Privacy Policy — سياسة الخصوصية
Effective Date / تاريخ السريان: May 20, 2026 Last Updated / آخر تحديث: May 20, 2026
This Privacy Policy explains how ServiqFM ("we", "us", "our", or "the Service") collects, uses, discloses, retains, and protects personal data when you use our facility management platform, including our web application, mobile applications, public request portals, and related services (collectively, the "Service").
توضح سياسة الخصوصية هذه كيف يقوم ServiqFM ("نحن"، أو "الخدمة") بجمع البيانات الشخصية واستخدامها والإفصاح عنها والاحتفاظ بها وحمايتها عند استخدامك لمنصتنا لإدارة المرافق، بما في ذلك تطبيق الويب وتطبيقات الهاتف المحمول وبوابات الطلبات العامة والخدمات ذات الصلة (يُشار إليها مجتمعةً بـ "الخدمة").
1. Scope & Applicable Law — النطاق والقانون المعمول به
English: ServiqFM is designed for use across the Gulf Cooperation Council (GCC) region. This policy is intended to align with:
- The Saudi Arabia Personal Data Protection Law (PDPL) and its Implementing Regulations issued by the Saudi Data and AI Authority (SDAIA).
- The United Arab Emirates Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data.
- Bahrain Law No. 30 of 2018 (Personal Data Protection Law).
- Qatar Law No. 13 of 2016 on Personal Data Privacy Protection.
- Oman Royal Decree No. 6/2022 (Personal Data Protection Law).
- Kuwait Communication and Information Technology Regulatory Authority data protection rules.
Where applicable, references to "personal data", "data subject", "controller", and "processor" carry the meanings given in the above laws.
العربية: صُممت منصة ServiqFM للاستخدام في جميع أنحاء دول مجلس التعاون الخليجي. تتوافق هذه السياسة مع:
- نظام حماية البيانات الشخصية في المملكة العربية السعودية ولوائحه التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).
- المرسوم بقانون اتحادي رقم 45 لسنة 2021 في دولة الإمارات بشأن حماية البيانات الشخصية.
- قانون مملكة البحرين رقم 30 لسنة 2018 بشأن حماية البيانات الشخصية.
- قانون دولة قطر رقم 13 لسنة 2016 بشأن حماية خصوصية البيانات الشخصية.
- المرسوم السلطاني العُماني رقم 6/2022 بشأن حماية البيانات الشخصية.
- لوائح حماية البيانات الصادرة عن هيئة الاتصالات وتقنية المعلومات في دولة الكويت.
تحمل المصطلحات "البيانات الشخصية"، "صاحب البيانات"، "المراقب"، "المعالج" المعاني المنصوص عليها في الأنظمة أعلاه.
2. Data We Collect — البيانات التي نجمعها
English: We collect the following categories of data:
a. Account & Identity Data — full name, email, phone number, employee ID, job role, organization/site assignments, profile photo, language preference (Arabic/English), and authentication credentials.
b. Operational Data — work orders, asset records, preventive maintenance schedules, site and space information, vendor records, inventory transactions, inspection reports, comments, attachments, and timestamps generated through normal use of the Service.
c. Device & Usage Data — IP address, browser type, operating system, device identifiers, app version, push notification tokens, session logs, page views, feature usage, and crash diagnostics.
d. Location Data — when you (or a technician) use the mobile app and grant location permission, we may collect coarse or precise location to verify on-site presence, geo-tag work orders, and route assignments.
e. Files & Media — photos, videos, voice notes, signatures, scanned QR codes, and documents you or other users upload (e.g., asset photos, completed-work evidence, invoices).
f. Billing & Invoicing Data — for paying customers: company name, billing address, VAT registration number, ZATCA-required fields, payment method metadata (we do not store full card numbers — payment is processed by our payment service provider).
g. Public Request Portal Data — for occupants/visitors submitting a request without logging in: name, contact details (phone/email), space/location, and description of the issue.
العربية: نقوم بجمع الفئات التالية من البيانات:
أ. بيانات الحساب والهوية — الاسم الكامل، البريد الإلكتروني، رقم الهاتف، الرقم الوظيفي، الدور الوظيفي، تخصيص المؤسسة/الموقع، الصورة الشخصية، تفضيل اللغة (عربي/إنجليزي)، وبيانات اعتماد المصادقة.
