SARPساربنسخة تجريبية

سياسة الخصوصية

سياسة خصوصية منصة سارب للمكاتب العقارية السعودية

آخر تحديث: أبريل 2026

يُعرض أدناه النص العربي والإنجليزي جنباً إلى جنب. النصّان متساويان في الحجية. وفي حال تعارض التفسير، يرجَّح النص العربي وفقاً للعرف القضائي السعودي.

١. المقدمة والنطاق

توضّح سياسة الخصوصية هذه ("السياسة") كيف يجمع سارب ("المزوّد") البيانات الشخصية التي تُعالَج عبر منصة سارب ("الخدمة")، وكيف يستخدمها ويشاركها ويحميها. وتنطبق هذه السياسة على المكتب العقاري السعودي المرخّص المشترك في الخدمة ("العميل")، وعلى المستخدمين المفوّضين التابعين له، وعلى العملاء النهائيين الذين يرفع العميل بياناتهم أو يديرها على المنصة. وقد صدرت هذه السياسة وفقاً لنظام حماية البيانات الشخصية السعودي (PDPL) ولائحته التنفيذية.

1. Introduction & Scope

This Privacy Policy (the "Policy") explains how SARP (the "Provider") collects, uses, shares, and protects personal data processed through the SARP platform (the "Service"). It applies to the licensed Saudi real estate agency that subscribes to the Service (the "Customer"), to the Customer's Authorized Users, and to end-clients whose data the Customer uploads or manages on the Platform. The Policy is issued in accordance with the Saudi Personal Data Protection Law (PDPL) and its Implementing Regulations.

٢. التعريفات

"البيانات الشخصية" تعني أي بيانات - أياً كان مصدرها أو شكلها - من شأنها أن تؤدي إلى التعرّف على شخص بعينه، أو تجعل التعرّف عليه ممكناً بشكل مباشر أو غير مباشر. "جهة التحكم" تعني الجهة التي تحدّد الغرض من معالجة البيانات الشخصية ووسيلتها. وفيما يخص بيانات العملاء النهائيين (المشترين والبائعين وملاك العقارات) يُعدّ العميل جهة التحكم. "جهة المعالجة" تعني أي جهة تُعالج البيانات الشخصية نيابة عن جهة التحكم. ويعمل المزوّد بصفة جهة معالجة لبيانات العملاء النهائيين التي يحفظها العميل على المنصة. "صاحب البيانات" يعني الشخص الذي تخصّه البيانات الشخصية. "سدايا" تشير إلى الهيئة السعودية للبيانات والذكاء الاصطناعي، وهي الجهة المشرفة على تطبيق نظام حماية البيانات الشخصية في المملكة.

2. Definitions

"Personal Data" means any data - regardless of source or form - that would lead to identifying an individual specifically, or that makes it possible to identify an individual directly or indirectly. "Controller" means the party that determines the purpose and means of processing Personal Data. For end-client data (buyer/seller leads, property owners), the Customer is the Controller. "Processor" means any party that processes Personal Data on behalf of a Controller. The Provider acts as Processor for the end-client data the Customer stores on the Platform. "Data Subject" means the individual to whom the Personal Data relates. "SDAIA" refers to the Saudi Data & AI Authority, the supervisory authority for PDPL in the Kingdom.

٣. البيانات التي نجمعها

نجمع الفئات التالية من البيانات:
  • بيانات المكتب - الاسم النظامي، والاسم بالعربية، ورقم رخصة الهيئة العامة للعقار، والسجل التجاري، والرقم الضريبي، والعنوان.
  • بيانات المستخدمين - الاسم الكامل، والبريد الإلكتروني، ورقم الجوال، والدور (مالك/مدير/وسيط)، وكلمة المرور المشفّرة، وبيانات التحقق بخطوتين.
  • بيانات الطلبات - طلبات الشراء والبيع والإيجار التي يُدخلها المستخدمون، بما في ذلك معلومات التواصل والميزانية وتفضيلات الموقع وحالة التمويل.
  • بيانات العقارات - العناوين والصور والإحداثيات ورموز العنوان الوطني وأرقام الصكوك وبيانات التواصل مع الملاك.
  • خزانة الوثائق - الملفات المرفوعة مثل السجل التجاري ورخصة الهيئة وهوية المفوّض بالتوقيع والصكوك والعقود.
  • سجلات الاستخدام - سجلات الدخول، وعنوان IP، ونوع المتصفح، والطوابع الزمنية، وسجل التدقيق للإجراءات المنفّذة على المنصة.

