مسودة، بانتظار مراجعة المستشار القانوني السعودي · الإصدار 0.1 · 2026-04-12
الرئيسية / قانوني / الامتثال لـ PDPL

تقرير شفافية · نظام حماية البيانات الشخصية

الامتثال لـ PDPL

نظام حماية البيانات الشخصية السعودي يُعرّف كيف يجب أن نتعامل مع بياناتك. هذه الصفحة ملخّص تنفيذي شفّاف لما نفعله الآن، وما نعد به، وأين نقف بصراحة كاملة، بدون كلام مطّاطي.

قاعدة المعالجة موافقة صريحة مستنيرة
حقوقك ٧ حقوق نظامية كاملة
الاحتفاظ بالبيانات ١٢ شهر · حذف خلال ٧ أيام
التظلّم NDMO مباشرة

القسم ٠١ما هو نظام حماية البيانات الشخصية؟

نظام حماية البيانات الشخصية (Personal Data Protection Law، اختصاراً PDPL) هو النظام السعودي الذي يحكم كيفية جمع البيانات الشخصية لمقيمي المملكة ومعالجتها وتخزينها ونقلها. تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) عبر المكتب الوطني لإدارة البيانات (NDMO).

النظام يفرض على كل جهة تعالج بيانات شخصية لمقيمي السعودية، سواء كانت داخل المملكة أو خارجها، أن تلتزم بمجموعة من القواعد الصارمة حول الشفافية، والأساس النظامي للمعالجة، وحقوق صاحب البيانات، ومتطلّبات نقل البيانات إلى خارج المملكة، والأمان التقني والتنظيمي.

موقف كفو

كفو يلتزم بـ PDPL بوصفه نظاماً أساسياً، لا مجرّد متطلّب تنظيمي. كل قرار تصميمي في المنتج، من بنية قاعدة البيانات إلى صياغة الردود، يأخذ في الحسبان مبادئ النظام: التقليل من الجمع، تحديد الغرض، الشفافية المستنيرة، وحقّ الانسحاب الفوري.

القسم ٠٢الأدوار، متحكّم في البيانات vs معالج البيانات

يُميّز النظام السعودي بين دورين أساسيين: المتحكم في البيانات (data controller) الذي يقرّر أغراض المعالجة ووسائلها، ومعالج البيانات (data processor) الذي ينفّذ المعالجة بناءً على تعليمات المتحكم. كفو يعمل في الدورين بحسب صاحب البيانات:

صاحب البيانات المتحكم المعالج المسؤولية القانونية الأولى
العميل النهائي (مشتري / بائع / مالك يراسل المسوّق) المسوّق العقاري كفو المسوّق
المسوّق نفسه (حساب، رخصة، فوترة) كفو كفو كفو

هذا التقسيم مهم: عندما يراسلك مسوّق يستخدم كفو، فإنّ المسوّق هو من يقرّر ماذا يحدث ببياناتك ضمن خدمته، وكفو يُنفّذ تعليماته فقط. لكنّ كفو يضع قيوداً صارمة على ما يمكن للمسوّق طلبه، لضمان عدم خرق النظام.

القسم ٠٣حقوقك السبعة بموجب PDPL

يمنحك النظام السعودي سبعة حقوق نظامية كاملة على بياناتك الشخصية. كل واحد منها قابل للتطبيق فوراً عبر مراسلة privacy@kafoo.sa أو بكتابة إيقاف داخل واتساب.

01
حقّ الوصول

معرفة ما إذا كنّا نحتفظ ببياناتك الشخصية، وما الذي نحتفظ به، وكيف يُستخدَم.

02
حقّ التصحيح

طلب تصحيح أيّ بيانات غير دقيقة أو متقادمة في ملفّك.

03
حقّ الحذف

طلب حذف بياناتك، رهناً بأيّ التزام بالاحتفاظ يفرضه النظام السعودي.

04
حقّ سحب الموافقة

في أيّ وقت دون أيّ غرامة، ودون أن يمسّ ذلك المعالجة المشروعة السابقة.

05
حقّ الاعتراض

على المعالجة فيما يتعلق بأغراض محدّدة لا توافق عليها.

