توثيق شامل ومفصّل لكل جانب من جوانب جمع بياناتك ومعالجتها وحمايتها وحقوقك الكاملة تجاهها
تُعدّ هذه السياسة وثيقة قانونية رسمية تُصدرها شركة RAFD Digital التزاماً بمبادئ الشفافية وحماية البيانات المنصوص عليها في نظام حماية البيانات الشخصية السعودي ولوائحه التنفيذية، وتستهدف إطلاع جميع أصحاب المصلحة على ممارساتنا في التعامل مع البيانات بشكل كامل ودقيق.
تُبنى ممارساتنا في معالجة البيانات على المبادئ الجوهرية الثمانية التالية التي لا تقبل المساومة:
لا نجمع أي بيانات إلا بعد تحديد غرض واضح ومشروع ومُعلَن للمستخدم قبل الجمع لا بعده
نقتصر على جمع البيانات اللازمة تحديداً لأداء الخدمة — لا أقل ولا أكثر من الضروري
نسعى للحفاظ على دقة البيانات المُخزَّنة ونُتيح للمستخدمين تصحيح أي معلومات غير صحيحة
تُحمى البيانات بطبقات تقنية وتنظيمية متعددة من الوصول غير المُصرَّح به أو الفقدان أو التلف
لا أسرار في ممارساتنا. نُفصح عن كل ما يتعلق ببياناتك في هذه الوثيقة بلغة واضحة ومفهومة
نُوفّر آليات فعلية تُتيح للمستخدمين السيطرة الحقيقية على بياناتهم وليس السيطرة الشكلية فحسب
تُحذف البيانات فور انتهاء الغرض من جمعها ضمن الجداول الزمنية الموثَّقة في القسم العاشر
تستند معالجة البيانات دائماً لأساس قانوني مشروع محدد مسبقاً كما هو موثَّق في القسم الرابع
تسري هذه السياسة على البيانات الشخصية لجميع الفئات التالية:
لا تسري هذه السياسة على ممارسات الخصوصية للجهات الشريكة في تعاملها مع متقدميها خارج منصتنا، ولا على مواقع أطراف ثالثة مرتبطة بروابط من موقعنا. يجب الرجوع لسياسات خصوصية تلك الجهات والمواقع بشكل مستقل.
| البيانات | طريقة الجمع | الغرض | إلزامية؟ |
|---|---|---|---|
| الاسم الكامل للممثّل | إدخال مباشر عند التسجيل | التعريف والتواصل | ✅ إلزامية |
| البريد الإلكتروني التجاري | إدخال مباشر عند التسجيل | الدخول والإشعارات والفواتير | ✅ إلزامية |
| رقم الجوال | إدخال مباشر عند التسجيل | التحقق والدعم الطارئ | ✅ إلزامية |
| اسم المؤسسة الرسمي | إدخال مباشر عند التسجيل | الفوترة والعرض في النظام | ✅ إلزامية |
| نوع المؤسسة | قائمة اختيار عند التسجيل | تخصيص الخدمة | ✅ إلزامية |
| المدينة الرئيسية | قائمة اختيار عند التسجيل | التقارير الإقليمية والدعم | ✅ إلزامية |
| كلمة المرور (مُشفَّرة) | إنشاء الحساب | أمان الدخول | ✅ إلزامية |
| بيانات الدفع والفوترة | بوابة الدفع الإلكتروني | معالجة الاشتراك وإصدار الفواتير | ✅ للباقات المدفوعة |
| سجلات الدخول وبيانات الجلسات | تلقائياً عند الاستخدام | الأمان ومراجعة النشاط | تلقائية |
| سجلات الإجراءات في لوحة التحكم | تلقائياً عند الاستخدام | التدقيق ومنع الاحتيال | تلقائية |
| التفضيلات والإعدادات | خيارات المستخدم | تخصيص التجربة | اختيارية |