3. Data We Collect

We collect the following categories of data:
  • Agency information - legal name, Arabic name, REGA license number, Commercial Registration, VAT number, address.
  • User credentials - full name, email, phone, role (owner / manager / agent), hashed password, multi-factor authentication data.
  • Request data - buyer, seller, and rental requests entered by Authorized Users, including contact details, budget, location preferences, and financing status.
  • Property listings - addresses, photos, coordinates, Saudi National Address codes, title-deed numbers, and owner contact details.
  • Document vault - uploaded files such as CR, REGA license, authorized-signatory ID, title deeds, and contracts.
  • Usage logs - sign-in records, IP address, browser type, timestamps, and audit trail of actions taken on the Platform.

٤. الأساس النظامي للمعالجة

لا نعالج البيانات الشخصية إلا استناداً إلى أحد الأسس النظامية التالية:
  • تنفيذ العقد - لتقديم الخدمة التي اشترك فيها العميل.
  • الالتزام النظامي - للامتثال للأنظمة السعودية، بما فيها لوائح الهيئة العامة للعقار، والفوترة الإلكترونية لدى زاتكا، ونظام مكافحة غسل الأموال، وأوامر الجهات المختصّة.
  • المصلحة المشروعة - لحماية المنصة، واكتشاف الاحتيال، والاحتفاظ بسجل التدقيق، وتطوير المنتج، بما لا يمسّ حقوق أصحاب البيانات.
  • الموافقة - للأنشطة الاختيارية مثل الرسائل التسويقية، ويمكن سحب هذه الموافقة في أي وقت.

4. Lawful Basis for Processing

We process Personal Data only where a lawful basis applies:
  • Performance of a contract - to deliver the Service the Customer has subscribed to.
  • Legal obligation - to comply with Saudi law, including REGA regulations, ZATCA e-invoicing, Anti-Money Laundering rules, and orders from competent authorities.
  • Legitimate interest - to secure the Platform, detect fraud, maintain audit logs, and improve the product, in a way that does not override Data Subject rights.
  • Consent - for optional activities such as marketing emails, where consent can be withdrawn at any time.

٥. كيف نستخدم بياناتك

نستخدم البيانات الشخصية للأغراض التالية:
  • تجهيز مساحة العمل الخاصة بالعميل ونطاقه الفرعي، والتحقّق من هوية المستخدمين المفوّضين.
  • تشغيل مسار الطلبات، ومحرك المطابقة الذكي، ونظام المتابعات، ووحدة المزادات، وخزانة الوثائق.
  • إرسال الإشعارات التشغيلية (إعادة تعيين كلمة المرور، والموافقات، وتنبيهات الإسناد، وإيصالات الفواتير).
  • إصدار الفواتير الضريبية وفقاً لنظام الفوترة الإلكترونية لدى زاتكا.
  • مراقبة جاهزية الخدمة، ومعالجة الحوادث، وصدّ أي إساءة استخدام.
  • الاستجابة لطلبات أصحاب البيانات والالتزام بمتطلبات نظام حماية البيانات الشخصية.
  • تطوير المنصة، باستخدام بيانات مجمّعة أو مجهولة الهوية كلما أمكن.

5. How We Use Your Data

We use Personal Data to:
  • Provision the Customer's tenant workspace and subdomain, and authenticate Authorized Users.
  • Run the request pipeline, smart-matching engine, follow-up CRM, auctions module, and document vault.
  • Send transactional notifications (password reset, approvals, assignment alerts, billing receipts).
  • Issue tax invoices in line with ZATCA e-invoicing rules.
  • Monitor Service health, investigate incidents, and block abuse.
  • Respond to Data Subject requests and comply with PDPL obligations.
  • Improve the Platform, using aggregated or anonymized data where possible.

٦. مشاركة البيانات مع أطراف أخرى

لا نبيع البيانات الشخصية، ولا نشاركها إلا مع الجهات التالية:
  • مزوّدو البنية التحتية - الاستضافة السحابية وقواعد البيانات وتخزين الملفات وإيصال البريد - بموجب اتفاقيات معالجة بيانات مكتوبة تتضمّن التزامات أمنية وسرّية.
  • مزوّد الدفع - مدفوعات، وهي جهة مرخّصة من البنك المركزي السعودي (ساما)، وتُعالج رسوم الاشتراك.
  • الهيئة الضريبية - بيانات الفواتير المرسلة إلى زاتكا بموجب نظام الفوترة الإلكترونية.
  • الجهات المختصّة - عند ورود أمر نظامي من جهة رقابية أو قضائية، أو عند اشتراط الأنظمة السعودية ذلك.
ولا نستخدم شبكات إعلانات خارجية أو ملفات تتبع سلوكي، ولا أدوات تحليل تتبّع المستخدمين عبر المواقع.

