Governing the use of this website and how we handle your information تنظيم استخدام هذا الموقع الإلكتروني وكيفية تعاملنا مع معلوماتك
By accessing and using the Miza Capital Company website ("the Website"), you agree to the following terms. If you do not agree, please do not use this Website. Miza Capital Company ("the Company") reserves the right to update these terms at any time.
باستخدامك لموقع شركة ميزا كابيتال الإلكتروني ("الموقع")، فإنك توافق على الشروط التالية. إذا كنت لا توافق، يرجى عدم استخدام هذا الموقع. تحتفظ شركة ميزا كابيتال ("الشركة") بحق تحديث هذه الشروط في أي وقت.
The content on this Website is for general informational purposes only and does not constitute investment advice, a recommendation, or an offer to buy or sell any securities or financial instruments. Nothing on this Website should be relied upon as the basis for any investment decision.
المحتوى المنشور على هذا الموقع هو لأغراض إعلامية عامة فقط ولا يشكّل مشورة استثمارية أو توصية أو عرضاً لشراء أو بيع أي أوراق مالية أو أدوات مالية. لا ينبغي الاعتماد على أي محتوى في هذا الموقع كأساس لأي قرار استثماري.
All content, trademarks, logos, and design elements on this Website are the property of Miza Capital Company and are protected under applicable intellectual property laws. No content may be reproduced, distributed, or used without the Company's prior written consent.
جميع المحتويات والعلامات التجارية والشعارات وعناصر التصميم على هذا الموقع هي ملك لشركة ميزا كابيتال ومحمية بموجب قوانين الملكية الفكرية المعمول بها. لا يجوز نسخ أو توزيع أو استخدام أي محتوى دون الحصول على موافقة خطية مسبقة من الشركة.
While the Company makes reasonable efforts to ensure the accuracy of information on this Website, it makes no warranties or representations as to its completeness, accuracy, or timeliness. The Company shall not be liable for any errors, omissions, or outdated information.
بينما تبذل الشركة جهوداً معقولة لضمان دقة المعلومات على هذا الموقع، فإنها لا تقدم أي ضمانات أو تعهدات بشأن اكتمالها أو دقتها أو حداثتها. ولا تتحمل الشركة أي مسؤولية عن أي أخطاء أو سهو أو معلومات قديمة.
The Company shall not be liable for any direct, indirect, or consequential loss or damage arising from the use of, or inability to use, this Website or its content. This includes, without limitation, any loss of data, revenue, or anticipated savings.
لا تتحمل الشركة أي مسؤولية عن أي خسارة أو ضرر مباشر أو غير مباشر أو تبعي ناتج عن استخدام هذا الموقع أو محتواه أو عدم القدرة على استخدامه. يشمل ذلك، على سبيل المثال لا الحصر، أي فقدان للبيانات أو الإيرادات أو المدخرات المتوقعة.
These terms are governed by the laws of the Kingdom of Saudi Arabia and the regulations of the Capital Market Authority.
تخضع هذه الشروط لقوانين المملكة العربية السعودية ولوائح هيئة السوق المالية.
Miza Capital Company is committed to protecting the privacy of visitors to this Website. This section outlines how we handle information in connection with your use of our Website.
Miza Capital ("the Company," "we," "us," or "our"), licensed by the Saudi Arabian Capital Market Authority under Licence No. 25319-32 and Commercial Registration No. 7053330671, is committed to protecting and respecting your privacy. This Privacy Policy ("Policy") sets out how we collect, process, store, and protect personal data in compliance with the Saudi Personal Data Protection Law issued by Royal Decree No. M/19 dated 9/2/1443H ("the Law"), and all applicable regulations under the Capital Market Law issued by Royal Decree No. M/30 dated 16/4/1424H.
The Company provides discretionary investment portfolio management and investment advisory services through our proprietary mobile application for qualified investors in the Kingdom of Saudi Arabia. This Policy applies to all personal data processed in connection with these services.
We recognise privacy as a fundamental right and are committed to transparent, lawful, and fair data processing practices. This Policy aims to inform you of our data handling practices and your rights under applicable law.
For the purposes of this Policy, the following terms shall have the meanings set out below:
"Personal Data": Any statement — regardless of its source or form — that leads to the identification of a specific individual, or makes it possible to identify them directly or indirectly, including: name, national identity number, addresses, contact numbers, licence and registration numbers, personal property numbers, bank account and credit card numbers, still or moving images of the individual, and other data of a personal nature.
"Sensitive Data": Any personal statement relating to an individual's racial or ethnic origin, religious, intellectual, or political beliefs, security and criminal data, biometric data identifying identity, genetic data, health data, and data indicating that an individual is of unknown or single parentage.
"Data Processing": Any operation performed on personal data by any means, whether manual or automated, including collection, recording, keeping, indexing, arranging, formatting, storing, modifying and updating, merging, retrieving, using, disclosing, transferring, publishing, sharing or interconnecting data, blocking, erasing, and destruction.
"Collection": The Controller's obtaining of personal data in accordance with the provisions of the Law, whether directly from the data subject, their representative, their legal guardian, or from another party.
"Destruction": Any action taken on personal data that makes it impossible to access, retrieve, or identify its owner.
"Disclosure": Enabling any person — other than the Controller or Processor as the case may be — to obtain, use, or access personal data by any means and for any purpose.
"Transfer": Moving personal data from one location to another for processing.
"Publication": Broadcasting any personal data through a readable, audio, or visual publication medium, or making it available.
"Controller": The Company, in its capacity as the entity that determines the purposes and means of personal data processing.
"Data Subject": Any identified or identifiable individual to whom personal data relates.
"Consent": A free, specific, informed, and unambiguous indication by the data subject signifying their agreement to the processing of their personal data.
"Data Subject Rights": Rights granted to individuals under the Saudi Personal Data Protection Law, including rights of access, rectification, erasure, and objection.
"Qualified Investor": Any natural person meeting the criteria defined by the Capital Market Institutions Regulations issued by the CMA, typically possessing significant net worth, investment experience, and financial sophistication.
"Cookies": Small text files stored on a user's device when visiting the website or using the application, aimed at improving user experience, enabling certain website or application functions, and monitoring usage for analytical purposes.
"Processor": Any public entity, or any natural or private legal person, that processes personal data on behalf of and for the benefit of the Controller.
"Regulatory Authority": The Capital Market Authority (CMA), the Financial Intelligence Unit (FIU), or any other competent governmental authority.
This Policy aims to ensure personal data is processed fairly, transparently, and lawfully in accordance with the Law and CMA regulations. The Company is also committed to collecting and processing the minimum personal data necessary to achieve specified purposes, and to maintaining the highest standards of data protection and security.
This Policy applies to all personal data that Miza Capital collects, processes, or stores in connection with: account opening and client onboarding operations; "Know Your Customer" (KYC) and Anti-Money Laundering (AML) procedures; provision of discretionary investment portfolio management and investment advisory services; transaction execution and portfolio management; and platform usage and related support and customer service.
We collect personal data in several categories to fulfil our regulatory obligations and deliver our services effectively:
Full legal name; National Identity Number (Iqama for expatriates); date of birth; nationality; gender; passport details; photographs; and signature samples.
Residential and business addresses; email addresses; mobile and landline telephone numbers; and alternative contact methods.
Annual income and sources; net worth and asset details; bank account information; investment account numbers; transaction history; portfolio holdings; fee records; and credit information verified through credit agencies.
Current employer name and details; job title and position; sector and industry; duration of employment; and professional experience.
