سياسة الخصوصية

١. من نحن

منصة عقاري ("المنصة" أو "نحن" أو "خدمتنا") هي شبكة اجتماعية متخصصة في القطاع العقاري داخل المملكة العربية السعودية، تُشغّلها وتديرها شركة عقاري للتقنية ("الشركة")، وهي شركة مسجّلة تجارياً في المملكة العربية السعودية ومرخّصة لتقديم خدماتها وفق الأنظمة المعمول بها، بما في ذلك نظام التجارة الإلكترونية ونظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/١٩) وتاريخ ٩ صفر ١٤٤٣هـ ولائحته التنفيذية ("نظام PDPL").

بصفتنا "جهة تحكّم" (Controller) بمفهوم نظام PDPL، نلتزم بحماية خصوصيتك ومعالجة بياناتك الشخصية بشفافية وعدالة، وضمن الحدود التي تسمح بها الأنظمة السعودية والتعليمات الصادرة عن هيئة البيانات والذكاء الاصطناعي (سدايا)والهيئة الوطنية للأمن السيبراني.

• الاسم النظامي: شركة عقاري للتقنية
• المقر: مدينة الرياض، المملكة العربية السعودية
• البريد الإلكتروني للخصوصية: privacy@aqari.sa
• مسؤول حماية البيانات (DPO): dpo@aqari.sa

٢. نطاق هذه السياسة

تنطبق هذه السياسة على جميع المستخدمين الذين يصلون إلى منصتنا عبر الموقع الإلكتروني aqari.sa أو التطبيقات الذكية (iOS / Android) أو واجهات البرمجة (APIs) المرتبطة بها. وتشمل البيانات التي نجمعها بشكل مباشر منك، والبيانات التي نحصل عليها بشكل تلقائي أثناء تصفّحك أو استخدامك للخدمة، والبيانات التي نحصل عليها من أطراف ثالثة بموافقتك أو وفقاً لما يجيزه النظام.

إذا كنت تستخدم خدمات تابعة لطرف ثالث (مثل بوابة دفع أو خدمة خرائط أو منصة تواصل اجتماعي خارجية) من خلال منصتنا، فإن سياسة الخصوصية الخاصة بذلك الطرف تسري على البيانات التي تعالجها تلك الجهة بشكل مستقل.

٣. البيانات التي نجمعها

نجمع أنواعاً مختلفة من البيانات الشخصية بحسب طريقة استخدامك للمنصة. يمكن تصنيفها كما يلي:

٣.١ بيانات إنشاء الحساب وإدارته

• الاسم الكامل المعروض، اسم المستخدم، رقم الجوال، البريد الإلكتروني.
• كلمة المرور (مشفّرة عبر خوارزمية bcrypt — لا تُخزَّن نصاً صريحاً أبداً).
• الصورة الشخصية، صورة الغلاف، النبذة التعريفية، المدينة، المنطقة.
• نوع الحساب (فرد / وسيط / شركة) ورقم الترخيص العقاري عند الاقتضاء.

٣.٢ بيانات التحقق من الهوية والترخيص

• رقم ترخيص "فال" (الهيئة العامة للعقار) للوسطاء العقاريين، ونتيجة التحقق من صحته عبر الواجهة الرسمية للهيئة.
• المستندات الرسمية المرفقة من قبلك لإثبات الهوية أو الصلاحية.

٣.٣ المحتوى الذي تنشئه

• الإعلانات العقارية (الوصف، السعر، الموقع، الإحداثيات، الصور والفيديو، جولات بانوراما 360°).
• التعليقات، الإعجابات، الإشارات، المراجعات، القصص، البث المباشر.
• الرسائل الخاصة المرسلة والمستلمة عبر منصتنا.
• المسوّدات والمجموعات والمفضلات.