ب. البيانات التشغيلية — أوامر العمل وسجلات الأصول وجداول الصيانة الوقائية ومعلومات المواقع والمساحات وسجلات الموردين ومعاملات المخزون وتقارير التفتيش والتعليقات والمرفقات والطوابع الزمنية الناتجة عن الاستخدام العادي للخدمة.
ج. بيانات الجهاز والاستخدام — عنوان IP، نوع المتصفح، نظام التشغيل، معرفات الجهاز، إصدار التطبيق، رموز الإشعارات الفورية، سجلات الجلسات، مشاهدات الصفحات، استخدام الميزات، وتشخيص الأعطال.
د. بيانات الموقع الجغرافي — عند استخدامك (أو فني الصيانة) لتطبيق الهاتف وموافقتك على إذن الموقع، قد نجمع موقعًا تقريبيًا أو دقيقًا للتحقق من الحضور الميداني، ووسم أوامر العمل جغرافيًا، وتوجيه التكليفات.
هـ. الملفات والوسائط — الصور ومقاطع الفيديو والملاحظات الصوتية والتواقيع ورموز QR الممسوحة والمستندات التي يرفعها المستخدمون (مثل صور الأصول، وأدلة إتمام العمل، والفواتير).
و. بيانات الفوترة — للعملاء المدفوعين: اسم الشركة وعنوان الفوترة ورقم التسجيل الضريبي والحقول المطلوبة وفقًا لـ ZATCA وبيانات وسيلة الدفع (لا نخزّن أرقام البطاقات الكاملة — تتم المعالجة عبر مزود خدمة الدفع).
ز. بيانات بوابة الطلبات العامة — للزوار الذين يرسلون طلبًا دون تسجيل دخول: الاسم وبيانات الاتصال (هاتف/بريد) والموقع/المساحة ووصف العطل.
3. Lawful Bases & Purposes of Processing — الأسس المشروعة وأغراض المعالجة
English: We process personal data on one or more of the following lawful bases:
- Contract performance — to provide the Service to your organization under our subscription agreement.
- Legitimate interests — to operate, secure, debug, and improve the Service, prevent fraud and abuse, and conduct internal analytics, provided these interests are not overridden by your rights.
- Consent — for optional features such as marketing communications, precise location tracking on mobile, or push notifications. You can withdraw consent at any time.
- Legal obligation — to comply with tax (e.g., ZATCA e-invoicing in KSA), anti-money-laundering, retention, or law-enforcement obligations.
- Vital interests — in rare emergency cases (e.g., reporting a critical safety hazard).
Purposes include: providing core CMMS/FM functionality (work orders, assets, PM, inventory, inspections); user authentication and role-based access; bilingual and accessibility experience; notifications (email, SMS, push); reporting and analytics; customer support; security monitoring; invoicing (including ZATCA-compliant e-invoices); and product improvement.
العربية: نعالج البيانات الشخصية استنادًا إلى واحد أو أكثر من الأسس المشروعة التالية:
- تنفيذ العقد — لتقديم الخدمة لمؤسستك بموجب اتفاقية الاشتراك.
- المصلحة المشروعة — لتشغيل الخدمة وتأمينها واكتشاف أعطالها وتحسينها، ومنع الاحتيال، وإجراء التحليلات الداخلية، بشرط ألا تتعارض مع حقوقك.
- الموافقة — للميزات الاختيارية مثل الرسائل التسويقية أو تتبع الموقع الدقيق أو الإشعارات الفورية. يمكنك سحب موافقتك في أي وقت.
- الالتزام القانوني — للامتثال لأنظمة الضرائب (مثل الفوترة الإلكترونية ZATCA في المملكة)، ومكافحة غسل الأموال، والاحتفاظ بالسجلات، ومتطلبات الجهات النظامية.
- المصلحة الحيوية — في حالات الطوارئ النادرة (مثل التبليغ عن خطر سلامة جسيم).
