Perjanjian Pemprosesan Data

Perjanjian ini dibuat selaras dengan Akta Perlindungan Data Peribadi 2010 (Akta 709) sebagaimana dipinda oleh Akta A1709 (2024), yang berkuat kuasa sepenuhnya pada 1 Jun 2025. Di bawah pindaan 2024, pemproses data mempunyai liabiliti langsung dan satu perjanjian bertulis antara pengawal data dan pemproses data adalah mandatori.

Dalam hubungan ini:

• Perniagaan ialah pengawal data bagi data peribadi pelanggan akhirnya (orang yang membuat tempahan).
• TempahKu ialah pemproses data yang memproses data tersebut bagi pihak Perniagaan, mengikut arahan Perniagaan, semata-mata untuk menyediakan perkhidmatan tempahan.

1. Definisi

• Data peribadi — apa-apa maklumat berkenaan subjek data yang boleh dikenal pasti, seperti ditakrifkan dalam Akta 709.
• Data peribadi sensitif — data berkenaan kesihatan, kepercayaan, biometrik dan lain-lain seperti ditakrifkan dalam Akta 709 (dipinda 2024).
• Subjek data — pelanggan akhir Perniagaan yang membuat tempahan melalui TempahKu.
• Pemprosesan — apa-apa operasi ke atas data peribadi (mengumpul, menyimpan, menggunakan, memadam).
• Sub-pemproses — pihak ketiga yang dilantik oleh TempahKu untuk membantu menyediakan perkhidmatan.

2. Skop, Sifat dan Tujuan Pemprosesan

• Subjek perkara: Pengurusan tempahan dan temujanji pelanggan Perniagaan.
• Tempoh: Sepanjang Perniagaan mempunyai akaun aktif, dan tempoh penyimpanan dalam Dasar Privasi selepas penamatan.
• Sifat: Pengumpulan, penyimpanan, pemaparan, penghantaran peringatan, dan pemadaman data tempahan secara elektronik.
• Tujuan: Semata-mata untuk membolehkan Perniagaan menerima, mengurus dan menjejak tempahan pelanggan. TempahKu tidak menjual atau menggunakan data pelanggan Perniagaan untuk pemasaran TempahKu sendiri.

3. Jenis Data & Kategori Subjek Data

• Jenis data: Nama, nombor telefon, alamat e-mel, butiran tempahan (tarikh, masa, perkhidmatan), dan nota tambahan.
• Subjek data: Pelanggan akhir yang membuat tempahan dengan Perniagaan melalui TempahKu.

4. Kewajipan Perniagaan (Pengawal Data)

Perniagaan bersetuju untuk:

• Memastikan ia mempunyai asas yang sah (termasuk notis & pilihan / persetujuan) untuk mengumpul dan memproses data pelanggannya.
• Memberikan arahan yang sah sahaja kepada TempahKu berhubung pemprosesan data.
• Tidak memasukkan data peribadi sensitif ke dalam medan teks bebas (cth. nota) melainkan perlu dan dengan asas sah.
• Bertanggungjawab terhadap ketepatan data yang dimasukkan dan terhadap tindakannya sendiri sebagai pengawal data.

5. Kewajipan TempahKu (Pemproses Data)

TempahKu bersetuju untuk:

1. Memproses mengikut arahan — memproses data hanya untuk menyediakan perkhidmatan tempahan, mengikut arahan Perniagaan dan perjanjian ini.
2. Kerahsiaan — memastikan pihak yang mempunyai akses terikat dengan kewajipan kerahsiaan.
3. Langkah keselamatan — penyulitan semasa transit (HTTPS/TLS), kata laluan di-hash (PBKDF2), kawalan akses berasaskan peranan, pengasingan data setiap penyewa, dan log aktiviti.
4. Membantu hak subjek data — membantu Perniagaan memenuhi permintaan akses, pembetulan, pemadaman, dan kemudahalihan data melalui ciri swadiri platform.
5. Pemberitahuan pelanggaran — memberitahu Perniagaan tanpa kelewatan munasabah jika berlaku pelanggaran data, dan membantu memenuhi kewajipan pemberitahuan 72 jam kepada Pesuruhjaya PDP.
6. Sub-pemproses — hanya melantik sub-pemproses yang disenaraikan di bawah, dengan kewajipan perlindungan data yang setara.
7. Pemadaman / pemulangan — atas penamatan, memadam atau memulangkan data, kecuali rekod kewangan yang perlu disimpan untuk pematuhan cukai (LHDN) di mana lajur pengenalan peribadi dinyahkenal.

6. Sub-pemproses

TempahKu menggunakan sub-pemproses berikut (diselaraskan dengan Seksyen 3 Dasar Privasi):

• Stripe — pemprosesan pembayaran langganan
• Resend — penghantaran e-mel transaksi (pengesahan, peringatan)
• Cloudflare — hosting, CDN, pangkalan data (D1), dan keselamatan
• Cloudflare Turnstile — perlindungan anti-bot

TempahKu akan memaklumkan Perniagaan jika terdapat perubahan material kepada senarai ini.

7. Pemindahan Rentas Sempadan

Sesetengah sub-pemproses mungkin memproses data di luar Malaysia. TempahKu memastikan pemindahan tersebut mematuhi rejim pemindahan rentas sempadan PDP (Garis Panduan, berkuat kuasa 1 April 2025), termasuk bersandar pada senarai negara yang diluluskan atau langkah perlindungan yang mencukupi.

8. Data Peribadi Sensitif (Perniagaan Kesihatan)

9. Hak Audit

Perniagaan boleh meminta maklumat munasabah daripada TempahKu untuk mengesahkan pematuhan terhadap perjanjian ini. TempahKu akan menyediakan ringkasan langkah keselamatan dan senarai sub-pemproses semasa atas permintaan.

10. Liabiliti dan Tempoh

• Setiap pihak bertanggungjawab terhadap kewajipannya sendiri. Di bawah pindaan 2024, pemproses data mempunyai liabiliti langsung terhadap kewajipan pemprosesnya.
• Perjanjian ini kekal berkuat kuasa sepanjang TempahKu memproses data pelanggan bagi pihak Perniagaan.
• Atas penamatan akaun, Seksyen 5(7) (pemadaman/pemulangan) terpakai.

11. Pegawai Perlindungan Data (DPO)

TempahKu telah melantik Pegawai Perlindungan Data secara dalaman. Hubungi dpo@tempahku.com untuk semua perkara berkaitan PDPA.

12. Undang-undang Yang Mentadbir

Perjanjian ini ditadbir oleh undang-undang Malaysia, khususnya Akta Perlindungan Data Peribadi 2010 (Akta 709) sebagaimana dipinda oleh Akta A1709 (2024), serta Garis Panduan Pesuruhjaya PDP yang berkaitan.