سياسة الخصوصية

سياسة الخصوصية وحماية البيانات

مقدمة

تحرص شركة أوكسيرا، بصفتها المالكة والمشغلة لمنصة أوكسيرا، على حماية خصوصية البيانات الشخصية لمستخدمي المنصة، والالتزام الكامل بالأنظمة واللوائح المعمول بها في المملكة العربية السعودية، وعلى وجه الخصوص نظام حماية البيانات الشخصية ولوائحه التنفيذية، وضوابط الهيئة الوطنية للأمن السيبراني، وأي أنظمة أو تعليمات ذات صلة. تهدف هذه السياسة إلى بيان الأسس النظامية التي تعتمدها المنصة في جمع ومعالجة وحماية البيانات الشخصية، وشرح حقوق أصحاب البيانات، والتدابير التقنية والتنظيمية المطبقة لضمان سرية وسلامة البيانات. باستخدامك لمنصة أوكسيرا، فإنك تقرّ باطلاعك على هذه السياسة وموافقتك على أحكامها.

المادة (1): نطاق التطبيق

تنطبق هذه السياسة على جميع البيانات الشخصية التي يتم جمعها أو معالجتها أو تخزينها أو مشاركتها عبر:

• منصة أوكسيرا بجميع واجهاتها الرقمية
• الموقع الإلكتروني والتطبيقات المرتبطة بها
• الأنظمة والبنية التقنية وقواعد البيانات
• أي قنوات تشغيلية أو تقنية تابعة للمنصة

كما تسري على جميع الموظفين والمتعاقدين ومزودي الخدمات الذين يملكون صلاحية الوصول إلى البيانات.

المادة (2): الأطر النظامية المعتمدة

تلتزم المنصة في حماية البيانات بالامتثال الكامل لما يلي:

• نظام حماية البيانات الشخصية (PDPL)
• اللوائح التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)
• ضوابط الأمن السيبراني الأساسية (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA)
• أي أنظمة أو لوائح تنظيمية أخرى ذات علاقة بطبيعة عمل المنصة

المادة (3): التعريفات

لأغراض هذه السياسة:

• البيانات الشخصية: كل بيان من شأنه تحديد هوية شخص طبيعي أو جعله قابلاً للتحديد بشكل مباشر أو غير مباشر.
• صاحب البيانات: الشخص الطبيعي الذي تتعلق به البيانات الشخصية.
• المعالجة: أي عملية تُجرى على البيانات الشخصية، بما في ذلك الجمع أو التخزين أو الاستخدام أو الإفصاح أو الإتلاف.
• المنصة: منصة أوكسيرا.
• الشركة: شركة أوكسيرا.

المادة (4): تصنيف البيانات وفق ضوابط NCA

تعتمد المنصة تصنيفاً واضحاً للبيانات يشمل:

• بيانات عامة
• بيانات تشغيلية داخلية
• بيانات شخصية
• بيانات شخصية حساسة (عند الاقتضاء)

ويتم تطبيق ضوابط حماية مختلفة لكل فئة، وفق مبدأ الحد الأدنى من الصلاحيات والحاجة إلى المعرفة (Least Privilege & Need-to-Know).

المادة (5): مصادر جمع البيانات

تقوم المنصة بجمع البيانات من المصادر التالية:

• البيانات التي يقدمها المستخدم مباشرة عند التسجيل أو استخدام الخدمات
• البيانات التشغيلية الناتجة عن استخدام المنصة
• البيانات التقنية سجلات الدخول، عنوان IP، ملفات تعريف الارتباط
• مزودي خدمات معتمدين (الدفع، اللوجستيات، الخدمات التقنية)
• الجهات الحكومية المختصة عند الاقتضاء النظامي

المادة (6): الأساس النظامي لمعالجة البيانات

تتم معالجة البيانات الشخصية استناداً إلى واحد أو أكثر من الأسس النظامية التالية:

• موافقة صريحة من صاحب البيانات
• تنفيذ التزام تعاقدي يكون صاحب البيانات طرفاً فيه
• الامتثال لالتزام نظامي
• تحقيق مصلحة مشروعة للمنصة دون الإخلال بحقوق أصحاب البيانات

المادة (7): أغراض جمع ومعالجة البيانات

تُستخدم البيانات الشخصية للأغراض التالية فقط:

