قانوني

سياسة الخصوصية

آخر تحديث: ٢٠ أبريل ٢٠٢٦ · تاريخ السريان: ٢٠ أبريل ٢٠٢٦

النسخة العربية مقدَّمة للراحة فقط. في حال وجود أي تعارض بين النسختين العربية والإنجليزية، يسود النص الإنجليزي.

تشرح سياسة الخصوصية هذه كيف يجمع SahlSign ويستخدم ويشارك ويحمي البيانات الشخصية فيما يتعلق بمنصة التوقيع الإلكتروني لدينا ("الخدمة"). كُتبت هذه السياسة لتلبية التزاماتنا بموجب قانون حماية خصوصية البيانات الشخصية القطري (قانون رقم ١٣ لسنة ٢٠١٦، "PDPPL")، والمرسوم بقانون اتحادي إماراتي رقم ٤٥ لسنة ٢٠٢١ بشأن حماية البيانات الشخصية ("UAE PDPL")، ونظام حماية البيانات الشخصية السعودي (مرسوم ملكي رقم م/١٩ لسنة ٢٠٢١، "KSA PDPL")، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي (لائحة (EU) 2016/679، "GDPR").

١. من نحن

المتحكم بالبيانات: SahlSign، بعنوان مسجَّل في برج الدوحة، شارع الكورنيش، الخليج الغربي، الدوحة، قطر. للمستندات التي ترسلها إلى موقّعين خارجيين، يعمل SahlSign عموماً بصفته معالجاً للبيانات نيابةً عنك؛ للمعلومات حول حساب SahlSign الخاص بك، نعمل بصفتنا متحكماً بالبيانات.

مسؤول حماية البيانات: يمكنك الوصول إلى مسؤول حماية البيانات لدينا على privacy@sahlsign.com.

٢. البيانات التي نجمعها

٢.١ البيانات التي تقدّمها

  • بيانات الحساب: الاسم، بريد العمل، رقم الهاتف، اسم الشركة، البلد، كلمة المرور (مُجزَّأة).
  • بيانات الفوترة: رقم تسجيل ضريبة القيمة المضافة / الضريبة، عنوان الفوترة، مرجع طريقة الدفع (لا نخزّن أرقام البطاقات الكاملة — يتم ترميزها بواسطة مزوّد الدفع لدينا).
  • محتوى المستند: الملفات التي تحمّلها، والحقول التي تضعها، والرسائل التي ترسلها إلى الموقّعين. نتعامل مع محتوى المستند على أنه سري.
  • بيانات الموقّع: عند إرسال مستند، تقدّم اسم المستلم، وبريده الإلكتروني، و(اختيارياً) رقم هاتفه.

٢.٢ البيانات المُجمَّعة تلقائياً

  • أحداث المصادقة: الطوابع الزمنية لتسجيل الدخول، معرّفات الجلسة، أحداث تسليم والتحقق من كلمة المرور لمرة واحدة (OTP).
  • أحداث التوقيع: الوقت وعنوان IP الذي فتح فيه الموقّع المستند، وشاهد فيه كل صفحة، وطبّق فيه توقيعه. هذا ما يشكّل سجل التدقيق القابل للكشف عن التلاعب على شهادة الإكمال.
  • بيانات الجهاز والشبكة: نوع المتصفح وإصداره، نظام التشغيل، سلسلة وكيل المستخدم، عنوان IP، الموقع التقريبي المستنتج من IP، عنوان URL المُحيل.
  • ملفات تعريف الارتباط والتقنيات المماثلة: نستخدم ملفات تعريف ارتباط جلسة ضرورية تماماً لحالة تسجيل الدخول وحماية CSRF؛ لا نستخدم ملفات تعريف ارتباط إعلانية.

٢.٣ البيانات الحسّاسة

لا نجمع عمداً فئات خاصة من البيانات الشخصية (الصحة، الدين، البيومتريات، الآراء السياسية). إذا حمّلت مستنداً يحتوي على مثل هذه البيانات، فأنت مسؤول عن ضمان أن لديك أساساً قانونياً صحيحاً للقيام بذلك.

