جاري التحميل...
الإصدار 1.0 — 2026-05-23 · v1.0 — 23 May 2026
Data Processing Agreement (DPA)
تُنظّم هذه الاتفاقية معالجة البيانات الشخصية بين منشأتك (المتحكم) ومنصة فاتورة (المعالج) وفق نظام حماية البيانات السعودي.
ملاحظة خاصة بـ ZATCA
إرسال بيانات الفواتير إلى هيئة الزكاة والضريبة والجمارك التزام نظامي يقع على المنشأة. تحتفظ ZATCA بنسخة مستقلة من الفواتير المرسلة، ولا يمكن لفاتورة حذفها أو تعديلها بعد الإرسال. الاحتفاظ النظامي ببيانات الفواتير لا يقل عن 5 سنوات.
1. Parties
المتحكم في البيانات (Controller): المنشأة المشتركة في فاتورة. المعالج (Processor): منصة فاتورة (fattourh.com). تُكمّل هذه الاتفاقية شروط الاستخدام وسياسة الخصوصية، وتُعدّ جزءًا لا يتجزأ منها.
Data Controller: the SME subscribed to Fattourh. Data Processor: the Fattourh platform (fattourh.com). This Agreement supplements and forms an integral part of the Terms of Service and Privacy Policy.
2. Scope and Purpose of Processing
يعالج المعالج البيانات الشخصية بالنيابة عن المتحكم لغرض تشغيل خدمة الفوترة الإلكترونية: إنشاء الفواتير، توقيعها، تخزينها، إرسالها إلى هيئة الزكاة والضريبة والجمارك (ZATCA) عند تفعيل المرحلة المعنية، وتسليمها للمستلمين عبر القنوات المعتمدة من المتحكم.
The Processor processes personal data on behalf of the Controller for the purpose of operating the e-invoicing service: generating, signing, storing, transmitting to ZATCA when the relevant phase is active, and delivering invoices to recipients through Controller-approved channels.
3. Categories of Data and Data Subjects
بيانات أصحاب العلاقة بالفواتير: الاسم التجاري، العنوان، الرقم الضريبي، البريد الإلكتروني، تفاصيل البنود والمبالغ. بيانات المتحكم: بيانات منشأته التجارية والاعتمادات اللازمة لإصدار الفواتير. أصحاب البيانات: عملاء المتحكم وموظفوه المخوّلون.
Invoice party data: trade name, address, VAT number, email, line items and amounts. Controller data: business information and credentials needed to issue invoices. Data subjects: the Controller’s customers and authorised employees.
4. Documented Instructions
يلتزم المعالج بمعالجة البيانات فقط بناءً على التعليمات الموثّقة من المتحكم، أو وفق التزام نظامي ساري في المملكة. يُعتبر إعداد الحساب والاشتراك في خطة الخدمة تعليمات موثّقة لتشغيل المنصة.
The Processor will process data only on documented instructions from the Controller or under a binding Saudi legal obligation. Configuring the account and subscribing to a service plan constitute documented instructions to operate the platform.
5. ZATCA Statutory Retention (5 Years)
يُقرّ الطرفان بأن الاحتفاظ ببيانات الفواتير لمدة لا تقل عن خمس (5) سنوات هو التزام نظامي مفروض على المنشأة وفق قواعد الفوترة الإلكترونية وضريبة القيمة المضافة. هذا الاحتفاظ يُقدَّم على حق الحذف، ولا يجوز للمعالج حذف هذه البيانات قبل انقضاء هذه المدة حتى عند طلب المتحكم.
The Parties acknowledge that retaining invoice data for at least five (5) years is a statutory obligation on the business under Saudi e-invoicing and VAT rules. This retention overrides the right to erasure, and the Processor may not delete such data before that period expires even at the Controller’s request.
6. Sub-Processors
يستعين المعالج بمزودي بنية تحتية موثوقين لتشغيل المنصة (استضافة، قاعدة بيانات، بريد، تحليلات). تُلتزم جميع هذه الجهات بالحد الأدنى من ضوابط الحماية المطلوبة. تُتاح القائمة المحدّثة عند الطلب، ويُخطر المتحكم بأي تغيير جوهري قبل سريانه بمدة معقولة.