٣.٤ بيانات الموقع الجغرافي

• إحداثيات GPS عند تفعيلك خاصية مشاركة الموقع لإعلان أو بحث جوار.
• الموقع التقريبي المستنتج من عنوان IP لأغراض الإحصاء وتحديد المدينة فقط (لا نخزّن عنوان IP الكامل في تقاريرنا التحليلية).

٣.٥ بيانات الدفع والاشتراكات

• لا نخزّن بيانات بطاقات الائتمان أو مدى مباشرة على خوادمنا. تتم جميع عمليات الدفع عبر بوابات معتمدة من البنك المركزي السعودي (ساما) مثل Moyasar وHyperPay، ونحتفظ فقط بـ:
• رقم الفاتورة، المبلغ، تاريخ الدفع، الحالة (ناجح / مرفوض)، معرّف العملية لدى البوابة.
• عنوان الفوترة، الرقم الضريبي (للعملاء الاعتباريين)، نسبة ضريبة القيمة المضافة المطبّقة.

٣.٦ بيانات الاستخدام التلقائية

• سجلات الدخول والخروج، الجهاز المستخدم ونظام التشغيل ونوع المتصفح.
• الصفحات التي زرتها، الإعلانات التي شاهدتها، مدة التصفح، نمط التفاعل.
• معرّفات الجلسة عبر ملفات تعريف الارتباط (انظر سياسة ملفات تعريف الارتباط).
• سجلات الأخطاء والأداء عبر منصة Sentry (بشكل مجهول الهوية كلما أمكن).

٣.٧ بيانات التواصل والتسويق

• تفضيلات استلام الرسائل (بريد إلكتروني / SMS / WhatsApp / إشعارات).
• سجل الرسائل التسويقية المُرسلة وحالة التسليم/الفتح/الضغط.
• إجابات الاستبيانات والملاحظات التي تشاركها معنا اختيارياً.

٣.٨ ما لا نجمعه

لا نجمع بيانات حساسة بمفهوم نظام PDPL (مثل البيانات الصحية، أو البيانات الجينية، أو البيانات الدالة على الأصل العرقي أو المعتقدات الدينية أو السياسية) إلا إذا قدّمتها أنت طوعاً وضمن سياق ضروري لتقديم الخدمة، وبموافقتك الصريحة المنفصلة.

٤. أغراض الجمع والمعالجة

نعالج بياناتك الشخصية للأغراض التالية:

1. تقديم الخدمة: تشغيل حسابك، عرض إعلاناتك، تمكينك من البحث والتواصل والدفع.
2. الامتثال النظامي: الامتثال لأنظمة وزارة التجارة، الهيئة العامة للعقار، هيئة الزكاة والضريبة والجمارك (ZATCA) فيما يخص الفوترة الإلكترونية، وأمر هيئة محاكم بناءً على طلب نظامي.
3. منع الاحتيال وحماية المنصة: الكشف عن الحسابات الوهمية، الإعلانات المزيّفة، محاولات الاختراق، وغسيل الأموال.
4. تحسين الخدمة: تحليل أنماط الاستخدام، اختبار ميزات جديدة، قياس أداء الموقع. تتم التحليلات بشكل مجمّع ومجهول الهوية كلما كان ذلك ممكناً.
5. التواصل التشغيلي: إرسال إشعارات تتعلق بحسابك، تأكيدات الدفع، تنبيهات الأمان، استرجاع كلمة المرور.
6. التسويق المباشر (بموافقتك): إرسال نشرات وعروض خاصة فقط للمستخدمين الذين منحوا موافقة صريحة، مع توفير زر "إلغاء الاشتراك" في كل رسالة.
7. إجراء استطلاعات الرضا: قياس جودة الخدمة وتحسين تجربة المستخدم.

