سياسة الخصوصية
تصف هذه السياسة كيف تجمع Immersa ("نحن"، "الشركة") وتستخدم وتحمي المعلومات الشخصية لمستخدمي منصّتنا (immersaapp.com). نلتزم بمتطلبات نظام حماية البيانات الشخصية السعودي (PDPL) ونعمل بموجبه كـ Data Controller فعلياً، مع إكمال إجراءات التسجيل النظامي لدى SDAIA على مراحل.
١. البيانات التي نجمعها
أ. بيانات تُقدّمها لنا مباشرة
- الاسم الكامل، البريد الإلكتروني، رقم الجوال عند إنشاء حساب أو طلب خدمة
- بيانات العقار المُصوَّر (العنوان، المساحة، السعر، المواصفات)
- معلومات الدفع (تُعالَج حصراً عبر Moyasar/Stripe — نحن لا نخزّن أرقام البطاقات)
- مراسلات الدعم والاستفسارات
ب. بيانات تُجمَع تلقائياً
- IP، المتصفح، نظام التشغيل، اللغة
- سجلات الجلسة والمشاهدات (anonymized session IDs)
- ملفات تعريف الارتباط (Cookies) الأساسية للجلسة + تحليلات اختيارية
٢. لماذا نستخدم بياناتك
- تقديم الخدمة المتعاقد عليها (جولات 360°، ريلات، استضافة)
- معالجة الدفع وإصدار فواتير ZATCA
- إرسال إشعارات تشغيلية (تأكيد الحجز، جاهزية الجولة، مشاهدات العملاء)
- تحسين المنصّة وتحليل الأداء (مجموعات إحصائية مجهولة الهوية)
- الامتثال للمتطلبات النظامية (ZATCA، المحكمة، NCA عند الطلب الرسمي)
٣. مشاركة البيانات
لا نبيع بياناتك الشخصية. نشاركها فقط مع:
- موفّري البنية التحتية: Fly.io (استضافة في فرانكفورت، بيانات في المنطقة)، Tigris (تخزين الصور).
- بوابات الدفع: Moyasar، Stripe — لمعالجة المعاملات فقط.
- خدمات ذكاء اصطناعي: Anthropic Claude — لتوليد الأوصاف (بيانات الصور فقط، بدون بيانات شخصية).
- الجهات الحكومية: عند طلب رسمي قانوني من جهة مختصة.
٤. مدة الاحتفاظ
- بيانات الحساب: مدة بقاء الحساب فعّالاً. عند طلب الحذف، فترة سماح ١٤ يوم (يمكن إلغاؤها من الإعدادات). بعد انتهاء فترة السماح، تُحذف البيانات الشخصية بالكامل دون استرجاع.
- سجلات المشاهدات: ٣٦٥ يوم كحد أقصى (مع IP مُجَزَّأ HMAC، لا IP خام).
- الفواتير الضريبية (ZATCA): ١٠ سنوات (متطلب نظامي صريح من هيئة الزكاة والضريبة).
- صور الجولة + بيانات العقار: حتى إلغاء الحساب، مع تصدير كامل متاح فور الطلب.
٥. حقوقك بموجب PDPL
- حق العلم: معرفة البيانات التي نحتفظ بها عنك.
- حق الوصول: طلب نسخة من بياناتك (خلال ٣٠ يوم).
- حق التصحيح: تصحيح البيانات غير الدقيقة.
- حق الحذف: طلب حذف بياناتك (باستثناء ما يتطلبه النظام).
- حق الاعتراض: على المعالجة لأغراض التسويق.
- حق نقل البيانات: استلامها بتنسيق قابل للقراءة آلياً.
لممارسة أيّ من هذه الحقوق، راسلنا على privacy@immersaapp.com.
٦. الأمان
نطبّق إجراءات تقنية وتنظيمية متوافقة مع NCA ECC:
- تشفير البيانات أثناء النقل (TLS 1.3) وفي الراحة (AES-256).
- فصل صلاحيات الوصول (Role-based access control).
- نسخ احتياطي يومي مشفّر في مواقع جغرافية متعدّدة.
- مراجعة أمنية دورية واختبار اختراق سنوي.
- سجلات تدقيق لكل الوصول إلى البيانات الحسّاسة.
٧. ملفات تعريف الارتباط
نستخدم كوكيز أساسية (جلسة، مصادقة، CSRF) — لا يمكن تعطيلها. الكوكيز التحليلية اختيارية، تظهر خلال زيارتك الأولى عبر بانر موافقة.
