الإصدار: 2026-06-17-v3|آخر تحديث: 2026-06-17|متوافقة مع نظام حماية البيانات الشخصية (PDPL)|تنزيل / طباعة PDF
المادة (1) — التعريفات
تُعرَّف المصطلحات التالية بالمعاني المبيّنة أمامها أينما وردت في هذه السياسة، ما لم يقتضِ السياق غير ذلك:
«الشركة» أو «المنصة»: شركة موئل الأعمال، المسجَّلة في المملكة العربية السعودية، الرياض، بصفتها المسؤول عن معالجة البيانات الشخصية وفق نظام حماية البيانات الشخصية.
«صاحب البيانات»: الشخص الطبيعي الذي تتعلق به البيانات الشخصية المُعالَجة، سواء كان عضواً مشتركاً، أو زائراً، أو ممثلاً لجهة اعتبارية.
«البيانات الشخصية»: كل بيانٍ يدلّ على الهوية أو الموقع أو طرق التواصل أو الحالة المالية أو السلوك التجاري لصاحب البيانات، وفق المادة الأولى من النظام.
«المعالجة»: أي عملية تُجرى على البيانات الشخصية بأي وسيلة، آلية كانت أو يدوية.
«الجهة الرقابية»: الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) بصفتها المختصة بالإشراف على تطبيق النظام.
المادة (2) — نطاق التطبيق
تسري هذه السياسة على كل بيان شخصي تجمعه الشركة من صاحب البيانات أو نيابةً عنه عبر أيٍّ من قنواتها: المنصة الإلكترونية (المواقع والتطبيقات)، نقاط الاستقبال، أنظمة المقهى ونقاط البيع، وقنوات التواصل (البريد، الواتساب، الهاتف).
باستخدام أي خدمة من خدمات الشركة، يُعدّ صاحب البيانات قد اطّلع على هذه السياسة، وأنّ موافقاته الصريحة على الفئات الاختيارية مُلتقَطة في الموضع المخصّص لها من المنصة.
المادة (3) — فئات البيانات التي تُجمَع
تجمع الشركة الفئات التالية من البيانات بالقدر اللازم لتقديم خدماتها وتحسينها:
3-1 البيانات التعريفية: الاسم الكامل، رقم الهوية الوطنية أو الإقامة، تاريخ الميلاد، الجنسية.
3-2 بيانات التواصل: رقم الجوال، البريد الإلكتروني، عنوان السكن أو العمل عند الاقتضاء.
3-3 البيانات المهنية: جهة العمل، التخصص، رقم السجل التجاري للجهات الاعتبارية.
3-4 البيانات المالية: تفاصيل الفواتير، طرق الدفع المعتمدة، الرقم الضريبي عند الاقتضاء، مع التأكيد على أن بيانات البطاقات تُعالَج لدى مزوّد الدفع المعتمد ولا تُخزَّن على خوادم الشركة.
3-5 بيانات الاستخدام والتشغيل: سجلات الدخول، سجلات الحجوزات، تفضيلات المنتجات، حضور الفعاليات، إيصالات نقاط البيع.
3-6 البيانات التقنية: عنوان IP، نوع المتصفح ونظام التشغيل، ملفات تعريف الارتباط (راجع سياسة الكوكيز المنفصلة).
3-7 ملف «كرَم» — طبقة الذاكرة التشغيلية: تفضيلات ذوقية غير طبّية يدوّنها الموظفون عن العميل لرفع جودة الخدمة (المشروب المفضّل، المقعد المعتاد). لا نجمع أيّ بيانات صحّية أو حسّاسة (بما فيها مسبّبات الحساسية) وفق المادة الأولى (4) من النظام؛ ويُعرَض تحذير مكوّنات عام على قائمة المقهى، ومسؤولية التحقّق من الحساسية على العميل.
3-8 بيانات الاستشعار البيئي للأماكن: تسجيل دخول وخروج المباني (للأمن)، ولا تُسجَّل بصمات حيوية في هذا الإصدار.