الأغراض تشمل: تقديم وظائف منصة إدارة المرافق الأساسية (أوامر العمل، الأصول، الصيانة الوقائية، المخزون، عمليات التفتيش)؛ مصادقة المستخدم والتحكم بالصلاحيات؛ تجربة ثنائية اللغة وميزات الوصول؛ الإشعارات (بريد إلكتروني، رسائل نصية، إشعارات فورية)؛ التقارير والتحليلات؛ الدعم الفني؛ مراقبة الأمن؛ الفوترة (بما في ذلك الفواتير المتوافقة مع ZATCA)؛ وتحسين المنتج.
4. Roles: Controller vs. Processor — الأدوار: المراقب والمعالج
English: For data that your organization uploads or generates within the Service (work orders, asset records, employee details, etc.), your organization acts as the data controller and ServiqFM acts as the data processor. Our processing is governed by our subscription agreement and Data Processing Addendum (DPA).
For our own business operations — billing, marketing, account administration, security monitoring of the platform — ServiqFM acts as the data controller for the relevant personal data (e.g., your billing contact details).
العربية: بالنسبة إلى البيانات التي تقوم مؤسستك برفعها أو إنشائها داخل الخدمة (أوامر العمل، سجلات الأصول، بيانات الموظفين، إلخ)، فإن مؤسستك تعمل بصفتها مراقب البيانات وServiqFM تعمل بصفتها معالج البيانات. تخضع معالجتنا لاتفاقية الاشتراك ولاحقتها الخاصة بمعالجة البيانات (DPA).
بالنسبة إلى عملياتنا الخاصة — الفوترة والتسويق وإدارة الحساب ومراقبة أمن المنصة — فإن ServiqFM تعمل بصفتها مراقب البيانات للبيانات الشخصية ذات الصلة (مثل بيانات مسؤول الفوترة لديك).
5. Sharing & Disclosure — المشاركة والإفصاح
English: We do not sell personal data. We may share data with:
- Sub-processors that support the Service (cloud hosting, email/SMS delivery, push notification providers, error monitoring, payment processing). A current list is available on request and updates are communicated in advance for material changes.
- Your organization's administrators, who can view and manage the data of users assigned to their account.
- Vendors and contractors that you explicitly invite into the platform (e.g., to receive a work order).
- Government and regulatory authorities, where legally required (tax, labor, judicial, public-safety, or ZATCA reporting).
- Professional advisors (auditors, lawyers) under confidentiality obligations.
- Acquirers in the event of a merger, acquisition, or sale of assets, subject to this Policy and applicable law.
العربية: لا نبيع البيانات الشخصية. قد نشاركها مع:
- المعالجين الفرعيين الذين يدعمون الخدمة (الاستضافة السحابية، تسليم البريد الإلكتروني/الرسائل النصية، مزودي الإشعارات الفورية، مراقبة الأخطاء، معالجة الدفع). تتوفر قائمة محدثة عند الطلب ويتم الإبلاغ عن التغييرات الجوهرية مسبقًا.
- مديري مؤسستك، الذين يمكنهم عرض وإدارة بيانات المستخدمين المخصصين لحسابهم.
- الموردين والمقاولين الذين تدعوهم صراحةً إلى المنصة (مثلًا لتلقي أمر عمل).
- الجهات الحكومية والتنظيمية، عند الاقتضاء القانوني (الضرائب، العمل، القضاء، السلامة العامة، أو إفصاحات ZATCA).
- المستشارين المهنيين (مدققون، محامون) تحت التزامات السرية.
- المستحوذين في حالة الاندماج أو الاستحواذ أو بيع الأصول، مع الالتزام بهذه السياسة والقوانين السارية.
6. International Data Transfers — نقل البيانات الدولي
English: ServiqFM primarily hosts personal data on infrastructure located within the GCC region wherever feasible. Where transfers outside the GCC are necessary (e.g., for global cloud services or sub-processors), we implement appropriate safeguards consistent with applicable laws, including approved standard contractual terms, adequacy mechanisms, or your organization's documented authorization. For Saudi customers, we observe SDAIA's rules on cross-border data transfers under the PDPL.