٥. الأساس النظامي للمعالجة

نعالج بياناتك بناءً على واحد أو أكثر من الأسس النظامية المنصوص عليها في المادة (السادسة) من نظام PDPL:

• تنفيذ عقد: معظم العمليات الأساسية (إنشاء الحساب، نشر الإعلانات، استلام الدفعات) تتم استناداً إلى تنفيذ عقد الخدمة المبرم معك عند قبولك شروط الاستخدام.
• الموافقة الصريحة: نطلب موافقتك المنفصلة لإرسال الرسائل التسويقية، تتبّع التحليلات غير الضرورية، أو مشاركة بياناتك مع شركاء غير ضروريين لتقديم الخدمة.
• الامتثال لالتزام نظامي: الاحتفاظ بالفواتير والسجلات المالية وفق ما يفرضه نظام الزكاة والضريبة.
• المصلحة المشروعة: منع الاحتيال، تأمين البنية التحتية، تحسين الخدمة، بشرط أن لا تتعارض مع حقوقك وحرياتك الأساسية.
• حماية المصالح الحيوية: في حالات استثنائية تتعلق بسلامة الأشخاص.

٦. من نشارك بياناتك معه

نحن لا نبيع بياناتك الشخصية لأي طرف ثالث. تقتصر مشاركة البيانات على الجهات التالية وللأغراض المحدّدة فقط:

٦.١ مزوّدو الخدمات الفرعيون (Processors)

• بوابات الدفع: Moyasar، HyperPay (المرخّصة من البنك المركزي السعودي) لمعالجة المدفوعات.
• الاستضافة والبنية التحتية: مزودو الحوسبة السحابية المعتمدون (داخل المملكة كلما أمكن، وخارجها وفق ضوابط النقل العابر للحدود).
• الإشعارات والتواصل: Twilio، Unifonic، WhatsApp Business، MailerLite، Resend لإرسال الرسائل النصية والبريدية والإشعارات الفورية.
• التحليلات وتتبع الأخطاء: PostHog وSentry لقياس الأداء وتشخيص الأعطال.
• الخدمات الذكية: Google Gemini API لتحسين أوصاف الإعلانات وإنشاء صور للوسطاء (يتم إرسال محتوى الإعلان دون بيانات حساسة).

نُلزم جميع مزوّدي الخدمات بإبرام اتفاقية معالجة بيانات (DPA) تُقيّدهم بالأغراض المحدّدة وتمنع إعادة الاستخدام أو البيع.

٦.٢ الجهات الحكومية

نشارك البيانات مع الجهات المختصة في المملكة العربية السعودية عند ورود طلب نظامي رسمي (أمر قضائي، طلب من جهة تحقيق، أو التزام نظامي صريح)، بما يشمل:

• الهيئة العامة للعقار للتحقق من تراخيص الوسطاء.
• هيئة الزكاة والضريبة والجمارك (ZATCA) لإيداع الفواتير الإلكترونية.
• سدايا والهيئة الوطنية للأمن السيبراني عند الإخطار بحوادث.
• الجهات القضائية والأمنية وفق طلب نظامي مكتوب.

٦.٣ المستخدمون الآخرون

المعلومات التي تنشرها بشكل علني (الإعلانات، التعليقات، الملف الشخصي العام) تكون مرئية لجميع زوّار المنصة. أما الرسائل الخاصة فتظل بينك وبين المُرسَل إليه فقط.

٦.٤ في حالة عمليات الاندماج أو الاستحواذ

في حال بيع الشركة أو اندماجها، قد تُنقل البيانات إلى الجهة المستحوذة بشرط تقيّدها بنفس مستوى الحماية المنصوص عليه في هذه السياسة، وإخطارك مسبقاً وفق ما يفرضه نظام PDPL.

٧. نقل البيانات خارج المملكة

نحن نخزّن بياناتك بشكل أساسي على خوادم داخل المملكة العربية السعودية. عند الحاجة لنقل بيانات خارج المملكة (مثل استخدام مزوّد خدمة عالمي)، نلتزم بالضوابط التالية:

• الحصول على موافقة سدايا أو ضمن الإطار النظامي للنقل العابر للحدود.
• التأكد من أن الدولة المستقبلة توفر مستوى حماية ملائماً.
• إبرام بنود تعاقدية معيارية تضمن حقوقك.
• تشفير البيانات أثناء النقل والتخزين.

