سياسة الخصوصية وحماية البيانات الشخصية

تطبيق مِعياري (Mi'yari)

تاريخ السريان: ٢١ فبراير ٢٠٢٦م
آخر تحديث: ٢١ فبراير ٢٠٢٦م
الإصدار: ١.٠

تمهيد

تُعدّ حماية البيانات الشخصية لمستخدمينا أولوية قصوى لدينا. أُعدّت هذه السياسة وفقاً لأحكام نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي رقم (م/١٩) بتاريخ ٩/٢/١٤٤٣هـ، المعدّل بالمرسوم الملكي رقم (م/١٤٨) بتاريخ ٥/٩/١٤٤٤هـ (المشار إليه فيما بعد بـ"النظام")، ولائحته التنفيذية، ولائحة نقل البيانات الشخصية خارج المملكة.

تُوضّح هذه السياسة الأسس النظامية والإجراءات المتّبعة في جمع البيانات الشخصية ومعالجتها وتخزينها وحمايتها والإفصاح عنها عند استخدامكم لتطبيق مِعياري (المشار إليه فيما بعد بـ"التطبيق") على الأجهزة المحمولة أو عبر الموقع الإلكتروني.

يُعدّ استخدامكم للتطبيق وموافقتكم الصريحة عند التسجيل إقراراً منكم بالاطلاع على هذه السياسة والموافقة على أحكامها.

المادة الأولى: المتحكم في البيانات

المتحكم في البيانات الشخصية بموجب هذه السياسة هو تطبيق مِعياري (Mi'yari)، ومقرّه المملكة العربية السعودية.

البيان	التفاصيل
الاسم	مِعياري (Mi'yari)
البريد الإلكتروني لشؤون الخصوصية	privacy@miyari.app
الموقع الإلكتروني	https://miyari.app
المقر	المملكة العربية السعودية

المادة الثانية: البيانات الشخصية التي نجمعها

أولاً: بيانات التسجيل والملف الشخصي

يجمع التطبيق البيانات التالية عند التسجيل وإكمال الملف الشخصي:

رقم الجوال: مطلوب لإنشاء الحساب والتحقق من الهوية عبر رمز التحقق (OTP).
الاسم الكامل: يُطلب عند مشاركة ملف الإنجاز أو إصدار التقرير.
البيانات المهنية: اسم المدرسة، التخصص، المرحلة الدراسية.
بيانات اختيارية: الرقم الوظيفي، المؤهل العلمي، سنوات الخبرة، الإدارة التعليمية. تُستخدم لإثراء تقرير ملف الإنجاز فقط.

ثانياً: شواهد الأداء الوظيفي

يجمع التطبيق الملفات التي يرفعها المستخدم كشواهد لأدائه المهني، وتشمل: الصور، والمستندات (PDF وOffice)، ومقاطع الفيديو. قد تتضمن هذه الشواهد بيانات شخصية لأطراف أخرى كأسماء الطلاب أو صورهم أو درجاتهم أو سجلاتهم السلوكية.

ثالثاً: بيانات الاستخدام والتشغيل

تاريخ ووقت رفع الشواهد وتصنيفها.
حالة التصنيف ونتائج الذكاء الاصطناعي ودرجة الثقة.
سجل الجلسات وتوكنات المصادقة ومُعرّفات الأجهزة.
حجم التخزين المستخدم لكل مستخدم.

رابعاً: بيانات الدفع

تتم معالجة المدفوعات حصرياً عبر بوابة مُيسَّر (Moyasar) المرخّصة من البنك المركزي السعودي. لا يقوم التطبيق بجمع أو تخزين أو معالجة بيانات البطاقات الائتمانية أو المصرفية بأي شكل. يُحتفظ فقط بمُعرّف عملية الدفع ومبلغها وتاريخها لأغراض التوثيق.

