داوِملي

Dawemly
Last updated: April 18, 2026 · آخر تحديث: ١٨ أبريل ٢٠٢٦

Privacy Policy

Governing the Dawemly Attendance Management application.

Dawemly is an application developed and operated by an independent individual developer based in the Kingdom of Saudi Arabia, not a registered company or organization. This Privacy Policy describes what data the application collects, how it is used, and the rights you have over it. By using the application you acknowledge that you have read and agreed to this policy.

Nature of the Service

Dawemly is a business-to-business application that enables employers to record employee attendance and manage work schedules, leaves, and permissions. Accounts are created by an administrator within the subscribing company; there is no self-signup. End users are adult employees within a formal employment relationship.

Information Collected

a) Account Information (provided by the administrator)

  • Full name in Arabic and English.
  • Work email address.
  • Phone number (optional).
  • Employee ID and department.
  • Password — stored as a one-way bcrypt hash; it cannot be viewed in clear form.

b) Attendance Information

  • Precise GPS coordinates (latitude, longitude, accuracy) — captured only at the moment of check-in or check-out. The application does not track your location in the background.
  • Timestamp and a unique nonce to prevent replay attempts.
  • A flag indicating whether the location appears to be mocked.

c) Device Biometric Verification (optional)

If your administrator enables biometric verification at check-in, the application invokes the standard biometric prompt provided by your operating system (Face ID / Touch ID on iOS, fingerprint / face unlock on Android). The match runs entirely on the device, exactly as it does for banking applications. The application receives only a yes/no result. No biometric template, fingerprint image, or face image is ever captured, transmitted, or stored by the application.

d) Device & Session Data

  • Device model, operating system, manufacturer, and a unique device identifier.
  • Session token with an expiry date.
  • Firebase Cloud Messaging token, used solely to deliver notifications.

Information NOT Collected

  • Your activity is not tracked across other applications or websites.
  • No analytics or advertising SDKs are used.
  • Date of birth, national ID, and passport numbers are not collected.
  • The application does not access your contacts, messages, photo library, or camera.
  • No banking or payment card information is collected from end-users.

Who Can Access Your Data

Every database query in the system is scoped by an organization identifier, so no party can view data belonging to another organization.

  • Employee: views only their own profile and records.
  • Company administrator: views only data of employees within their own company.
  • Super-administrator (the developer): manages subscribing organizations at a billing level, without access to individual attendance details.

Third-Party Services

Your data is not sold and is not shared with advertisers or data brokers. The limited technical third parties that may receive information are:

  • Firebase Cloud Messaging (Google LLC) — to deliver push notifications only.
  • Google Maps Places API — used by administrators when selecting workplace locations (search queries only).
  • Google Fonts CDN (fonts.gstatic.com) — fetches font files over HTTPS only when an administrator generates a PDF attendance report. No personal data is sent, but your IP address is visible to Google during the fetch.

Security & Storage

  • The server is hosted in a data center within the European Union (Frankfurt, Germany).
  • All traffic is transported over HTTPS with a Let's Encrypt certificate and TLS 1.2 or 1.3.
  • Passwords are stored as irreversible bcrypt hashes.
  • Session tokens are protected by HMAC signatures on sensitive endpoints, and tied to a single device per employee.
  • Every sensitive administrative action is recorded in an audit log.

Data Retention & Deletion

When an administrator deletes an employee account, the following is executed immediately:

  • Face photos are permanently removed from disk.
  • Feature vectors are deleted from the database.
  • Verification logs are deleted.
  • All session tokens are invalidated.
  • Historical attendance records are retained by the employer for bookkeeping purposes. The employee's login email is anonymized at deletion, and the employer accesses these records under the employee's internal ID only.

When an organization's subscription is terminated, all of its data is cascaded out of the system.

Your Rights

  • Access your profile within the application.
  • Change your password at any time.
  • Request account deletion by contacting your company's administrator.
  • Withdraw consent to facial recognition by notifying your administrator; doing so may disable check-in via facial recognition.

Children's Privacy

The application is neither designed nor directed to individuals under the age of eighteen. The responsibility to ensure that employees added to the system are adults rests with the administrator of the subscribing company.

Changes to This Policy

This Privacy Policy may be updated from time to time. When a material change occurs, the consent screen will be shown again on your next login and you will not be able to proceed without accepting the new version. The latest revision date appears at the top of this page.

Contact

For any question about this policy or your rights under it, please write to support@dawemly.com.

سياسة الخصوصية

المتعلّقة بتطبيق داوِملي لإدارة الحضور والانصراف.

داوِملي تطبيق مُطوَّر ومُشغَّل من قِبَل مطوِّر فرد مستقل مقيم في المملكة العربية السعودية، وليس شركة أو مؤسسة مسجَّلة. توضّح هذه السياسة طبيعة البيانات التي يجمعها التطبيق، والأغراض التي تُستخدم لأجلها، وحقوقك في التحكم بها. باستخدامك للتطبيق، فإنك تُقرّ بأنك اطّلعت على هذه السياسة ووافقت عليها.

طبيعة الخدمة

داوِملي تطبيق موجَّه للمؤسسات (B2B) يُمكّن جهات العمل من تسجيل حضور موظفيها وإدارة جداول الدوام والإجازات والصلاحيات. يُنشأ الحساب من قِبَل المسؤول داخل الشركة المشتركة، ولا يُتاح التسجيل الذاتي. المستخدم النهائي هو موظف بالغ ضمن علاقة توظيف رسمية.