| مراسلات الدعم الفني | مراسلات البريد / الدردشة | حل المشكلات وتحسين الخدمة | عند التواصل |
تُحدِّد الجهة الشريكة نوع البيانات المطلوبة في نموذجها. المنصة تُعالَج ما تجمعه الجهة وقد يشمل:
| نوع البيانات | طريقة الجمع | الغرض من المنظور التقني |
|---|---|---|
| الاسم الكامل | حقل نصي في النموذج | التعريف وربط الإجابات بالشخص |
| البريد الإلكتروني | حقل في النموذج + OTP | التحقق من الهوية ومنع التكرار |
| رقم الجوال | حقل في النموذج | التحقق والتواصل من قِبَل الجهة |
| إجابات الأسئلة التقييمية | الاختيارات والنصوص في النموذج | احتساب الدرجة وتوليد التقييم |
| الملفات المرفقة (CV، شهادات...) | رفع ملفات في النموذج | الاطلاع البشري من قِبَل الجهة |
| بيانات الجلسة (وقت التقديم، نوع الجهاز) | تلقائياً أثناء ملء النموذج | ضمان نزاهة العملية ومنع التكرار |
| عنوان IP تقريبي | تلقائياً | الأمان ومنع الاحتيال |
| الدرجة الإجمالية والتفاصيل | محتسَبة آلياً بعد التقديم | تمكين الجهة من المفاضلة |
| توقيت ومراحل التقديم | تلقائياً | التحليل والتقارير للجهة |
لكل نوع من أنواع معالجة البيانات أساس قانوني مشروع وفق نظام حماية البيانات الشخصية السعودي:
معالجة بيانات الجهات الشريكة لتشغيل الاشتراك والخدمات المتفق عليها في الاتفاقية — ضرورة تعاقدية لا خيارية
إرسال الرسائل التسويقية واشتراكات النشرة الإخبارية — لا تُرسَل إلا بعد الموافقة الإيجابية الصريحة
الاحتفاظ بسجلات الفواتير والمعاملات المالية وفق متطلبات هيئة الزكاة والضريبة والجمارك (7 سنوات)
تحليلات استخدام المنصة لتحسين الخدمة، والأمن السيبراني لمنع الاحتيال والاختراق — مع مراعاة مصالح المستخدمين
معالجة طلبات المستجيبين عبر النماذج — بمعنى أن المستجيب هو من يبدأ العملية طوعياً
الامتثال لطلبات الجهات الحكومية والقضائية ذات الصلاحية القانونية في المملكة العربية السعودية
فيما يلي توثيق كامل ومفصَّل لجميع الأغراض التي نستخدم فيها بياناتك:
عندما يُكمل المستجيب نموذجاً، تُرسَل إجاباته النصية — دون بيانات تعريفه الشخصية — إلى نموذج لغوي ذكاء اصطناعي يُطابقها مع معايير الجهة المُحددة مسبقاً ويحتسب درجة عددية لكل معيار، ثم يُولّد الدرجة الإجمالية المرجّحة.
| يُرسَل | لا يُرسَل |
|---|---|
| متن إجابات المستجيب النصية | اسم المستجيب |
| معايير الجهة وأوزانها | بريد المستجيب الإلكتروني |
| تعليمات التقييم من الجهة | رقم الجوال |
| سياق النموذج العام | IP المستجيب وموقعه |
| — | أي بيانات تعريفية تُحدِّد هويته |
نستخدم حالياً نماذج ذكاء اصطناعي من شركة Anthropic (نموذج claude-haiku-4-5 ). أبرم مع Anthropic اتفاقية API تحظر استخدام بيانات الطلبات في تدريب النماذج. كل طلب معزول ومستقل ولا تُحتفَظ بسياقه بعد إغلاق الاتصال.