المادة الثالثة: أغراض المعالجة

وفقاً للمادة الخامسة من النظام، تُعالج البيانات الشخصية للأغراض المحددة التالية حصراً:

إنشاء حساب المستخدم والتحقق من هويته عبر رمز التحقق.
تخزين شواهد الأداء الوظيفي وتنظيمها وفقاً لمعايير وزارة التعليم.
تصنيف الشواهد آلياً باستخدام الذكاء الاصطناعي وفقاً لمعايير الأداء الوظيفي الأحد عشر ومؤشرات التقييم الستة والسبعين.
تحليل فجوات التغطية وعرض نسبة الإنجاز لكل معيار ومؤشر.
إنشاء نصوص تقرير ملف الإنجاز المهني باستخدام الذكاء الاصطناعي.
إصدار ملف الإنجاز المهني كتقرير PDF قابل للطباعة.
تمكين المستخدم من مشاركة ملفه مع أشخاص يحدّدهم صراحةً.
معالجة عملية الشراء السنوية لإتاحة خدمات التصدير والمشاركة.
تحسين دقة التصنيف الآلي وجودة الخدمة.

لا تُستخدم البيانات الشخصية لأي غرض آخر غير ما ذُكر أعلاه، ولا تُستخدم لأغراض تسويقية أو إعلانية أو لإنشاء ملفات تعريف سلوكية.

المادة الرابعة: الأساس النظامي للمعالجة

يستند التطبيق في معالجة البيانات الشخصية إلى الأسس النظامية التالية وفقاً للمادة السادسة من النظام:

الموافقة الصريحة (المادة ٦/١): يمنحها المستخدم عند التسجيل بالموافقة على هذه السياسة وشروط الاستخدام. تشمل الموافقة على جمع البيانات ومعالجتها بما في ذلك النقل العابر للحدود لأغراض التصنيف الآلي.
الضرورة التعاقدية (المادة ٦/٢): معالجة البيانات اللازمة لتنفيذ الخدمات التي اشترك فيها المستخدم، كالتخزين والتصنيف وإصدار التقارير.
المصلحة المشروعة (المادة ٦/٤): تحسين أداء الخدمة وحماية أمن التطبيق والبنية التحتية، بما لا يتعارض مع حقوق صاحب البيانات.

المادة الخامسة: معالجة الذكاء الاصطناعي ونقل البيانات خارج المملكة

أولاً: آلية التصنيف الآلي

يستخدم التطبيق تقنية الذكاء الاصطناعي (Google Gemini) لتصنيف الشواهد آلياً. عند رفع شاهد، يتم تحليل محتواه (نصاً وصورةً وصوتاً) لتحديد المعيار والمؤشرات المناسبة. يمكن للمستخدم دائماً تعديل نتيجة التصنيف أو تجاوزها يدوياً.

ثانياً: نقل البيانات خارج المملكة

تتم معالجة الذكاء الاصطناعي في مركز بيانات Google في الولايات المتحدة الأمريكية (us-central1)، وذلك لعدم توفر هذه الخدمة حالياً داخل المملكة. يخضع هذا النقل للضوابط التالية:

يُعدّ هذا النقل معالجة مركزية ضرورية لتقديم خدمة ذات فائدة مباشرة لصاحب البيانات، وفقاً للمادة الثانية من لائحة نقل البيانات الشخصية خارج المملكة.
يقتصر النقل على محتوى الشاهد المرفوع (صورة أو مستند أو فيديو) لأغراض التحليل الفوري.
لا يتم تخزين أي بيانات لدى خدمة الذكاء الاصطناعي. تتم المعالجة آنياً وتُعاد النتيجة فوراً.
لا تُنقل البيانات التعريفية للمستخدم (الاسم، رقم الجوال، المدرسة) إلى خدمة الذكاء الاصطناعي.
تخضع Google لالتزامات حماية البيانات المنصوص عليها في اتفاقية معالجة بيانات Google Cloud.

ثالثاً: التخزين الدائم داخل المملكة

تُخزّن جميع البيانات المستمرة حصرياً في مراكز بيانات Google Cloud داخل المملكة العربية السعودية (منطقة الدمام — me-central2)، وتشمل:

قاعدة البيانات (Cloud SQL — PostgreSQL).
ملفات الشواهد المرفوعة (Google Cloud Storage).
تقارير PDF المُنشأة.
خدمة التطبيق والواجهات البرمجية (Cloud Run).

المادة السادسة: التدابير الأمنية والتقنية

وفقاً للمادة العاشرة من النظام، يتخذ التطبيق التدابير التقنية والتنظيمية التالية لحماية البيانات الشخصية:

أولاً: تدابير التشفير

تشفير جميع البيانات أثناء النقل باستخدام بروتوكول TLS/HTTPS.
تشفير البيانات المخزنة في حالة السكون باستخدام خوارزمية AES-256 عبر البنية التحتية لـ Google Cloud.

