01مَن نحن وهُويتنا التنظيمية
شركة رواد الحلول المتقدمة الطبية (مؤسسة من قِبل د. علاء محمدين) (ويُشار إليها في هذه السياسة بـ«رواد الحلول» أو «نحن») شركة سعودية متخصصة في إدارة وتطوير العيادات الطبية الخاصة في المملكة العربية السعودية.
- السجل التجاري: 4030486501
- المقر الرئيسي: جدة — حي الشاطئ، المملكة العربية السعودية
- التوافق الاستراتيجي: داعمة لـرؤية المملكة 2030 لتطوير القطاع الصحي الخاص
- الهاتف: +966 54 545 6483
- البريد الإلكتروني الرسمي: contact@pioneersksa.com
- مسؤول حماية البيانات (DPO): dpo@pioneersksa.com
1.1 التسجيل الرسمي لدى SDAIA
بصفتنا ضابط بيانات (Data Controller) نُعالج بيانات متعلقة بالقطاع الصحي، نلتزم بمتطلبات المادة 30 من اللائحة التنفيذية لنظام PDPL السعودي:
- مُسجّلون على منصة حوكمة البيانات الوطنية (NDGP) التابعة للهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)
- رقم التسجيل: [قيد التحديث بعد استكمال التسجيل — تواصل مع DPO للاستفسار]
- تصنيفنا وفق PDPL: ضابط بيانات (Controller) في جمع وتحديد أغراض المعالجة
- سجلّ أنشطة المعالجة (ROPA): نحتفظ بسجلّ داخلي تفصيلي وفق المادة 31 من اللائحة التنفيذية
1.2 صلاحيتنا التنظيمية
نخضع إضافةً إلى PDPL للأنظمة السعودية ذات الصلة:
- SDAIA: الجهة المشرفة على PDPL + لوائح نقل البيانات خارج المملكة (سبتمبر 2024)
- MOH: لوائح الإعلانات الصحية والممارسة الطبية
- CCHI: معايير التأمين الصحي وبيانات المطالبات
- CBAHI: معايير جودة البيانات الصحية
- هيئة الزكاة والدخل: البيانات المحاسبية والضريبية
02البيانات التي نجمعها
2.1 بيانات تُعطيها لنا طوعاً
عند حجز استشارة، ملء نموذج، أو التواصل معنا عبر البريد أو الواتساب:
- الاسم الكامل
- رقم الجوال / الواتساب
- البريد الإلكتروني
- المدينة ونوع العيادة
- معلومات عامة عن عيادتك (إيرادات تقريبية، عدد الأطباء، نطاق الخدمة) — اختيارية
- أي معلومات أخرى تُدرجها في نموذج التواصل أو رسائل الواتساب
2.2 بيانات تُجمع تلقائياً عند زيارة الموقع
- عنوان IP (مُجَزَّأ / مجهول الهوية)
- نوع المتصفح ونظام التشغيل
- الصفحات التي زرتها ومدة الزيارة
- المصدر الذي أتى بك لموقعنا (Google، وسائل تواصل، روابط مباشرة)
2.3 بيانات من أطراف ثالثة
قد نحصل على معلومات محدودة عنك من:
- منصات إعلانية (Meta, Google Ads, Snapchat): إحصائيات مجهولة الهوية عن أداء الحملات
- Google Analytics: سلوك الزوار المجمّع (Aggregated)
- شركاء محتوى: معلومات عامة عند الاشتراك في فعاليات مشتركة (بإذنك المسبق)
03كيف نجمع البيانات
- النماذج على الموقع (صفحة «احجز استشارة» بشكل رئيسي)
- واتساب الأعمال (+966 54 545 6483)
- البريد الإلكتروني (contact@pioneersksa.com)
- المكالمات الهاتفية (لا تُسجَّل إلا بإذنك الصريح المسبق)
- اللقاءات المباشرة في مقر الشركة أو في عيادة العميل
- ملفات تعريف الارتباط (Cookies) — راجع القسم 9
04أغراض الاستخدام + الأساس القانوني
وفقاً لـالمادة 6 من نظام PDPL، يجب أن يكون لكل غرض معالجة أساس قانوني واضح ومحدد. فيما يلي جدول الشفافية الكامل:
4.1 سحب الموافقة
وفقاً للمادة 5 من PDPL، يحق لك سحب موافقتك في أي وقت دون التأثير على مشروعية المعالجة السابقة. أرسل طلبك إلى dpo@pioneersksa.com مع تحديد أي غرض تريد سحب الموافقة عنه. نُنفّذ السحب خلال 7 أيام عمل.
