سياسة الخصوصية

Dealix منصة سعودية لتشغيل الإيرادات مبنية بمبدأ الخصوصية أولاً (Privacy by Design). هذه الوثيقة توضح كيف نجمع، نستخدم، نحمي، ونحذف البيانات الشخصية وفقاً لنظام حماية البيانات الشخصية السعودي (PDPL) ولوائحه التنفيذية الصادرة عن SDAIA.

محتويات الوثيقة

١. النطاق والمسؤول عن المعالجة
٢. البيانات التي نجمعها
٣. الأساس القانوني للمعالجة
٤. أغراض الاستخدام
٥. مشاركة البيانات (المعالجون من الباطن)
٦. النقل خارج المملكة
٧. فترات الاحتفاظ والحذف
٨. التدابير الأمنية
٩. حقوقك كصاحب بيانات
١٠. ملفات تعريف الارتباط (Cookies)
١١. التعامل مع الحوادث الأمنية
١٢. التحديثات على هذه السياسة
١٣. التواصل معنا والمسؤول عن البيانات

١. النطاق والمسؤول عن المعالجة

هذه السياسة تنطبق على كل البيانات الشخصية التي نعالجها أثناء تقديم خدمات Dealix لعملائنا (شركات B2B السعودية)، سواء عبر الموقع، الـ API، تطبيقات الجوال، أو القنوات التشغيلية (واتساب، إيميل، LinkedIn).

المسؤول عن المعالجة: Dealix — منصة الإيرادات السعودية.
المسجل التجاري: [يُحدَّث عند الإطلاق التجاري الكامل]
مسؤول حماية البيانات (DPO): dpo@dealix.sa

٢. البيانات التي نجمعها

نقتصر على الحد الأدنى من البيانات اللازمة لتقديم الخدمة (مبدأ تقليل البيانات — PDPL م.5):

الفئة	أمثلة	المصدر
بيانات الحساب	الاسم، البريد، رقم الجوال، اسم الشركة، الدور	منكم مباشرة
بيانات شركاتكم المستهدفة	أسماء شركات B2B، مواقعها، نطاقات الإيميل	مصادر عامة (دلائل / Maps / LinkedIn)
بيانات صناع القرار	اسم وظيفي، إيميل عمل، رابط LinkedIn	مصادر عامة + إثراء بمزودين موثقين
محتوى الرسائل	المسودات والردود (إيميل، واتساب، LinkedIn)	أنتم بعد موافقة صريحة
بيانات الاستخدام	سجلات الدخول، الإجراءات، تفضيلات اللوحة	تلقائي من المنتج
بيانات الفوترة	الباقة، تاريخ الاشتراك، آخر 4 خانات من البطاقة	عبر بوابة الدفع (Moyasar)

لا نجمع بيانات حساسة (دينية، صحية، عرقية، توجهات سياسية) ولا أرقام هوية وطنية ولا IBAN في رسائلنا الصادرة.

٣. الأساس القانوني للمعالجة (PDPL م.5/6)

كل عملية معالجة لها أساس قانوني واحد على الأقل:

الموافقة الصريحة — لاشتراككم في الخدمة وتلقي الرسائل التشغيلية.
المصلحة المشروعة — لجمع بيانات شركات B2B من المصادر العامة لأغراض البحث التجاري.
تنفيذ العقد — لتقديم الباقات المدفوعة ومعالجة الفوترة.
الالتزام النظامي — للاحتفاظ بسجلات تتطلبها الجهات السعودية.

لكل عملية معالجة سجل واضح في سجل أنشطة المعالجة (RoPA) متاح عند الطلب لجهات الرقابة.

٤. أغراض الاستخدام

اكتشاف فرص B2B وترتيبها حسب الـ ICP الذي تحدّدونه.
صياغة مسودات رسائل عربية مخصصة (لا إرسال بدون موافقتكم).
إدارة الـ pipeline والاجتماعات والمقترحات.
قياس الأداء وتقديم تقارير ROI شهرية.
تحسين المنتج عبر بيانات استخدام مجمّعة (لا يمكن نسبها لشخص).
الالتزام بالمتطلبات النظامية (مكافحة غسل الأموال، فاتورة ZATCA).

لا نستخدم بياناتكم لتدريب نماذج LLM عامة أو لبيعها لأي طرف ثالث.

٥. مشاركة البيانات (المعالجون من الباطن)

نشارك البيانات مع مزودين تعاقديين فقط، كلٌّ منهم تحت اتفاقية معالجة بيانات (DPA) ملزمة:

المزود	الغرض	الموقع
Anthropic / Groq	صياغة وتصنيف ذكي للرسائل	الولايات المتحدة (مع DPA + لا تدريب)
Meta WhatsApp Cloud / Green API / Ultramsg	قنوات إرسال WhatsApp	عالمي
Gmail (OAuth بحساب العميل)	إرسال إيميل من حساب العميل	الولايات المتحدة
Apollo / ZoomInfo	إثراء بيانات شركات B2B	الولايات المتحدة
Moyasar	معالجة المدفوعات السعودية	المملكة العربية السعودية
Railway / Supabase	استضافة وقواعد بيانات	الولايات المتحدة (مع التشفير)

سجل المعالجين الكامل متاح في Trust Center.