ثانياً: التحكم في الوصول

المصادقة عبر رمز تحقق (OTP) لمرة واحدة عند كل عملية تسجيل دخول.
توكنات مصادقة (JWT) ذات صلاحية محددة مع آلية تجديد آمنة.
فصل تام بين بيانات المستخدمين — لا يمكن لأي مستخدم الوصول إلى بيانات مستخدم آخر.
روابط الوصول للملفات مؤقتة ومُوقّعة رقمياً وتنتهي صلاحيتها تلقائياً.

ثالثاً: المراقبة والاستجابة

مراقبة مستمرة لأداء النظام ومعدلات الأخطاء.
تنبيهات فورية عند اكتشاف أي سلوك غير طبيعي.
حدود استخدام (Rate Limiting) لحماية الخدمة من الاستخدام المفرط أو الهجمات.
تنظيف دوري للجلسات المنتهية والعمليات المعلّقة.

المادة السابعة: مشاركة البيانات والإفصاح عنها

أولاً: عدم بيع البيانات أو مشاركتها لأغراض تسويقية

لا يبيع التطبيق البيانات الشخصية لأي طرف، ولا يشاركها لأغراض تسويقية أو إعلانية، ولا يُتيح لأي طرف ثالث الوصول إليها إلا في الحدود المبيّنة في هذه المادة.

ثانياً: مقدّمو الخدمات

يستعين التطبيق بمقدّمي الخدمات التاليين في حدود ما يلزم لتشغيل الخدمة:

مقدّم الخدمة	الغرض	البيانات المشاركة
Google Cloud Platform	البنية التحتية والتخزين	جميع البيانات المخزنة (داخل المملكة)
Google Gemini AI	تصنيف الشواهد آلياً	محتوى الشاهد فقط (معالجة آنية بلا تخزين)
مُيسَّر (Moyasar)	معالجة المدفوعات	بيانات عملية الدفع فقط
أوثنتيكا (Authentica.sa)	إرسال رمز التحقق SMS	رقم الجوال فقط

يلتزم كل مقدّم خدمة بالمعايير الأمنية ومتطلبات حماية البيانات المنصوص عليها في اتفاقيات المعالجة المبرمة معه.

ثالثاً: مشاركة الملف مع أشخاص

يُتيح التطبيق للمستخدم مشاركة ملف إنجازه مع أشخاص يحدّدهم صراحةً وفقاً للضوابط التالية:

يختار المستخدم كل مستلم بشكل فردي عبر إدخال رقم جواله.
لا تتم المشاركة إلا بعد شراء المستخدم للاشتراك السنوي.
يتعيّن على المستلم تسجيل الدخول في التطبيق والتحقق من هويته للاطلاع على الملف.
لا توجد روابط عامة — تتطلب كل عملية اطلاع مصادقة كاملة.
يمكن للمستخدم إلغاء صلاحية أي مستلم في أي وقت بأثر فوري.
يطّلع المستلم على: اسم المعلم، مدرسته، تخصصه، وشواهده المصنّفة فقط. لا يطّلع على رقم الجوال أو الرقم الوظيفي.
يُعرض في أسفل كل صفحة مشتركة إشعار: "تم مشاركة هذا الملف عبر تطبيق معياري — للتحقق من شواهد الأداء الوظيفي فقط."

رابعاً: الإفصاح بموجب القانون

قد يُفصح عن البيانات الشخصية إذا استوجب ذلك أمر قضائي أو طلب من جهة مختصة وفقاً لأحكام النظام والأنظمة ذات الصلة.

المادة الثامنة: مدة الاحتفاظ بالبيانات

وفقاً لمبدأ تحديد فترة الاحتفاظ المنصوص عليه في النظام:

الحساب النشط: تُحفظ البيانات طوال مدة استخدام الحساب.
الشواهد: تُحفظ ما دام الحساب نشطاً. تُنقل الشواهد غير النشطة لأكثر من سنة إلى تخزين أرشيفي مع استمرار إمكانية الوصول إليها.
سجلات الدفع: تُحفظ لمدة خمس (٥) سنوات من تاريخ العملية وفقاً للمتطلبات النظامية.
سجلات المعالجة: تُحفظ لمدة خمس (٥) سنوات من تاريخ انتهاء نشاط المعالجة ذي الصلة، وفقاً للمادة الحادية والثلاثين من النظام.
حذف الحساب: عند طلب الحذف، تُزال جميع البيانات الشخصية والشواهد والتقارير نهائياً خلال ثلاثين (٣٠) يوماً.