05البيانات الحساسة (Sensitive Data)
وفقاً لـالمادة 2 من PDPL، تشمل «البيانات الشخصية الحساسة»: الأصل العرقي أو القبلي، المعتقدات الدينية، التوجّه الفكري أو السياسي، السجل الجنائي، البيانات الصحية والبيومترية، والبيانات الوراثية.
5.1 كيف نتعامل مع البيانات الصحية؟
بصفتنا شركة إدارة عيادات B2B، قد تصلنا عرضاً معلومات صحية (مثل تخصص العيادة، نطاق العمليات، حالات دراسة عامة) — وهذه لا تُعدّ بيانات صحية شخصية لأنها:
- لا تخصّ مرضى بعينهم (بل تخصّ العيادة كمنشأة)
- مجمّعة أو مُجهَّلة بالكامل (Aggregated/Anonymized)
- لا تسمح بالتعرّف على أي مريض بشكل مباشر أو غير مباشر
5.2 في حال وصول بيانات حساسة سهواً
إذا شاركت معنا سهواً (في رسالة واتساب مثلاً) أي بيانات صحية شخصية لطرف ثالث:
- نحذفها فوراً من أنظمتنا
- لا نستخدمها لأي غرض
- نُبلغك بالحذف ونطلب عدم تكرار الإرسال
- في حال البيانات الحرجة جداً، قد نُبلغ SDAIA وفق المتطلبات القانونية
5.3 الضمانات الإضافية للبيانات الحساسة
وفقاً للمادة 7 من PDPL، نُطبّق ضمانات إضافية على أي بيانات حساسة قد تصلنا:
- تشفير قوي (AES-256) أثناء التخزين
- وصول محدود لـDPO فقط
- سجلّ تفصيلي لكل عملية وصول (access log)
- حذف/تدمير فوري عند انتفاء الغرض
06مَن نُشارك البيانات معهم
نُشارك الحد الأدنى الضروري من بياناتك مع:
- مزوّدي الخدمات التقنية: استضافة الموقع، البريد الإلكتروني، CRM — بموجب عقود سرية صارمة
- مستشارين قانونيين ومحاسبين: عند الحاجة لمراجعة عقود أو شؤون مالية — وفق سرية مهنية
- الجهات الحكومية السعودية: عند طلب قانوني رسمي فقط (MOH، هيئة الزكاة، المحاكم)
- شركاء تشغيليين مباشرين: بعد توقيع عقد إدارة — ولأغراض تنفيذ العقد فقط
07مدة الاحتفاظ بالبيانات والتدمير
7.1 مدد الاحتفاظ حسب الفئة
- استفسارات لم تتحوّل لتعاقد: 12 شهراً من آخر تواصل، ثم تُحذف تلقائياً
- عملاء متعاقدين حاليين: طوال مدة العقد + 5 سنوات بعده (لمتطلبات قانونية سعودية)
- بيانات محاسبية وضريبية: 10 سنوات (متطلب نظام الزكاة والدخل)
- بيانات تقنية (Logs): 90 يوماً كحد أقصى
- كوكيز التحليل: حتى 24 شهراً (قابلة للمسح يدوياً)
7.2 الفرق بين الحذف (Deletion) والتدمير (Destruction)
وفق إرشادات SDAIA للتدمير والتجهيل (2024)، نُميّز بوضوح بين:
7.3 عملية التدمير (عند الطلب أو انتهاء المدة)
- تحديد كل نسخ البيانات (أنظمة نشطة + احتياطية + أرشيفية)
- استخدام أدوات حذف آمن (Secure Deletion) تمنع الاسترجاع
- حذف من النسخ الاحتياطية خلال دورة التدوير القادمة (90 يوماً كحد أقصى)
- توثيق عملية التدمير في سجلّ ROPA الداخلي
- إصدار تأكيد خطي للشخص المعني (عند الطلب)
08حقوقك وفق نظام PDPL السعودي
تمنحك المادة 4 من نظام PDPL السعودي 7 حقوق أساسية، ونحن ملتزمون بتطبيقها كاملة:
1. الحق في المعرفة
أن تعرف ما البيانات التي نحتفظ بها عنك وكيف نستخدمها.