6. Data Sharing with Third Parties

We do not sell Personal Data. We share it only with:
  • Infrastructure providers - cloud hosting, database, file storage, and email delivery - bound by written data-processing agreements with security and confidentiality obligations.
  • Payment provider - Moyasar, a payment service provider licensed by the Saudi Central Bank (SAMA), which processes subscription payments.
  • Tax authority - invoice metadata transmitted to ZATCA as required by the e-invoicing regulations.
  • Competent authorities - where disclosure is required by Saudi law or a valid order from a regulatory or judicial body.
We do not use third-party advertising networks, behavioral-ad cookies, or external analytics vendors that track users across sites.

٧. أمن البيانات

نطبّق ضوابط تقنية وتنظيمية وفق أفضل الممارسات، وتشمل:
  • التشفير أثناء النقل (TLS) وعند التخزين لقواعد البيانات والملفات.
  • عزل البيانات لكل مكتب بحيث لا يرى أي مكتب بيانات مكتب آخر.
  • ضبط الصلاحيات حسب الدور (مالك/مدير/وسيط/طاقم المنصة) مع مبدأ أقل صلاحية ممكنة.
  • التحقق بخطوتين لمديري المنصة، وإتاحته لمستخدمي المكاتب.
  • سجل تدقيق غير قابل للتعديل لجميع عمليات الإنشاء والتعديل والحذف.
  • نسخ احتياطية منتظمة، وتدوير مفاتيح التشفير، ومعالجة الثغرات أولاً بأول.
ومع ذلك لا يخلو أي نظام من مخاطر، ويُقرّ العميل بأن النقل عبر الإنترنت ينطوي على مخاطر متأصلة، ويلتزم بإبلاغ المزوّد فوراً بأي اختراق مشتبه به.

7. Data Security

We apply industry-standard technical and organizational measures, including:
  • Encryption in transit (TLS) and at rest for databases and file storage.
  • Per-tenant data isolation so one agency cannot see another agency's data.
  • Role-based access control (owner / manager / agent / platform staff) with least-privilege defaults.
  • Multi-factor authentication for platform administrators and available for agency users.
  • Immutable audit logs for create, update, and delete actions.
  • Regular backups, key rotation, and vulnerability patching.
No system is perfectly secure; the Customer acknowledges that transmission over the internet carries inherent risk and agrees to notify the Provider promptly of any suspected breach.

٨. مدة الاحتفاظ بالبيانات

نحتفظ بالبيانات الشخصية طوال مدة اشتراك العميل النشط. وبعد إنهاء الاشتراك أو إلغائه، يحق للعميل تصدير بياناته خلال ثلاثين (30) يوماً، ثم نقوم بحذفها أو إخفاء هويتها، باستثناء ما تشترط الأنظمة السعودية الاحتفاظ به لمدة أطول - فعلى سبيل المثال، يجب الاحتفاظ بسجلات الفوترة الإلكترونية لدى زاتكا والبيانات الضريبية المرتبطة بها لمدة ست (6) سنوات، كما قد تكون لبعض السجلات المرتبطة بالهيئة العامة للعقار مدة احتفاظ خاصة بها. أما سجلات التدقيق المرتبطة بإجراءات خاضعة للرقابة، فنحتفظ بها للمدة التي تحدّدها اللائحة ذات العلاقة.

8. Data Retention

We retain Personal Data for as long as the Customer's subscription is active. After termination or cancellation, the Customer may export Customer Data within thirty (30) days; thereafter, we delete or anonymize the data except where Saudi law requires a longer retention period - for example, ZATCA e-invoicing records and related tax data must be kept for six (6) years, and certain REGA-linked records may have their own statutory retention. Audit logs tied to regulated actions are kept for the period required by the applicable regulation.

٩. موقع استضافة البيانات

تعمل المنصة حالياً على Google Cloud في منطقة europe-west4 (هولندا). وقد اخترنا هذه المنطقة لنضجها التشغيلي في المرحلة الأولى من المنتج، ونقيّم حالياً نقل الاستضافة إلى منطقة داخل المملكة (الرياض أو الدمام) مع نمو الاستخدام. وسنخطر العميل مسبقاً بأي تغيير في منطقة الاستضافة، وسنحدّث هذه السياسة عند الحاجة. ويُقرّ العميل عند الاشتراك بموقع الاستضافة الحالي. ويقتصر نقل البيانات خارج المملكة على ما تتطلّبه تشغيل الخدمة، ويخضع للضوابط التقنية الموضّحة أعلاه، ويتوافق مع أحكام نقل البيانات عبر الحدود الواردة في نظام حماية البيانات الشخصية ولائحته التنفيذية.

