سياسة الخصوصية وحماية البيانات الشخصية
متوافقة مع نظام حماية البيانات الشخصية (PDPL) الصادر بالمرسوم الملكي رقم م/19 — آخر تحديث: فبراير 2026
جدول المحتويات
- هوية المتحكم في البيانات
- الجهة الرقابية
- نطاق السياسة
- الأساس القانوني للمعالجة
- البيانات التي نجمعها
- أغراض المعالجة
- الموافقة
- حقوق صاحب البيانات
- الاحتفاظ بالبيانات
- أمان البيانات
- إشعار خرق البيانات
- مشاركة البيانات
- نقل البيانات عبر الحدود
- ملفات تعريف الارتباط
- بيانات الأطفال
- مسؤول حماية البيانات
- تعديلات السياسة
- الشكاوى
1. هوية المتحكم في البيانات
شركة XiKey ("نحن"، "لنا"، "الشركة") هي المتحكم في البيانات الشخصية المسؤول عن معالجة بياناتكم الشخصية وفقاً لنظام حماية البيانات الشخصية (PDPL) الصادر بالمرسوم الملكي رقم م/19 بتاريخ 1443/2/9هـ ولائحته التنفيذية.
المتحكم: XiKey
العنوان: جدة، برج طريق الملك، المملكة العربية السعودية
البريد الإلكتروني: [email protected]
السجل التجاري: جدة، المملكة العربية السعودية
2. الجهة الرقابية
الجهة المختصة بالإشراف على تطبيق نظام حماية البيانات الشخصية هي الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا - SDAIA)، وفقاً لقرار مجلس الوزراء رقم 292.
الجهة الرقابية: الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)
الموقع: sdaia.gov.sa
المنصة الوطنية: dgp.sdaia.gov.sa
3. نطاق السياسة
تنطبق هذه السياسة على جميع البيانات الشخصية التي تتم معالجتها من خلال:
- موقع XiKey الإلكتروني (xikey.com)
- نظام XiKey لنقاط البيع (POS)
- نظام إدارة المخزون
- نظام المحاسبة والتقارير المالية
- نظام إدارة الفروع
- خدمات الترخيص والدعم الفني
- خدمات التكامل مع ZATCA/فاتورة
4. الأساس القانوني للمعالجة
نعالج بياناتكم الشخصية استناداً إلى الأسس القانونية التالية وفقاً للمادة 5 من نظام حماية البيانات الشخصية:
- الموافقة: عند تقديم معلوماتكم طوعاً عبر نماذج الاتصال أو طلب التجربة المجانية
- تنفيذ العقد: لتقديم خدمات الترخيص والدعم الفني والتحديثات
- الالتزام القانوني: الامتثال لمتطلبات ZATCA للفوترة الإلكترونية والمتطلبات الضريبية
- المصلحة المشروعة: تحسين خدماتنا وضمان أمان النظام (لا ينطبق على البيانات الحساسة)
5. البيانات الشخصية التي نجمعها
نجمع فقط البيانات الضرورية لتحقيق أغراض المعالجة المحددة (مبدأ تقليل البيانات):
أ) بيانات الموقع الإلكتروني
- معلومات الاتصال: الاسم، البريد الإلكتروني، رقم الهاتف، اسم الشركة
- تفضيلات اللغة والتصفح
- بيانات ملفات تعريف الارتباط (مع موافقتكم)
ب) بيانات نظام XiKey (مخزنة محلياً)
- بيانات الموظفين: الاسم، رقم الهوية، معلومات التوظيف
- بيانات العملاء: الاسم، معلومات الاتصال، سجل المشتريات
- بيانات المعاملات: الفواتير، المدفوعات، المرتجعات
- البيانات المالية: القيود المحاسبية، التقارير المالية
ملاحظة هامة: نظام XiKey يعمل محلياً (On-Premise). بيانات أعمالكم تُخزَّن حصرياً على خوادمكم الخاصة داخل المملكة العربية السعودية. لا ننقل أو نخزن بيانات المعاملات أو العملاء أو الموظفين على خوادمنا.