المبدأ الأساسي: لا نبيع بياناتك ولا نُؤجرها لأي جهة بأي شكل كان. المشاركة الوحيدة الممكنة هي مع مزودي الخدمات الضروريين لتشغيل المنصة وفق العقود الملزمة التالية:
| المزوّد | الموقع | البيانات المُشاركة | الغرض | الضمانات |
|---|---|---|---|---|
| Supabase | الولايات المتحدة / أوروبا | جميع بيانات المنصة المُخزَّنة | قاعدة البيانات الرئيسية | AES-256، SOC 2، DPA موقَّعة |
| Anthropic | الولايات المتحدة | إجابات المتقدمين النصية فقط (مجهولة الهوية) | توليد درجات التقييم | API ToS تحظر التدريب، معزولة لكل طلب |
| Resend | الولايات المتحدة | البريد الإلكتروني + رمز OTP فقط | إرسال رسائل التحقق والإشعارات | TLS، عدم تخزين دائم لمحتوى الرسائل |
| Netlify | الولايات المتحدة | سجلات الطلبات HTTP، الملفات الثابتة | استضافة الموقع وتشغيل الوظائف السحابية | SOC 2 Type II، GDPR Compliant |
| بوابات الدفع المعتمدة | المملكة العربية السعودية | بيانات المعاملات المالية فقط | معالجة مدفوعات الاشتراكات | مُرخَّصة من مؤسسة النقد السعودي (SAMA) |
| الجهات القضائية والحكومية | حسب الطلب | ما يُحدِّده الأمر القضائي | الامتثال للأوامر القانونية الملزمة | نُحاول الإشعار المسبق كلما سمح القانون |
قد نُفصح عن البيانات أيضاً في الحالات التالية:
تعمل بعض مكونات البنية التحتية خارج المملكة العربية السعودية. فيما يلي توثيق كامل للضمانات المُطبَّقة:
نُطبّق نهج "الأمان بالتصميم" (Security by Design) حيث تُبنى الحماية في صميم المنصة لا كطبقة إضافية:
AES-256 للتخزين + TLS 1.3 للنقل في جميع الطبقات بلا استثناء
قيود منطقية صارمة بين الجهات تمنع أي تسرّب بشكل مادي
كل موظف يرى فقط ما يحتاجه حرفياً لأداء دوره الوظيفي
سجلات تدقيق شاملة وتنبيهات فورية للأنشطة غير الطبيعية
فحص ثغرات شهري واختبار اختراق ربعي من جهات محايدة
نسخ يومية في مواقع منفصلة جغرافياً مع اختبار الاسترداد دورياً
إمكانية تفعيل المصادقة الثنائية (2FA) لحسابات الجهات
مراجعة أمنية إلزامية لكل تغيير في الكود قبل النشر
إجراءات موثَّقة للاستجابة للحوادث ومراجعتها دورياً
رغم بذل جهود أمنية جادة، لا يمكن لأي نظام ضمان الأمان التام بنسبة 100%. نُقرّ بأن الهجمات الإلكترونية الجديدة والمتطورة تُشكّل تهديداً لأي خدمة رقمية. في حال وقوع اختراق، نتعهد بالاستجابة السريعة وفق خطة الاستجابة للحوادث الموثَّقة (القسم 17).
نُحدِّد مُسبقاً مدة الاحتفاظ بكل نوع من البيانات بناءً على الغرض والمتطلبات القانونية:
عند انتهاء مدة الاحتفاظ أو استلام طلب الحذف المؤهَّل، تُنفَّذ عملية الحذف بالخطوات التالية:
| اسم الكوكي | الغرض | المدة |
|---|---|---|
| session_token | الحفاظ على حالة تسجيل دخول الجهة | حتى تسجيل الخروج أو 24 ساعة |
| rafd_lang | تذكّر اختيار اللغة (عربي / إنجليزي) | 30 يوماً |
| csrf_token | حماية النماذج من هجمات CSRF | مدة الجلسة |
| partner_id_cache | تحميل أسرع للوحة التحكم | 24 ساعة |
| اسم الكوكي | الغرض | المدة |
|---|---|---|
| perf_metrics | قياس وقت تحميل الصفحات | 30 يوماً |
| page_visit_id | تتبع رحلة المستخدم داخل الجلسة (مجهول) | الجلسة |
يمكنك التحكم في الكوكيز من خلال:
تعطيل الكوكيز الضرورية سيُعطّل وظائف أساسية كالدخول للوحة التحكم. تعطيل كوكيز الأداء لن يؤثر على وظائف المنصة.
