⚠ Internal drafting notes — remove this box before any public publication
- Cross-border processing is live today. The production backend currently runs on infrastructure located in Switzerland (Zürich), not Saudi Arabia. Planned production hosting is AWS Bahrain (
me-south-1) — also outside KSA. Neither location has a completed PDPL Art.29 transfer risk assessment. This notice states the fact plainly in Section 5 below; do not soften it. TODO: complete Art.29 assessment or migrate to an in-Kingdom region (e.g. Google Cloud Dammamme-central2) before this notice is shown to a real, onboarding Saudi driver. - Consent capture is not yet technically enforced. The
Consentdata model exists in the backend, but as of this draft there is no consent API endpoint and the iOS onboarding flow does not write a consent record — it only triggers the phone's system location/motion permission prompts, which are not PDPL consent. TODO: ship the consent endpoint + onboarding screen and gate trip/location upload on it before publishing this notice as authoritative. - Data export/portability is described in Section 7 but is not yet live.
GET /me/exportis planned; today only account access (GET /me) and anonymise-on-delete (DELETE /me) exist. TODO: ship the export endpoint before claiming portability is available, or amend the notice to say "on request" only. - Emergency-contact SMS consent is currently opt-out, not opt-in. The crash-alert feature is gated by a client-supplied
contacts_opt_outflag (defaultfalse— i.e. alerting is ON unless the user turns it off), not by a recorded, affirmative, explicit consent as PDPL Art.9 requires for sensitive data shared with a third party (the emergency contact). Section 8 below describes the intended explicit opt-in design; the running system does not yet match it. TODO: fix the gate to require an affirmativeCRASH_EMERGENCY_CONTACTSconsent record before this notice can honestly describe the feature as opt-in. - Retention periods in Section 6 are proposed, not finalized. See
docs/compliance/data-retention-schedule.md— the periods there (and summarized here) are drafted for sign-off and are explicitly marked pending per the retention cron's own code comments. - No DPO has been appointed. The contact block in Section 10 is a placeholder. TODO: appoint (internal or external) and insert real contact details before publication.
- SAMA telematics-pricing filing status: the insurer's discount-on-score pricing methodology has not yet been filed with SAMA. This notice describes the purpose of processing (premium scoring) but does not claim regulatory pricing approval exists.
إشعار خصوصية DriveScore
إشعار بموجب المادة 12 من نظام حماية البيانات الشخصية السعودي (نظام حماية البيانات الشخصية، المرسوم الملكي رقم م/19، المعدَّل بالمرسوم الملكي رقم م/37) — مسودة قيد المراجعة القانونية.
1من نحن: المتحكم والمعالج
عند استخدامك لتطبيق DriveScore ضمن برنامج تأمين مركبتك، هناك جهتان تتعاملان مع بياناتك بصفتين مختلفتين بموجب نظام حماية البيانات الشخصية:
- المتحكم بالبيانات (Controller): شركة التأمين الشريكة ("المؤمِّن") التي اشتركتَ معها في وثيقة التأمين. المؤمِّن هو من يحدد أغراض ووسائل معالجة بياناتك (مثل احتساب خصم القسط بناءً على سلوك القيادة).
- معالج البيانات (Processor): DriveScore، وهي المنصة التقنية التي تجمع بيانات القيادة وتعالجها وتحسب درجة السلامة نيابةً عن المؤمِّن وبموجب اتفاقية معالجة بيانات (DPA) معه.
2ما هي البيانات التي نجمعها
- بيانات الموقع الجغرافي (GPS): مسار الرحلة، ويُشفَّر على جهازك قبل إرساله، بحيث تصل نسخة مشفّرة فقط إلى خوادمنا.
- بيانات الحركة (تيليماتكس): قراءات مقياس التسارع والجيروسكوب بمعدل عالٍ (حتى 50 قراءة/ثانية) أثناء القيادة، تُستخدم لاحتساب درجة السلامة، وتُرفع إلى خوادم المؤمِّن.
- بيانات الحوادث: عند رصد تصادم محتمل، نسجّل توقيت الحدث وموقعه وطريقة تأكيده (تأكيد المستخدم أو انتهاء المهلة الزمنية تلقائيًا).
- بيانات الاتصال: رقم الجوال والبريد الإلكتروني، ويُخزَّنان مشفّرين، مع نسخة "بصمة" (Hash) غير قابلة لعكسها تُستخدم فقط للبحث عن الحساب عند تسجيل الدخول.
- درجات ونتائج الرحلات: الدرجة المحتسبة لكل رحلة والدرجة التراكمية المستخدمة في تسعير القسط.
- جهات الاتصال في حالات الطوارئ (اختياري): إن أضفتَ جهة اتصال طارئة، نحتفظ برقم جوالها لغرض التنبيه عند رصد حادث مؤكد فقط.
3أغراض المعالجة
- احتساب درجة القيادة وتسعير القسط: استخدام بيانات الموقع والحركة لاحتساب درجة سلامة قيادة تُستخدم من قِبل المؤمِّن في تحديد خصم أو تعديل قسط التأمين.
