبها، نلتزم بإشعار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال مدة لا تتجاوز 72 ساعة من وقت العلم بالحادثة، مع استكمال ما يتعذر تقديمه في أقرب وقت ممكن إذا لزم ذلك.
  • إذا كان من شأن الحادثة أن ترتب ضرراً على صاحب البيانات الشخصية أو تتعارض مع حقوقه أو مصالحه، فنشعره دون تأخير غير مبرر بلغة واضحة ومبسطة مع بيان المخاطر المحتملة والتدابير المتخذة والوسائل المناسبة للتواصل.
  • قناة التواصل المتعلقة بحوادث البيانات لدى توثيق: contact@tawthiqs.app.

رابع عشر: بيانات الأطفال

  • الخدمة ليست موجهة في أصلها إلى الأطفال، ولا نجمع بياناتهم الشخصية عن علم ضمن الاستخدام المعتاد. وإذا تبين لنا أن هذا حدث على نحو غير مقصود، فسنتخذ الإجراء المناسب وفق النظام وطبيعة الحالة.

خامس عشر: حقوق صاحب البيانات الشخصية

وفقاً للنظام واللائحة التنفيذية، يتمتع صاحب البيانات الشخصية -بحسب الأحوال- بالحقوق الآتية:

  • الحق في العلم بكيفية جمع البيانات الشخصية ومسوغ جمعها ومعالجتها وأغراض ذلك.

  • الحق في الوصول إلى البيانات الشخصية المتوافرة لدينا والاطلاع عليها.

  • الحق في طلب الحصول على نسخة من البيانات الشخصية بصيغة واضحة ومقروءة متى كان ذلك ممكناً من الناحية التقنية.

  • الحق في طلب تصحيح البيانات الشخصية أو إتمامها أو تحديثها.

  • الحق في طلب إتلاف البيانات الشخصية التي انتهت الحاجة إليها، وذلك في الحدود التي يجيزها النظام.

  • الحق في الرجوع عن الموافقة متى كانت المعالجة قائمة عليها، وذلك دون الإخلال بالمشروعية السابقة للمعالجة أو بأي مسوغ نظامي آخر.

تخضع ممارسة هذه الحقوق للضوابط والقيود والاستثناءات المقررة نظاماً، وبخاصة ما يتصل بحماية حقوق الغير أو الالتزامات النظامية أو القضائية أو مقتضيات الأمن أو الحالات التي يجيز فيها النظام تقييد بعض الحقوق.

سادس عشر: كيفية ممارسة الحقوق

يمكن تقديم طلبات ممارسة الحقوق أو الاستفسارات المتعلقة بهذه السياسة أو معالجة البيانات الشخصية عبر القنوات الآتية:

قد نطلب معلومات أو مستندات إضافية للتحقق من الهوية أو الصفة أو نطاق الطلب قبل تنفيذه، وذلك حمايةً للبيانات الشخصية ومنعاً للإفصاح غير المصرح به.

يكون الرد على الطلبات عبر الوسائل الإلكترونية أو القنوات المناسبة لطبيعة الطلب، ويجوز لنا رفض الطلب أو تقييده في الحدود التي يجيزها النظام أو عندما يتعذر التحقق من الهوية أو الصفة أو عندما تتأثر حقوق الغير.

المدة المستهدفة لمعالجة الطلبات المكتملة لدينا هي 30 يوماً، ما لم تتطلب طبيعة الطلب أو النظام مدة مختلفة.

سابع عشر: الشكاوى والاعتراضات

إذا كانت لديك شكوى أو اعتراض يتعلق بكيفية تعاملنا مع البيانات الشخصية، فيمكنك التواصل معنا أولاً عبر contact@tawthiqs.app وسنعمل على مراجعة الشكوى ومعالجتها وفق الإجراءات المعتمدة لدينا والمتطلبات النظامية.

المدة المستهدفة لمعالجة الشكاوى المكتملة لدينا هي 30 يوماً، ما لم تستلزم طبيعة الشكوى أو النظام معالجة مختلفة.

وإذا لم تكن راضياً عن نتيجة المعالجة أو كان لك حق نظامي في التصعيد، فيجوز لك التقدم بشكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، وذلك وفق الضوابط والإجراءات النظامية المعمول بها. كما يمكن الرجوع إلى منصة حوكمة البيانات الوطنية التابعة لـ مكتب إدارة البيانات الوطنية (NDMO) والمراجع الرسمية أدناه.

ثامن عشر: المراجع النظامية والجهات المرجعية

  • نظام حماية البيانات الشخصية

  • اللائحة التنفيذية لنظام حماية البيانات الشخصية

  • الدليل الاسترشادي لإعداد وتطوير سياسة الخصوصية

تاسع عشر: التحديثات على هذه السياسة

قد نقوم بتحديث هذه السياسة من وقت لآخر لمراعاة التغييرات النظامية أو التشغيلية أو الفنية. وعند تحديثها سننشر النسخة المحدثة من خلال القنوات المناسبة، وتصبح نافذة من تاريخ نشرها ما لم يذكر خلاف ذلك.

آخر تحديث: ٢٢ أبريل ٢٠٢٦