Risk profile assessment and risk tolerance; investment objectives; investment knowledge and experience; familiarity with financial instruments; time horizon; and liquidity needs. This information is collected to ensure compliance with CMA suitability requirements and investor protection.
Device identifiers and type; operating system and version; browser type; Internet Protocol (IP) addresses; cookies and similar tracking technologies; mobile application usage data; login records; and system performance metrics.
Subscription and redemption records; purchase and sale transaction details; portfolio composition information; investment performance data; fee deduction records; and transaction confirmations.
Emails and electronic messages exchanged with the Company; telephone calls (recorded with prior consent); in-platform chat records; support ticket records; and correspondence stored in your account file.
Personal data is collected through the following means:
Information provided through account opening forms; KYC documents and questionnaires; risk assessment questionnaires; suitability assessment forms; regulatory compliance documents; and any supporting documentation required for verification.
Data generated from your interaction with the mobile application and platform; automatic login information; transaction requests and execution; settings and preference updates; and user activity metrics.
Verification services (electronic verification via Nafath); credit information agencies; regulatory databases under CMA supervision; background check providers; sanctions screening databases; and financial reference providers.
Telephone calls with Company representatives are recorded for compliance, quality assurance, and dispute resolution purposes, with prior explicit consent as required by applicable regulations.
Information collected through cookies, web beacons, pixels, and similar tracking technologies to analyse platform usage, improve user experience, and monitor system performance.
Survey responses; client feedback and complaints; social media interactions (if any); and any other data voluntarily provided by the data subject.
We collect and process personal data for the following purposes:
Creating and maintaining client accounts; verifying identity and confirming client details; complying with KYC regulations; and collecting required documentation.
Determining whether the client meets the qualified investor definition under CMA regulations; verifying financial capability and sophistication; assessing suitability for discretionary management services; and ensuring compliance with investor protection requirements.
Providing discretionary investment portfolio management and investment advisory services; executing transactions; managing portfolios; and maintaining account operations and communications.
Assessing the client's risk tolerance and investment objectives; determining appropriate investment strategies; monitoring changes in the client's circumstances; and ensuring the continued suitability of investment recommendations.
Processing investment transactions; executing orders; settling trades; managing custody arrangements; calculating fees; and issuing transaction confirmations and statements.
Complying with Capital Market Law requirements; fulfilling reporting obligations to the CMA; complying with AML and counter-terrorism financing laws; responding to regulatory enquiries; and maintaining required records.
Detecting and preventing fraudulent activities; identifying unauthorised account access; monitoring suspicious transactions; and investigating security incidents.
Responding to client enquiries; providing account statements and performance reports; sending important notifications; providing service updates; and handling complaints or disputes.
Analysing platform usage patterns; identifying user preferences; developing new features; improving mobile application performance; and enhancing user experience.
Conducting anonymised statistical analyses; preparing aggregated reports; conducting market research; and preparing performance indicators with personal identifiers removed.
Complying with court orders or legal directives; responding to governmental investigations; complying with disclosure requirements; and fulfilling legal obligations under applicable laws.
Under the Law, the Company processes personal data on one or more of the following bases:
6.1 Consent: Processing carried out with the explicit, informed, and free consent of the data subject, which may be withdrawn at any time, unless processing is required by law.
6.2 Contractual Necessity: Processing necessary for the performance of a contract to which the data subject is a party, including account opening agreements, service agreements, and terms of engagement.
6.3 Legal Obligation: Processing required to comply with legal obligations imposed under the Personal Data Protection Law, Capital Market Law, Anti-Money Laundering Law, Counter-Terrorism Crimes and Financing Law, CMA regulations, and other applicable laws.
6.4 Legitimate Interest: Processing carried out for legitimate interests of the Company or third parties, including fraud prevention, platform security, business improvement, and market research, provided such interests do not override the rights and interests of the data subject.
6.5 Protection of Vital Interests: Processing necessary to protect the vital interests of the data subject or another person, such as emergencies requiring the immediate disclosure of personal data.
6.6 Public Interest: Processing carried out in furtherance of tasks in the public interest or in the exercise of official authority, including regulatory compliance and public safety.
7.1 Regulatory and Governmental Authorities: The Company may disclose personal data to regulatory authorities including the CMA, the Financial Intelligence Unit, and other competent governmental authorities as required by law, regulation, or specific regulatory requests.
7.2 Custodian Banks and Fund Platforms: Personal data necessary for account operation, transaction execution, and custody services may be shared with the Company's custodian bank and licensed fund platforms operating under CMA supervision.
7.3 Verification Service Providers and References: Personal data may be disclosed to licensed verification service providers (including Nafath), credit agencies, background check providers, and sanctions screening databases for KYC, AML, and counter-terrorism financing compliance purposes.
7.4 Auditors and Legal Advisors: The Company's external auditors, legal advisors, and compliance consultants may access personal data as needed to fulfil their professional obligations, subject to confidentiality agreements.
7.5 Technology Service Providers: Third-party technology service providers, including cloud infrastructure providers (Google Cloud), software vendors, and communications providers, may access personal data under strict data processing agreements imposing comprehensive confidentiality and security obligations.
7.6 Court Orders and Legal Requirements: The Company may disclose personal data in response to court orders, legal proceedings, subpoenas, governmental requests, or other legal requirements, with notification to the data subject unless prohibited by law.
7.7 Anti-Money Laundering and Counter-Terrorism Financing: Personal data may be disclosed to competent authorities and international databases to comply with AML and counter-terrorism financing obligations, including reporting suspicious activities and screening against sanctions lists.
7.8 Client Consent: Personal data may be shared with other third parties based on explicit consent from the data subject.
7.9 Data Protection Restrictions: The Company prohibits the sale of personal data to third parties for commercial purposes. Personal data is not shared for marketing purposes without explicit consent. All sharing is conducted in accordance with the Saudi Personal Data Protection Law and applicable regulations.
The Company retains personal data for periods determined by legal obligations, operational necessities, and regulatory requirements:
8.1 Active Client Accounts: Personal data for active clients is retained throughout the duration of the relationship and kept in an accessible format to provide ongoing services.
8.2 Following Account Closure: Following account closure, personal data is retained for a minimum of ten (10) years as required under Article 10 of the Capital Market Institutions Regulations, to facilitate dispute resolution, regulatory enquiries, and compliance verification.
8.3 Transaction and Communications Records: Transaction records, statements, confirmations, and communications records are retained for a minimum of ten (10) years in accordance with CMA regulations and the Anti-Money Laundering Law.
8.4 KYC and Compliance Documents: KYC forms, identity verification documents, compliance records, and AML/CTF documentation are retained for ten (10) years or longer if required by regulatory authorities.
8.5 Marketing and Consent Records: Marketing consent records are retained throughout the duration of consent and for seven (7) years thereafter to demonstrate compliance with consent requirements.
8.6 Anonymised Data: Properly anonymised data from which individuals cannot be identified may be retained indefinitely for statistical analysis, research, and business intelligence purposes.
8.7 Early Deletion: The Company may delete personal data before the expiry of specified retention periods if it is no longer necessary for the original purpose and there are no legal or regulatory requirements for retention, having regard to the data subject's right to request deletion.
9.1 Storage Location: Personal data is stored primarily on Google Cloud infrastructure in data centres located in Riyadh and Dammam, ensuring compliance with Saudi data residency requirements and minimising cross-border data transfers.
9.2 Encryption: Personal data is encrypted using industry-standard encryption protocols (AES-256 or equivalent) at rest and in transit. All data transfers occur via secure HTTPS/TLS connections.
