سياسة الخصوصية — نورة AI

Privacy Policy — نورة AI

تاريخ النفاذ / Effective Date: 26 أبريل 2026 / 26 April 2026

الاختصاص القضائي / Jurisdiction: الرياض، المملكة العربية السعودية / Riyadh, Kingdom of Saudi Arabia

نورة AI ملتزمة بحماية البيانات الشخصية وفقًا لنظام حماية البيانات الشخصية (PDPL) الصادر بالمرسوم الملكي م/19 لعام 1443هـ ولوائحه التنفيذية.

---

العربية

1. المتحكم في البيانات

يُعدّ مكتب المحاماة المشترك في خدمة نورة AI المتحكمَ الرئيسيَّ في البيانات المجمَّعة من عملائه. تعمل نورة AI (التي تُشغِّلها شركة AXD Solutions) بوصفها معالجًا للبيانات نيابةً عن المكتب.

التواصل: privacy@axdsolutions.io

2. البيانات التي نجمعها

عند تفاعل العملاء مع مساعدة الاستقبال عبر واتساب أو القنوات الأخرى، قد تُجمَع البيانات التالية:

• الهوية: الاسم الكامل
• التواصل: رقم الجوال (بصيغة E.164 السعودية)
• معلومات القضية: نوع القضية، الوصف المختصر، رقم القضية في ناجز
• الجدولة: الوقت المفضل للتواصل
• التقنية: عنوان IP، طوابع وقت الرسائل، معرّفات رسائل واتساب

لا نجمع بيانات شخصية حساسة (صحية أو مالية أو بيومترية) ما لم يُفصح عنها العميل طوعًا في سياق وصف قضيته.

3. الأساس القانوني للمعالجة (المادة 5 من نظام PDPL)

تُعالَج البيانات الشخصية استنادًا إلى:

• الضرورة التعاقدية — لتقديم خدمة استقبال الطلبات القانونية المطلوبة.
• المصالح المشروعة — لتحسين جودة الخدمة ومنع الإساءة وتطوير أنظمة الذكاء الاصطناعي.
• الالتزام القانوني — للامتثال للأنظمة السعودية المعمول بها والأوامر القضائية.

4. كيفية استخدام بياناتك

• توجيه طلب الاستقبال إلى مكتب المحاماة المعني.
• إدارة المواعيد والجدولة.
• توليد مقاييس مُجهَّلة لجودة الخدمة.
• الامتثال للالتزامات القانونية.
• تدريب نماذج الذكاء الاصطناعي وتحسينها — راجع القسم 4أ أدناه.

لا نبيع ولا نؤجر ولا نشارك البيانات الشخصية مع أطراف ثالثة لأغراض تسويقية.

4أ. تدريب الذكاء الاصطناعي وتطوير النماذج

تعمل نورة AI على تطوير نموذج ذكاء اصطناعي خاص باللغة العربية القانونية، بهدف تقليل الاعتماد على مزودي الذكاء الاصطناعي الأجانب وضمان السيادة على البيانات داخل المملكة العربية السعودية. في إطار هذا المسعى:

• قد تُختار المحادثات المكتملة لاستخدامها بيانات تدريب للذكاء الاصطناعي.
• قبل استخدام أي محادثة في التدريب، تخضع لـمراجعة وموافقة موظفين مخوَّلين من فريق نورة AI. لا تُستخدم أي محادثة تلقائيًا دون إشراف بشري.
• قبل إدراج أي محادثة في مجموعة البيانات التدريبية، تُزال المُعرِّفات الشخصية المباشرة (الأسماء وأرقام الهواتف) وتُستبدل بعناصر نائبة.
• تُخزَّن بيانات التدريب وتُعالَج حصريًا داخل المملكة العربية السعودية.
• يحق لك الاعتراض على استخدام بيانات محادثتك في تدريب الذكاء الاصطناعي بالتواصل مع privacy@axdsolutions.io.
• تُحتفظ ببيانات التدريب مدةً تصل إلى 3 سنوات من تاريخ الجمع، ثم تُحذف بأمان أو تُجهَّل بصورة كاملة.