لا نستخدم أدوات تتبع إعلانية خارجية (Google Ads، Facebook Pixel) ولا نُشارك بيانات سلوك المستخدم مع أي شبكة إعلانية.
يُكفل نظام حماية البيانات الشخصية السعودي الحقوق الجوهرية التالية لكل شخص بياناته لدينا:
الحصول على نسخة كاملة من جميع بياناتك الشخصية المُخزَّنة لدينا، ومعلومات عن كيفية معالجتها ومع من تُشارَك، خلال 30 يوماً من الطلب المكتوب
طلب تصحيح أي بيانات غير دقيقة أو مُضلِّلة أو تحديث بيانات أصبحت قديمة، وتنفيذ الطلب خلال 15 يوم عمل
طلب حذف بياناتك نهائياً عند انتفاء الغرض من جمعها أو سحب موافقتك، مع الإبقاء فقط على ما يُلزم النظام بالاحتفاظ به
الحصول على بياناتك بتنسيق منظَّم وقابل للقراءة آلياً (JSON أو CSV) لنقلها لمزود خدمة آخر بسهولة
الاعتراض على معالجة بياناتك بناءً على المصلحة المشروعة، وإيقاف المعالجة ما لم يثبت وجود سبب مشروع يعلو على اعتراضك
طلب تعليق معالجة بياناتك مؤقتاً — مثلاً أثناء التحقق من دقتها أو ريثما تُحسَم اعتراضاتك — مع بقائها مُخزَّنة لدينا
الاعتراض على أي قرار ذي أثر مهم يستند بالكامل لمعالجة آلية، وطلب تدخل إنساني لمراجعته وإعادة تقييمه
سحب موافقتك على أي معالجة مبنية على الموافقة (كالاشتراك في النشرة الإخبارية) في أي وقت دون أثر رجعي على ما سبق
إلى privacy@rafd-digital.com مع ذكر: نوع الطلب (اطلاع / تصحيح / حذف / نقل...) + بياناتك التعريفية للتحقق
قد نطلب منك تأكيد هويتك بخطوة إضافية لمنع الطلبات غير المصرّح بها قبل الإفصاح عن البيانات أو حذفها
ستستلم رسالة تأكيد بالطلب ورقماً مرجعياً خلال 48 ساعة من الاستلام
نُعالج طلبك خلال 30 يوماً أو أقل. للطلبات المعقدة قد تمتد لـ 90 يوماً مع إشعارك بذلك ومبرراته
نُبلّغك بنتيجة طلبك كتابياً سواء بالتنفيذ الكامل أو الجزئي أو الرفض المُبرَّر
جميع الطلبات المعقولة والأولى من نوعها مجانية. الطلبات المتكررة بشكل واضح أو المفرطة قد تستوجب رسوماً إدارية رمزية بعد إشعارك مسبقاً.
عند الرفض، نُبرِّره خطياً ونُخبرك بحقك في الاعتراض أمام الجهات الرقابية.
لا تستهدف منصتنا القاصرين (دون 18 سنة) ولا تُصمَّم لجمع بياناتهم مباشرةً. منصتنا موجَّهة للاستخدام التجاري والمؤسسي من قِبل البالغين.
في حال تصميم جهة شريكة لنموذج يستهدف قاصرين أو أشخاصاً دون 18 سنة (مثل الطلاب في برامج موهبة أو مسابقات للناشئين)، تتحمل تلك الجهة المسؤولية الكاملة والحصرية عن:
نسعى لضمان إمكانية الوصول لخدماتنا من قِبل الأشخاص ذوي الإعاقات، ونلتزم بعدم إقصائهم بسبب احتياجاتهم الخاصة في تجربة الاستخدام.