9.3 Authentication and Access Controls: Systems implement multi-factor authentication for access to sensitive data. Access to personal data is restricted to employees based on their job role (RBAC). All access is logged and monitored.
9.4 Security Audits and Testing: The Company conducts regular security audits, vulnerability assessments, and penetration testing to identify and address security vulnerabilities. Third-party security assessments are conducted annually.
9.5 Employee Confidentiality: All employees, contractors, and service providers are bound by confidentiality agreements and data protection commitments. Access to personal data is limited to individuals with a legitimate operational need.
9.6 Physical Security: Physical access to facilities containing personal data is restricted to authorised individuals only. Data centres maintain physical security procedures including surveillance, access controls, and environmental protection.
9.7 Continuous Monitoring: Systems are continuously monitored to detect unauthorised access, suspicious activities, and potential security threats. Advanced detection systems analyse network traffic and user behaviour patterns.
9.8 Incident Response: The Company maintains documented incident response procedures to address data breaches, unauthorised access, or security incidents, encompassing investigation, mitigation, notification, and remediation.
Under the Saudi Personal Data Protection Law, individuals have the following rights in relation to their personal data:
10.1 Right of Access: The data subject has the right to obtain confirmation as to whether their personal data is being processed and to obtain a copy in a structured, widely used, and machine-readable format.
10.2 Right of Rectification: The data subject has the right to request the rectification of their personal data if it is inaccurate or incomplete. The Company shall carry out the rectification within thirty (30) days of the request, and may extend this period by up to thirty (30) additional days if fulfilling the request requires unusual additional effort or if multiple requests are received from the same data subject, provided the data subject is notified in advance of the extension and the reasons therefor.
10.3 Right of Erasure (Right to be Forgotten): The data subject has the right to request the deletion of their personal data, subject to exceptions such as legal retention requirements, ongoing contractual obligations, and regulatory requirements. The Company shall respond to erasure requests within thirty (30) days of the request, and may extend this period by up to thirty (30) additional days if fulfilling the request requires unusual additional effort or if multiple requests are received from the same data subject, provided the data subject is notified in advance of the extension and the reasons therefor.
10.4 Right to Restrict Processing: The data subject has the right to request the restriction of processing in certain circumstances, such as when the accuracy of the data is disputed or when processing is unlawful but the data subject does not wish for deletion.
10.5 Right to Data Portability: The data subject has the right to receive their personal data in a structured, widely used, and machine-readable format, and to transmit it to another controller without hindrance.
10.6 Right to Withdraw Consent: The data subject has the right to withdraw consent to processing at any time, without affecting the lawfulness of processing that took place prior to withdrawal.
10.7 Right to Object: The data subject has the right to object to processing based on legitimate interests or for direct marketing purposes, and the Company shall cease processing unless it demonstrates compelling legitimate grounds.
10.8 Right Not to be Subject to Automated Decision-Making: The data subject has the right not to be subject to decisions based solely on automated processing that produce legal effects or similarly significant effects.
10.9 How to Exercise Rights: The data subject may exercise their rights by submitting a written request to the Company's Data Protection Officer or Compliance Department, including their full name and account details, a clear description of the right being requested, supporting documents if any, and signature or electronic authorisation.
10.10 Right to Lodge a Complaint: The data subject has the right to lodge a complaint with the competent regulatory authority regarding the Company's data processing practices. Regulatory authority contact information is provided in Article 17 of this Policy.
11.1 Types of Cookies:
• Essential Cookies: Necessary for core platform functionality, account security, and transaction processing; they cannot be disabled without affecting access to the platform.
• Functional Cookies: Improve user experience by saving preferences, language settings, and customisations.
• Analytics Cookies: Enable the Company to analyse platform usage, user behaviour, and performance metrics to improve services.
11.2 Cookie Consent: The Company requests explicit consent before placing non-essential cookies on users' devices. Users may accept or reject these cookies upon first accessing the platform or through account settings.
11.3 Managing Cookie Preferences: Users may modify cookie preferences at any time through platform settings or browser settings, noting that certain browser-level restrictions may limit some platform features.
11.4 Third-Party Cookies: The Company does not place third-party cookies from external advertisers or analytics providers. Third-party service providers engaged by the Company are contractually bound to respect user privacy.
11.5 Pixel Tags and Web Beacons: The Company may use pixel tags and similar tracking technologies to measure platform effectiveness and user engagement; these technologies collect the same information as cookies.
12.1 Age Restrictions: The Company's services are not directed at individuals under the age of eighteen (18) Hijri years. The Company does not collect personal data from minors without appropriate legal guardian consent.
12.2 Guardian Consent for Minors: If accounts are opened for minors (requiring explicit CMA approval), the consent of the legal parent or guardian must be obtained and documented, and the guardian assumes responsibility for the account.
12.3 Special Protections: When opening accounts for minors, the Company applies additional controls including enhanced parental oversight, investment restrictions, and educational materials.
13.1 Primary Data Storage: Personal data is stored primarily in the Kingdom of Saudi Arabia on Google Cloud infrastructure in data centres in Riyadh and Dammam, in compliance with data localisation requirements.
13.2 Cross-Border Transfers: Cross-border transfers of personal data are carried out only when legally necessary and with appropriate safeguards under the Saudi Personal Data Protection Law, with regulatory notification or approval where required.
13.3 Adequate Safeguards: When cross-border transfers occur, the Company ensures adequate legal protection through data processing agreements, contractual safeguards, and compliance with the requirements of Article Twenty-Nine (29) of the Law and the Personal Data Transfer Regulations issued by the Saudi Data and Artificial Intelligence Authority.
14.1 Disclaimer: The Company's mobile application may contain links to third-party websites, applications, and services. This Privacy Policy applies only to the Company's platform and does not govern the privacy practices of third parties.
14.2 Third-Party Responsibility: The Company bears no responsibility for the privacy practices, data collection methods, or security measures of third-party websites and services. Users should review third-party privacy policies independently.
14.3 External Partner Services: When data is shared with third-party service providers (as outlined in Article 7), those providers are contractually bound to comply with data protection requirements equivalent to those imposed on the Company.
15.1 Definition of a Data Breach: A data breach constitutes unauthorised access, disclosure, loss, or destruction of personal data that threatens the confidentiality, integrity, or availability of personal information.
15.2 Breach Investigation: Upon discovering a data breach, the Company immediately initiates an investigation to determine the nature, extent, and impact of the breach, including identifying affected individuals and assessing the extent of data exposure.
15.3 Regulatory Notification: The Company notifies the CMA and relevant regulatory authorities of a data breach within the required timeframes (typically within 72 hours or as required by applicable regulations), providing details of the breach and corrective actions.
15.4 Notification of Affected Individuals: If the breach poses a high risk to affected individuals, the Company provides prompt notification via email, SMS, or platform notifications, including details of the breach and precautions to be taken.
15.5 Corrective and Preventive Measures: Following a breach, the Company implements corrective measures including securing affected systems, strengthening security controls, and implementing process improvements to prevent future breaches.
16.1 Policy Updates: The Company reserves the right to update this Privacy Policy to reflect changes in data processing practices, regulatory requirements, or operational circumstances. Clients will be informed of material changes.
16.2 Notification Methods: Policy updates are communicated via email, platform announcements, or account notifications. Material changes require at least thirty (30) days' advance notice.
16.3 Continued Use as Acceptance: Continued use of the Company's services after notification of changes constitutes acceptance of the updated Policy. Clients may request account closure if they do not accept the amended terms.
