1. أطراف الاتفاقية / Parties
المتحكم في البيانات (Controller): العميل المشترك في سهل بِل. معالج البيانات (Processor): مشغّل سهل بِل، فرد مرخّص بموجب رخصة مستقل في المملكة العربية السعودية. يُكمّل هذا الملحق شروط الخدمة الرئيسية.
← العودة إلى الرئيسيةللاستفسارات المتعلقة بمعالجة البيانات: [email protected] | [email protected]
GDPR SCCs Module 2 ✓PDPL ✓ISO 27001 (Aspirational) ✓
الإصدار 1.0 — 19 أبريل 2026
ملحق معالجة البيانات
Data Processing Addendum (DPA)
يُنظّم هذا الملحق علاقة معالجة البيانات بين منشأتك (المتحكم) وسهل بِل (المعالج)، ويتوافق مع متطلبات GDPR وPDPL.
2. موضوع المعالجة / Subject Matter
إنشاء الفواتير الإلكترونية وتخزينها وتنظيمها وإرسالها نيابةً عن العميل. يُعالج سهل بِل البيانات الشخصية لأصحاب البيانات (عملاء المنشأة ومستلمو الفواتير) فقط بناءً على تعليمات العميل الموثّقة.
3. أنواع البيانات / Data Types
بيانات مستلمي الفواتير: الاسم التجاري، عنوان المنشأة، الرقم الضريبي (VAT)، بريد إلكتروني لاستلام الفاتورة، تفاصيل البنود والمبالغ. بيانات حساب العميل: بيانات التسجيل التجاري، الرقم الضريبي، العنوان الوطني.
4. مدة المعالجة / Duration
طوال مدة اشتراك العميل وحتى 30 يوماً بعد إغلاق الحساب. استثناء: بيانات الفواتير تُحتفظ بها 7 سنوات لمتطلبات ZATCA حتى بعد إغلاق الحساب.
5. المعالجون الفرعيون المعتمدون / Sub-processors
Supabase Inc. (تخزين البيانات — Frankfurt, EU)؛ Cloudflare Inc. (CDN — US/EU)؛ Resend Inc. (البريد الإلكتروني — US)؛ هيئة الزكاة والجمارك ZATCA (إرسال الفواتير الإلكترونية — إلزامي نظاماً — Saudi Arabia)؛ Lemon Squeezy (اشتراكات العميل فقط — UK).
6. التدابير الأمنية / Security Measures
AES-256 تشفير الساكن؛ TLS 1.3 في النقل؛ سياسات RLS في قاعدة البيانات؛ MFA للوصول الإداري؛ مراجعة أمنية ربع سنوية؛ سجلات تدقيق لعمليات الوصول؛ إطار ISO 27001 المستهدف؛ عزل بيانات المستأجرين.
7. إشعار الخرق / Breach Notification
إخطار العميل خلال 72 ساعة من اكتشاف أي خرق بيانات. يتولى العميل بعدها إبلاغ الجهات التنظيمية (NDMO للسعودية، DPA المحلي للاتحاد الأوروبي) وفق التزاماته القانونية.
8. حقوق أصحاب البيانات / Data Subject Rights
سهل بِل يُحيل الطلبات المباشرة من أصحاب البيانات للعميل خلال 5 أيام عمل. العميل يستجيب خلال 30 يوماً. سهل بِل يُقدّم الدعم التقني اللازم.
9. الحذف عند الإنهاء / Deletion on Termination
تنزيل البيانات متاح خلال 30 يوماً. بعدها حذف آمن غير قابل للاسترداد. استثناء: بيانات الفواتير محتجزة 7 سنوات لمتطلبات ZATCA. شهادة حذف مكتوبة متاحة عند الطلب.
10. توافق GDPR / GDPR Compatibility
هذا الملحق متوافق مع الوحدة النمطية 2 من بنود العقود النموذجية (SCCs Module 2 — من متحكم إلى معالج) وفق قرار المفوضية الأوروبية 2021/914. لطلب نسخة SCCs الرسمية الموقّعة: [email protected]
بلوك التوقيع / Signature Block
يُقرّ العميل بقبول هذا الملحق عند الموافقة على شروط الخدمة الرئيسية. للتوقيع الرسمي على نسخة موقّعة لأغراض الامتثال المؤسسي:
طلب نسخة موقّعة / Request Signed DPA