٨. نقل البيانات خارج المملكة
البنية التحتية الأساسية (استضافة التطبيق) في فرانكفورت — منطقة معتمدة بموجب قرارات التكافؤ في PDPL. الخدمات المساعدة (Cloudflare CDN، Anthropic) تُستخدم وفق ضوابط SCCs وضمانات تعاقدية لضمان حماية مكافئة.
٩. اتفاقية معالجة البيانات (DPA)
لعملاء خطط Business / Agency / Enterprise — DPA جاهز للتوقيع الإلكتروني عبر نفاذ. راسلنا على legal@immersaapp.com لطلب النسخة.
١٠. القاصرون
منصّتنا موجّهة للبالغين (١٨+). لا نجمع بيانات القاصرين بشكل مقصود. إذا علمنا بذلك، نحذف البيانات فوراً.
١١. التعديلات
نخطر المستخدمين بأي تعديل جوهري عبر البريد الإلكتروني قبل ٣٠ يوم من السريان.
١٢. التواصل مع مسؤول حماية البيانات
Data Protection Officer (DPO):
البريد: dpo@immersaapp.com
الموقع: المملكة العربية السعودية — الرياض
الجهة الرقابية: SDAIA — الهيئة السعودية للبيانات والذكاء الاصطناعي
Privacy Policy
This Policy describes how Immersa ("we", "the Company") collects, uses, and protects personal information of users of our platform (immersaapp.com). Immersa is registered as a Data Controller under the Saudi Personal Data Protection Law (PDPL).
1. Data We Collect
A. Data you provide directly
- Full name, email, mobile number when creating an account or requesting service
- Property data (address, area, price, specifications)
- Payment information (processed exclusively via Moyasar/Stripe — we do not store card numbers)
- Support correspondence and inquiries
B. Data collected automatically
- IP address, browser, OS, language
- Session and view logs (anonymized session IDs)
- Cookies: essential for session + optional analytics
2. Why We Use Your Data
- Deliver the contracted service (360° tours, reels, hosting)
- Process payment and issue ZATCA-compliant invoices
- Send operational notifications (booking confirmation, tour readiness, customer views)
- Improve the platform and analyze performance (aggregated, anonymized)
- Comply with regulatory requirements (ZATCA, courts, NCA upon formal request)
3. Data Sharing
We do not sell your personal data. We share it only with:
- Infrastructure providers: Fly.io (Frankfurt hosting, data in-region), Tigris (image storage).
- Payment gateways: Moyasar, Stripe — for transaction processing only.
- AI services: Anthropic Claude — for description generation (image data only, no PII).
- Government authorities: upon formal legal request from a competent body.
4. Retention Periods
- Account data: kept as long as the account is active. Upon deletion request, a 14-day grace period applies (cancellable in settings); afterwards personal data is permanently purged.
- View logs: up to 365 days (with HMAC-hashed IPs, never raw).
- ZATCA tax invoices: 10 years (mandatory under Saudi tax law).
- Tour images + property data: until account deletion, with full export available on request.
5. Your Rights Under PDPL
- Right to know: know what data we hold about you.
- Right of access: request a copy of your data (within 30 days).
- Right to correction: correct inaccurate data.
- Right to erasure: request deletion (except what law requires us to keep).
- Right to object: to processing for marketing purposes.
- Right to portability: receive your data in a machine-readable format.
To exercise any of these rights, email privacy@immersaapp.com.
6. Security
We apply technical and organizational measures aligned with NCA ECC:
- Encryption in transit (TLS 1.3) and at rest (AES-256).
- Role-based access control (RBAC).
- Daily encrypted backups across multiple geographic sites.
- Periodic security reviews and annual penetration testing.
- Audit logs for all access to sensitive data.
7. Cookies
We use essential cookies (session, auth, CSRF) that cannot be disabled. Analytics cookies are optional and gated by a consent banner on first visit.
8. International Transfers
Core infrastructure (application hosting) is in Frankfurt — a region recognized under PDPL adequacy determinations. Auxiliary services (Cloudflare CDN, Anthropic) are used under SCCs and contractual guarantees ensuring equivalent protection.
9. Data Processing Agreement (DPA)
For Business / Agency / Enterprise customers — DPA is ready for e-signature via Nafath. Email legal@immersaapp.com to request a copy.
10. Minors
Our platform is intended for adults (18+). We do not knowingly collect minors' data. If we learn of it, we delete it immediately.
11. Changes
We notify users of any material change by email 30 days before it takes effect.
12. Contact the Data Protection Officer
Data Protection Officer (DPO):
Email: dpo@immersaapp.com
Address: [pending registration — Riyadh, Kingdom of Saudi Arabia]
Regulator: SDAIA — Saudi Data & AI Authority