المادة (4) — الأغراض من المعالجة
تُعالَج البيانات الشخصية للأغراض التالية، ولا تُستخدم لغير ذلك دون موافقة منفصلة:
4-1 تنفيذ العقد: إنشاء الحساب، تنفيذ الحجوزات، إصدار الفواتير، إدارة الاشتراكات.
4-2 الالتزام النظامي: متطلبات هيئة الزكاة والضريبة والجمارك (ZATCA)، نظام مكافحة غسل الأموال، الإفصاح للجهات المختصة عند الطلب الرسمي.
4-4 تحسين الخدمة: تحليلات استخدام مجمَّعة ومجهَّلة المصدر لاكتشاف الاختناقات وتطوير المنتج.
4-5 التسويق الموجَّه: فقط عند الموافقة الصريحة، وقابلة للسحب في أي وقت دون التأثير على شرعية المعالجة السابقة.
4-6 منع الاحتيال وحماية الأمن: مراقبة سجلات النشاط للكشف عن محاولات الاختراق، وحماية المنصة وفق المصلحة المشروعة دون الإخلال بحقوق صاحب البيانات.
4-7 تحليل سلوكي مساعد للموظف: تُحلَّل أنماط الزيارة والشراء لاكتشاف تغيّرات قد تستدعي اهتماماً إضافياً (مثل: انخفاض زيارات يستدعي تواصلاً ودّياً). لا تُتّخذ قرارات آلية بحقّ صاحب البيانات وفق المادة العاشرة من النظام — كل تواصل ناتج عن التحليل يخضع لمراجعة بشرية قبل الإرسال.
المادة (5) — الأساس النظامي للمعالجة
تستند الشركة في المعالجة إلى أحد الأسس الواردة في المادة الخامسة من النظام:
5-1 تنفيذ العقد المبرَم مع صاحب البيانات أو الإجراءات السابقة لإبرامه.
5-2 الالتزام بالتزام نظامي مفروض على الشركة بموجب الأنظمة المعمول بها في المملكة.
5-3 الموافقة الصريحة من صاحب البيانات للفئات الاختيارية: التسويق، التحليلات السلوكية، نقل البيانات خارج المملكة.
5-4 تحقيق المصلحة المشروعة في حدود لا تخلّ بحقوق صاحب البيانات وحرياته الأساسية.
المادة (6) — مشاركة البيانات مع أطراف ثالثة
6-1 لا تشارك الشركة بيانات صاحب البيانات مع أي طرف ثالث لأغراض تسويقية دون موافقة صريحة منفصلة.
6-2 قد تُشارَك بيانات محدودة وبالقدر اللازم مع: مزوّدي خدمات الدفع لإتمام المعاملات، مزوّدي الفوترة الإلكترونية للتوافق مع منصة ZATCA، الجهات الحكومية عند الطلب النظامي الرسمي، ومستشاري المحاسبة والقانون تحت اتفاقيات سرية مكتوبة.
6-3 يُلزَم كل طرف ثالث بمعالجة البيانات للغرض المُتفَق عليه فقط، وبتطبيق ضمانات حماية لا تقلّ عمّا تطبّقه الشركة، ولفترة لا تتجاوز ما هو ضروري.
المادة (7) — نقل البيانات خارج المملكة (المادة 29 من النظام)
إفصاحاً صريحاً وفق المادة (29) من نظام حماية البيانات الشخصية، تُعالَج بعض بياناتكم لدى مزوّدي خدمات تقنية مقارّهم خارج المملكة العربية السعودية.
الأساس النظامي لهذا النقل: الموافقة الصريحة عند التسجيل (المادة 29 (ب))، وضرورة تنفيذ العقد بينكم وبين الشركة لتشغيل الخدمة (المادة 29 (أ)).
فيما يلي القائمة الكاملة بهذه الجهات والمعالجات التي تُجرى لديها وضمانات الحماية المطبَّقة:
(DigitalOcean (دروبليت فرانكفورت — ألمانيا)) — الموقع: ألمانيا (الاتحاد الأوروبي).
الغرض: استضافة قاعدة بيانات المنصة وتخزين الملف الشخصي وسجل الحجوزات والفواتير. هذا هو المكان الفعلي لتخزين بياناتك.