- الاستجابة للحوادث: رصد الحوادث المحتملة وتنبيه جهة الاتصال الطارئة التي حددتها (بموافقتك الصريحة، انظر البند 8).
4الأساس النظامي للمعالجة
بيانات الموقع الجغرافي وبيانات سلوك القيادة (الحركة) تُصنَّف بيانات حساسة بموجب المادة الأولى من نظام حماية البيانات الشخصية. لذلك:
- لا نبدأ بجمع بيانات موقعك أو حركتك إلا بعد الحصول على موافقتك الصريحة والمُسجَّلة (المادة 9) — وليس مجرد موافقتك على إذن نظام التشغيل (iOS) بالوصول للموقع.
- لا نعتمد على "المصلحة المشروعة" كأساس لمعالجة هذه البيانات الحساسة، لأن ذلك غير جائز بموجب المادة 9.
- البيانات غير الحساسة (كالبريد الإلكتروني لغرض التواصل) قد تُعالَج بموجب ضرورة تنفيذ الخدمة التي طلبتها.
5معالجة البيانات خارج المملكة
نعمل حاليًا على أحد مسارين قبل قبول بيانات مستخدمين حقيقيين على نطاق واسع: (أ) الانتقال إلى استضافة داخل المملكة، أو (ب) إتمام تقييم مخاطر نقل موقَّع من الجهة القانونية المختصة يوثّق الضمانات الكافية لحماية بياناتك أثناء المعالجة خارج المملكة.
6مدة الاحتفاظ بالبيانات
نحتفظ ببياناتك للمدة اللازمة لتحقيق الغرض من جمعها فقط، ووفق الحد الأدنى الذي قد تفرضه اللوائح التأمينية على سجلات الحوادث والمطالبات. جدول مدد الاحتفاظ التفصيلي (لكل نوع بيانات) وثيقة داخلية قيد الاعتماد — راجع docs/compliance/data-retention-schedule.md. ملخص عام:
| نوع البيانات | الحالة |
|---|---|
| رموز الدخول المؤقتة وجلسات الأجهزة | تُحذف تلقائيًا بعد فترة سماح قصيرة من انتهاء صلاحيتها |
| الرحلات، المطالبات، سجلات الحوادث | مدة احتفاظ مقترحة أطول تراعي المتطلبات التأمينية — بانتظار اعتماد السياسة |
| سجل الموافقات | يُحتفظ به لأغراض إثبات الامتثال حتى بعد سحب الموافقة |
7حقوقك تجاه بياناتك
- الاطلاع: يمكنك طلب نسخة من بياناتك المخزَّنة لدينا.
- التصحيح: يمكنك تعديل بيانات ملفك الشخصي مباشرة من التطبيق.
- الحذف: يمكنك طلب حذف حسابك؛ سيتم إخفاء هويتك (Anonymise) في بياناتنا. ملاحظة: إذا كانت لديك مطالبة تأمينية مفتوحة، فقد نُؤجّل الحذف مؤقتًا حسب ما تُجيزه المادة 18 من النظام، ونُخطرك بذلك.
- نقل البيانات (قابلية النقل): ميزة تصدير بياناتك بصيغة قابلة للقراءة الآلية قيد التطوير حاليًا وليست متاحة بعد داخل التطبيق؛ يمكنك طلبها يدويًا عبر التواصل معنا حتى إطلاقها.
- سحب الموافقة: يمكنك سحب موافقتك على معالجة بيانات الموقع أو الحركة في أي وقت من إعدادات التطبيق. سحب الموافقة يوقف جمع بيانات جديدة، ولا يؤثر على مشروعية المعالجة التي تمت قبل السحب.
8تنبيه جهات الاتصال في حالات الطوارئ
تنبيه هام: DriveScore ليست جهة إسعاف أو طوارئ رسمية، ولا تُغني عن الاتصال المباشر بالرقم 997 (الهلال الأحمر السعودي) أو 911 عند الحاجة. تنبيه جهة الاتصال ميزة مساندة إضافية فقط.
9حماية البيانات ومشاركتها
نطبّق ضوابط أمنية تقنية تشمل: تشفير موقعك على جهازك قبل الإرسال، تشفير بيانات الهوية في قواعد البيانات، وعزل بيانات كل شركة تأمين عن الأخرى (عزل المستأجرين). لا نبيع بياناتك الشخصية لأي طرف ثالث. تُشارَك البيانات فقط مع شركة التأمين المرتبطة بوثيقتك (بصفتها المتحكم بالبيانات) وفق اتفاقية معالجة بيانات موقّعة.
10التواصل معنا ومسؤول حماية البيانات
مسؤول حماية البيانات (DPO): [لم يُعيَّن بعد — سيُحدَّث هذا الحقل باسم/جهة التواصل عند التعيين]
البريد الإلكتروني للاستفسارات: hello@drivescore.eghawa.com
11حقك في تقديم شكوى
إذا رأيتَ أننا لم نلتزم بأحكام نظام حماية البيانات الشخصية، يحق لك تقديم شكوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، الجهة المختصة بتطبيق النظام.
