Back to Home

Privacy Policy

Last updated: January 1, 2024 • Effective: January 1, 2024

Welcome to Fattorty ("we," "our," or "us"). This Privacy Policy explains how we collect, use, disclose, and safeguard your personal information when you use our ZATCA-compliant invoicing platform, mobile applications, and website (collectively, the "Service"). We are committed to complying with the Saudi Arabian Personal Data Protection Law (PDPL) and international data protection best practices.

By using the Service, you agree to the collection and use of information in accordance with this policy. If you disagree with any part of this policy, please do not use the Service.

1. Information We Collect

1.1 Account Information

When you register for Fattorty, we collect:

  • Full name and business name
  • Email address and phone number
  • National ID or Iqama number (for identity verification)
  • Commercial Registration (CR) number
  • VAT registration number
  • Business address
  • Password (stored in hashed form — never in plain text)

1.2 Invoice and Business Data

To provide the Service, we process:

  • Invoice data including amounts, line items, taxes, and QR codes
  • Customer and buyer information you enter
  • Product and service catalog entries
  • Financial transaction records

1.3 Technical and Usage Data

We automatically collect certain technical information when you use the Service:

  • IP address and approximate geographic location
  • Device type, operating system, and browser information
  • Pages visited, features used, and time spent on the platform
  • Error logs and crash reports
  • Session tokens and authentication data

1.4 Payment Information

Payment card details are processed by our certified payment processors (PCI-DSS compliant). We do not store full card numbers on our servers. We store only the last four digits, card type, and billing address for reference.

2. How We Use Your Information

We use the information we collect for the following purposes:

2.1 Service Delivery

  • Creating and managing your account
  • Generating and processing ZATCA-compliant e-invoices
  • Integrating with the ZATCA portal for clearance and reporting
  • Providing customer support and responding to inquiries
  • Processing payments and managing subscriptions

2.2 Service Improvement

  • Analyzing usage patterns to improve features and user experience
  • Diagnosing technical problems and fixing bugs
  • Conducting research and development for new features

2.3 Communications

  • Sending transactional emails (receipts, invoices, confirmations)
  • Notifying you about important service updates or security alerts
  • Sending promotional communications (with your consent and opt-out option)

2.4 Legal and Compliance

  • Complying with ZATCA e-invoicing regulations
  • Meeting Saudi PDPL obligations
  • Responding to legal requests from authorized authorities
  • Preventing fraud and unauthorized access

3. Legal Basis for Processing (PDPL Compliance)

Under the Saudi Personal Data Protection Law (PDPL), we process your personal data under the following legal bases:

  • Contractual necessity: Processing required to deliver the Service you signed up for
  • Legal obligation: Processing required by ZATCA e-invoicing regulations and other applicable laws
  • Legitimate interests: Security monitoring, fraud prevention, and service improvement
  • Consent: Marketing communications and optional data processing activities (you may withdraw consent at any time)

4. Data Sharing and Third Parties

4.1 ZATCA Portal

As required by Saudi e-invoicing regulations, invoice data (including seller and buyer information, amounts, and tax details) is shared with the ZATCA portal for compliance purposes. This sharing is mandated by law.

4.2 Service Providers

We share data with trusted third-party service providers who assist in operating the Service:

  • Cloud infrastructure providers (hosted in Saudi Arabia or GCC regions)
  • Payment processors (PCI-DSS certified)
  • Email and SMS delivery services
  • Analytics and monitoring tools

All service providers are contractually bound to protect your data and may not use it for their own purposes.

4.3 We Do Not Sell Your Data

We do not sell, rent, or trade your personal information to third parties for their marketing purposes under any circumstances.

4.4 Business Transfers

In the event of a merger, acquisition, or sale of assets, your data may be transferred. We will notify you before your personal data is transferred and becomes subject to a different privacy policy.

5. Data Storage and Security

5.1 Storage Location

Your data is stored on servers located in the Kingdom of Saudi Arabia or the Gulf Cooperation Council (GCC) region. Data is not transferred outside the GCC without appropriate safeguards as required by PDPL.

5.2 Security Measures

We implement industry-standard security measures including:

  • AES-256 encryption for data at rest
  • TLS 1.3 encryption for data in transit
  • Multi-factor authentication (MFA) options
  • Regular security audits and penetration testing
  • Access controls and role-based permissions
  • Intrusion detection and monitoring systems

5.3 Data Retention

We retain your personal data for as long as your account is active or as necessary to provide the Service. Invoice data is retained for a minimum of 7 years as required by Saudi tax regulations. You may request deletion of your account data subject to legal retention requirements.