العربية: تستضيف ServiqFM البيانات الشخصية على بنية تحتية داخل دول الخليج كلما أمكن. عندما يستلزم الأمر النقل خارج دول الخليج (مثلًا للخدمات السحابية العالمية أو المعالجين الفرعيين)، نطبق ضمانات مناسبة تتوافق مع القوانين المعمول بها، بما في ذلك الشروط التعاقدية المعتمدة، أو آليات الكفاية، أو إذن مكتوب من مؤسستك. بالنسبة للعملاء السعوديين، نلتزم بقواعد سدايا للنقل عبر الحدود وفقًا لنظام حماية البيانات الشخصية.
7. Data Retention — الاحتفاظ بالبيانات
English:
- Active account data is retained while your organization's subscription is active.
- Operational records (work orders, asset history, invoices) are retained for the period required for facility-management auditability and tax compliance — typically up to ten (10) years for ZATCA-relevant invoices in KSA, and otherwise per applicable law.
- Backups are retained for up to 90 days beyond deletion of production data.
- Account closure — after termination, account data is exported on request and then deleted or anonymized within 90 days, except where law requires longer retention.
- Public request portal submissions are retained for 24 months unless converted into a work order, in which case the work-order retention rules apply.
العربية:
- بيانات الحساب النشط يتم الاحتفاظ بها طالما كان اشتراك مؤسستك ساريًا.
- السجلات التشغيلية (أوامر العمل، تاريخ الأصول، الفواتير) يُحتفظ بها للفترة المطلوبة لمتطلبات التدقيق والامتثال الضريبي — عادةً حتى عشر (10) سنوات للفواتير الخاضعة لـ ZATCA في المملكة، وغير ذلك وفق القانون.
- النسخ الاحتياطية يُحتفظ بها حتى 90 يومًا بعد حذف بيانات الإنتاج.
- عند إغلاق الحساب — تُصدَّر البيانات عند الطلب ثم تُحذف أو يُجهَّل عليها خلال 90 يومًا، إلا في الحالات التي يستوجبها القانون لفترة أطول.
- طلبات بوابة الطلبات العامة يُحتفظ بها لمدة 24 شهرًا ما لم تُحوَّل إلى أمر عمل، فعندئذٍ تُطبَّق قواعد الاحتفاظ بأوامر العمل.
8. Security — الأمن
English: We implement administrative, physical, and technical safeguards designed to protect personal data, including:
- Encryption in transit (TLS 1.2+) and at rest for stored data and backups.
- Tenant isolation through row-level security and organization scoping.
- Role-based access control, least-privilege principles, and audit logs.
- Secure authentication, including session management and optional multi-factor authentication.
- Regular vulnerability scanning, dependency updates, and code reviews.
- Incident response procedures and breach notification within timelines required by applicable GCC laws (typically within 72 hours of awareness for SDAIA notifications).
No system is perfectly secure; we encourage you to use strong passwords, enable MFA, and notify us immediately of any suspected compromise.
العربية: نطبّق ضمانات إدارية ومادية وتقنية لحماية البيانات الشخصية، تشمل:
- التشفير أثناء النقل (TLS 1.2+) وأثناء التخزين والنسخ الاحتياطية.
- عزل المستأجرين عبر أمان الصفوف وتحديد نطاق المؤسسة.
- التحكم بالوصول بناءً على الأدوار، مبدأ أقل الصلاحيات، وسجلات التدقيق.
- مصادقة آمنة وإدارة جلسات ودعم المصادقة الثنائية الاختيارية.
- فحص دوري للثغرات وتحديث المكتبات ومراجعة الكود.
- إجراءات الاستجابة للحوادث والإبلاغ عن الاختراق ضمن المهل التي تتطلبها قوانين الخليج (عادةً خلال 72 ساعة لإخطار سدايا).
لا يوجد نظام آمن تمامًا؛ نوصي باستخدام كلمات مرور قوية وتفعيل المصادقة الثنائية وإبلاغنا فورًا عن أي اشتباه باختراق.
9. Your Rights — حقوقك
English: Subject to applicable law, you have the right to:
- Access your personal data and obtain a copy.
- Rectify inaccurate or incomplete data.
- Erase data ("right to be forgotten"), subject to legal retention obligations.
- Restrict or object to certain processing.
- Data portability — receive your data in a structured, machine-readable format.
- Withdraw consent at any time for processing based on consent.
- Lodge a complaint with the competent supervisory authority in your country (e.g., SDAIA in KSA).