5. مدة الاحتفاظ بالبيانات

• سجلات استقبال العملاء: 5 سنوات من آخر تفاعل
• سجلات رسائل واتساب: 12 شهرًا
• سجلات النظام والخادم: 30 يومًا
• مرشحات التدريب غير المعتمدة: 90 يومًا ثم تُحذف
• بيانات التدريب المعتمدة (مُجهَّلة الهوية): 3 سنوات من تاريخ الجمع

بعد انتهاء مدة الاحتفاظ، تُحذف البيانات بأمان أو تُجهَّل.

6. تخزين البيانات وأمانها

• تُخزَّن البيانات في Oracle Autonomous Database في الرياض، المملكة العربية السعودية.
• تُشفَّر جميع البيانات أثناء النقل باستخدام TLS 1.2 أو أعلى.
• يقتصر الوصول على الموظفين المخوَّلين وموظفي مكتب المحاماة وفق ضوابط الصلاحيات.
• تُخزَّن مفاتيح API وبيانات الاعتماد كتجزئات SHA-256؛ لا يُحفظ النص الصريح أبدًا.

7. حقوقك بموجب نظام PDPL

يتمتع المقيمون في المملكة بالحقوق التالية:

• الوصول — طلب نسخة من بياناتك الشخصية
• التصحيح — طلب تصحيح البيانات غير الدقيقة
• الحذف — طلب المحو في حال عدم وجود التزام قانوني بالاحتفاظ
• الاعتراض — الاعتراض على المعالجة القائمة على المصالح المشروعة
• إمكانية النقل — استلام بياناتك بصيغة منظمة وقابلة للقراءة آليًا

لممارسة أي حق، تواصل مع مكتب المحاماة المعني مباشرةً أو راسلنا على privacy@axdsolutions.io.

8. ملفات تعريف الارتباط (Cookies)

تستخدم لوحة تحكم نورة AI ملفات الجلسة الضرورية فقط لأغراض المصادقة. لا تُستخدم أي ملفات تعريف ارتباط للتتبع أو الإعلانات من أطراف ثالثة.

9. الخدمات الخارجية

تتكامل الخدمة مع معالجي البيانات الفرعيين التاليين:

• Anthropic (Claude API) — معالجة نموذج اللغة الذكي (أساسي) — عالمي
• Google (Gemini API) — معالجة نموذج اللغة الذكي (ثانوي) — عالمي
• OpenAI (GPT-4o API) — معالجة نموذج اللغة الذكي (احتياطي) — عالمي
• Meta (WhatsApp Business API) — إيصال الرسائل — عالمي
• Oracle Cloud — استضافة قاعدة البيانات — الرياض، المملكة العربية السعودية

يعتمد النظام سلسلة تعاقبية من ثلاثة نماذج لضمان استمرارية الخدمة. لا نُجيز لمزودي خدمات الذكاء الاصطناعي استخدام بيانات العملاء في تدريب نماذجهم الخاصة وفق شروط اتفاقياتنا معهم.

10. نقل البيانات الدولي

تُخزَّن جميع البيانات وتُعالَج داخل المملكة العربية السعودية (الرياض). لا ننقل البيانات الشخصية خارج المملكة. وفي حال اقتضت أي معالجة فرعية الخروج من نطاق المملكة، نضمن توافر ضمانات كافية وفقًا للمادة 29 من نظام PDPL.

11. خصوصية الأطفال

الخدمة غير موجهة لمن هم دون سن 18 عامًا، ولا نجمع بياناتهم عن علم.

12. التعديلات على هذه السياسة

قد نُحدِّث هذه السياسة لتعكس تغييرات في الأنظمة أو ممارساتنا، مع إشعار مسبق مناسب.

13. التواصل والشكاوى

مسؤول حماية البيانات: privacy@axdsolutions.io

يمكن أيضًا تقديم الشكاوى إلى هيئة البيانات والذكاء الاصطناعي (SDAIA).

---

English

Noura AI is committed to protecting personal data in accordance with the Saudi Personal Data Protection Law (PDPL) (Royal Decree No. M/19, 1443H / 2021G) and its Executive Regulations.

1. Data Controller

The law firm subscribing to Noura AI ("Firm") is the primary Data Controller for personal data collected from its clients. Noura AI (operated by AXD Solutions) acts as a Data Processor on behalf of the Firm.