6. Your Rights Under PDPL

As a data subject under the Saudi PDPL, you have the following rights:

  • Right of Access: Request a copy of the personal data we hold about you
  • Right of Correction: Request correction of inaccurate or incomplete data
  • Right of Erasure: Request deletion of your data (subject to legal retention obligations)
  • Right to Restrict Processing: Request that we limit how we use your data in certain circumstances
  • Right to Data Portability: Receive your data in a structured, machine-readable format
  • Right to Withdraw Consent: Withdraw consent for consent-based processing at any time
  • Right to Object: Object to processing based on legitimate interests

To exercise any of these rights, please contact us at [email protected]. We will respond within 30 days as required by PDPL.

7. Cookies and Tracking Technologies

We use cookies and similar tracking technologies to enhance your experience:

  • Essential cookies: Required for authentication and core functionality
  • Preference cookies: Remember your language and display settings
  • Analytics cookies: Help us understand how the Service is used (with your consent)

You can control cookies through your browser settings. Disabling essential cookies may affect Service functionality.

8. Children's Privacy

The Service is not directed to individuals under 18 years of age. We do not knowingly collect personal information from minors. If you believe a minor has provided us with personal information, please contact us and we will promptly delete it.

9. Changes to This Privacy Policy

We may update this Privacy Policy periodically. We will notify you of material changes by:

  • Posting the new policy on this page with an updated date
  • Sending an email notification to your registered email address
  • Displaying an in-app notification

Your continued use of the Service after changes become effective constitutes your acceptance of the revised policy.

10. Contact Us

For privacy-related questions, requests, or concerns, please contact our Data Protection Officer:

  • Email: [email protected]
  • Address: Fattorty, Kingdom of Saudi Arabia
  • Response time: Within 30 days

You also have the right to lodge a complaint with the Saudi Data & AI Authority (SDAIA) if you believe your data protection rights have been violated.

سياسة الخصوصية

آخر تحديث: 1 يناير 2024 • تاريخ السريان: 1 يناير 2024

مرحباً بك في فاتورتي ("نحن" أو "لنا"). توضح سياسة الخصوصية هذه كيفية جمعنا واستخدامنا والإفصاح عن معلوماتك الشخصية وحمايتها عند استخدامك لمنصة الفوترة المتوافقة مع هيئة الزكاة والضريبة والجمارك، والتطبيقات على الأجهزة المحمولة، والموقع الإلكتروني (يُشار إليها مجتمعةً بـ "الخدمة"). نلتزم بالامتثال لـنظام حماية البيانات الشخصية في المملكة العربية السعودية وأفضل الممارسات الدولية لحماية البيانات.

باستخدامك للخدمة، فإنك توافق على جمع المعلومات واستخدامها وفقاً لهذه السياسة. إذا كنت لا توافق على أي جزء من هذه السياسة، يُرجى عدم استخدام الخدمة.

1. المعلومات التي نجمعها

1.1 معلومات الحساب

عند تسجيلك في فاتورتي، نقوم بجمع:

  • الاسم الكامل واسم النشاط التجاري
  • البريد الإلكتروني ورقم الجوال
  • رقم الهوية الوطنية أو الإقامة (للتحقق من الهوية)
  • رقم السجل التجاري
  • الرقم الضريبي (ضريبة القيمة المضافة)
  • عنوان النشاط التجاري
  • كلمة المرور (تُخزَّن مشفّرة بصيغة hash — ولا تُخزَّن بصيغة نصية أبداً)

1.2 بيانات الفواتير والأعمال

لتقديم الخدمة، نقوم بمعالجة:

  • بيانات الفواتير بما في ذلك المبالغ والبنود والضرائب ورموز QR
  • معلومات العملاء والمشترين التي تدخلها
  • بيانات كتالوج المنتجات والخدمات
  • سجلات المعاملات المالية

1.3 البيانات التقنية وبيانات الاستخدام

نجمع تلقائياً معلومات تقنية عند استخدامك للخدمة:

  • عنوان IP والموقع الجغرافي التقريبي
  • نوع الجهاز ونظام التشغيل ومعلومات المتصفح
  • الصفحات المُزارة والميزات المستخدمة والوقت الذي تقضيه على المنصة
  • سجلات الأخطاء وتقارير الأعطال
  • رموز الجلسة وبيانات المصادقة

1.4 معلومات الدفع

تتم معالجة بيانات بطاقات الدفع من خلال معالجي الدفع المعتمدين لدينا (المتوافقين مع معيار PCI-DSS). لا نقوم بتخزين أرقام البطاقات الكاملة على خوادمنا. نخزّن فقط آخر أربعة أرقام ونوع البطاقة وعنوان الفوترة كمرجع.