ضمانات الحماية: العقد القياسي مع DigitalOcean (DPA الأوروبي)، وعزل البنية التحتية، وقيود وصول للموظفين.
(Anthropic (واجهة Claude — الولايات المتحدة)) — الموقع: الولايات المتحدة الأمريكية.
الغرض: يستعين بها موظفو الدارة لصياغة مسوّدات الرسائل والردود الذكية ولتشغيل مساعد الواتساب. تُمرَّر فقط نصوص الرسائل، ولا نُمرّر هويتك الكاملة.
ضمانات الحماية: تفعيل خيار «لا للتدريب» (Anthropic no-training opt-out)، وتمرير الحد الأدنى من البيانات، وتنفّذ المعالجة فقط بعد موافقتك الصريحة.
(Meta / WhatsApp Business) — الموقع: الولايات المتحدة الأمريكية (مع بنية تحتية إقليمية).
الغرض: إرسال رسائل الواتساب الرسمية (تأكيدات الحجز، الفواتير، الإشعارات التشغيلية). تخضع لشروط WhatsApp Business القياسية.
ضمانات الحماية: يقتصر ما يُمرَّر إلى Meta على رقم الجوال ومحتوى الرسالة عند إرسالها فعلياً، ولا تُشارَك بياناتك الكاملة معها.
يمكن سحب الموافقة على هذا النقل في أي وقت من إعدادات الخصوصية في بوابة العضو. سحب الموافقة قد يحدّ من قدرة الشركة على تقديم بعض الخدمات (كالذكاء الاصطناعي المساعد أو خدمات الواتساب)، ولا يؤثر على شرعية المعالجة السابقة.
لم تُصنِّف الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) حتى تاريخ هذه السياسة دول الاتحاد الأوروبي أو الولايات المتحدة ضمن قائمة الدول ذات الحماية الكافية، لذا تعتمد الشركة على الموافقة الصريحة وعلى ضمانات تعاقدية مع كل مزوّد.
المادة (8) — حقوق صاحب البيانات
وفق المادة الرابعة من النظام، لصاحب البيانات الحقوق التالية في أي وقت:
8-1 حق العلم: معرفة الأساس النظامي للمعالجة والغرض منها.
8-2 حق الوصول: طلب نسخة من البيانات — متاح مباشرة من بوابة العضو عبر تنزيل ملف JSON.
8-3 حق التصحيح: تعديل أي بيانات غير دقيقة أو غير مكتملة.
8-4 حق الحذف: طلب حذف البيانات متى انتفى الغرض من معالجتها، وضمن حدود الالتزام النظامي بالاحتفاظ بسجلات الفواتير الضريبية.
8-5 حق سحب الموافقة: في أي وقت دون أن يؤثر ذلك على شرعية المعالجة السابقة.
8-6 حق نقل البيانات: استلامها بصيغة منظَّمة قابلة للاستخدام (JSON).
8-7 حق التظلّم: تقديم شكوى للهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) عند الإحساس بانتهاك الحقوق.
تُمارَس هذه الحقوق من بوابة العضو، أو بمراسلة مسؤول حماية البيانات على البريد المذكور في المادة (13).
المادة (9) — فترات الاحتفاظ بالبيانات
تحتفظ الشركة بالبيانات للحدّ الأدنى اللازم لتحقيق الغرض من جمعها:
9-1 بيانات الحساب: طوال فترة العضوية، يُضاف إليها 30 يوماً بعد طلب الحذف لإغلاق الالتزامات المالية والتشغيلية.
9-2 الفواتير وسجلات الدفع: 10 سنوات للالتزام بمتطلبات هيئة الزكاة والضريبة والجمارك (ZATCA) ونظام الشركات.
9-3 سجلات الدخول والتدقيق الأمني: 24 شهراً.
9-4 بيانات الموافقات على السياسات (policy_acceptances): 10 سنوات (إثبات قانوني لمدة التقادم التجاري).
9-5 بيانات التسويق: حتى سحب الموافقة، ثم تُحذف من قوائم الإرسال خلال 7 أيام عمل.