2. الحق في الوصول
طلب نسخة كاملة من بياناتك (PDF/CSV) — خلال 30 يوماً.
3. الحق في التصحيح
طلب تصحيح أي معلومات خاطئة أو قديمة — تنفيذ فوري.
4. الحق في الحذف
طلب حذف بياناتك إذا انتفى الغرض أو سحبتَ الموافقة — ضمن الإطار القانوني المسموح.
5. الحق في التدمير النهائي
تدمير دائم غير قابل للاستعادة (Destruction)، مُميّز عن الحذف — وفق إرشادات SDAIA.
6. الحق في الاعتراض
الاعتراض على المعالجة — خاصة للتسويق المباشر أو المصلحة المشروعة.
7. الحق في نقل البيانات
استلام بياناتك بصيغة مُنظَّمة (JSON/CSV) لنقلها لجهة أخرى.
8. الحق في رفض القرارات الآلية
جديد 2024: رفض أي قرار مُتخذ بشكل آلي تماماً يؤثر عليك، وطلب مراجعة بشرية (المادة 4h PDPL).
8.1 كيفية ممارسة حقوقك — الإجراء الكامل (DSAR Process)
📋 خطوات تقديم طلب ممارسة حقّك (Data Subject Access Request):
- أرسل طلبك إلى dpo@pioneersksa.com مع موضوع «طلب ممارسة حق PDPL — [رقم الحق 1-8]»
- أرفق إثبات الهوية (صورة من الهوية الوطنية أو الإقامة — نحذفها فور التحقق)
- حدّد طلبك بوضوح: أي بيانات؟ أي فترة زمنية؟ ما الصيغة المطلوبة؟
- تأكيد الاستلام: نرد خلال 48 ساعة عمل بإشعار استلام رسمي
- التنفيذ: خلال 30 يوماً كحد أقصى (قابل للتمديد 60 يوماً إضافية في الحالات المعقدة مع إشعارك)
- الرسوم: مجاناً في الطلب الأول كل 12 شهراً — قد تُفرض رسوم رمزية للطلبات المتكررة غير المبررة
- إذا لم ترضَ بردّنا: يحق لك التصعيد إلى SDAIA عبر sdaia.gov.sa
09ملفات تعريف الارتباط (Cookies) والموافقة عليها
9.1 فئات الكوكيز التي نستخدمها
9.2 آلية الموافقة (Consent Banner)
عند أول زيارة للموقع، يظهر لك Cookie Consent Banner يسمح لك بـ:
- قبول الكل: جميع الكوكيز (ضرورية + تحليلية)
- رفض الكل: فقط الكوكيز الضرورية
- تخصيص: اختيار فئات محددة
لا نُحمّل أي كوكيز تحليلية (Google Analytics) قبل موافقتك الصريحة. يُسجَّل اختيارك مع طابع زمني (timestamp) كدليل على الموافقة.