For enquiries regarding this Privacy Policy, to exercise data subject rights, or to address data protection concerns, please contact:
Miza Capital, Al Thumamah Branch 6442, Al Sahafah District 3339, Riyadh 13315, Kingdom of Saudi Arabia
Compliance Department — Email: compliance@mizacapital.sa — Tel: 0112690222
For complaints or enquiries regarding the Company's data processing practices, please contact:
Capital Market Authority (CMA), Riyadh, Kingdom of Saudi Arabia — Website: www.cma.org.sa
National Data Governance Platform, Riyadh, Kingdom of Saudi Arabia — Website: https://dgp.sdaia.gov.sa/wps/portal/pdp/home
18.1 Applicable Law: This Privacy Policy is governed by and construed in accordance with the laws of the Kingdom of Saudi Arabia, including: the Law; the Capital Market Law, Royal Decree No. M/30; the Capital Market Institutions Regulations issued by the CMA; the Anti-Money Laundering Law and its implementing regulations; and the Counter-Terrorism Crimes and Financing Law.
18.2 Language: This Privacy Policy may be translated into English or other languages for convenience only; the Arabic version is the official and legally binding document. In the event of any conflict between translations, the Arabic text shall prevail.
18.3 Jurisdiction and Dispute Resolution: Any disputes arising from this Privacy Policy shall be subject to the exclusive jurisdiction of the competent courts or committees in Riyadh, Kingdom of Saudi Arabia.
Effective Date: 01 April 2026 | Last Updated: 01 April 2026
This Privacy Policy represents Miza Capital's commitment to protecting your personal data and ensuring compliance with all applicable Saudi data protection and capital market regulations. For the most current version of this Policy, please visit the Company's official portal or contact the Compliance Department.
تلتزم شركة ميزا كابيتال ("الشركة"، "نحن"، "لنا" أو "نا")، المرخصة من هيئة السوق المالية في المملكة العربية السعودية بموجب الرخصة رقم 25319-32 والسجل التجاري رقم 7053330671، بحماية واحترام خصوصيتكم. تحدد سياسة الخصوصية هذه ("السياسة") كيفية جمعنا ومعالجتنا وتخزيننا وحمايتنا للبيانات الشخصية بما يتوافق مع نظام حماية البيانات الشخصية السعودي الصادر بالمرسوم الملكي رقم م/19 وبتاريخ 9/2/1443هـ ("النظام")، وجميع اللوائح المعمول بها بموجب نظام السوق المالية، الصادر بالمرسوم الملكي رقم م/30 وبتاريخ 16/4/1424هـ.
تقدم الشركة خدمات إدارة المحافظ الاستثمارية التقديرية والاستشارات الاستثمارية من خلال تطبيقنا المحمول الخاص للمستثمرين المؤهلين في المملكة العربية السعودية. تنطبق هذه السياسة على جميع البيانات الشخصية التي تتم معالجتها فيما يتعلق بهذه الخدمات.
نقر بأن الخصوصية حق أساسي، ونلتزم بممارسات معالجة بيانات شفافة وقانونية وعادلة. تهدف هذه السياسة إلى إعلامكم بممارساتنا في التعامل مع البيانات وحقوقكم بموجب القوانين المعمول بها.
لأغراض هذه السياسة، يكون للمصطلحات التالية المعاني المبينة أدناه:
"البيانات الشخصية": كل بيان -مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد، أو يجعل التعرف عليه ممكناً بصفة مباشرة أو غير مباشرة، ومن ذلك: الاسم، ورقم الهوية الشخصية، والعناوين، وأرقام التواصل، وأرقام الرُّخص والسجلات والممتلكات الشخصية، وأرقام الحسابات البنكية والبطاقات الائتمانية، وصور الفرد الثابتة أو المتحركة، وغير ذلك من البيانات ذات الطابع الشخصي.
"البيانات الحساسة": كل بيان شخصي يتعلق بأصل الفرد العرقي أو أصله الإثني، أو معتقده الديني أو الفكري أو السياسي. وكذلك البيانات الأمنية والجنائية، أو بيانات السمات الحيوية التي تحدد الهوية، أو البيانات الوراثية، أو البيانات الصحية، والبيانات التي تدل على أن الفرد مجهول الأبوين أو أحدهما.
"معالجة البيانات": أي عملية تجرى على البيانات الشخصية بأي وسيلة كانت يدوية أو آلية، ومن ذلك: عمليات الجمع، والتسجيل، والحفظ، والفهرسة، والترتيب، والتنسيق، والتخزين، والتعديل والتحديث، والدمج، والاسترجاع، والاستعمال، والإفصاح، والنقل، والنشر، والمشاركة في البيانات أو الربط البيني، والحجب، والمسح، والإتلاف.
"الجمع": حصول جهة التحكم على البيانات الشخصية وفقاً لأحكام النظام، سواءً من صاحبها مباشرةً أو ممن يمثله أو ممن له الولاية الشرعية عليه أو من طرف آخر.
"الإتلاف": أي إجراء يتم على البيانات الشخصية ويجعل من المتعذر الاطلاع عليها أو استعادتها مرة أخرى أو معرفة صاحبها على وجه التحديد.
"الإفصاح": تمكين أي شخص -عدا جهة التحكم أو جهة المعالجة بحسب الأحوال- من الحصول على البيانات الشخصية أو استعمالها أو الاطلاع عليها بأي وسيلة ولأي غرض.
"النقل": نقل البيانات الشخصية من مكان إلى آخر لمعالجتها.
"النشر": بث أي من البيانات الشخصية عبر وسيلة نشر مقروءة أو مسموعة أو مرئية، أو إتاحتها.
"جهة التحكم": الشركة بصفتها الجهة التي تحدد أغراض ووسائل معالجة البيانات الشخصية.
"صاحب البيانات": أي فرد محدد أو قابل للتحديد تتعلق به البيانات الشخصية.
"الموافقة": إشارة حرة ومحددة ومستنيرة وواضحة من صاحب البيانات تدل على موافقته على معالجة بياناته الشخصية.
"حقوق صاحب البيانات": الحقوق الممنوحة للأفراد بموجب نظام حماية البيانات الشخصية السعودي، بما في ذلك حقوق الوصول، التصحيح، الحذف، والاعتراض.
"المستثمر المؤهل": أي شخص طبيعي يستوفي المعايير التي تحددها لوائح مؤسسات السوق المالية الصادرة عن هيئة السوق المالية، وعادة ما يمتلك صافي ثروة كبير، خبرة استثمارية، ومهارة مالية.
"الكوكيز": ملفات نصية صغيرة تُحفظ على جهاز المستخدم عند زيارة الموقع أو استخدام التطبيق، وتهدف إلى تحسين تجربة المستخدم، وتمكين بعض وظائف الموقع أو التطبيق، ورصد كيفية الاستخدام لأغراض تحليلية.
"جهة المعالجة": أي جهة عامة، وأي شخصية ذات صفة طبيعية أو اعتبارية خاصة؛ تعالج البيانات الشخصية لمصلحة جهة التحكم ونيابةً عنها.
"الجهة التنظيمية": هيئة السوق المالية (CMA)، وحدة التحريات المالية (FIU)، أو أي جهة حكومية مختصة أخرى.
تهدف هذه السياسة إلى ضمان معالجة البيانات الشخصية بشكل عادل وشفاف وقانوني وفقًا للنظام ولوائح هيئة السوق المالية. كما تلتزم الشركة بالاقتصار على جمع ومعالجة الحد الأدنى من البيانات الشخصية اللازمة لتحقيق الأغراض المحددة، والحفاظ على أعلى معايير حماية وأمن البيانات.