المادة التاسعة: حقوق صاحب البيانات

وفقاً للمواد من الحادية عشرة إلى الثامنة عشرة من النظام، يتمتع صاحب البيانات بالحقوق التالية:

أولاً: حق الاطلاع (المادة ١١)

يحق لصاحب البيانات الاطلاع على بياناته الشخصية المحفوظة لدى التطبيق. يمكن ممارسة هذا الحق عبر صفحة الملف الشخصي في التطبيق التي تعرض جميع البيانات المحفوظة.

ثانياً: حق التصحيح (المادة ١٢)

يحق لصاحب البيانات طلب تصحيح بياناته الشخصية غير الدقيقة أو غير المكتملة. يمكن تعديل جميع بيانات الملف الشخصي مباشرةً من داخل التطبيق.

ثالثاً: حق الحذف (المادة ١٣)

يحق لصاحب البيانات طلب حذف بياناته الشخصية. يمكن حذف أي شاهد بشكل فردي، أو حذف الحساب بالكامل مع جميع البيانات المرتبطة به عبر صفحة الإعدادات.

رابعاً: حق سحب الموافقة (المادة ١٤)

يحق لصاحب البيانات سحب موافقته على المعالجة في أي وقت. يمكن سحب الموافقة على المشاركة بإلغاء صلاحية أي مستلم، أو سحب الموافقة الكلية بحذف الحساب.

خامساً: حق نقل البيانات (المادة ١٥)

يحق لصاحب البيانات الحصول على بياناته بصيغة مقروءة وواضحة. يمكن تصدير ملف الإنجاز كاملاً كملف PDF يتضمن جميع الشواهد والبيانات المصنّفة.

سادساً: حق الاعتراض على المعالجة الآلية (المادة ١٧)

يحق لصاحب البيانات الاعتراض على القرارات المبنية على المعالجة الآلية. يمكن للمستخدم تعديل أو رفض أي تصنيف يصدره الذكاء الاصطناعي واستبداله بتصنيف يدوي في أي وقت.

ممارسة الحقوق

لممارسة أي من الحقوق المذكورة أعلاه، يمكن لصاحب البيانات:

استخدام الأدوات المتوفرة في التطبيق مباشرةً (الملف الشخصي، الإعدادات، إدارة المشاركة).
التواصل عبر البريد الإلكتروني: privacy@miyari.app

يلتزم التطبيق بالاستجابة لطلبات أصحاب البيانات خلال ثلاثين (٣٠) يوماً من تاريخ استلام الطلب وفقاً للمادة التاسعة عشرة من النظام.

المادة العاشرة: حذف الحساب

يوفّر التطبيق آلية لحذف الحساب بالكامل من داخل التطبيق عبر صفحة الإعدادات. يترتب على حذف الحساب ما يلي:

حذف جميع البيانات الشخصية (الاسم، رقم الجوال، بيانات الملف الشخصي).
حذف جميع الشواهد المرفوعة من التخزين السحابي نهائياً.
حذف جميع تقارير ملف الإنجاز المُنشأة.
إلغاء جميع المشاركات النشطة مع المستلمين.
إلغاء جميع الجلسات النشطة وتوكنات المصادقة.

هذا الإجراء نهائي ولا يمكن التراجع عنه. تُنفّذ عملية الحذف خلال ثلاثين (٣٠) يوماً من تاريخ الطلب.

المادة الحادية عشرة: ملفات تعريف الارتباط والتخزين المحلي

لا يستخدم التطبيق ملفات تعريف الارتباط (Cookies) لأغراض التتبع أو الإعلان أو التحليل السلوكي. يقتصر الاستخدام على:

التخزين المحلي (localStorage): لحفظ توكن المصادقة في المتصفح. يُحذف عند تسجيل الخروج.
التخزين المؤقت للجلسة (sessionStorage): لتحسين أداء التطبيق بتخزين بيانات مرجعية مؤقتة. يُحذف عند إغلاق نافذة المتصفح.
التخزين المحلي على الجهاز المحمول (SharedPreferences): لحفظ توكن المصادقة. يُحذف عند تسجيل الخروج.