The Processor uses trusted infrastructure providers to operate the platform (hosting, database, email, analytics). All such providers are bound by minimum required protection standards. An up-to-date list is available on request, and the Controller will be notified of any material change with reasonable notice.
7. Security Measures
يطبّق المعالج ضوابط فنية وتنظيمية مناسبة تشمل: التشفير أثناء النقل (TLS) وأثناء الحفظ (AES-256)، التحكم في الوصول على مستوى الصفوف (RLS)، المصادقة متعددة العوامل لإدارة المنصة، سجلات تدقيق لمسار ZATCA عند تفعيله، ونسخ احتياطية دورية.
The Processor applies appropriate technical and organisational measures including: encryption in transit (TLS) and at rest (AES-256), row-level access controls (RLS), multi-factor authentication for administration, audit logs for every ZATCA submission, and periodic backups.
8. Confidentiality
يلتزم المعالج بضمان أن من يصل إلى البيانات من موظفيه أو مقاوليه ملتزم بتعهد سرية مكتوب وبتدريب أمني مناسب.
The Processor ensures that personnel or contractors with access to the data are bound by written confidentiality undertakings and appropriate security training.
9. Breach Notification
يُخطر المعالج المتحكم خلال 72 ساعة من اكتشاف أي خرق جوهري للبيانات الشخصية، مع المعلومات المعقولة المتاحة لتمكين المتحكم من الوفاء بالتزاماته نحو أصحاب البيانات والجهات التنظيمية.
The Processor will notify the Controller within 72 hours of becoming aware of a material personal data breach, with the reasonable information needed to allow the Controller to meet its obligations toward data subjects and regulators.
10. Assistance with Data Subject Requests
يساعد المعالج المتحكم بالاستجابة لطلبات الوصول والتصحيح والنقل والاعتراض على المعالجة. يستثنى من الحذف أي بيانات يلزم الاحتفاظ بها 5 سنوات وفق متطلبات ZATCA.
The Processor will assist the Controller in responding to access, rectification, portability, and objection requests. Data subject to the 5-year ZATCA retention is excluded from erasure.
11. Audit
يحق للمتحكم تدقيق التزام المعالج بهذه الاتفاقية مرة سنويًا بإشعار مسبق معقول، أو فور حدوث خرق أمني جوهري، عبر استبيان أمني أو تقرير من مدقق مستقل.
The Controller may audit the Processor’s compliance with this Agreement once per year on reasonable prior notice, or immediately after a material security incident, via a security questionnaire or an independent auditor report.
12. Cross-Border Transfers
أي نقل للبيانات خارج المملكة يتم بضمانات تعاقدية كافية تتوافق مع نظام حماية البيانات الشخصية السعودي (PDPL) ولوائحه التنفيذية.
Any transfer of data outside the Kingdom is made under contractual safeguards consistent with the Saudi Personal Data Protection Law (PDPL) and its implementing regulations.
13. Return and Deletion on Termination
عند انتهاء الخدمة، يُتاح للمتحكم تصدير بياناته لمدة 30 يومًا. بعدها يحذف المعالج البيانات حذفًا آمنًا، باستثناء بيانات الفواتير المُلزَمة بالاحتفاظ 5 سنوات وفق ZATCA، التي تُحفظ في حالة مقيّدة الوصول.
On service termination, the Controller may export its data for 30 days. Thereafter the Processor will securely delete the data, except invoice data subject to the 5-year ZATCA retention which will be kept in a restricted-access state.
14. Liability
تخضع مسؤولية الأطراف بموجب هذه الاتفاقية لسقف المسؤولية المحدّد في شروط الاستخدام.
Liability under this Agreement is subject to the liability cap set out in the Terms of Service.
15. Governing Law
تخضع هذه الاتفاقية لأنظمة المملكة العربية السعودية وتختص محاكم الرياض بنظر أي نزاع بشأنها.
This Agreement is governed by the laws of the Kingdom of Saudi Arabia, and the courts of Riyadh have jurisdiction over any related dispute.
تُعدّ هذه الاتفاقية موقّعة ضمنيًا عند موافقتك على شروط الاستخدام. لطلب نسخة موقّعة رسميًا لأغراض الامتثال المؤسسي، تواصل معنا:
طلب نسخة موقّعة / Request signed DPA