12التحديثات على هذا الإشعار
قد نُحدّث هذا الإشعار من وقت لآخر. سننشر أي تحديث جوهري داخل التطبيق قبل نفاذه.
DriveScore Privacy Notice
Notice under Article 12 of the Saudi Personal Data Protection Law (PDPL — Royal Decree M/19, as amended by M/37) — draft under legal review.
1Who we are: controller and processor
When you use DriveScore as part of your motor insurance program, two parties handle your data in different roles under the PDPL:
- Data Controller: the partner insurance company ("insurer") whose policy you hold. The insurer determines the purposes and means of processing your data (e.g. calculating a premium discount from driving behaviour).
- Data Processor: DriveScore, the technology platform that collects and processes driving data and computes a safety score on the insurer's behalf, under a signed Data Processing Agreement (DPA).
2What data we collect
- GPS location data: your trip route, encrypted on your device before it is sent — only ciphertext reaches our servers.
- Motion telemetry: high-frequency accelerometer and gyroscope readings (up to 50 samples/second) while driving, used to compute your safety score, and uploaded to the insurer's backend.
- Crash data: when a possible collision is detected, we record the time, location, and how it was confirmed (you tapping to confirm, or an automatic timeout).
- Contact data: your phone number and email address, stored encrypted, plus a one-way hash used only to look up your account at sign-in.
- Trip scores: the per-trip and cumulative safety scores used to price your premium.
- Emergency contact (optional): if you add an emergency contact, we store their phone number solely to alert them when a confirmed crash is detected.
3Purposes of processing
- Driving-score calculation and premium pricing: using location and motion data to compute a driving safety score that the insurer uses to set a premium discount or adjustment.
- Crash response: detecting possible collisions and, with your explicit consent (see Section 8), alerting the emergency contact you designated.
4Lawful basis for processing
GPS location and driving-behaviour (motion) data are classified as sensitive data under PDPL Article 1. Accordingly:
- We do not begin collecting your location or motion data until we have obtained your explicit, recorded consent (Art.9) — not merely your acceptance of the iOS system location/motion permission prompt.
- We do not rely on "legitimate interest" as a basis for processing this sensitive data, as Article 9 does not permit that basis for sensitive categories.
- Non-sensitive data (such as your email for service communication) may be processed on the basis of necessity to perform the service you requested.
5Processing outside the Kingdom
We are pursuing one of two paths before onboarding real users at scale: (a) migrating to in-Kingdom hosting, or (b) completing a signed transfer risk assessment from qualified legal counsel documenting adequate safeguards for processing your data outside the Kingdom.
6Data retention
We keep your data only as long as necessary for the purpose it was collected, and no shorter than any minimum period insurance regulation may require for claim/crash records. The detailed per-data-class retention schedule is an internal document pending sign-off — see docs/compliance/data-retention-schedule.md. Summary:
| Data class | Status |
|---|---|
| Login tokens and device sessions | Automatically deleted after a short grace period past expiry |
| Trips, claims, crash records | Longer proposed retention reflecting insurance-regulatory needs — pending policy sign-off |
| Consent history | Retained for compliance evidence even after consent is withdrawn |
7Your rights over your data
- Access: you can request a copy of the data we hold about you.
- Correction: you can edit your profile data directly in the app.
- Deletion: you can request deletion of your account; your identity will be anonymised in our records. Note: if you have an open insurance claim, we may temporarily defer deletion as permitted under PDPL Article 18, and will notify you when we do.
- Portability: a machine-readable export of your data is currently in development and not yet available in-app; you may request one manually by contacting us until it ships.
- Withdrawing consent: you can withdraw your consent to location or motion data processing at any time from the app's settings. Withdrawal stops new data collection and does not affect the lawfulness of processing carried out before withdrawal.
8Emergency-contact alerting
Important: DriveScore is not an official emergency or ambulance service and does not replace calling 997 (Saudi Red Crescent) or 911 directly when needed. Contact alerting is a supplementary feature only.
9Data protection and sharing
We apply technical safeguards including: client-side encryption of your location before it is sent, encryption of identity data at rest, and isolation of each insurer's data from every other insurer (tenant isolation). We do not sell your personal data to any third party. Data is shared only with the insurer tied to your policy (as data controller) under a signed Data Processing Agreement.
10Contact us / Data Protection Officer
Data Protection Officer (DPO): [Not yet appointed — this field will be updated with a named contact once appointed]
General privacy inquiries: hello@drivescore.eghawa.com
11Your right to complain
If you believe we have not complied with the PDPL, you have the right to file a complaint with the Saudi Data & Artificial Intelligence Authority (SDAIA), the competent regulator for enforcement of the Law.
12Changes to this notice
We may update this notice from time to time. We will post any material update in-app before it takes effect.