٨. مدة الاحتفاظ بالبيانات

نحتفظ ببياناتك للمدة اللازمة لتحقيق الأغراض المعلنة، وفق الجدول التالي:

٩. حقوقك تحت نظام PDPL

يكفل لك نظام حماية البيانات الشخصية السعودي مجموعة من الحقوق التي يمكنك ممارستها مجّاناً وفي أي وقت:

1. الحق في العلم: أن تعرف الغرض من جمع بياناتك والأساس النظامي لذلك. هذه الوثيقة هي تطبيق لهذا الحق.
2. الحق في الوصول (Right to Access): طلب نسخة من بياناتك الشخصية المحفوظة لدينا. يمكنك تنزيل ملفك الكامل من لوحة الخصوصية بصيغة JSON قابلة للنقل.
3. الحق في التصحيح (Right to Rectification): طلب تحديث أي بيانات غير دقيقة أو ناقصة. يمكنك تعديل معظم الحقول مباشرة من إعدادات حسابك.
4. الحق في المحو / النسيان (Right to Erasure): طلب حذف بياناتك. يتم تنفيذ الطلب خلال ٣٠ يوماً مع الاحتفاظ بالحد الأدنى من البيانات التي يفرضها النظام (الفواتير لخمس سنوات، سجلات التدقيق).
5. الحق في تقييد المعالجة (Right to Restriction): طلب إيقاف معالجة بياناتك مؤقتاً أثناء التحقق من دقتها أو شرعية معالجتها.
6. الحق في النقل (Right to Portability): الحصول على بياناتك بصيغة منظّمة وشائعة الاستخدام تتيح نقلها إلى مزوّد خدمة آخر.
7. الحق في الاعتراض (Right to Object): الاعتراض على المعالجة القائمة على المصلحة المشروعة، وعلى التسويق المباشر بشكل خاص.
8. الحق في عدم الخضوع لقرارات آلية: ألا تكون معرّضاً لقرار يستند فقط إلى معالجة آلية تنتج عنه آثار قانونية أو مهمّة، إلا في حالات استثنائية يجيزها النظام.
9. الحق في سحب الموافقة: سحب موافقتك في أي وقت دون أن يؤثر ذلك على شرعية المعالجة السابقة لسحب الموافقة.
10. الحق في تقديم شكوى: رفع شكوى إلى هيئة سدايا إذا رأيت أن معالجتنا لبياناتك تخالف النظام.

١٠. كيف تمارس حقوقك

توجد لديك ثلاث طرق لممارسة أيٍّ من الحقوق المذكورة أعلاه:

1. من داخل المنصة: توجّه إلى /account/privacy حيث يمكنك تحميل بياناتك وتعديل تفضيلات الموافقة وطلب الحذف بنقرة واحدة.
2. عبر البريد الإلكتروني: أرسل طلبك إلى privacy@aqari.sa مرفقاً بما يثبت هويتك (لمنع الانتحال).
3. عبر التواصل الرسمي: راسل مسؤول حماية البيانات لدينا على dpo@aqari.sa.

نلتزم بالرد على طلبك خلال ٣٠ يوماً من تاريخ استلامه، قابلة للتمديد ٣٠ يوماً إضافية في الحالات المعقدة مع إخطارك بالسبب.

١١. ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط (Cookies) وتقنيات مماثلة لتحسين تجربتك. للاطلاع على القائمة الكاملة للملفات المستخدمة وكيفية إدارتها، يرجى مراجعة سياسة ملفات تعريف الارتباط.

عند زيارتك الأولى للمنصة، سيظهر لك شريط طلب موافقة يتيح لك قبول/رفض/تخصيص الفئات غير الضرورية. الملفات الضرورية لتشغيل الموقع لا تتطلب موافقة وفق استثناء المعالجة الضرورية.