2. كيف نستخدم معلوماتك

نستخدم المعلومات التي نجمعها للأغراض التالية:

2.1 تقديم الخدمة

  • إنشاء حسابك وإدارته
  • إصدار ومعالجة الفواتير الإلكترونية المتوافقة مع هيئة الزكاة والضريبة والجمارك
  • التكامل مع بوابة الهيئة لأغراض التخليص والإبلاغ
  • تقديم الدعم للعملاء والرد على الاستفسارات
  • معالجة المدفوعات وإدارة الاشتراكات

2.2 تحسين الخدمة

  • تحليل أنماط الاستخدام لتحسين الميزات وتجربة المستخدم
  • تشخيص المشكلات التقنية وإصلاح الأخطاء
  • إجراء البحث والتطوير لميزات جديدة

2.3 الاتصالات

  • إرسال رسائل المعاملات (الإيصالات والفواتير والتأكيدات)
  • إخطارك بالتحديثات الهامة للخدمة أو التنبيهات الأمنية
  • إرسال الرسائل التسويقية (بموافقتك مع إمكانية إلغاء الاشتراك)

2.4 الالتزام القانوني والتنظيمي

  • الامتثال لأنظمة الفوترة الإلكترونية الصادرة عن هيئة الزكاة والضريبة والجمارك
  • الالتزام بنظام حماية البيانات الشخصية السعودي
  • الاستجابة للطلبات القانونية من الجهات المختصة
  • منع الاحتيال والوصول غير المصرّح به

3. الأساس القانوني للمعالجة (الامتثال لنظام حماية البيانات الشخصية)

بموجب نظام حماية البيانات الشخصية في المملكة العربية السعودية، نقوم بمعالجة بياناتك الشخصية استناداً إلى الأسس القانونية التالية:

  • الضرورة التعاقدية: المعالجة اللازمة لتقديم الخدمة التي اشتركت فيها
  • الالتزام القانوني: المعالجة المطلوبة بموجب أنظمة الفوترة الإلكترونية والقوانين السارية الأخرى
  • المصالح المشروعة: المراقبة الأمنية ومنع الاحتيال وتحسين الخدمة
  • الموافقة: الرسائل التسويقية وأنشطة المعالجة الاختيارية (يمكنك سحب الموافقة في أي وقت)

4. مشاركة البيانات والأطراف الثالثة

4.1 بوابة هيئة الزكاة والضريبة والجمارك

وفقاً لما تستوجبه أنظمة الفوترة الإلكترونية في المملكة العربية السعودية، تتم مشاركة بيانات الفواتير (بما في ذلك معلومات البائع والمشتري والمبالغ والتفاصيل الضريبية) مع بوابة هيئة الزكاة والضريبة والجمارك لأغراض الامتثال. هذه المشاركة إلزامية بموجب النظام.

4.2 مزوّدو الخدمة

نشارك البيانات مع مزوّدي خدمات موثوقين من الأطراف الثالثة الذين يساعدون في تشغيل الخدمة:

  • مزوّدو البنية التحتية السحابية (مستضافون في المملكة العربية السعودية أو منطقة دول مجلس التعاون الخليجي)
  • معالجو الدفع (المعتمدون من PCI-DSS)
  • خدمات إرسال البريد الإلكتروني والرسائل النصية
  • أدوات التحليل والمراقبة

جميع مزوّدي الخدمات ملتزمون تعاقدياً بحماية بياناتك ولا يجوز لهم استخدامها لأغراضهم الخاصة.

4.3 لا نبيع بياناتك

لا نبيع أو نؤجّر أو نتاجر بمعلوماتك الشخصية لأطراف ثالثة لأغراضهم التسويقية تحت أي ظرف من الظروف.

4.4 عمليات نقل الأعمال

في حال الاندماج أو الاستحواذ أو بيع الأصول، قد يتم نقل بياناتك. سنخطرك قبل نقل بياناتك الشخصية وخضوعها لسياسة خصوصية مختلفة.