تنطبق تسري هذه السياسة على جميع البيانات الشخصية التي تقوم شركة ميزا كابيتال بجمعها أو معالجتها أو تخزينها فيما يتعلق بعمليات فتح الحسابات وتسجيل العملاء، وإجراءات "اعرف عميلك" (KYC) ومكافحة غسل الأموال (AML)، وتقديم خدمات إدارة المحافظ الاستثمارية التقديرية والاستشارات الاستثمارية، وتنفيذ المعاملات وإدارة المحافظ، وكذلك استخدام المنصة وما يتصل به من خدمات الدعم وخدمة العملاء.
نجمع البيانات الشخصية في عدة فئات لتلبية التزاماتنا التنظيمية وتقديم خدماتنا بفعالية:
الاسم القانوني الكامل؛ رقم الهوية الوطنية (الإقامة للمغتربين)؛ تاريخ الميلاد؛ الجنسية؛ الجنس؛ بيانات جواز السفر؛ الصور؛ وعينات التوقيع.
العناوين السكنية والتجارية؛ عناوين البريد الإلكتروني؛ أرقام الهواتف المحمولة والثابتة؛ وطرق الاتصال البديلة.
الدخل السنوي ومصادره؛ صافي الثروة وتفاصيل الأصول؛ معلومات الحسابات البنكية؛ أرقام حسابات الاستثمار؛ سجل المعاملات؛ محتويات المحافظ؛ سجلات الرسوم؛ ومعلومات الائتمان التي يتم التحقق منها عبر وكالات الائتمان.
اسم جهة العمل الحالية وتفاصيلها؛ المسمى الوظيفي والمنصب؛ القطاع والصناعة؛ مدة العمل؛ والخبرة المهنية.
تقييم ملف المخاطر وتحمل المخاطر؛ أهداف الاستثمار؛ المعرفة والخبرة الاستثمارية؛ الإلمام بالأدوات المالية؛ الأفق الزمني؛ واحتياجات السيولة. تُجمع هذه المعلومات لضمان الامتثال لمتطلبات الملاءمة الصادرة عن هيئة السوق المالية وحماية المستثمرين.
معرفات الجهاز ونوعه؛ نظام التشغيل وإصداره؛ نوع المتصفح؛ عناوين بروتوكول الإنترنت (IP)؛ الكوكيز وتقنيات التتبع المماثلة؛ بيانات استخدام التطبيق المحمول؛ سجلات الدخول؛ ومقاييس أداء النظام.
سجلات الاشتراك والاسترداد؛ تفاصيل عمليات الشراء والبيع؛ معلومات تكوين المحفظة؛ بيانات أداء الاستثمار؛ سجلات خصم الرسوم؛ وتأكيدات المعاملات.
رسائل البريد الإلكتروني والرسائل الإلكترونية المتبادلة مع الشركة؛ المكالمات الهاتفية (مسجلة بموافقة مسبقة)؛ سجلات الدردشة داخل المنصة؛ سجلات تذاكر الدعم؛ والمراسلات المحفوظة في ملف حسابك.
تُجمع البيانات الشخصية بالطرق التالية:
المعلومات المقدمة عبر نماذج فتح الحساب؛ وثائق واستبيانات "اعرف عميلك"؛ استبيانات تقييم المخاطر؛ نماذج تقييم الملاءمة؛ وثائق الامتثال التنظيمي؛ وأي مستندات داعمة مطلوبة للتحقق.
البيانات الناتجة عن تفاعلك مع التطبيق المحمول والمنصة؛ معلومات تسجيل الدخول التلقائي؛ طلبات وتنفيذ المعاملات؛ تحديثات الإعدادات والتفضيلات؛ ومقاييس نشاط المستخدم.
خدمات التحقق (التحقق الإلكتروني نفاذ)؛ وكالات المعلومات الائتمانية؛ قواعد بيانات تنظيمية تحت إشراف هيئة السوق المالية؛ مزودو فحص الخلفيات؛ قواعد بيانات فحص العقوبات؛ ومزودو المراجع المالية.
تُسجل المكالمات الهاتفية مع ممثلي الشركة لأغراض الامتثال وضمان الجودة وحل النزاعات، وذلك بموافقة صريحة مسبقة كما تقتضي الأنظمة ذات العلاقة.
المعلومات التي تُجمع عبر الكوكيز، إشارات الويب، البكسلات، وتقنيات التتبع المماثلة لتحليل استخدام المنصة، تحسين تجربة المستخدم، ومراقبة أداء النظام.
ردود الاستبيانات؛ الملاحظات وشكاوى العملاء؛ التفاعلات عبر وسائل التواصل الاجتماعي (إن وجدت)؛ وأي بيانات أخرى يقدمها صاحب البيانات طوعًا.
نجمع ونعالج البيانات الشخصية للأغراض التالية:
إنشاء وصيانة حسابات العملاء؛ التحقق من الهوية وتأكيد بيانات العميل؛ الامتثال للوائح "اعرف عميلك"؛ وجمع الوثائق المطلوبة.
تحديد ما إذا كان العميل يستوفي تعريف المستثمر المؤهل وفقًا للوائح هيئة السوق المالية؛ التحقق من القدرة المالية والمهارة؛ تقييم الملاءمة لخدمات الإدارة التقديرية؛ وضمان الامتثال لمتطلبات حماية المستثمر.
تقديم خدمات إدارة المحافظ الاستثمارية التقديرية والاستشارات الاستثمارية؛ تنفيذ المعاملات؛ إدارة المحافظ؛ وصيانة عمليات الحساب والتواصل.
تقييم تحمل العميل للمخاطر وأهدافه الاستثمارية؛ تحديد الاستراتيجيات الاستثمارية الملائمة؛ متابعة التغيرات في ظروف العميل؛ وضمان استمرار ملاءمة التوصيات الاستثمارية.
معالجة المعاملات الاستثمارية؛ تنفيذ الأوامر؛ تسوية الصفقات؛ إدارة ترتيبات الحفظ؛ حساب الرسوم؛ وإصدار تأكيدات وبيانات المعاملات.
الامتثال لمتطلبات نظام السوق المالية؛ الوفاء بالتزامات التقارير لدى هيئة السوق المالية؛ الامتثال لقوانين مكافحة غسل الأموال وتمويل الإرهاب؛ الرد على الاستفسارات التنظيمية؛ والحفاظ على السجلات المطلوبة.
كشف ومنع الأنشطة الاحتيالية؛ تحديد الدخول غير المصرح به للحسابات؛ مراقبة المعاملات المشبوهة؛ والتحقيق في الحوادث الأمنية.
الرد على استفسارات العملاء؛ تقديم بيانات الحساب وتقارير الأداء؛ إرسال الإشعارات الهامة؛ تقديم تحديثات الخدمة؛ ومعالجة الشكاوى أو النزاعات.
تحليل أنماط استخدام المنصة؛ تحديد تفضيلات المستخدمين؛ تطوير ميزات جديدة؛ تحسين أداء التطبيق المحمول؛ وتعزيز تجربة المستخدم.
إجراء تحليلات إحصائية مجهولة المصدر؛ إعداد تقارير مجمعة؛ إجراء أبحاث السوق؛ وإعداد مؤشرات الأداء مع إزالة المعرفات الشخصية.
الامتثال لأوامر المحاكم أو التوجيهات القانونية؛ الرد على التحقيقات الحكومية؛ الامتثال لمتطلبات الإفصاح؛ والوفاء بالالتزامات القانونية بموجب القوانين المعمول بها.