٣. كيف نستخدم بياناتك

الغرضالأساس القانوني (GDPR / المكافئات الإقليمية)
توفير الخدمة (مصادقة المستخدمين، إرسال المستندات، التقاط التوقيعات، إنتاج شهادة الإكمال)تنفيذ عقد معك
الحفاظ على سجل تدقيق قابل للكشف عن التلاعب والاحتفاظ بأدلة التوقيعالتزام قانوني؛ مصلحة مشروعة في نزاهة المعاملات الإلكترونية
إرسال رسائل البريد الإلكتروني للمعاملات (الدعوات، التذكيرات، إشعارات الإكمال)تنفيذ عقد
كشف ومنع الاحتيال والإساءة والحوادث الأمنيةمصلحة مشروعة؛ التزام قانوني
معالجة الفوترة وتحصيل الرسومتنفيذ عقد؛ التزام قانوني (الضرائب، المحاسبة)
إرسال تحديثات المنتج والاتصالات التسويقيةالموافقة (يمكنك سحبها في أي وقت)؛ موافقة ضمنية حيث يسمح القانون المحلي
الاستجابة للطلبات القانونية وإنفاذ شروطناالتزام قانوني؛ مصلحة مشروعة

٤. مع من نشارك البيانات

نشارك البيانات الشخصية فقط مع الفئات التالية من المستلمين، بموجب اتفاقيات مكتوبة تتطلب منهم حمايتها:

  • مزوّد الاستضافة السحابية (Amazon Web Services) — البنية التحتية والتخزين.
  • مزوّد تسليم البريد الإلكتروني (Resend) — رسائل المعاملات.
  • هيئة الطوابع الزمنية المؤهَّلة (RFC 3161 TSA) — الطوابع الزمنية التشفيرية على المستندات المكتملة.
  • معالج الدفع — الفوترة وإدارة الاشتراك.
  • مزوّد التحليلات — تحليلات المنتج المجمَّعة المحافِظة على الخصوصية.
  • المستشارون المهنيون — المدققون، والمحامون، والمحاسبون، في إطار واجبات السرية.
  • جهات إنفاذ القانون / المنظِّمون — فقط حيث يكون مجبراً بموجب إجراء قانوني صحيح أو حيث يكون ضرورياً لحماية حقوق أو ممتلكات أو سلامة SahlSign أو مستخدمينا أو الجمهور.

نحن لا نبيع بياناتك الشخصية. قائمة محدّثة بمعالجاتنا الفرعية متاحة عند الطلب على privacy@sahlsign.com.

٥. الاستضافة، المعالجون الفرعيون، والنقل عبر الحدود

يستخدم SahlSign البنية التحتية والمعالجين الفرعيين التاليين لتقديم الخدمة. نظراً لأن قاعدة بياناتنا المُدارة وبعض المعالجين الفرعيين يعملون خارج دول مجلس التعاون الخليجي، فقد تُعالَج البيانات الشخصية المُدرَجة أدناه خارج بلد إقامة صاحب البيانات:

  • قاعدة بيانات Postgres المُدارة — حالياً Neon، مستضافة في منطقة خارج الخليج (AWS us-east-1 / eu-central-1، تُؤكَّد عند توفير الحساب). تخزّن بيانات الحساب، وبيانات تعريف المستندات، وإدخالات سجل التدقيق، و(للمستندات المُخزَّنة مؤقتاً بعد التوقيع) المحتوى الثنائي للمستند.
  • تخزين الكائنات — AWS S3، المنطقة كما يُكشف للعميل عند التسجيل.
  • تسليم البريد الإلكتروني — Resend (الولايات المتحدة). يعالج عناوين البريد الإلكتروني للمستلمين ونصوص الرسائل لرسائل دعوات وإشعارات المعاملات.
  • هيئة الطوابع الزمنية المؤهَّلة — RFC 3161 TSA يُديرها مزوّد خدمات ثقة خارجي. تستلم تجزئة تشفيرية لمستندك — لا محتوى مستند أو بيانات شخصية.
  • معالج الدفع — كما يُحدَّد عند الدفع. يستلم تفاصيل اتصال الفوترة ومراجع أدوات الدفع المُرمَّزة.