المادة الثانية عشرة: حماية بيانات القُصّر

تطبيق معياري مُعدّ ومُصمّم للمعلمين والمعلمات البالغين حصراً. لا يجمع التطبيق بيانات شخصية من أشخاص تقل أعمارهم عن ثمانية عشر (١٨) عاماً بشكل مباشر.

في حال تضمّنت الشواهد المرفوعة بيانات شخصية لطلاب قُصّر (كالصور أو الأسماء أو الدرجات)، يتحمل المستخدم المسؤولية الكاملة عن التأكد من توفر الأساس النظامي لمعالجة هذه البيانات، بما يتوافق مع أحكام النظام والأنظمة ذات الصلة بحماية الطفل.

يُوصى بتجنب رفع شواهد تكشف هوية الطلاب (كصور الوجوه أو الأسماء الكاملة مع الدرجات) إلا في حدود الضرورة المهنية المعقولة.

المادة الثالثة عشرة: إشعار خرق البيانات

في حال حدوث خرق للبيانات الشخصية يُشكّل خطراً على حقوق أصحاب البيانات أو مصالحهم، يلتزم التطبيق بالآتي:

إخطار هيئة البيانات والذكاء الاصطناعي (SDAIA) خلال اثنتين وسبعين (٧٢) ساعة من اكتشاف الخرق.
إخطار أصحاب البيانات المتأثرين دون تأخير غير مبرر عبر إشعار في التطبيق أو رسالة نصية.
توثيق الخرق والإجراءات المتخذة لمعالجته والحدّ من آثاره.
اتخاذ التدابير التقنية والتنظيمية اللازمة لمنع تكرار الخرق.

المادة الرابعة عشرة: التحديثات على هذه السياسة

يحتفظ التطبيق بحق تحديث هذه السياسة من وقت لآخر لتعكس التغييرات في ممارساتنا أو لتتوافق مع المتطلبات النظامية المستجدة.

في حال إجراء تعديلات جوهرية على هذه السياسة:

يُخطر المستخدم عبر إشعار بارز داخل التطبيق قبل سريان التعديلات.
يُتاح للمستخدم الاطلاع على النص المحدّث كاملاً قبل الموافقة.
يُعدّ استمرار المستخدم في استخدام التطبيق بعد الإخطار والاطلاع موافقةً على السياسة المحدّثة.

يُشار إلى تاريخ آخر تحديث في أعلى هذه الوثيقة.

المادة الخامسة عشرة: تحديد مسؤولية المستخدم

يُقرّ المستخدم بمسؤوليته عن:

صحة البيانات الشخصية التي يقدّمها عند التسجيل وإكمال الملف الشخصي.
ضمان وجود الأساس النظامي لرفع شواهد تتضمن بيانات شخصية لأطراف أخرى (كالطلاب أو أولياء الأمور).
حماية بيانات الدخول إلى حسابه وعدم مشاركتها مع الغير.
مراجعة تصنيفات الذكاء الاصطناعي قبل مشاركة ملف الإنجاز أو إصداره كتقرير.

المادة السادسة عشرة: التواصل والشكاوى

لأي استفسار أو ملاحظة أو طلب يتعلق بهذه السياسة أو بمعالجة بياناتكم الشخصية:

البيان	التفاصيل
البريد الإلكتروني	privacy@miyari.app
الموقع الإلكتروني	https://miyari.app
مدة الاستجابة	خلال ثلاثين (٣٠) يوماً من تاريخ استلام الطلب

في حال عدم رضاكم عن استجابتنا، يحق لكم تقديم شكوى إلى هيئة البيانات والذكاء الاصطناعي (SDAIA) بصفتها الجهة المختصة بالإشراف على تطبيق النظام.

المادة السابعة عشرة: القانون الحاكم والاختصاص القضائي

تخضع هذه السياسة لأنظمة المملكة العربية السعودية وتُفسّر وفقاً لها، وتحديداً:

نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية.
لائحة نقل البيانات الشخصية خارج المملكة.
الأنظمة واللوائح الصادرة عن هيئة البيانات والذكاء الاصطناعي (SDAIA).