بعض أنواع البيانات تُصنَّف قانونياً كـ "حساسة" وتستوجب حماية مضاعفة. تشمل هذه الفئات في نظام حماية البيانات السعودي:
موقف المنصة: لا نجمع بيانات حساسة بشكل مباشر في إطار عمل المنصة. لكن إذا أنشأت جهة شريكة نموذجاً يتضمن أسئلة في هذه الفئات، تتحمل الجهة المسؤولية القانونية الكاملة عن الحصول على الموافقة الاستثنائية المطلوبة نظاماً لمعالجة هذه البيانات.
لا نُرسل رسائل تسويقية أو ترويجية إلا بعد الحصول على موافقة صريحة إيجابية من المستلم (Opt-in). لا نعتمد على الموافقة الضمنية أو المسبقة أو التحديد المسبق لخانة "أوافق على استلام العروض".
يمكن إلغاء استلام أي رسائل تسويقية في أي وقت عبر:
يُنفَّذ إلغاء الاشتراك خلال 5 أيام عمل ولا تُرسَل أي رسالة تسويقية بعدها.
في حال وقوع أي حادثة أمنية تؤثر على البيانات الشخصية، نتبع الإجراء التالي:
فصل الأنظمة المُخترَقة وإيقاف الوصول غير المُصرَّح به لمنع توسع الضرر
تحديد نطاق الاختراق والبيانات المتأثرة والجهات المعنية
إشعار خطي مُفصَّل للجهات الشريكة التي تأثرت بياناتها يتضمن: طبيعة الاختراق، البيانات المتأثرة، الإجراءات المتخذة، ما يُقترَح عليهم فعله
الإبلاغ للجهة الوطنية للأمن السيبراني والهيئة السعودية للبيانات والذكاء الاصطناعي وفق الإجراءات النظامية المطلوبة
إصلاح الثغرة جذرياً، مراجعة الضوابط الأمنية، تحديث إجراءات الاستجابة للحوادث، نشر تقرير لاحق
تتطور ممارسات الخصوصية مع تطور الخدمة والمتطلبات القانونية. نُفرِّق بين نوعين من التغييرات:
تشمل: إضافة أغراض جديدة للمعالجة، تغيير مزودي الخدمات الرئيسيين، تقليص حقوق المستخدمين، أو أي تغيير يُضعِف مستوى الحماية. هذه التغييرات تستوجب:
تشمل: التوضيحات والأمثلة والتحديثات القانونية الشكلية. تسري فوراً مع إشعار معلوماتي فقط.
تُحفَظ جميع الإصدارات السابقة لهذه السياسة ويمكن طلبها عبر privacy@rafd-digital.com للمقارنة المرجعية.
إذا كنت غير راضٍ عن كيفية تعاملنا مع بياناتك أو طريقة معالجة طلبك، يمكنك اتخاذ الخطوات التالية بالترتيب:
إرسال شكواك المفصّلة لـ privacy@rafd-digital.com. نلتزم بالرد الكتابي المُبرَّر خلال 15 يوم عمل
إذا لم تقتنع بالرد، يمكنك طلب إحالة شكواك لمستوى أعلى في هيكل القيادة لمراجعة مستقلة
تقديم شكوى رسمية للجهة الوطنية للأمن السيبراني في المملكة العربية السعودية
التواصل مع هيئة SDAIA المسؤولة عن تطبيق نظام حماية البيانات الشخصية السعودي
عيّنت RAFD Digital مسؤول حماية بيانات (DPO) مخصصاً للإشراف على الامتثال لممارسات الخصوصية ومعالجة الاستفسارات والطلبات المتعلقة بالبيانات الشخصية.
الرياض، المملكة العربية السعودية
ساعات العمل: الأحد — الخميس، 9 صباحاً — 5 مساءً (توقيت الرياض)
نلتزم بالرد خلال 5 أيام عمل للاستفسارات العامة و30 يوماً لطلبات الحقوق الرسمية
تسري هذه السياسة على جميع خدمات RAFD Digital وتُكمِّل شروط الاستخدام المنشورة على الموقع.
نسخة PDF من هذه السياسة متاحة بطلب للأغراض الأرشيفية والتعاقدية.
جميع الحقوق محفوظة © 2026 RAFD Digital — الإصدار 4.0 — يونيو 2026