9. Data Residency & Hosting

The Platform currently runs on Google Cloud in the europe-west4 region (the Netherlands). We chose this region for operational maturity during the early phase of the product, and we are actively evaluating migration to a Saudi region (Riyadh or Dammam) as usage grows. We will notify the Customer in advance of any region change and, where applicable, update this Policy. The Customer acknowledges the current hosting region when subscribing. Data transfer outside the Kingdom is limited to what is necessary to operate the Service, is protected by the technical measures described above, and complies with the PDPL provisions on cross-border transfer and its Implementing Regulations.

١٠. حقوقك بموجب نظام حماية البيانات الشخصية

يمنح نظام حماية البيانات الشخصية السعودي أصحاب البيانات الحقوق التالية:
  • الحق في العلم - معرفة ما نجمعه ولماذا (هذه السياسة).
  • الحق في الوصول - الحصول على نسخة من بياناتك الشخصية لدينا.
  • الحق في التصحيح - تصحيح أي بيانات غير دقيقة أو غير مكتملة.
  • الحق في الحذف - طلب حذف البيانات التي لم تعد لازمة ولا تخضع لمدة احتفاظ نظامية.
  • الحق في نقل البيانات - استلام بياناتك بصيغة منظّمة ومتداولة.
  • الحق في الاعتراض - الاعتراض على المعالجة القائمة على المصلحة المشروعة.
  • الحق في سحب الموافقة - سحب أي موافقة سابقة، دون أن يؤثر ذلك على المعالجة السابقة المشروعة.
نسعى للردّ على كل طلب خلال ثلاثة (3) أيام عمل، والبتّ فيه خلال ثلاثين (30) يوماً. وإذا تعذّر تنفيذ الطلب (مثلاً لأن الفاتورة الضريبية يجب الاحتفاظ بها لدى زاتكا)، فسنوضّح السبب ونحدّد البيانات الخاضعة للحفظ النظامي.

10. Your Rights Under PDPL

The Saudi Personal Data Protection Law grants Data Subjects the following rights:
  • Right to be informed - understand what we collect and why (this Policy).
  • Right of access - obtain a copy of the Personal Data we hold about you.
  • Right to rectification - correct inaccurate or incomplete data.
  • Right to erasure - request deletion where the data is no longer needed and no legal retention applies.
  • Right to data portability - receive your data in a structured, commonly used format.
  • Right to object - object to processing based on legitimate interest.
  • Right to withdraw consent - withdraw any consent previously given, without affecting prior lawful processing.
We aim to acknowledge every request within three (3) business days and resolve it within thirty (30) days. Where a request cannot be fulfilled (for example, because a tax invoice must be retained by ZATCA), we will explain the reason and identify the data held under legal hold.

١١. مسؤول حماية البيانات وجهة الاتصال

لأي استفسار بخصوص هذه السياسة، أو لممارسة حقوقك بموجب نظام حماية البيانات الشخصية، أو للإبلاغ عن اختراق مشتبه به، تواصل مع فريق الخصوصية على privacy@sarp-sa.net. ويُرجى تضمين ما يكفي من التفاصيل حتى نتمكّن من التحقّق من هويتك وتحديد البيانات المعنية.

11. Data Protection Officer & Contact

For any question about this Policy, to exercise your PDPL rights, or to report a suspected data breach, contact our privacy team at privacy@sarp-sa.net. Please include enough detail for us to verify your identity and locate the data in question.

١٢. الجهة الإشرافية

يحق لك تقديم شكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، وهي الجهة المشرفة على الامتثال لنظام حماية البيانات الشخصية في المملكة. وتتوفّر بيانات التواصل مع سدايا وقنوات تقديم الشكاوى على موقعها sdaia.gov.sa. ونحن نشجّعك على التواصل معنا أولاً حتى نسعى لحلّ المسألة مباشرةً.

12. Supervisory Authority

You have the right to lodge a complaint with the Saudi Data & AI Authority (SDAIA), the supervisory authority for PDPL compliance in the Kingdom. SDAIA's contact details and complaint channels are available at sdaia.gov.sa. We encourage you to contact us first so we can try to resolve the issue directly.