٦. النقل خارج المملكة

وفقاً لـ PDPL م.29، أي نقل لبيانات خارج السعودية يتطلب أحد المسارات التالية:

موافقة صريحة منكم لكل عملية نقل.
قرار كفاية صادر عن SDAIA للجهة المستقبلة.
عقد ملزم بضمانات مكافئة مع المعالج خارج المملكة.

حالياً، البيانات الحساسة + بيانات العملاء النشطين تُخزَّن في مراكز بيانات داخل المملكة (STC Cloud أو ما يكافئها). البيانات المجمّعة المجهولة الهوية فقط هي ما يُعالج خارجياً عند استدعاء LLM.

٧. فترات الاحتفاظ والحذف

نطبق سياسة احتفاظ ثلاثية الطبقات (PDPL م.18):

الفئة	المدة	ما يحدث بعدها
إشارات تشغيلية (فتح إيميل، نقرة)	90 يوم	تجريد الـ payload (tombstone)
بيانات الأعمال (leads، deals، رسائل)	3 سنوات	حذف نهائي
سجلات الامتثال (موافقة، opt-out، DSR)	7 سنوات	تُحفظ للأبد للمراجعة

عند إنهاء اشتراككم، نحذف بياناتكم خلال 30 يوماً، باستثناء سجلات الامتثال التي يلزم النظام الاحتفاظ بها.

٨. التدابير الأمنية (PDPL م.19-20)

تشفير TLS 1.3 لكل النقل + AES-256 للتخزين.
مفاتيح تشفير مُدارة عبر HSM وتُدوّر كل 90 يوماً.
صلاحيات RBAC + سجل تدقيق كامل لكل وصول.
اختبارات اختراق سنوية + فحوص أتمتة شهرية.
11 بوابة امتثال PDPL تفحص كل رسالة قبل الإرسال.
سياسة الاستجابة للحوادث الأمنية: إبلاغ SDAIA + المتأثرين خلال 72 ساعة.

٩. حقوقك كصاحب بيانات (PDPL م.4-9)

لك الحق في ممارسة الحقوق التالية، ونلتزم بالاستجابة خلال الفترات المحددة:

الحق	كيفية الممارسة	الـ SLA
حق الإطلاع	بريد إلى dpo@dealix.sa	30 يوم
حق الوصول (نسخة JSON كاملة)	طلب من لوحة العميل	5 أيام عمل
حق التصحيح	self-service من Customer Portal	72 ساعة
حق الحذف (Right to be forgotten)	طلب رسمي + تأكيد	5 أيام عمل
حق الاعتراض	opt-out فوري عبر header الإيميل أو طلب	فوري
حق نقل البيانات	تصدير JSON / CSV قياسي	5 أيام عمل

لا توجد رسوم على ممارسة هذه الحقوق. لو رفضنا الطلب (في حالات استثنائية مثل تعارض مع التزام نظامي)، نرسل التبرير المكتوب.

١٠. ملفات تعريف الارتباط (Cookies)

نستخدم cookies بحدّ أدنى:

Essential (لا يمكن تعطيلها): جلسة الدخول، تفضيل اللغة، حماية CSRF.
Analytics (اختيارية، تحتاج موافقتكم): قياسات استخدام مجمّعة عبر PostHog مع تجهيل IP.

لا نستخدم cookies إعلانية ولا نتبعكم خارج موقع Dealix. يمكنكم إدارة Cookies من الـ browser.

١١. التعامل مع الحوادث الأمنية

وفقاً لـ PDPL م.21:

أي حادث يكشف بيانات شخصية يُبلَّغ لـ SDAIA خلال 72 ساعة.
المتأثرون يُبلَّغون خلال 72 ساعة + توضيح الإجراءات الواجبة منهم.
السجل الكامل للحادث يُحفظ ويُتاح لجهات الرقابة.

١٢. التحديثات على هذه السياسة

نحدّث هذه السياسة عند تغيّر متطلبات النظام أو إضافة معالجين جدد. التحديثات الجوهرية تُبلَّغ لكم عبر الإيميل + إشعار داخل المنتج قبل النفاذ بـ 14 يوم على الأقل.

١٣. التواصل معنا

لأي استفسار خصوصية، شكوى، أو ممارسة حقوق:

Dealix — مسؤول حماية البيانات (DPO)

📧 dpo@dealix.sa — للتواصل المباشر مع DPO
📧 privacy@dealix.sa — لطلبات DSR
🌐 SDAIA — جهة الإشراف على PDPL — لتقديم شكوى مباشرة لو لم نلتزم بالاستجابة.

هذه السياسة لا تُغني عن استشارة قانونية مهنية. لأي تقاضي يخضع لاختصاص المحاكم السعودية.
الشروط والأحكام · Trust Center