9-6 سجلات الزيارات وملاحظات «كرَم»: 24 شهراً، يليها تجهيل المصدر لـ 18 شهراً نشطة قبل الإقفال النهائي.
9-7 استنتاجات التحليل السلوكي (كمؤشر احتمال الانقطاع): 7 أيام فقط مع تحديث يومي، دون احتفاظ بسجل تاريخي للاستنتاجات.
بعد انقضاء كل فترة، تُحذف البيانات أو تُجهَّل بشكل لا يسمح بإعادة الربط بصاحبها.
المادة (10) — تدابير الأمن
تطبّق الشركة تدابير حماية فنية وإدارية مناسبة لحجم الخدمة ودرجة حساسية البيانات:
10-1 نقل البيانات عبر الشبكة محمي بـ HTTPS/TLS 1.3.
10-2 تشفير البيانات الحسّاسة عند التخزين قيد التنفيذ ومن المخطّط استكمال تفعيله خلال الربع الثالث من 2026؛ تعتمد الحماية حتى ذلك التاريخ على عزل البنية التحتية، ضوابط الوصول، وتدابير أمن مادي للمضيف. تُفصح الشركة عن هذا الوضع بشفافية بدلاً من الإيحاء بعكسه.
10-3 صلاحيات وصول محصورة على أساس الدور الوظيفي وفق مبدأ أقلّ الامتيازات.
10-4 سجلات تدقيق كاملة على العمليات الحسّاسة.
10-5 مراجعات أمنية دورية واختبارات اختراق سنوية يجريها طرف مستقل.
10-6 خطة استجابة للحوادث تتضمّن إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من اكتشاف أي اختراق جوهري وفق المتطلبات النظامية.
المادة (11) — ملفات تعريف الارتباط
تستخدم الشركة ملفات تعريف الارتباط الضرورية لتشغيل الموقع، إلى جانب ملفات تحليلية وتسويقية اختيارية تخضع لموافقة منفصلة وفق سياسة الكوكيز المنشورة على صفحة مستقلة.
يحق لصاحب البيانات قبول الملفات الاختيارية أو رفضها أو تعديل اختياره في أي وقت دون أن يؤثر ذلك على وصوله للخدمات الأساسية.
المادة (12) — خصوصية القاصرين
12-1 الخدمة موجَّهة للأشخاص البالغين 18 سنة فأكثر. لا تجمع الشركة بيانات قاصرين دون هذا العمر عن قصد.
12-2 عند العلم بجمع بيانات قاصر دون موافقة وليّ الأمر، تُحذف فوراً وتُتَّخذ التدابير المناسبة لمنع تكرار ذلك.
المادة (13) — الإشعارات والتحديثات
13-1 قد تُحدَّث هذه السياسة من وقت لآخر. عند أي تغيير جوهري، تُشعِر الشركة صاحب البيانات عبر البريد المسجَّل أو إشعار داخل المنصة قبل سريان التغيير بـ 30 يوماً.
13-2 استمرار استخدام الخدمة بعد التحديث يُعدّ موافقة على النسخة الجديدة. ويُحفَظ كل إصدار سابق ضمن سجلات الشركة لأغراض التدقيق وفقاً للمادة (9-4).
المادة (14) — التواصل والاختصاص
14-1 لأي استفسار أو طلب يخص حقوق صاحب البيانات بموجب النظام، يُتواصَل مع مسؤول حماية البيانات (DPO):
البريد الإلكتروني: privacy@aldarah.sa
الهاتف: +966 50 000 0000
العنوان: العليا، الرياض، المملكة العربية السعودية
14-2 للتظلّم لدى الجهة المختصة: الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) — sdaia.gov.sa.
14-3 تخضع هذه السياسة لأنظمة المملكة العربية السعودية وتُفسَّر وفقها. تختصّ المحكمة التجارية في مدينة الرياض بالنظر في أي نزاع ينشأ عنها، ما لم يكن النزاع داخلاً في الاختصاص الأصيل لمحكمة أخرى بموجب نظام المرافعات الشرعية.