١٣. ملفات الارتباط والتتبّع

تستخدم المنصة عدداً محدوداً من ملفات الارتباط الخاصة بها، والضرورية لتشغيل الخدمة:
  • ملف الجلسة - يُبقيك مسجّل الدخول بعد المصادقة.
  • ملف اللغة - يحفظ تفضيلك بين العربية والإنجليزية.
  • ملفات الأمان - تساعد في رصد سرقة الجلسات وتزوير الطلبات بين المواقع.
ولا نستخدم ملفات ارتباط إعلانية من أطراف أخرى، ولا بيكسلات تتبّع بين المواقع، ولا أدوات تحليل خارجية مثل Google Analytics أو Meta Pixel داخل الصفحات المحمية. ويمكنك من متصفحك حظر ملفات الارتباط أو حذفها، لكن بعض الميزات الأساسية (مثل البقاء مسجّل الدخول) لن تعمل إذا حظرت ملفات الجلسة.

13. Cookies & Tracking

The Platform uses a small number of first-party cookies strictly necessary to operate the Service:
  • Session cookie - keeps you signed in after authentication.
  • Language cookie - remembers your Arabic/English preference.
  • Security cookies - help detect session hijacking and cross-site forgery.
We do not set third-party advertising cookies, we do not use cross-site tracking pixels, and we do not integrate external analytics vendors such as Google Analytics or Meta Pixel on authenticated pages. Your browser can block or delete cookies; some core features (for example, staying signed in) will not work if you block session cookies.

١٤. بيانات الأطفال

المنصة منتج بين الشركات مخصّص للمكاتب العقارية المرخّصة، وليست موجّهة لمن هم دون الثامنة عشرة (18) من العمر. ولا نجمع عن علم بيانات شخصية من قاصرين. وإذا علمت أن قاصراً قدّم لنا بيانات شخصية، يرجى التواصل مع privacy@sarp-sa.net، وسنقوم بحذفها.

14. Children's Data

The Platform is a business-to-business product for licensed real estate agencies and is not intended for individuals under eighteen (18) years of age. We do not knowingly collect Personal Data from minors. If you believe a minor has submitted Personal Data to us, please contact privacy@sarp-sa.net and we will delete it.

١٥. نقل البيانات خارج المملكة

نظراً إلى أن المنصة مستضافة حالياً في منطقة europe-west4 (هولندا)، فإن البيانات الشخصية تُنقل خارج المملكة لغرض محدود هو تشغيل الخدمة. وقد يحدث نقل إضافي عبر الحدود لأغراض إيصال البريد (عبر مزوّد خدمات البريد التشغيلي لدينا). وتجري جميع عمليات النقل هذه بموجب اتفاقيات معالجة بيانات مكتوبة تتضمّن التزامات أمنية وسرّية، وبما يتوافق مع أحكام نقل البيانات عبر الحدود في نظام حماية البيانات الشخصية ولائحته التنفيذية. وللاطلاع على قائمة المعالجات الفرعية المعنية، يرجى التواصل مع privacy@sarp-sa.net.

15. International Transfers

Because the Platform is currently hosted in europe-west4 (the Netherlands), Personal Data is transferred outside the Kingdom for the limited purpose of running the Service. Additional cross-border transfers may occur for email delivery (via our transactional email provider). All such transfers are conducted under written data-processing agreements that include security and confidentiality obligations, and in accordance with the cross-border transfer provisions of the PDPL and its Implementing Regulations. If you would like a list of the sub-processors involved, contact privacy@sarp-sa.net.

١٦. التعديلات على هذه السياسة

قد نحدّث هذه السياسة من حين لآخر لتعكس التغييرات في الخدمة أو الأنظمة أو ممارساتنا. وعند إجراء تعديلات جوهرية، نخطر العميل بالبريد الإلكتروني قبل بدء سريانها بثلاثين (30) يوماً على الأقل. وتظل النسخة الأحدث متاحة دائماً على هذه الصفحة، مع تاريخ "آخر تحديث" في أعلاها. ويُعدّ استمرار استخدام الخدمة بعد تاريخ السريان قبولاً للسياسة المحدّثة.

16. Changes to This Policy

We may update this Policy from time to time to reflect changes in the Service, the law, or our practices. When we make material changes, we will notify the Customer by email at least thirty (30) days before the changes take effect. The latest version is always available on this page, with the "Last updated" date at the top. Continued use of the Service after the effective date constitutes acceptance of the updated Policy.

١٧. كيفية التواصل معنا

سارب - فريق الخصوصية والامتثال

17. How to Contact Us

SARP - Privacy & Compliance

هذا النص استرشادي. يُنصح العميل بمراجعة الاتفاقية مع مستشار قانوني سعودي مرخّص قبل التوقيع للاستخدام التجاري.