بموجب النظام، تعالج الشركة البيانات الشخصية على أساس واحد أو أكثر مما يلي:
6.1 الموافقة: المعالجة التي تتم بموافقة صريحة ومستنيرة وحرة من صاحب البيانات، والتي يمكن سحبها في أي وقت، ما لم تكن المعالجة مطلوبة بموجب القانون.
6.2 الضرورة التعاقدية: المعالجة اللازمة لأداء عقد يكون صاحب البيانات طرفًا فيه، بما في ذلك اتفاقيات فتح الحساب، اتفاقيات تقديم الخدمة، وشروط العمل.
6.3 الالتزام القانوني: المعالجة المطلوبة للامتثال للالتزامات القانونية المفروضة بموجب نظام حماية البيانات الشخصية، نظام السوق المالية، قانون مكافحة غسل الأموال، قانون مكافحة جرائم وتمويل الإرهاب، لوائح هيئة السوق المالية، والقوانين الأخرى المعمول بها.
6.4 المصلحة المشروعة: المعالجة التي تُجرى لمصالح مشروعة للشركة أو لأطراف ثالثة، بما في ذلك منع الاحتيال، أمن المنصة، تحسين الأعمال، وأبحاث السوق، شريطة ألا تتجاوز هذه المصالح حقوق ومصالح صاحب البيانات.
6.5 حماية المصالح الحيوية: المعالجة اللازمة لحماية المصالح الحيوية لصاحب البيانات أو شخص آخر، مثل الحالات الطارئة التي تتطلب الكشف الفوري عن البيانات الشخصية.
6.6 المصلحة العامة: المعالجة التي تُجرى في سبيل أداء مهام ذات مصلحة عامة أو في ممارسة السلطة الرسمية، بما في ذلك الامتثال التنظيمي والسلامة العامة.
7.1 الجهات التنظيمية والحكومية: يجوز للشركة الإفصاح عن البيانات الشخصية للجهات التنظيمية بما في ذلك هيئة السوق المالية، وحدة التحريات المالية، وغيرها من الجهات الحكومية المختصة حسب ما يقتضيه القانون أو اللوائح أو الطلبات التنظيمية المحددة.
7.2 البنوك الحافظة ومنصات الصناديق: قد تُشارك البيانات الشخصية اللازمة لتشغيل الحسابات، تنفيذ المعاملات، وخدمات الحفظ مع البنك الحافظ للشركة ومنصات الصناديق المرخصة التي تعمل تحت إشراف هيئة السوق المالية.
7.3 مزودو خدمات التحقق والمراجع: قد تُفصح البيانات الشخصية لمزودي خدمات التحقق المرخصين (بما في ذلك نفاذ)، وكالات الائتمان، مزودي فحص الخلفيات، وقواعد بيانات فحص العقوبات لأغراض الامتثال لـ "اعرف عميلك"، مكافحة غسل الأموال، وتمويل الإرهاب.
7.4 المدققون والمستشارون القانونيون: قد يحصل مدققو الشركة الخارجيون، المستشارون القانونيون، ومستشارو الامتثال على الوصول إلى البيانات الشخصية حسب الحاجة للوفاء بالتزاماتهم المهنية، مع الالتزام باتفاقيات السرية.
7.5 مزودو خدمات التكنولوجيا: قد يصل مزودو خدمات التكنولوجيا من أطراف ثالثة، بما في ذلك مزودو البنية التحتية السحابية (Google Cloud)، بائعي البرمجيات، ومزودي الاتصالات، إلى البيانات الشخصية بموجب اتفاقيات معالجة بيانات صارمة تفرض التزامات شاملة بالسرية والأمن.
7.6 أوامر المحاكم والمتطلبات القانونية: قد تفصح الشركة عن البيانات الشخصية استجابة لأوامر المحاكم، الإجراءات القانونية، الاستدعاءات، الطلبات الحكومية، أو المتطلبات القانونية الأخرى، مع إخطار صاحب البيانات ما لم يمنع القانون ذلك.
7.7 مكافحة غسل الأموال وتمويل الإرهاب: قد تُفصح البيانات الشخصية للسلطات المختصة وقواعد البيانات الدولية للامتثال لالتزامات مكافحة غسل الأموال وتمويل الإرهاب، بما في ذلك الإبلاغ عن الأنشطة المشبوهة ومطابقة قوائم العقوبات.
7.8 بموافقة العميل: قد تُشارك البيانات الشخصية مع أطراف ثالثة أخرى بناءً على موافقة صريحة من صاحب البيانات.
7.9 قيود حماية البيانات: تحظر الشركة بيع البيانات الشخصية لأطراف ثالثة لأغراض تجارية. لا تُشارك البيانات الشخصية لأغراض تسويقية دون موافقة صريحة. تتم جميع عمليات المشاركة وفقًا لنظام حماية البيانات الشخصية السعودي واللوائح المعمول بها.
تحتفظ الشركة بالبيانات الشخصية للفترات التي تحددها الالتزامات القانونية، الضرورات التشغيلية، والمتطلبات التنظيمية:
8.1 حسابات العملاء النشطة: تُحتفظ البيانات الشخصية للعملاء النشطين طوال مدة العلاقة وتُحفظ بصيغة يمكن الوصول إليها لتقديم الخدمات المستمرة.
8.2 بعد إغلاق الحساب: بعد إغلاق الحساب، تُحتفظ البيانات الشخصية لمدة لا تقل عن عشر (10) سنوات كما هو مطلوب في المادة 10 من لائحة مؤسسات السوق المالية، لتسهيل حل النزاعات، الاستفسارات التنظيمية، والتحقق من الامتثال.
8.3 سجلات المعاملات والاتصالات: تُحتفظ سجلات المعاملات، البيانات، التأكيدات، وسجلات الاتصالات لمدة لا تقل عن عشر (10) سنوات وفقًا للوائح هيئة السوق المالية وقانون مكافحة غسل الأموال.
8.4 وثائق "اعرف عميلك" والامتثال: تُحفظ نماذج "اعرف عميلك"، وثائق التحقق من الهوية، سجلات الامتثال، ووثائق مكافحة غسل الأموال وتمويل الإرهاب لمدة عشر (10) سنوات أو أكثر إذا طلبت الجهات التنظيمية ذلك.
8.5 سجلات التسويق والموافقة: تُحتفظ سجلات الموافقة على التسويق طوال مدة الموافقة ولمدة سبع (7) سنوات بعدها لإثبات الامتثال لمتطلبات الموافقة.
8.6 البيانات المجهولة المصدر: قد تُحتفظ البيانات المجهولة المصدر بشكل صحيح والتي لا يمكن من خلالها تحديد الأفراد إلى أجل غير مسمى لأغراض التحليل الإحصائي، البحث، واستخبارات الأعمال.
8.7 الحذف المبكر: يجوز للشركة حذف البيانات الشخصية قبل انتهاء فترات الاحتفاظ المحددة إذا لم تعد ضرورية للغرض الأصلي ولم تكن هناك متطلبات قانونية أو تنظيمية للاحتفاظ بها، مع مراعاة حق صاحب البيانات في طلب الحذف.
9.1 موقع التخزين: تُخزن البيانات الشخصية بشكل رئيسي على بنية Google Cloud التحتية في مراكز البيانات الواقعة في الرياض والدمام، مما يضمن الامتثال لمتطلبات إقامة البيانات السعودية وتقليل نقل البيانات عبر الحدود.
9.2 التشفير: تُشفر البيانات الشخصية باستخدام بروتوكولات تشفير معيارية (AES-256 أو ما يعادلها) أثناء التخزين والنقل. تتم جميع عمليات نقل البيانات عبر اتصالات HTTPS/TLS آمنة.