البيانات التي يجمعها التطبيق

أ) بيانات الحساب (يُقدِّمها المسؤول)

  • الاسم الكامل بالعربية والإنجليزية.
  • البريد الإلكتروني الوظيفي.
  • رقم الهاتف (اختياري).
  • الرقم الوظيفي والقسم.
  • كلمة المرور — مُخزَّنة بصيغة bcrypt hash غير قابلة للعكس.

ب) بيانات الحضور

  • إحداثيات GPS دقيقة (خط العرض، خط الطول، دقّة القراءة) — تُسجَّل عند لحظة تسجيل الحضور أو الانصراف فقط. لا يتم تتبّع موقعك في الخلفية.
  • طابع زمني ومُعرّف فريد لمنع محاولات التكرار.
  • إشارة ما إذا كان الموقع وهميًا (Mock Location).

ج) التحقّق ببصمة الجهاز (اختياري)

إذا فعّل المسؤول التحقّق البيومتري عند تسجيل الحضور، يستخدم التطبيق نافذة البصمة القياسية التي يوفّرها نظام التشغيل في جهازك (Face ID / Touch ID على iOS، أو بصمة الإصبع / فتح بالوجه على أندرويد). تتم المطابقة محلّيًا داخل الجهاز فقط، تمامًا كما تفعل تطبيقات البنوك. يستلم التطبيق نتيجة فقط (نعم/لا). لا يلتقط التطبيق أي بصمة أو صورة وجه ولا يُرسلها لأي خادم ولا يُخزّنها إطلاقًا.

د) بيانات الجهاز والجلسة

  • طراز الجهاز، نظام التشغيل، الشركة المصنّعة، مُعرّف الجهاز الفريد.
  • رمز الجلسة مع تاريخ انتهائه.
  • رمز Firebase Cloud Messaging لإرسال الإشعارات فقط.

ما لا يجمعه التطبيق

  • لا يتم تتبّع نشاطك عبر تطبيقات أو مواقع أخرى.
  • لا تُستخدم أدوات تحليلات أو إعلانات.
  • لا تُجمع بيانات تاريخ الميلاد أو رقم الهوية أو جواز السفر.
  • لا يصل التطبيق إلى جهات اتصالك أو رسائلك أو ألبوم الصور أو الكاميرا.
  • لا تُجمع أي بيانات مصرفية أو بطاقات ائتمانية.

من يطّلع على البيانات

كل استعلام داخل النظام مُقيَّد بمعرّف المؤسسة، بحيث لا يُمكن لأي طرف الاطلاع على بيانات مؤسسة أخرى.

  • الموظف: يطّلع على بياناته الشخصية فقط.
  • الأدمن في الشركة: يطّلع على بيانات موظفي شركته فقط.
  • السوبر أدمن (المطوِّر): يدير المنشآت على المستوى الإداري، دون تفاصيل الحضور الفردية.

الأطراف الخارجية

لا تُباع بياناتك ولا تُشارَك مع معلنين أو وسطاء بيانات. الأطراف الفنية المحدودة التي قد تصلها معلومات:

  • Firebase Cloud Messaging (Google) — لإرسال الإشعارات فقط.
  • Google Maps Places API — لاختيار مواقع العمل (بيانات البحث فقط).
  • Google Fonts CDN (fonts.gstatic.com) — يتم جلب ملفات الخطوط عبر HTTPS فقط عند إنشاء المسؤول تقرير PDF للحضور. لا تُرسَل أي بيانات شخصية، لكن عنوان IP الخاص بك يكون مرئيًا لـ Google أثناء عملية الجلب.

التخزين والأمان

  • السيرفر مستضاف في مركز بيانات داخل الاتحاد الأوروبي (فرانكفورت، ألمانيا).
  • النقل عبر HTTPS مع شهادة Let's Encrypt وتشفير TLS 1.2 أو 1.3.
  • كلمات المرور مُخزَّنة بصيغة hash غير قابلة للعكس.
  • الـ Tokens محميّة بـ HMAC، ومُقيَّدة بجهاز واحد للموظف.
  • كل عملية إدارية حساسة مُسجَّلة في سجلّ مراجعة.

الاحتفاظ بالبيانات وحذفها

عندما يحذف المسؤول حساب موظف، تُنفَّذ الإجراءات التالية فورًا:

  • إلغاء جميع جلسات الدخول.
  • تحتفظ جهة العمل بسجلّات الحضور السابقة لأغراض المحاسبة. يتم إخفاء هوية الإيميل المستخدم للدخول عند الحذف، وتصل جهة العمل لهذه السجلات عبر الرقم الداخلي للموظف فقط.

عند إلغاء اشتراك المؤسسة، تُحذَف جميع بياناتها cascade من النظام.

حقوقك

  • الاطلاع على ملفك الشخصي داخل التطبيق.
  • تغيير كلمة المرور في أي وقت.
  • طلب حذف الحساب عبر المسؤول في جهة عملك.

خصوصية الأطفال

هذا التطبيق غير مُصمَّم ولا مُوجَّه لمن هم دون الثامنة عشرة. يتحمّل المسؤول في الشركة المشتركة مسؤوليّة التحقّق من أن الموظفين الذين يُنشئ حساباتهم بالغون.

تحديث هذه السياسة

قد تُحدَّث هذه السياسة من حين لآخر. عند إجراء تغيير جوهري، ستُعرض لك شاشة الموافقة مُجدَّدًا عند أوّل تسجيل دخول لاحق، ولن تتمكّن من الاستمرار دون قبول النسخة الجديدة. تاريخ آخر تحديث مُوضَّح في أعلى الصفحة.

التواصل

لأي استفسار يتعلّق بهذه السياسة أو بحقوقك، راسل مطوّر التطبيق على support@dawemly.com.