نموذج
الشروطالخصوصيةحماية البيانات
منصة سعودية ملتزمة بنظام حماية البيانات

التزامنا بنظام حماية البيانات الشخصية (PDPL)

آخر تحديث: ٩ يونيو ٢٠٢٦ · نسخة ١٫٠

١. التعريف بالنظام

نظام حماية البيانات الشخصية (PDPL) هو النظام السعودي الصادر بالمرسوم الملكي رقم (م/١٩) وتاريخ ٩/٢/١٤٤٣هـ، والذي يهدف إلى حماية البيانات الشخصية للأفراد داخل المملكة العربية السعودية وتنظيم معالجتها. تخضع منصة نموذج ومنتجاتها لأحكام هذا النظام كاملةً.

٢. صفتنا (المتحكّم في البيانات / المعالج)

  • المتحكّم: العميل (صاحب الحساب) الذي يستخدم المنصة لجمع بيانات المستجيبين عبر نماذجه.
  • المعالج: منصة نموذج — نعالج البيانات نيابة عن العميل وبموجب تعليماته. ويشمل ذلك شركاءنا التقنيين كمعالجين من الباطن (ومنهم dnet للتسويق والفوترة والدعم).

هذا التقسيم متوافق مع تعريفات المادة الأولى من نظام PDPL.

٣. الأساس النظامي للمعالجة

نعتمد على أحد المبررات النظامية لمعالجة البيانات وفقاً للمادة (٥) من PDPL:

  • موافقة صاحب البيانات الصريحة عند تعبئة النموذج.
  • تنفيذ عقد بين العميل وصاحب البيانات.
  • الالتزام بأمر قضائي أو نظامي صادر من جهة سعودية مختصة.
  • المصلحة المشروعة في حدود ما يسمح به النظام.

٤. مبادئ المعالجة

نلتزم بستة مبادئ أساسية في كل عمليات المعالجة:

  • المشروعية والشفافية: نُعلِم أصحاب البيانات بطريقة جمع بياناتهم والغرض منها.
  • تحديد الغرض: لا نعالج البيانات لأغراض غير التي جُمعت من أجلها.
  • التقليل من البيانات: نجمع الحد الأدنى الضروري فقط.
  • الدقة: نتيح للأفراد تصحيح بياناتهم في أي وقت.
  • تحديد فترة الاحتفاظ: لا نحتفظ بالبيانات لمدة أطول من اللازم.
  • السلامة والسرية: ضمانات تقنية وتنظيمية صارمة (تشفير، تحكم بالوصول).

٥. حقوق صاحب البيانات

وفقاً للمواد (٤) و(٩) إلى (١٤) من PDPL، يحق لك:

حق العلم: معرفة الأساس النظامي لجمع بياناتك والغرض من معالجتها.

حق الوصول: طلب نسخة من بياناتك الشخصية لدينا.

حق التصحيح: تصحيح أو تحديث أي بيانات غير دقيقة أو غير مكتملة.

حق الإتلاف: طلب حذف بياناتك عند انتفاء الغرض من معالجتها.

حق سحب الموافقة: سحب موافقتك على المعالجة في أي وقت.

٦. توطين البيانات والتشفير

نسعى لإبقاء بيانات حسابك وبيانات المستجيبين داخل المملكة العربية السعودية. الحقول الحسّاسة تُشفّر بخوارزمية AES-256-GCM عند الاستقبال. بعض خدمات البنية التحتية المساندة (مثل إرسال البريد) قد تعالج بيانات محدودة خارج المملكة مؤقتاً، ولا يتم ذلك إلا وفق الضوابط النظامية، ونعمل على تحويلها بالكامل لمزوّدين داخل المملكة امتثالاً للمادة (٢٩) من PDPL.

٧. إجراءات الحماية التقنية والتنظيمية

  • تشفير الاتصال بـ TLS 1.3 لكافة الجلسات.
  • تشفير الحقول الحسّاسة بـ AES-256-GCM وتجزئة كلمات المرور بـ argon2id.
  • عدم تخزين عنوان IP صريحاً — نحفظ بصمة مُجزّأة قصيرة لأغراض الأمان فقط.
  • تحكم صارم بالوصول: مبدأ أقل الامتيازات + عزل صلاحيات الأعضاء.
  • نسخ احتياطية منتظمة مشفّرة، وتدقيق دوري ومراجعة أمنية.

٨. التواصل مع مسؤول حماية البيانات (DPO) والجهة الرقابية

لأي استفسار يخص هذا الالتزام أو لممارسة أيٍّ من حقوقك المذكورة أعلاه، تواصل مع مسؤول حماية البيانات لدينا:

  • البريد الإلكتروني: dpo@namothj.sa
  • نلتزم بالرد على طلبك خلال ٣٠ يوماً كحدٍّ أقصى، وفقاً لمتطلبات النظام.

الجهة المنوط بها الإشراف على تطبيق النظام هي الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، ويحق لك تقديم شكوى مباشرة إليها إذا رأيت أن حقوقك انتُهكت.