تختص المحاكم المختصة في المملكة العربية السعودية بالنظر في أي نزاع ينشأ عن هذه السياسة أو يتصل بها.

Privacy Policy & Personal Data Protection

Mi'yari App

Effective Date: February 21, 2026
Last Updated: February 21, 2026
Version: 1.0

Introduction

Protecting the personal data of our users is our top priority. This policy has been prepared in accordance with the provisions of the Personal Data Protection Law (PDPL) issued by Royal Decree No. (M/19) dated 9/2/1443 H, amended by Royal Decree No. (M/148) dated 5/9/1444 H (hereinafter referred to as the "Law"), its Implementing Regulations, and the Regulation on Personal Data Transfer outside the Kingdom.

This policy explains the legal basis and procedures followed in collecting, processing, storing, protecting, and disclosing personal data when you use the Mi'yari application (hereinafter referred to as the "App") on mobile devices or via the website.

Your use of the App and your explicit consent upon registration constitute an acknowledgment that you have read this policy and agree to its terms.

Article 1: Data Controller

The controller of personal data under this policy is the Mi'yari App, based in the Kingdom of Saudi Arabia.

Detail	Information
Name	Mi'yari
Privacy Email	privacy@miyari.app
Website	https://miyari.app
Location	Kingdom of Saudi Arabia

Article 2: Personal Data We Collect

First: Registration and Profile Data

The App collects the following data upon registration and profile completion:

Mobile Number: Required for account creation and identity verification via OTP.
Full Name: Required when sharing portfolios or issuing reports.
Professional Data: School name, specialization, grade level.
Optional Data: Job number, educational qualification, years of experience, educational administration. Used solely to enrich the portfolio report.

Second: Professional Performance Evidence

The App collects files uploaded by the user as evidence of their professional performance, including: images, documents (PDF and Office), and videos. This evidence may contain personal data of third parties, such as student names, photos, grades, or behavioral records.

Third: Usage and Operational Data

Date and time of evidence upload and classification.
Classification status, AI results, and confidence score.
Session logs, auth tokens, and device identifiers.
Storage volume used per user.

Fourth: Payment Data

Payments are processed exclusively through the Moyasar gateway, licensed by the Saudi Central Bank. The App does not collect, store, or process credit or banking card data in any form. Only the payment operation identifier, amount, and date are retained for documentation.

Article 3: Purposes of Processing

Pursuant to Article 5 of the Law, personal data is processed strictly for the following specific purposes:

Creating the user account and verifying identity via OTP.
Storing and organizing professional performance evidence according to Ministry of Education standards.
Automatically classifying evidence using AI based on the 11 performance standards and 76 evaluation indicators.
Analyzing coverage gaps and displaying completion percentages per standard and indicator.
Generating professional portfolio report texts using AI.
Issuing the professional portfolio as a printable PDF report.
Enabling users to share their portfolio with explicitly specified individuals.
Processing the annual subscription purchase to unlock export and sharing services.
Improving the accuracy of auto-classification and quality of service.

Personal data is not used for any purpose other than those stated above, nor is it used for marketing, advertising, or creating behavioral profiling.

Article 4: Legal Basis for Processing

The App relies on the following legal bases for processing personal data, pursuant to Article 6 of the Law:

Explicit Consent (Article 6/1): Granted by the user upon registration explicitly explicit consent to this policy and terms of use.
Contractual Necessity (Article 6/2): Processing data necessary to perform the services subscribed to by the user, such as storage, classification, and reporting.
Legitimate Interest (Article 6/4): Improving service performance and protecting the App's security and infrastructure, without infringing on the data subject's rights.

Article 5: AI Processing and Cross-Border Data Transfer

First: Auto-Classification Mechanism

The App uses Artificial Intelligence (Google Gemini) for evidence auto-classification. When evidence is uploaded, its content (text, image, audio) is analyzed to determine the appropriate standard and indicators. The user can always manually override or modify the result.