9.3 المصادقة وضوابط الوصول: تنفذ الأنظمة مصادقة متعددة العوامل للوصول إلى البيانات الحساسة. يقتصر الوصول إلى البيانات الشخصية على الموظفين حسب الدور الوظيفي (RBAC). تُسجل جميع عمليات الوصول وتُراقب.
9.4 التدقيق الأمني والاختبار: تُجري الشركة عمليات تدقيق أمني دورية، وتقييمات للثغرات، واختبارات اختراق لتحديد الثغرات الأمنية ومعالجتها. تُجرى تقييمات أمنية من طرف ثالث سنويًا.
9.5 سرية الموظفين: يلتزم جميع الموظفين والمقاولين ومزودي الخدمات باتفاقيات السرية وتعهدات حماية البيانات. يقتصر الوصول إلى البيانات الشخصية على الأفراد ذوي الحاجة العملية المشروعة.
9.6 الأمن المادي: يُقيد الوصول المادي إلى المنشآت التي تحتوي على البيانات الشخصية للأفراد المخولين فقط. تحافظ مراكز البيانات على إجراءات أمن مادي تشمل المراقبة، ضوابط الدخول، والحماية البيئية.
9.7 المراقبة المستمرة: تُراقب الأنظمة بشكل مستمر للكشف عن الدخول غير المصرح به، الأنشطة المشبوهة، والتهديدات الأمنية المحتملة. تحلل أنظمة الكشف المتقدمة حركة الشبكة وأنماط سلوك المستخدم.
9.8 الاستجابة للحوادث: تحتفظ الشركة بإجراءات موثقة للاستجابة للحوادث لمعالجة خروقات البيانات، الدخول غير المصرح به، أو الحوادث الأمنية، وتشمل التحقيق، التخفيف، الإخطار، والإصلاح.
بموجب نظام حماية البيانات الشخصية السعودي، يتمتع الأفراد بالحقوق التالية فيما يتعلق ببياناتهم الشخصية:
10.1 حق الوصول: يحق لصاحب البيانات الحصول على تأكيد ما إذا كانت بياناته الشخصية تُعالج والحصول على نسخة منها بصيغة منظمة ومستخدمة على نطاق واسع وقابلة للقراءة آليًا.
10.2 حق التصحيح: حق لصاحب البيانات الشخصية طلب تصحيح بياناته الشخصية إذا كانت غير دقيقة أو غير مكتملة، وتلتزم الشركة بإجراء التصحيح خلال مدة لا تتجاوز ثلاثين (30) يومًا من تاريخ تقديم الطلب، ولها تمديد هذه المدة بما لا يزيد على ثلاثين (30) يومًا إضافية إذا تطلب تنفيذ الطلب جهدًا إضافيًا غير معتاد أو في حال تلقي طلبات متعددة من صاحب البيانات الشخصية، وذلك بشرط إشعار صاحب البيانات الشخصية مسبقًا بالتمديد ومبرراته.
10.3 حق الحذف (الحق في النسيان): يحق لصاحب البيانات طلب حذف بياناته الشخصية، مع مراعاة الاستثناءات مثل متطلبات الاحتفاظ القانونية، الالتزامات التعاقدية الجارية، والمتطلبات التنظيمية. ترد الشركة على طلب الحذف خلال مدة لا تتجاوز ثلاثين (30) يومًا من تاريخ تقديم الطلب، ولها تمديد هذه المدة بما لا يزيد على ثلاثين (30) يومًا إضافية إذا تطلب تنفيذ الطلب جهدًا إضافيًا غير معتاد أو في حال تلقي طلبات متعددة من صاحب البيانات الشخصية، وذلك بشرط إشعار صاحب البيانات الشخصية مسبقًا بالتمديد ومبرراته.
10.4 حق تقييد المعالجة: يحق لصاحب البيانات طلب تقييد المعالجة في ظروف معينة، مثل النزاع على دقة البيانات أو المعالجة غير القانونية مع عدم الرغبة في الحذف.
10.5 حق نقل البيانات: يحق لصاحب البيانات استلام بياناته الشخصية بصيغة منظمة ومستخدمة على نطاق واسع وقابلة للقراءة آليًا، ونقلها إلى متحكم بيانات آخر دون عوائق.
10.6 حق سحب الموافقة: يحق لصاحب البيانات سحب الموافقة على المعالجة في أي وقت، دون التأثير على قانونية المعالجة التي تمت قبل السحب.
10.7 حق الاعتراض: يحق لصاحب البيانات الاعتراض على المعالجة بناءً على المصالح المشروعة أو لأغراض التسويق المباشر، وتوقف الشركة المعالجة ما لم تثبت وجود أسباب مشروعة قوية.
10.8 حق عدم الخضوع للقرارات الآلية: يحق لصاحب البيانات عدم الخضوع لقرارات تعتمد فقط على المعالجة الآلية التي تنتج آثارًا قانونية أو تأثيرات مماثلة.
10.9 كيفية ممارسة الحقوق: يمكن لصاحب البيانات ممارسة حقوقه بتقديم طلب كتابي إلى مسؤول حماية البيانات أو إدارة الامتثال بالشركة، متضمنًا الاسم الكامل وتفاصيل الحساب، وصفًا واضحًا للحق المطلوب، المستندات الداعمة إن وجدت، والتوقيع أو التفويض الإلكتروني.
10.10 حق تقديم شكوى: يحق لصاحب البيانات تقديم شكوى إلى الجهة التنظيمية المختصة بشأن ممارسات معالجة البيانات لدى الشركة. تتوفر معلومات الاتصال بالجهات التنظيمية في المادة 17 من هذه السياسة.
11.1 أنواع الكوكيز:
• الكوكيز الأساسية: ضرورية لوظائف المنصة الأساسية، أمان الحساب، ومعالجة المعاملات، ولا يمكن تعطيلها دون التأثير على الوصول إلى المنصة.
• الكوكيز الوظيفية: تحسن تجربة المستخدم من خلال حفظ التفضيلات، إعدادات اللغة، والتخصيصات.
• كوكيز التحليل: تمكن الشركة من تحليل استخدام المنصة، سلوك المستخدم، ومقاييس الأداء لتحسين الخدمات.
11.2 موافقة الكوكيز: تطلب الشركة موافقة صريحة قبل وضع الكوكيز غير الأساسية على أجهزة المستخدمين. يمكن للمستخدمين قبول أو رفض هذه الكوكيز عند الدخول الأول للمنصة أو عبر إعدادات الحساب.
11.3 إدارة تفضيلات الكوكيز: يمكن للمستخدمين تعديل تفضيلات الكوكيز في أي وقت عبر إعدادات المنصة أو إعدادات المتصفح، مع ملاحظة أن بعض القيود على مستوى المتصفح قد تحد من بعض ميزات المنصة.
11.4 كوكيز الطرف الثالث: لا تضع الشركة كوكيز من طرف ثالث من معلنين خارجيين أو مزودي تحليلات. مزودو الخدمات من الأطراف الثالثة المتعاملون مع الشركة ملزمون تعاقديًا باحترام خصوصية المستخدمين.
11.5 علامات البكسل وإشارات الويب: قد تستخدم الشركة علامات بكسل وتقنيات تتبع مماثلة لقياس فعالية المنصة وتفاعل المستخدمين، وتجمع هذه التقنيات نفس معلومات الكوكيز.