• إنشاء الحسابات والتحقق منها
• تشغيل المنصة وتقديم خدماتها
• إدارة العروض والطلبات والصفقات
• تنفيذ عمليات الدفع والتسوية
• التنسيق اللوجستي والتشغيلي
• الامتثال للأنظمة واللوائح
• الأمن السيبراني ومنع الاحتيال
• الإشعارات التشغيلية والنظامية
• تحسين جودة الخدمات وتجربة المستخدم
• تحليل البيانات وتطوير المخرجات: يجوز للمنصة استخدام البيانات - بعد معالجتها فنيًا وبما لا يؤدي إلى التعرف المباشر على هوية أصحابها - لأغراض التحليل الإحصائي، واستخلاص المؤشرات، وقياس الأداء، وتطوير وتحسين جودة الخدمات والمخرجات التشغيلية، ودعم اتخاذ القرار، ورفع كفاءة المنصة، وذلك بما يتوافق مع الأغراض المشروعة، ووفق الضوابط المنصوص عليها في الأنظمة واللوائح المعمول بها في المملكة العربية السعودية.

ولا يتم استخدام البيانات لأي غرض آخر غير معلن.

المادة (8): مشاركة البيانات والإفصاح عنها

لا تقوم المنصة ببيع أو تأجير البيانات الشخصية. وقد يتم مشاركة البيانات - بالحد الأدنى اللازم فقط - مع:

• مزودي خدمات الدفع
• الشركاء اللوجستيين
• مزودي الخدمات التقنية أو الأمنية
• الجهات الحكومية المختصة عند الطلب النظامي

ويتم ذلك وفق اتفاقيات تضمن السرية وحماية البيانات.

المادة (9): نقل البيانات خارج المملكة

لا يتم نقل البيانات الشخصية خارج المملكة العربية السعودية إلا:

• وفق الضوابط المنصوص عليها في نظام حماية البيانات الشخصية
• بعد اتخاذ التدابير النظامية والتقنية اللازمة
• وبما يضمن مستوى حماية لا يقل عن المعتمد داخل المملكة

المادة (10): أمن المعلومات والأمن السيبراني

تطبق المنصة ضوابط أمنية وتنظيمية وفق متطلبات NCA، تشمل على سبيل المثال:

• تشفير البيانات الحساسة
• التحكم في الصلاحيات وإدارة الوصول
• المراقبة المستمرة والتدقيق
• إدارة الحوادث السيبرانية
• النسخ الاحتياطي وخطط التعافي من الكوارث
• الاختبارات الدورية للأنظمة

المادة (11): إدارة الحوادث السيبرانية

في حال وقوع حادث أمني:

• يتم التقييم والاحتواء الفوري
• توثيق الحادث وتحليل أسبابه
• الإبلاغ النظامي للجهات المختصة عند الاقتضاء
• اتخاذ الإجراءات التصحيحية ومنع التكرار

المادة (12): الاحتفاظ بالبيانات وإتلافها

• يتم الاحتفاظ بالبيانات للفترة اللازمة لتحقيق الأغراض النظامية أو التشغيلية.
• بعد انتهاء الغرض، يتم إتلاف البيانات أو إخفاء هويتها بطريقة آمنة، ما لم يتطلب النظام الاحتفاظ بها لفترة أطول.

المادة (13): حقوق أصحاب البيانات

يحق لصاحب البيانات، وفق النظام:

• الحق في العلم
• الحق في الوصول إلى بياناته
• الحق في طلب تصحيح البيانات
• الحق في طلب إتلاف البيانات
• الحق في سحب الموافقة (دون الإخلال بالمشروعية السابقة)

المادة (14): ممارسة حقوق أصحاب البيانات

• يمكن لصاحب البيانات ممارسة حقوقه عبر القنوات الرسمية للمنصة، ويتم التعامل مع الطلبات خلال مدة معقولة ووفق الإجراءات النظامية المعتمدة.

المادة (15): الرسائل النصية والإشعارات

• قد ترسل المنصة رسائل نصية أو إشعارات إلكترونية لأغراض تشغيلية ونظامية، ويُعد ذلك جزءاً من تشغيل الخدمة وفق ما ورد في شروط وأحكام الاستخدام.

المادة (16): التعديلات والمراجعة الدورية

• تخضع هذه السياسة للمراجعة الدورية، ويجوز تعديلها عند الحاجة، ويُعد استمرار استخدام المنصة بعد نشر التعديلات موافقة عليها.

المادة (17): القانون والاختصاص القضائي

• تخضع هذه السياسة لأنظمة المملكة العربية السعودية، ويكون الاختصاص القضائي لمحاكم الجبيل.