Second: Data Transfer Outside the Kingdom

AI processing occurs in Google data centers in the USA (us-central1), due to current unavailability within the Kingdom. This transfer is subject to the following controls:

It is considered an essential centralized processing to provide a direct benefit to the data subject.
The transfer is strictly limited to the content of the uploaded evidence for instantaneous analysis.
No data is stored by the AI service. Processing is real-time and results are returned immediately.
Identifiable data (Name, Phone, School) is never transferred to the AI service.
Google is subject to data protection obligations stipulated in the Google Cloud Data Processing Agreement.

Third: Permanent Storage Within the Kingdom

All persistent data is stored exclusively in Google Cloud data centers within KSA (Dammam region — me-central2), including:

Database (Cloud SQL — PostgreSQL).
Uploaded evidence files (Google Cloud Storage).
Generated PDF reports.
Application service and APIs (Cloud Run).

Article 6: Security and Technical Measures

Pursuant to Article 10 of the Law, the App takes technical and organizational measures to protect personal data:

First: Encryption

Encryption of all data in transit using TLS/HTTPS protocol.
Encryption of data at rest using AES-256 via Google Cloud infrastructure.

Second: Access Control

OTP authentication for each login.
JWT tokens with specific validity and secure renewal.
Strict isolation between user data.
Temporary and digitally signed file access links that expire automatically.

Third: Monitoring and Response

Constant monitoring of system performance.
Real-time alerts for abnormal behavior.
Rate limiting to protect against abuse.
Scheduled cleanup of expired sessions.

Article 7: Data Sharing and Disclosure

First: No Sale of Data

The App does not sell personal data to any party, nor does it share it for marketing or advertising purposes.

Second: Service Providers

The App uses the following service providers to operate:

Service Provider	Purpose	Shared Data
Google Cloud Platform	Infrastructure	All stored data (within KSA)
Google Gemini AI	AI classification	Evidence content only (real-time, no storage)
Moyasar	Payment processing	Payment operation details only
Authentica.sa	OTP SMS sending	Mobile number only

Third: Sharing Portfolio with Individuals

The App allows sharing the portfolio under these controls:

The user individually selects recipients via mobile numbers.
Sharing requires an active annual subscription.
Recipients must authenticate via OTP.
No public links.
Sharing can be revoked at any time.

Fourth: Legal Disclosure

Personal data may be disclosed if required by court order or competent authority request.

Article 8: Data Retention Period

Active Account: Data kept while the account is active.
Evidence: Kept while account active. Inactive evidence >1 year moved to archive storage.
Payments: Records kept for 5 years.
Account Deletion: All personal data, evidence, and reports permanently deleted within 30 days of request.

Article 9: Data Subject Rights

According to Articles 11-18 of the Law, data subjects have the right to:

Access (Article 11): View their personal data.
Correction (Article 12): Update inaccurate data.
Deletion (Article 13): Delete evidence or the entire account.
Withdraw Consent (Article 14): Revoke sharing or delete account.
Data Portability (Article 15): Export full portfolio as PDF.
Object to Automated Processing (Article 17): Override AI classification manually.

Exercising Rights: Direct App features or via privacy@miyari.app (Response within 30 days).

Article 10: Account Deletion

Users can delete their accounts permanently via settings. This results in the irreversible deletion of all personal data, evidence, reports, active shares, and sessions within 30 days.

Article 11: Cookies and Local Storage

The App does not use tracking or advertising cookies. It only uses local storage (localStorage/sessionStorage) for auth tokens and temporary session state, which are cleared upon logout.

Article 12: Protection of Minors' Data

Mi'yari is designed for adult teachers. If evidence includes minor student data, the user bears full responsibility for ensuring a lawful basis for processing this data.

Article 13: Data Breach Notification

In the event of a breach posing a risk to data subjects:

Notify SDAIA within 72 hours.
Notify affected data subjects without undue delay.
Document and mitigate the breach.

Article 14: Policy Updates

The App reserves the right to update this policy. Material changes will be prominently notified within the App prior to taking effect.

Article 15: User Responsibility

The user acknowledges responsibility for:

Accuracy of provided data.
Lawful basis for sharing third-party data in evidence.
Protecting account access.
Reviewing AI classifications prior to sharing/reporting.

Article 16: Contact & Complaints

Email: privacy@miyari.app Complaints can be escalated to SDAIA if unresolved within 30 days.

Article 17: Governing Law and Jurisdiction

This policy is governed by Saudi law (PDPL, SDAIA regulations). The competent courts in KSA have jurisdiction over any disputes.