Contact: privacy@axdsolutions.io

2. Data We Collect

When clients interact with the Noura AI intake assistant via WhatsApp or other channels, the following data may be collected:

• Identity: Full name
• Contact: Mobile number (Saudi E.164 format)
• Case information: Case type, brief description, Najiz case number
• Scheduling: Preferred contact time
• Technical: IP address, message timestamps, WhatsApp message IDs

We do not collect sensitive personal data (health, financial, biometric) unless explicitly volunteered by the client in the course of describing their legal matter.

3. Legal Basis for Processing (PDPL Article 5)

Personal data is processed under the following bases:

• Contractual necessity — to provide the legal intake service requested.
• Legitimate interests — to improve service quality, prevent abuse, and develop our AI systems.
• Legal obligation — to comply with applicable Saudi law and court orders.

4. How We Use Your Data

• Routing client intake to the appropriate law firm.
• Scheduling and appointment management.
• Generating anonymised service-quality metrics.
• Complying with legal obligations.
• AI model training and improvement — see Section 4A below.

We do not sell, rent, or share personal data with third parties for marketing purposes.

4A. AI Training and Model Improvement

Noura AI is developing a proprietary Arabic-language legal AI model intended to reduce dependence on foreign AI providers and ensure Saudi data sovereignty. As part of this effort:

• Completed intake conversations may be selected for use as AI training data.
• Before any conversation is used for training, it is reviewed and approved by authorised Noura AI personnel. No conversation is used for training automatically without human oversight.
• Before inclusion in a training dataset, conversations are pseudonymised: direct personal identifiers (names, phone numbers) are replaced with generic placeholders.
• Training data is stored and processed exclusively within the Kingdom of Saudi Arabia.
• You have the right to object to your conversation data being used for AI training by contacting privacy@axdsolutions.io.
• AI training data is retained for up to 3 years from the date of collection, after which it is securely deleted or further anonymised.

5. Data Retention

• Client intake records: 5 years from last interaction
• WhatsApp message logs: 12 months
• System/server logs: 30 days
• AI training candidates (unapproved): 90 days, then deleted
• Approved AI training data (pseudonymised): 3 years from collection date

After the retention period, data is securely deleted or anonymised.

6. Data Storage and Security

• Data is stored in Oracle Autonomous Database hosted in Riyadh, Kingdom of Saudi Arabia.
• All data in transit is encrypted via TLS 1.2+.
• Access is restricted to authorised personnel and law firm staff via role-based controls.
• API keys and credentials are stored as SHA-256 hashes; plaintext secrets are never persisted.

7. Your Rights Under PDPL

Saudi residents have the following rights:

• Access — Request a copy of your personal data
• Correction — Request correction of inaccurate data
• Deletion — Request erasure where no legal obligation requires retention
• Objection — Object to processing based on legitimate interests
• Portability — Receive your data in a structured, machine-readable format

To exercise any right, contact the subscribing law firm directly or email privacy@axdsolutions.io.

8. Cookies

The Noura AI web dashboard uses only strictly necessary session cookies for authentication. No third-party tracking or advertising cookies are used.

9. Third-Party Services

The Service integrates with the following sub-processors:

• Anthropic (Claude API) — AI language model inference (primary) — Global
• Google (Gemini API) — AI language model inference (secondary) — Global
• OpenAI (GPT-4o API) — AI language model inference (tertiary fallback) — Global
• Meta (WhatsApp Business API) — Message delivery — Global
• Oracle Cloud — Database hosting — Riyadh, Kingdom of Saudi Arabia

We do not permit these providers to use client data for their own model training under our agreements.

10. International Data Transfers

All data is stored and processed within the Kingdom of Saudi Arabia (Riyadh). We do not transfer personal data outside the Kingdom. Where any ancillary processing by a third-party sub-processor occurs outside KSA, we ensure adequate safeguards in accordance with PDPL Article 29 and NDMO guidelines.

11. Children's Privacy

The Service is not directed at individuals under the age of 18. We do not knowingly collect data from minors.

12. Changes to This Policy

We may update this policy to reflect changes in law or our practices. We will notify affected parties with reasonable advance notice.

13. Contact and Complaints

Data Protection Officer: privacy@axdsolutions.io

Complaints may also be lodged with the Saudi Data & Artificial Intelligence Authority (SDAIA).