06
حقّ نقل البيانات

استلام بياناتك في صيغة بنيوية مقروءة آلياً (JSON أو CSV).

07
حقّ التظلّم

أمام المكتب الوطني لإدارة البيانات (NDMO) أو أيّ جهة سعودية مختصّة إذا رأيت أنّ حقوقك قد انتُهكت.

التزام الردّ

نلتزم بالردّ على طلبات الحقوق خلال ثلاثين يوماً، أو في وقت أقصر إذا تطلّب النظام ذلك. ولا تترتّب أي رسوم على ممارسة أيّ من هذه الحقوق.

القسم ٠٤نقل البيانات خارج المملكة، المادة ٢٩

كفو يربط خدمته بمنصة واتساب للأعمال الرسمية (WhatsApp Business Platform) عبر شريك مزوّد حلول واتساب للأعمال (WhatsApp Business Solution Provider) معتمَد رسمياً من ميتا. بسبب طبيعة بنية واتساب للأعمال العالمية، فإنّ معالجة الرسائل قد تتمّ على خوادم تابعة لميتا أو للشريك المعتمد خارج المملكة العربية السعودية.

المادة ٢٩ من النظام تشترط أحد أمرَين لنقل البيانات الشخصية لمقيمي المملكة إلى خارجها:

الآلية الحالة في كفو
موافقتك الصريحة المستنيرة قبل أوّل معالجة لبياناتك معتمدة الآن
ترخيص نقل معتمَد من المكتب الوطني لإدارة البيانات (NDMO) قيد التحضير لاحقاً

كيف تُلتقَط موافقتك

أوّل رسالة من كفو إليك تتضمّن نصّاً واضحاً يشرح أنّ بعض بياناتك يمكن أن تُعالَج على خوادم خارج المملكة. ردّك بكلمة موافق هو موافقتك المستنيرة. ردّك بـإيقاف يوقف كلّ شيء فوراً.

راجع المادة ١١ من سياسة الخصوصية للاطلاع على الصياغة المعتمَدة الكاملة لرسالة الموافقة.

القسم ٠٥التشفير ومن يصل لماذا، بصراحة

كثير من المنتجات تدّعي «مشفَّر من طرف إلى طرف». الأمانة تقتضي أن نوضّح بدقّة ما الذي يُشفَّر، وأين، ومن يستطيع قراءة ماذا. الإجابة ليست بسيطة بقدر الادّعاء.

الطبقة وضع التشفير من يستطيع القراءة
قاعدة بيانات كفو الداخلية مشفَّرة أثناء النقل (TLS) وأثناء التخزين، مع Row-Level Security حساب المسوّق صاحب المحادثة فقط · موظّفو الدعم ضمن سجلّ تدقيق
قناة واتساب من جوالك للمسوّق مشفَّرة من طرف إلى طرف بين الأجهزة أجهزتك المُسجَّلة + الأجهزة المُرتبطة بحساب المسوّق
منصة واتساب للأعمال + الشريك المعتمد رسمياً (BSP) مشفَّرة وفق معايير ميتا الرسمية للأعمال، خاضعة لشروط واتساب والشريك المعتمد Meta + شريك BSP معتمد رسمياً من ميتا، لتمرير الرسالة لكفو
واجهة Anthropic Claude API (المعالجة الذكية) مشفَّرة أثناء النقل المعالجة لحظية فقط · لا تُستخدم بياناتك لتدريب أي نموذج

نحن لا نزعم أنّ بياناتك «مشفَّرة من طرف إلى طرف في كل الأوقات». الصدق أهم من التسويق. لقراءة الشرح الكامل، راجع المادة ٧ من سياسة الخصوصية.