9.3 سحب الموافقة في أي وقت
يمكنك تعديل تفضيلاتك في أي وقت عبر:
- زر «إعدادات الكوكيز» في تذييل الموقع
- حذف الكوكيز من إعدادات المتصفح
- إرسال طلب لـdpo@pioneersksa.com
10أمن البيانات والإبلاغ عن الاختراقات
10.1 الإجراءات التقنية والتنظيمية
نطبّق إجراءات صارمة لحماية بياناتك وفق المادة 19 من PDPL:
- تشفير SSL/TLS لكل البيانات المنقولة عبر الموقع (HTTPS إلزامي)
- تشفير AES-256 لقواعد البيانات الحساسة أثناء التخزين
- صلاحيات محدودة — مبدأ الحد الأدنى (Least Privilege Access)
- نسخ احتياطية يومية مشفّرة في مراكز بيانات داخل المملكة
- مراجعات أمنية كل 6 أشهر + اختبار اختراق سنوي
- تدريب إلزامي للفريق على PDPL + أمن المعلومات
- سجلّ تفصيلي لكل عملية وصول للبيانات (Access Logs)
10.2 الإبلاغ في حال الاختراق (Breach Notification)
- خلال 72 ساعة من اكتشاف الحادثة — نُبلغ الجهتين معاً:
- 🏛️ SDAIA (الهيئة السعودية للبيانات والذكاء الاصطناعي) عبر القنوات الرسمية
- 👤 الأشخاص المتأثرين مباشرة عبر البريد الإلكتروني أو الواتساب
10.3 ما يتضمّنه إشعار الاختراق
عند الإبلاغ، نوضّح لك:
- طبيعة الاختراق: ما الذي حدث، متى، وكيف
- فئات البيانات المُتأثرة: أسماء؟ هواتف؟ بيانات مالية؟
- التأثير المحتمل عليك: مخاطر واقعية
- الإجراءات المتّخذة: ما فعلناه لاحتواء الاختراق
- الخطوات المقترحة: ما يمكنك فعله لحماية نفسك
- جهات الاتصال: DPO + أرقام للتواصل السريع
10.4 خطة الاستجابة للحوادث (Incident Response Plan)
لدينا خطة مكتوبة للاستجابة للحوادث تُراجَع سنوياً وتتضمّن: الكشف → الاحتواء → التحقيق → الإبلاغ → التعافي → الدروس المستفادة.
11النقل الدولي للبيانات
11.1 السياسة الأساسية: التخزين داخل المملكة
تُخزَّن بياناتك أساساً في مراكز بيانات داخل المملكة العربية السعودية وفق مبدأ توطين البيانات.
11.2 متى قد تُنقل بياناتك خارج المملكة؟
بعض مزوّدي الخدمة الدوليين (مثل Google Workspace لإدارة البريد، أو CRM دولي) قد يُعالجون بعض بياناتك على خوادم خارج المملكة. ينطبق ذلك فقط على:
- بيانات تواصل أساسية (اسم + بريد إلكتروني)
- بيانات تقنية (logs, analytics) — مُجهَّلة
- لا نُرسل أي بيانات حساسة أو مالية تفصيلية خارج المملكة
11.3 الضمانات المُطبَّقة (وفق لوائح نقل البيانات سبتمبر 2024)
قبل أي نقل خارج المملكة، نُنفّذ واحداً أو أكثر من الضمانات التالية:
- قرار كفاية (Adequacy Decision): النقل إلى دولة مُدرجة في قائمة SDAIA للدول ذات المستوى الكافي من الحماية
- بنود تعاقدية قياسية (SCCs): توقيع نموذج SDAIA الرسمي للبنود التعاقدية مع مزوّد الخدمة
- قواعد ملزمة عامة (BCRs): للمجموعات متعددة الجنسيات — معتمدة من SDAIA
- شهادات معتمدة (Certifications): صادرة عن جهات اعتماد تعترف بها SDAIA
11.4 تقييم أثر النقل (Transfer Impact Assessment — TIA)
وفق لوائح سبتمبر 2024، نُجري تقييم أثر نقل قبل أي نقل خارج المملكة يتضمّن:
- تقييم نظام حماية البيانات في الدولة المستقبلة
- تقييم ممارسات المزوّد الأمنية
- تحديد المخاطر على الأشخاص المعنيين
- تطبيق ضمانات إضافية (تشفير، عقود، تدقيق)
12التسويق المباشر وآلية الموافقة
12.1 متى نتواصل معك لأغراض تسويقية؟
نتواصل معك تسويقياً فقط إذا:
- وافقت صراحةً ومسبقاً عبر checkbox في نموذج التسجيل (غير معلَّم افتراضياً)
- رسالة الموافقة منفصلة عن الموافقة على شروط الخدمة — وفق المادة 22 من PDPL
- تشمل تحديثات الخدمة، محتوى مُفيد (تقارير، دراسات حالة)، عروض خاصة بالقطاع الطبي
12.2 حقّك في إلغاء الاشتراك (Unsubscribe)
في كل رسالة تسويقية نرسلها، يوجد:
- رابط «إلغاء الاشتراك» مباشر — يعمل خلال 48 ساعة كحد أقصى
- لا نطلب سبب الإلغاء (ليس شرطاً)
- لا يتطلب تسجيل دخول أو خطوات إضافية
13خصوصية الأطفال
خدماتنا موجّهة للبالغين العاملين في القطاع الصحي (أصحاب عيادات، مستثمرين، أطباء). لا نجمع بيانات من أشخاص دون 18 عاماً عمداً. إذا اكتشفنا أننا جمعنا بيانات من قاصر عن طريق الخطأ، نحذفها فوراً.