12.1 قيود العمر: لا تستهدف خدمات الشركة الأفراد الذين تقل أعمارهم عن ثمانية عشر (18) سنة هجرية. ولا تجمع الشركة بيانات شخصية من القصر دون موافقة ولي الأمر القانونية المناسبة.
12.2 موافقة الوصي على القصر: إذا تم فتح حسابات للقصر (يتطلب موافقة صريحة من هيئة السوق المالية)، يجب الحصول على موافقة ولي الأمر أو الوصي القانوني وتوثيقها، ويتحمل الوصي مسؤولية الحساب.
12.3 الحمايات الخاصة: عند فتح حسابات للقصر، تطبق الشركة ضوابط إضافية تشمل تعزيز الرقابة الأبوية، قيود الاستثمار، والمواد التثقيفية.
13.1 التخزين الأساسي للبيانات: تُخزن البيانات الشخصية بشكل رئيسي في المملكة العربية السعودية على بنية Google Cloud في مراكز البيانات بالرياض والدمام، بما يتوافق مع متطلبات توطين البيانات.
13.2 النقل عبر الحدود: تُجرى عمليات نقل البيانات الشخصية عبر الحدود فقط عند الضرورة القانونية وبضمانات مناسبة حسب نظام حماية البيانات الشخصية السعودي، مع إخطار أو موافقة الجهات التنظيمية عند الاقتضاء.
13.3 الحماية الكافية: عند حدوث نقل عبر الحدود، تضمن الشركة وجود حماية قانونية كافية من خلال اتفاقيات معالجة البيانات، الضمانات التعاقدية، والامتثال لمتطلبات المادة التاسعة والعشرين (29) من النظام ولائحة نقل البيانات الشخصية إلى خارج المملكة الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي.
14.1 إخلاء المسؤولية: قد يحتوي تطبيق الشركة المحمول على روابط لمواقع إلكترونية وتطبيقات وخدمات طرف ثالث. تنطبق سياسة الخصوصية هذه فقط على منصة الشركة ولا تحكم ممارسات الخصوصية لدى الأطراف الثالثة.
14.2 مسؤولية الطرف الثالث: لا تتحمل الشركة مسؤولية ممارسات الخصوصية، طرق جمع البيانات، أو تدابير الأمان لدى مواقع وخدمات الطرف الثالث. يجب على المستخدمين مراجعة سياسات الخصوصية الخاصة بالأطراف الثالثة بشكل مستقل.
14.3 خدمات الشركاء الخارجيين: عند مشاركة البيانات مع مزودي خدمات الطرف الثالث (كما هو موضح في المادة 7)، يكون هؤلاء المزودون ملزمين تعاقديًا بالامتثال لمتطلبات حماية البيانات المعادلة لتلك المفروضة على الشركة.
15.1 تعريف خرق البيانات: يشكل خرق البيانات الوصول غير المصرح به، الإفصاح، الفقدان، أو التدمير للبيانات الشخصية مما يهدد سرية أو سلامة أو توفر المعلومات الشخصية.
15.2 التحقيق في الخرق: عند اكتشاف خرق بيانات، تبدأ الشركة فورًا تحقيقًا لتحديد طبيعة ومدى وتأثير الخرق، بما في ذلك تحديد الأفراد المتأثرين وتقييم مدى تعرض البيانات.
15.3 إخطار الجهات التنظيمية: تخطر الشركة هيئة السوق المالية والجهات التنظيمية ذات الصلة بخرق البيانات ضمن الأطر الزمنية المطلوبة (عادة خلال 72 ساعة أو حسب اللوائح المعمول بها)، مع تقديم تفاصيل الخرق والإجراءات التصحيحية.
15.4 إخطار الأفراد المتأثرين: إذا شكل الخرق خطرًا عاليًا على الأفراد المتأثرين، تقدم الشركة إخطارًا سريعًا عبر البريد الإلكتروني، الرسائل النصية، أو إشعارات المنصة، متضمنًا تفاصيل الخرق والاحتياطات الواجب اتخاذها.
15.5 الإجراءات التصحيحية والوقائية: بعد الخرق، تنفذ الشركة إجراءات تصحيحية تشمل تأمين الأنظمة المتأثرة، تعزيز ضوابط الأمان، وتنفيذ تحسينات في العمليات لمنع حدوث خروقات مستقبلية.
16.1 تحديثات السياسة: تحتفظ الشركة بحق تحديث سياسة الخصوصية هذه لتعكس التغيرات في ممارسات معالجة البيانات، المتطلبات التنظيمية، أو الظروف التشغيلية. سيتم إعلام العملاء بالتغييرات الجوهرية.
16.2 طرق الإخطار: تُبلغ تحديثات السياسة عبر البريد الإلكتروني، إعلانات المنصة، أو إشعارات الحساب. تتطلب التغييرات الجوهرية إشعارًا مسبقًا لا يقل عن ثلاثين (30) يومًا.
16.3 الاستمرار في الاستخدام كقبول: يشكل استمرار استخدام خدمات الشركة بعد الإخطار بالتغييرات قبولًا للسياسة المحدثة. يمكن للعملاء طلب إغلاق الحساب إذا لم يقبلوا الشروط المعدلة.
للاستفسارات المتعلقة بسياسة الخصوصية هذه، أو لممارسة حقوق صاحب البيانات، أو لمعالجة مخاوف حماية البيانات، يرجى التواصل مع:
شركة ميزا كابيتال، فرع الثمامة 6442، حي الصحافة 3339، الرياض 13315، المملكة العربية السعودية
إدارة الامتثال - البريد الإلكتروني: compliance@mizacapital.sa - الهاتف: 0112690222
للتظلمات أو الاستفسارات المتعلقة بممارسات حماية البيانات لدى الشركة، يرجى التواصل مع:
هيئة السوق المالية (CMA)، الرياض، المملكة العربية السعودية، الموقع الإلكتروني: www.cma.org.sa
منصة حوكمة البيانات الوطنية الرياض، المملكة العربية السعودية، الموقع الإلكتروني: https://dgp.sdaia.gov.sa/wps/portal/pdp/home
18.1 القانون الواجب التطبيق: تخضع سياسة الخصوصية هذه وتُفسر وفقًا لقوانين المملكة العربية السعودية، بما في ذلك: النظام؛ نظام السوق المالية، المرسوم الملكي رقم م/30؛ لوائح مؤسسات السوق المالية الصادرة عن هيئة السوق المالية؛ قانون مكافحة غسل الأموال واللوائح التنفيذية؛ وقانون مكافحة جرائم وتمويل الإرهاب.
18.2 اللغة: قد تُترجم سياسة الخصوصية هذه إلى الإنجليزية أو لغات أخرى للراحة فقط، وتعتبر النسخة العربية هي الوثيقة الرسمية والملزمة قانونًا. في حال وجود أي تعارض بين الترجمات، تسود النصوص العربية.
18.3 الاختصاص القضائي وتسوية النزاعات: تخضع أي نزاعات ناشئة عن سياسة الخصوصية هذه للاختصاص القضائي الحصري للمحاكم أو اللجان المختصة في الرياض، المملكة العربية السعودية.
تاريخ السريان: 01 ابريل 2026
آخر تحديث: 01 ابريل 2026
تمثل سياسة الخصوصية هذه التزام شركة ميزا كابيتال بحماية بياناتكم الشخصية وضمان الامتثال لجميع اللوائح السعودية المعمول بها في مجال حماية البيانات والسوق المالية. للحصول على النسخة الأحدث من هذه السياسة، يرجى زيارة البوابة الرسمية للشركة أو التواصل مع إدارة الامتثال.