القسم ٠٦الاحتفاظ والحذف

نوع البيانات مدة الاحتفاظ الافتراضية الحذف عند الطلب
بيانات العميل النهائي (رسائل، تفضيلات، معلومات تواصل) ١٢ شهراً من تاريخ آخر رسالة قاعدة البيانات النشطة خلال ٧ أيام · النسخ الاحتياطية خلال ٩٠ يوماً
بيانات حساب المسوّق طوال مدّة الحساب + ٣٠ يوماً بعد الإنهاء خلال ٣٠ يوماً من طلب الإنهاء (مع حقّ تصدير كامل قبل الحذف)
سجلّات الموافقة وسجلّات التدقيق تُحفَظ مدّةً تتوافق مع التزاماتنا التنظيمية لا تُحذَف الاسجلّات نفسها، تُجهَّل (anonymize) عند حذف صاحبها

عند طلب الحذف، نزيل بياناتك من قاعدة البيانات النشطة فوراً، ومن النسخ الاحتياطية في الدورة التالية. النسخ الموجودة على جوال المسوّق ضمن رسائل واتساب لا تتأثّر، هي خارج سيطرة كفو وتظلّ خاضعة للممارسة الخاصة للمسوّق.

القسم ٠٨التزامات صريحة، ما لا نفعله أبداً

  • لا نبيع بياناتك لأي طرف ثالث، تحت أي ظرف.
  • لا نُشارك بياناتك مع المعلنين، لا داخل كفو ولا خارجه.
  • لا نستخدم بياناتك لتدريب أي نموذج ذكاء اصطناعي، لا لنا ولا لـAnthropic ولا لغيرها.
  • لا نُتيح لأي مسوّق آخر رؤية بياناتك، كل عميل خاص بمسوّقه فقط، عبر Row-Level Security.
  • لا نُلزمك بعقود طويلة، تستطيع طلب الحذف الكامل في أيّ وقت.
  • لا نُخفي حقّك في التظلّم، نوجّهك صراحةً لـNDMO إذا لزم.

القسم ٠٩حالة الامتثال، كاش بصراحة

الشفافية تعني عرض ما هو جاهز، وما هو قيد التنفيذ، وما هو لاحق. لا نخفي ما لم نُنجزه بعد.

المتطلّب الحالة المرجع
أساس نظامي لكل معالجة، موافقة صريحة مُطبَّق سياسة الخصوصية · المادة ٥
تمكين الحقوق السبعة لصاحب البيانات مُطبَّق المادة ١٠
تشفير TLS أثناء النقل + RLS داخل قاعدة البيانات مُطبَّق المادة ٧
سجلّ تدقيق لكل وصول إلى بيانات العميل النهائي مُطبَّق
سياسة احتفاظ ١٢ شهر + حذف خلال ٧ أيام مُطبَّق المادة ٩
آلية موافقة صريحة لنقل البيانات خارج المملكة (مادة ٢٩) مُطبَّق المادة ٦
ترخيص نقل من NDMO كآلية احتياطية للموافقة قيد التحضير
مراجعة قانونية مستقلّة لكامل الوثائق مسودة بانتظار المراجعة
تقييم أثر حماية البيانات (DPIA) موثّق قيد الإعداد
تعيين مسؤول حماية بيانات (DPO) رسمي قيد التعيين
خوادم سعودية بالكامل للبيانات الحرجة في الخطة لـ Q4 ٢٠٢٦

القسم ١٠كيف تقدّم شكوى

إذا رأيتَ أنّ كفو قد انتهك أيّاً من حقوقك بموجب نظام حماية البيانات الشخصية، نتمنّى أن تتواصل معنا أولاً لنحلّ الأمر مباشرة:

  1. راسلنا أوّلاً. أرسل تفاصيل شكواك إلى privacy@kafoo.sa. سنردّ خلال ثلاثين يوماً كحد أقصى.
  2. إذا لم تُحلّ شكواك على نحو يُرضيك، يحقّ لك التقدّم بشكوى رسمية إلى المكتب الوطني لإدارة البيانات (NDMO) عبر القنوات الرسمية التي تنشرها الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA).
  3. القنوات السعودية المختصّة متاحة كذلك للنزاعات ذات الطابع المدني المرتبطة باستخدام بياناتك، تشمل المحاكم المختصّة في مدينة الرياض.

التزامنا

لن نمنعك من ممارسة حقّك في التظلّم تحت أي ذريعة. لن نطلب منك التنازل عن هذا الحقّ كشرط لاستخدام الخدمة. لن نُخفي عنوان NDMO عنك.