إذا كنت والداً أو وصياً وتعتقد أن طفلك قدّم لنا بيانات، تواصل معنا على dpo@pioneersksa.com.
14مسؤول حماية البيانات (DPO)
14.1 ضرورة تعيين DPO
وفقاً لقواعد SDAIA لتعيين مسؤول حماية البيانات (2024)، نحن ملزمون بتعيين DPO لأن نشاطنا يشمل معالجة منتظمة لبيانات تتعلق بالقطاع الصحي.
14.2 معلومات DPO
- البريد الإلكتروني المخصّص: dpo@pioneersksa.com
- الاسم والمؤهلات: [قيد التحديث — يُعلن عند إتمام التعيين الرسمي]
- نطاق الصلاحية: رواد الحلول المتقدمة الطبية + كيانات الشركة التابعة
- استقلالية القرار: يتبع DPO مباشرة للإدارة التنفيذية
14.3 مسؤوليات DPO
- مراقبة الامتثال اليومي لنظام PDPL
- تدريب الفريق + رفع الوعي
- الرد على طلبات ممارسة الحقوق (DSAR)
- إدارة الإبلاغ عن الاختراقات (Breach Response)
- التواصل مع SDAIA عند الحاجة
- مراجعة دورية لسياسات الخصوصية والعقود
14.4 التصعيد (Escalation)
إذا لم تحصل على رد مُرضٍ من DPO خلال 30 يوماً:
- تصعيد داخلي: legal@pioneersksa.com
- تصعيد تنفيذي: عبر contact@pioneersksa.com
- تصعيد خارجي: SDAIA عبر sdaia.gov.sa
15تحديثات هذه السياسة
قد نُحدّث هذه السياسة دورياً لتعكس تغييرات في خدماتنا أو متطلبات قانونية جديدة. عند أي تغيير جوهري:
- نُغيّر تاريخ «آخر تحديث» في أعلى الصفحة
- نُعلن عن التغيير في موقعنا لمدة 30 يوماً
- نُرسل إشعاراً للعملاء المتعاقدين عبر البريد الإلكتروني
- في حال كان التغيير يتطلب موافقة جديدة منك — نطلبها صراحةً
16التواصل والشكاوى
لأي استفسار عن هذه السياسة أو لممارسة حقوقك، تواصل مع:
- مسؤول حماية البيانات (DPO): dpo@pioneersksa.com
- البريد العام: contact@pioneersksa.com
- الهاتف: +966 54 545 6483
- العنوان: جدة — حي الشاطئ، المملكة العربية السعودية
الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)
الموقع: sdaia.gov.sa
أو المركز الوطني للذكاء الاصطناعي والبيانات — الرياض
? الأسئلة الشائعة عن خصوصيتك
أسئلة يطرحها عملاؤنا عن بياناتهم ومعالجتها وفق نظام PDPL.
هل تبيع رواد الحلول بيانات عملائها؟
ما الجهة التنظيمية السعودية المسؤولة عن حماية البيانات؟
ما مدة احتفاظ رواد الحلول ببياناتك؟
أسئلة إضافية حول الخصوصية؟
نحن ملتزمون بالشفافية الكاملة. إذا احتجت توضيحاً لأي نقطة، لا تتردد في التواصل معنا مباشرة.