5. تخزين البيانات وأمنها

5.1 موقع التخزين

تُخزَّن بياناتك على خوادم تقع داخل المملكة العربية السعودية أو منطقة دول مجلس التعاون الخليجي. لا يتم نقل البيانات خارج دول الخليج دون توفير الضمانات المناسبة وفقاً لنظام حماية البيانات الشخصية.

5.2 الإجراءات الأمنية

نطبّق إجراءات أمنية وفقاً لمعايير الصناعة، تشمل:

  • تشفير AES-256 للبيانات أثناء التخزين
  • تشفير TLS 1.3 للبيانات أثناء النقل
  • خيارات المصادقة متعددة العوامل (MFA)
  • عمليات تدقيق أمني واختبار اختراق دورية
  • ضوابط الوصول والصلاحيات المبنية على الأدوار
  • أنظمة كشف ومراقبة الاختراق

5.3 الاحتفاظ بالبيانات

نحتفظ ببياناتك الشخصية طالما كان حسابك نشطاً أو حسب الحاجة لتقديم الخدمة. يتم الاحتفاظ ببيانات الفواتير لمدة لا تقل عن 7 سنوات وفقاً لما تستوجبه الأنظمة الضريبية في المملكة. يحق لك طلب حذف بيانات حسابك بما يتوافق مع متطلبات الاحتفاظ القانونية.

6. حقوقك بموجب نظام حماية البيانات الشخصية

بصفتك صاحب البيانات بموجب نظام حماية البيانات الشخصية السعودي، تتمتع بالحقوق التالية:

  • حق الوصول: طلب نسخة من البيانات الشخصية التي نحتفظ بها عنك
  • حق التصحيح: طلب تصحيح البيانات غير الدقيقة أو غير المكتملة
  • حق الإتلاف: طلب حذف بياناتك (مع مراعاة التزامات الاحتفاظ القانونية)
  • حق تقييد المعالجة: طلب الحدّ من كيفية استخدامنا لبياناتك في حالات معيّنة
  • حق نقل البيانات: الحصول على بياناتك بصيغة منظمة وقابلة للقراءة آلياً
  • حق سحب الموافقة: سحب الموافقة على المعالجة المبنية على الموافقة في أي وقت
  • حق الاعتراض: الاعتراض على المعالجة المبنية على المصالح المشروعة

لممارسة أيٍّ من هذه الحقوق، يُرجى التواصل معنا على [email protected]. سنردّ خلال 30 يوماً وفقاً لما يستوجبه النظام.

7. ملفات تعريف الارتباط وتقنيات التتبع

نستخدم ملفات تعريف الارتباط وتقنيات التتبع المماثلة لتحسين تجربتك:

  • ملفات أساسية: ضرورية للمصادقة والوظائف الأساسية
  • ملفات التفضيلات: تتذكّر إعدادات اللغة والعرض الخاصة بك
  • ملفات التحليل: تساعدنا على فهم كيفية استخدام الخدمة (بموافقتك)

يمكنك التحكم بملفات تعريف الارتباط من إعدادات المتصفح. قد يؤدي تعطيل الملفات الأساسية إلى تأثّر وظائف الخدمة.

8. خصوصية الأطفال

الخدمة غير موجّهة للأشخاص دون سن 18 عاماً. لا نقوم عن علم بجمع معلومات شخصية من القاصرين. إذا كنت تعتقد أن قاصراً قد زوّدنا بمعلومات شخصية، يُرجى التواصل معنا وسنقوم بحذفها فوراً.

9. التعديلات على سياسة الخصوصية

قد نقوم بتحديث سياسة الخصوصية هذه من حين لآخر. سنُخطرك بالتغييرات الجوهرية من خلال:

  • نشر السياسة الجديدة على هذه الصفحة مع تحديث التاريخ
  • إرسال إشعار بالبريد الإلكتروني إلى عنوانك المسجَّل
  • عرض إشعار داخل التطبيق

يُعدّ استمرارك في استخدام الخدمة بعد سريان التغييرات قبولاً منك للسياسة المعدَّلة.

10. تواصل معنا

للاستفسارات أو الطلبات أو الملاحظات المتعلقة بالخصوصية، يُرجى التواصل مع مسؤول حماية البيانات لدينا:

  • البريد الإلكتروني: [email protected]
  • العنوان: فاتورتي، المملكة العربية السعودية
  • زمن الاستجابة: خلال 30 يوماً

كما يحق لك تقديم شكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) إذا كنت ترى أن حقوقك في حماية البيانات قد انتُهكت.