To exercise any right, contact us using the details in Section 12. If you are an end-user of a customer's deployment (e.g., a technician or vendor), please contact your organization's administrator first; we will assist your organization in fulfilling your request.
العربية: وفقًا للقانون المعمول به، يحق لك:
- الوصول إلى بياناتك الشخصية والحصول على نسخة منها.
- تصحيح البيانات غير الدقيقة أو غير المكتملة.
- حذف البيانات ("الحق في النسيان")، مع مراعاة التزامات الاحتفاظ القانونية.
- تقييد المعالجة أو الاعتراض عليها.
- نقل البيانات — استلام بياناتك بصيغة منظمة وقابلة للقراءة آليًا.
- سحب الموافقة في أي وقت بالنسبة للمعالجة المستندة إلى موافقتك.
- تقديم شكوى إلى الجهة التنظيمية المختصة في بلدك (مثلًا سدايا في المملكة).
لممارسة أي حق، تواصل معنا عبر المعلومات في القسم 12. إن كنت مستخدمًا نهائيًا لدى عميل (مثلًا فني أو مورد)، يُرجى مراجعة مسؤول مؤسستك أولًا؛ وسنقوم بمساعدة مؤسستك على تنفيذ طلبك.
10. Cookies & Tracking — ملفات تعريف الارتباط والتتبع
English: We use strictly necessary cookies for authentication and session management. We may use limited analytics cookies (or equivalent local-storage identifiers) to understand product usage and improve the Service. We do not use third-party advertising cookies. You can manage cookies through your browser settings; disabling strictly necessary cookies may prevent you from logging in.
العربية: نستخدم ملفات تعريف ارتباط ضرورية للمصادقة وإدارة الجلسات. وقد نستخدم ملفات تحليلية محدودة (أو معرفات تخزين محلي مماثلة) لفهم استخدام المنتج وتحسين الخدمة. لا نستخدم ملفات تعريف ارتباط إعلانية من أطراف ثالثة. يمكنك إدارتها من إعدادات المتصفح؛ تعطيل الملفات الضرورية قد يمنعك من تسجيل الدخول.
11. Children — الأطفال
English: The Service is intended for business use by adults. We do not knowingly collect data from individuals under the age of 18. If you believe a child has provided us personal data, please contact us so we can delete it.
العربية: الخدمة موجَّهة للاستخدام التجاري من قِبل البالغين. لا نجمع عن قصد بيانات من أشخاص دون الثامنة عشرة. إن كنت تعتقد أن طفلًا قد قدّم لنا بيانات شخصية، يُرجى التواصل معنا لحذفها.
12. Contact Us — تواصل معنا
English: ServiqFM Privacy Office Email: privacy@serviqfm.com Data Protection Officer (DPO): dpo@serviqfm.com General support: support@serviqfm.com
For Saudi Arabia data subjects, the supervisory authority is the Saudi Data and AI Authority (SDAIA) — https://sdaia.gov.sa.
العربية: مكتب الخصوصية لدى ServiqFM البريد الإلكتروني: privacy@serviqfm.com مسؤول حماية البيانات: dpo@serviqfm.com الدعم العام: support@serviqfm.com
بالنسبة لأصحاب البيانات في المملكة العربية السعودية، الجهة التنظيمية هي الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) — https://sdaia.gov.sa.
13. Changes to This Policy — التحديثات على هذه السياسة
English: We may update this Privacy Policy from time to time. Material changes will be notified via email to account administrators and posted on the Service at least 14 days before they take effect. Continued use of the Service after the effective date constitutes acceptance.
العربية: قد نقوم بتحديث هذه السياسة من حين لآخر. ستُرسَل التغييرات الجوهرية إلى مسؤولي الحسابات عبر البريد الإلكتروني وتُنشر على الخدمة قبل 14 يومًا على الأقل من نفاذها. استمرار استخدامك للخدمة بعد تاريخ النفاذ يُعدّ قبولًا.
*This document is intended to comply with applicable GCC data-protection regimes. It is not a substitute for legal advice; please review with qualified counsel before publication.*
*يهدف هذا المستند إلى الامتثال لأنظمة حماية البيانات المعمول بها في دول الخليج. وهو لا يُغني عن المراجعة القانونية المختصة قبل النشر.*