قائمة محدّثة للمعالجين الفرعيين ومنطقة كل منها متاحة عند الطلب على privacy@sahlsign.com. نلتزم بإعطاء العملاء إشعاراً مدته ٣٠ يوماً على الأقل قبل إضافة معالج فرعي جديد حتى يتمكن العملاء من رفع الاعتراضات.

حيث تُنقل البيانات الشخصية خارج بلد يطبَّق قانون حماية البيانات الخاص به عليك، نعتمد على واحد أو أكثر من آليات النقل التالية:

  • قرار كفاية معترف به من البلد المُستقبِل (مثل قرارات الكفاية الصادرة عن المفوضية الأوروبية بموجب المادة ٤٥ من GDPR؛ قرارات الكفاية بموجب نظام حماية البيانات السعودي الصادرة عن سدايا)؛
  • البنود التعاقدية القياسية كما نشرتها المفوضية الأوروبية (لعمليات النقل من الاتحاد الأوروبي / المملكة المتحدة)، أو بنود مكافئة لعمليات النقل بموجب نظام حماية البيانات الإماراتي والسعودي؛
  • القواعد المؤسسية الملزمة؛
  • موافقتك الصريحة، حيث يكون ذلك مناسباً ومسموحاً به بموجب القانون المعمول به.

خيارات إقامة البيانات: ينبغي للعملاء الذين لديهم متطلب تنظيمي للاحتفاظ بالبيانات الشخصية داخل ولاية قضائية محددة (مثلاً، داخل دول مجلس التعاون الخليجي، أو الاتحاد الأوروبي، أو المملكة المتحدة) التواصل معنا قبل الاشتراك. سنؤكد كتابياً ما إذا كان متطلبك يمكن تلبيته على الخطة القياسية أو يتطلب ترتيب إقامة بيانات للشركات.

٦. الاحتفاظ

  • بيانات الحساب: يُحتفَظ بها أثناء نشاط حسابك، ثم حتى ١٨٠ يوماً بعد الإغلاق (أو أطول إذا اقتضى القانون) للسماح بإعادة التفعيل وإكمال التزامات الضرائب / التدقيق المعلَّقة.
  • محتوى المستند: يُحتفَظ به طوال مدة اشتراكك؛ بعد الإلغاء، لديك ٣٠ يوماً للتصدير قبل الحذف.
  • سجل تدقيق التوقيع: يُحتفَظ به لمدة لا تقل عن سبع (٧) سنوات بعد إكمال المستند للحفاظ على القيمة الإثباتية للتوقيع، كما هو مسموح به بموجب المادة ١٥ من PDPPL القطري، والمادة ٦ من UAE PDPL، والمادة ١٨ من KSA PDPL، والمادة ٥(١)(هـ) من GDPR.
  • سجلات الفوترة: يُحتفَظ بها للمدة المطلوبة بموجب قانون الضرائب المعمول به (عادةً ٥-١٠ سنوات).
  • تفضيلات التسويق: يُحتفَظ بها حتى تنسحب، بالإضافة إلى فترة قصيرة لضمان استمرارنا في احترام اختيارك.

٧. حقوقك

وفقاً للقانون المعمول به، لديك الحق في:

  • الوصول — طلب نسخة من البيانات الشخصية التي نحتفظ بها عنك؛
  • التصحيح — تصحيح البيانات غير الدقيقة أو غير الكاملة؛
  • المحو — طلب حذف بياناتك، وفقاً لالتزامات الاحتفاظ القانونية لدينا (مثلاً لا يمكننا حذف سجلات تدقيق التوقيع التي تحافظ على نزاهة مستند يعتمد عليه طرف آخر)؛
  • التقييد — مطالبتنا بتحديد معالجتنا في ظروف محددة؛
  • قابلية النقل — استلام بياناتك بصيغة منظَّمة وقابلة للقراءة آلياً؛
  • الاعتراض — الاعتراض على المعالجة المبنية على المصالح المشروعة، بما في ذلك التسويق المباشر؛
  • سحب الموافقة — حيث تستند المعالجة إلى الموافقة، يمكنك سحبها في أي وقت (هذا لا يؤثر على المعالجة القانونية السابقة)؛
  • تقديم شكوى — إلى سلطة حماية البيانات الوطنية (مثل إدارة الامتثال وحماية البيانات في وزارة الاتصالات وتكنولوجيا المعلومات في قطر؛ مكتب البيانات الإماراتي؛ هيئة البيانات والذكاء الاصطناعي السعودية (سدايا)؛ أو سلطة إشرافية في الاتحاد الأوروبي).

لممارسة هذه الحقوق، راسل privacy@sahlsign.com. سنرد خلال ٣٠ يوماً؛ للطلبات المعقّدة، قد نمدّد الفترة لمدة شهرين إضافيين، وسنخبرك إذا فعلنا ذلك. قد نطلب إثبات الهوية لحماية بياناتك.

٨. الأمن

نحمي البيانات الشخصية باستخدام برنامج دفاع متعمّق يشمل:

  • TLS 1.2+ لجميع البيانات أثناء النقل؛
  • تشفير AES-256 في الراحة؛
  • ضوابط الوصول المستندة إلى الأدوار؛ مبدأ الامتياز الأدنى للموظفين؛
  • تسجيل التدقيق للوصول الإداري؛
  • سلاسل تجزئة تشفيرية تحمي سجل التدقيق لكل مستند؛
  • ختم PAdES-B-T والطوابع الزمنية المؤهَّلة لكشف التلاعب بعد التوقيع؛
  • فحص دوري للثغرات؛ اختبار الاختراق قبل الإصدارات الرئيسية؛
  • العناية الواجبة للبائعين واتفاقيات معالجة بيانات مكتوبة مع كل معالج فرعي.

نحن نعمل نحو شهادتي ISO/IEC 27001 و SOC 2 Type II؛ حالتنا الحالية متاحة عند الطلب.

٩. الإخطار بالاختراق

إذا أصبحنا على علم باختراق بيانات شخصية من المحتمل أن يؤدي إلى مخاطر على حقوقك وحرياتك، فسنخطر المنظِّم المعني خلال ٧٢ ساعة من العلم، كما يقتضي ذلك المادة ٣٣ من GDPR، والمادة ٩ من UAE PDPL، والمادة ٢٠ من KSA PDPL، والمادة ١٣ من PDPPL القطري. حيث يكون الاختراق من المحتمل أن يؤدي إلى مخاطر عالية عليك، سنخطرك مباشرةً دون تأخير لا مبرّر له.

١٠. الأطفال

الخدمة ليست موجَّهة للأطفال دون سن ١٨ ولا مقصودة لهم. لا نجمع عن قصد بيانات شخصية من الأطفال. إذا كنت تعتقد أن طفلاً قد قدّم لنا بيانات شخصية، تواصل معنا وسنحذفها.

١١. اتخاذ القرار الآلي

لا نتخذ قرارات بشأنك بناءً على المعالجة الآلية فقط التي تنتج آثاراً قانونية أو ذات أهمية مماثلة عليك.

١٢. التغييرات على هذه السياسة

قد نقوم بتحديث هذه السياسة من وقت لآخر. سيتم إخطار التغييرات الجوهرية إلى مسؤول الحساب عبر البريد الإلكتروني ونشرها على هذه الصفحة قبل ٣٠ يوماً على الأقل من سريانها.

١٣. تواصل معنا

يمكن توجيه الأسئلة والشكاوى وطلبات الحقوق إلى:

مسؤول حماية البيانات في SahlSign
privacy@sahlsign.com
برج الدوحة، شارع الكورنيش، الخليج الغربي، الدوحة، قطر