ج) بيانات الترخيص
- مفاتيح التفعيل ومعلومات الأجهزة المرخصة
- سجلات التحقق من الترخيص
6. أغراض المعالجة
نعالج بياناتكم الشخصية للأغراض التالية فقط:
- تقديم وتشغيل خدمات نظام XiKey
- إدارة تراخيص البرنامج والتفعيل
- تقديم الدعم الفني واستكشاف الأخطاء
- إرسال تحديثات المنتج والإشعارات الأمنية
- الامتثال لمتطلبات ZATCA للفوترة الإلكترونية
- الامتثال للمتطلبات القانونية والتنظيمية في المملكة
- تحسين خدماتنا ومنتجاتنا (بيانات مجمعة فقط)
7. الموافقة
وفقاً للمادة 6 من نظام حماية البيانات الشخصية، نحصل على موافقتكم الصريحة قبل:
- جمع بياناتكم الشخصية عبر نماذج الموقع
- إرسال رسائل تسويقية أو ترويجية
- استخدام ملفات تعريف الارتباط غير الضرورية
يحق لكم سحب موافقتكم في أي وقت دون التأثير على مشروعية المعالجة التي تمت قبل السحب. لسحب الموافقة، تواصلوا معنا عبر [email protected].
8. حقوق صاحب البيانات
وفقاً للمواد 4 و14-19 من نظام حماية البيانات الشخصية، يحق لكم:
الاطلاع على هويتنا وأغراض المعالجة والأساس القانوني ومدة الاحتفاظ وحقوقكم قبل جمع بياناتكم
طلب نسخة من بياناتكم الشخصية في صيغة مقروءة
طلب تصحيح أو تحديث البيانات غير الدقيقة أو غير المكتملة
طلب حذف بياناتكم عندما لم تعد ضرورية أو عند سحب الموافقة
طلب تقييد معالجة بياناتكم أثناء النظر في الاعتراضات
سحب موافقتكم في أي وقت من خلال القنوات المتاحة
رفض تلقي المواد التسويقية المباشرة
تقديم شكوى إلى سدايا (SDAIA) خلال 90 يوماً من اكتشاف المخالفة
المطالبة بتعويض عن الأضرار الناتجة عن مخالفة نظام حماية البيانات أمام المحاكم المختصة
لممارسة أي من حقوقكم، يرجى التواصل مع مسؤول حماية البيانات عبر: [email protected]. سنستجيب لطلبكم خلال 30 يوماً.
9. الاحتفاظ بالبيانات
نحتفظ ببياناتكم الشخصية فقط للمدة اللازمة لتحقيق أغراض المعالجة أو حسب ما يقتضيه القانون:
| نوع البيانات | مدة الاحتفاظ | الأساس |
|---|---|---|
| بيانات نموذج الاتصال | 12 شهراً | الغرض التجاري |
| بيانات الترخيص | مدة الترخيص + سنة واحدة | تنفيذ العقد |
| الفواتير الإلكترونية (ZATCA) | 6 سنوات | التزام قانوني (نظام ZATCA) |
| سجلات الدعم الفني | 3 سنوات | مصلحة مشروعة |
| السجلات المالية | 7 سنوات | التزام قانوني (نظام الزكاة والضريبة) |
10. أمان البيانات
نتخذ التدابير التنظيمية والإدارية والتقنية اللازمة لحماية بياناتكم الشخصية، وفقاً لضوابط الهيئة الوطنية للأمن السيبراني (NCA):
- تشفير SSL/TLS لجميع الاتصالات
- تشفير البيانات في حالة السكون والنقل
- نظام صلاحيات متعدد المستويات (RBAC)
- سجل تدقيق كامل لجميع العمليات
- نسخ احتياطي تلقائي ومشفر
- حماية ضد الوصول غير المصرح به
- مراجعة أمنية دورية للأنظمة
11. إشعار خرق البيانات