١٢. الأمان

نتعامل مع أمان بياناتك بأعلى درجات الجدية، ونطبّق التدابير التالية بحدٍّ أدنى:

• التشفير أثناء النقل: جميع الاتصالات بين متصفحك وخوادمنا مشفّرة عبر TLS 1.2/1.3.
• التشفير أثناء التخزين: كلمات المرور مشفّرة بـ bcrypt برقم دورات لا يقل عن ١٠، والبيانات الحساسة في القاعدة مشفّرة عند مستوى القرص (Encryption at Rest).
• التحكم في الوصول: مبدأ "أقل صلاحية ممكنة" — لا يصل أي موظف إلى بياناتك إلا للحاجة المهنية الموثّقة، مع تسجيل كل وصول.
• المصادقة الثنائية (2FA): متاحة لجميع المستخدمين وإلزامية لفريق المنصة.
• المراقبة المستمرة: سجلات أمان لحظية وكشف عن الأنماط الشاذة.
• اختبارات الاختراق الدورية: سنوياً على الأقل من قِبَل جهة مستقلّة معتمدة.
• النسخ الاحتياطية: نسخ يومية مشفّرة، مع اختبار استعادة دوري.
• الامتثال للمعايير: اتباع توجيهات الهيئة الوطنية للأمن السيبراني (NCA) ضمن إطار الضوابط الأساسية للأمن السيبراني.

١٣. القاصرون

منصتنا ليست موجّهة للأشخاص دون سن الثامنة عشرة. لا نجمع بشكل متعمّد بيانات القاصرين، وإذا اكتشفنا أن مستخدماً قاصراً قد أنشأ حساباً بدون موافقة وليّ الأمر، فإننا نُغلق الحساب ونحذف بياناته فوراً.

إذا كنت ولي أمر وتعتقد أن طفلاً تابعاً لك قدّم بيانات شخصية لمنصتنا، فيُرجى التواصل معنا على privacy@aqari.sa.

١٤. الإخطار بخرق البيانات

في حال وقوع خرق للبيانات الشخصية يُحتمل أن يُعرّض حقوقك أو حرياتك للخطر، نلتزم بـ:

• إخطار سدايا والهيئة الوطنية للأمن السيبراني خلال ٧٢ ساعة من اكتشاف الحادث.
• إخطارك مباشرةً (عبر البريد الإلكتروني أو إشعار داخل المنصة) دون تأخير غير مبرّر.
• توضيح طبيعة الخرق، البيانات المتأثرة، التدابير المتّخذة، وإجراءات التخفيف.

١٥. التعديلات على هذه السياسة

قد نُحدّث هذه السياسة من حين لآخر لتعكس تغييرات في الخدمة أو الأنظمة المعمول بها. سننشر النسخة المحدّثة على هذه الصفحة مع تحديث تاريخ "آخر تحديث" أعلاه، وإذا كانت التعديلات جوهرية، فسنُبلغك مسبقاً عبر البريد الإلكتروني أو إشعار داخل المنصة قبل ٣٠ يوماً من سريانها.

١٦. التواصل والشكاوى

للاستفسارات أو الشكاوى المتعلقة بالخصوصية، يُرجى التواصل عبر:

• البريد الإلكتروني للخصوصية: privacy@aqari.sa
• مسؤول حماية البيانات (DPO): dpo@aqari.sa
• العنوان البريدي: شركة عقاري للتقنية، الرياض، المملكة العربية السعودية

إذا لم تكن راضياً عن استجابتنا، يمكنك تقديم شكوى إلى:

• هيئة البيانات والذكاء الاصطناعي (سدايا): sdaia.gov.sa
• الهيئة الوطنية للأمن السيبراني (الإبلاغ عن الحوادث): hayaa@cdsi.gov.sa

١٧. سجل التغييرات

• ٢٦ أبريل ٢٠٢٦: الإصدار الأول لسياسة الخصوصية بصيغتها الكاملة المتوافقة مع نظام PDPL ولائحته التنفيذية.