في حالة حدوث خرق للبيانات الشخصية يشكل خطراً على حقوقكم وحرياتكم، نلتزم بما يلي وفقاً للمادة 20 من النظام:
12. مشاركة البيانات مع أطراف ثالثة
لا نبيع بياناتكم الشخصية. نشارك البيانات فقط في الحالات التالية مع ضمان التزام الأطراف الثالثة بمستوى حماية مماثل:
- منصة ZATCA/فاتورة: إرسال بيانات الفاتورة الإلكترونية حسب متطلبات النظام
- شركاء الدعم الفني المعتمدين: بموافقتكم المسبقة وبعقد مكتوب يلزمهم بحماية البيانات
- الجهات الحكومية: عند وجود التزام قانوني أو أمر قضائي
13. نقل البيانات خارج المملكة
وفقاً للمادة 29 من نظام حماية البيانات الشخصية ولائحة نقل البيانات الشخصية خارج المملكة:
- نظام XiKey يعمل محلياً ولا ينقل بيانات الأعمال خارج المملكة
- في حالة الحاجة إلى أي نقل عبر الحدود، نضمن مستوى حماية كافٍ وفقاً لتقييم سدايا
- نلتزم باستخدام البنود التعاقدية المعتمدة من سدايا عند الضرورة
14. ملفات تعريف الارتباط والتتبع
يستخدم موقعنا الأنواع التالية من ملفات تعريف الارتباط:
- ضرورية: تفضيلات اللغة وجلسة التصفح (لا تتطلب موافقة)
- وظيفية: وضع العرض (داكن/فاتح) وتفضيلات الواجهة
لا نستخدم ملفات تعريف ارتباط تسويقية أو تتبعية من أطراف ثالثة. لا نستخدم Google Analytics أو أي أدوات تتبع خارجية.
15. بيانات الأطفال
نظام XiKey هو نظام أعمال موجه للشركات والمؤسسات. لا نجمع عمداً بيانات شخصية من أفراد دون سن 18 عاماً. في حالة اكتشاف جمع بيانات طفل بدون موافقة ولي الأمر، سنحذفها فوراً.
16. مسؤول حماية البيانات (DPO)
عينت XiKey مسؤول حماية بيانات وفقاً لمتطلبات نظام حماية البيانات الشخصية. يمكنكم التواصل مع مسؤول حماية البيانات بخصوص أي استفسارات أو طلبات تتعلق ببياناتكم الشخصية:
مسؤول حماية البيانات
البريد الإلكتروني: [email protected]
العنوان: جدة، برج طريق الملك، المملكة العربية السعودية
17. تعديلات السياسة
قد نُحدِّث هذه السياسة من وقت لآخر لتعكس التغييرات في ممارساتنا أو المتطلبات القانونية. سنُخطركم بأي تغييرات جوهرية عبر البريد الإلكتروني أو إشعار بارز على موقعنا. تاريخ آخر تحديث مذكور أعلى هذه الصفحة.
18. الشكاوى
إذا كنتم غير راضين عن كيفية تعاملنا مع بياناتكم الشخصية، يمكنكم:
- التواصل مع مسؤول حماية البيانات عبر [email protected]
- تقديم شكوى إلى سدايا (SDAIA) خلال 90 يوماً من اكتشاف المخالفة عبر المنصة الوطنية لحوكمة البيانات: dgp.sdaia.gov.sa
- رفع دعوى تعويض أمام المحاكم المختصة في مدينة جدة
المراجع التنظيمية
- نظام حماية البيانات الشخصية - المرسوم الملكي رقم م/19 بتاريخ 1443/2/9هـ
- اللائحة التنفيذية لنظام حماية البيانات الشخصية
- لائحة نقل البيانات الشخصية خارج المملكة (2025)
- مبادئ أخلاقيات الذكاء الاصطناعي - سدايا (2023)
- إطار تبني الذكاء الاصطناعي - سدايا (2025)