Perjanjian Pemprosesan Data (DPA)
Versi 1.0 — draf; semakan undang-undang sedang berjalan
Dikemas kini terakhir: 30 Mei 2026
Perjanjian Pemprosesan Data ini ("DPA") mentadbir pemprosesan data peribadi oleh Daftarku ("Pemproses Data" / data processor) bagi pihak jawatankuasa kediaman yang melanggan perkhidmatan ("Pengawal Data" / data controller). Ia dibaca bersama Terma Perkhidmatan, Polisi Privasi dan Notis PDPA kami, dan terpakai apabila anda menerima DPA ini semasa pendaftaran.
1. Definisi
- Data peribadi — sebarang maklumat yang mengenal pasti individu (pelawat, penduduk, pengawal), seperti nama, telefon, emel, IC/pasport, plat kenderaan dan rekod lawatan.
- Pengawal Data — jawatankuasa kediaman yang menentukan tujuan dan cara pemprosesan data peribadi.
- Pemproses Data — Daftarku, yang memproses data peribadi mengikut arahan Pengawal Data sahaja.
- PDPA — Akta Perlindungan Data Peribadi 2010 (Akta 709), seperti dipinda oleh Akta A1709 (2024).
2. Perkara dan tempoh pemprosesan
Daftarku memproses data peribadi semata-mata untuk menyediakan perkhidmatan pendaftaran pelawat, kelulusan, daftar masuk/keluar QR, log keselamatan, pengumuman dan senarai hitam untuk kediaman anda. Pemprosesan berterusan sepanjang hayat akaun anda dan tempoh penyimpanan yang dinyatakan dalam Polisi Privasi bahagian 5.
3. Jenis data dan subjek data
- Pelawat — nama, telefon, IC/pasport (jika diaktifkan), emel, plat kenderaan, tujuan lawatan, cap masa.
- Penduduk dan pengawal — nama, emel, telefon, unit kediaman, peranan.
4. Kewajipan Pengawal Data (anda)
- Memastikan terdapat asas yang sah (kebenaran atau lain-lain) untuk mengumpul data peribadi pelawat dan penduduk;
- Memaparkan notis pemberitahuan PDPA pada titik pengumpulan (Daftarku menyediakannya pada borang pendaftaran);
- Tidak memasukkan data sensitif (kesihatan, agama, dll.) ke dalam medan nota tanpa asas yang sah;
- Mengendalikan permintaan subjek data yang ditujukan terus kepada anda, dengan sokongan Daftarku.
5. Kewajipan Pemproses Data (Daftarku)
- Memproses data peribadi mengikut arahan terdokumentasi anda sahaja;
- Memastikan kerahsiaan — hanya kakitangan yang dibenarkan mengakses data;
- Melaksanakan langkah keselamatan teknikal dan organisasi: TLS/HTTPS, hashing kata laluan bcrypt, kawalan akses berasaskan peranan (RBAC), pengasingan penyewa (multi-tenant isolation), dan log audit;
- Membantu anda memenuhi permintaan hak subjek data (akses, pembetulan, pemadaman, kemudahalihan) melalui ciri layan-diri dan sokongan;
- Memberitahu anda tanpa lengah yang tidak wajar apabila menyedari pelanggaran data, dan membantu pemberitahuan kepada JPDP (dalam 72 jam) dan subjek data (dalam 7 hari) seperti dikehendaki Akta A1709 2024;
- Memadam atau memulangkan data peribadi apabila perkhidmatan ditamatkan, kecuali bahagian yang perlu disimpan (tanpa pengenalan) untuk tujuan undang-undang.
6. Sub-pemproses
Anda memberi kebenaran umum kepada Daftarku untuk menggunakan sub-pemproses berikut, masing-masing terikat oleh obligasi perlindungan data yang setara:
- Cloudflare — pelayan, pangkalan data D1, keselamatan rangkaian dan Turnstile;
- Resend — penghantaran emel transaksi;
- Stripe — pemprosesan pembayaran langganan (data pelawat/penduduk tidak dikongsi dengan Stripe).
Kami akan memberitahu anda tentang sebarang penambahan atau penggantian sub-pemproses yang material.
7. Pemindahan rentas sempadan
Sesetengah sub-pemproses mungkin memproses data di luar Malaysia (cth. rantau APAC Cloudflare, infrastruktur global Stripe). Pemindahan tersebut dilindungi oleh perlindungan kontrak yang setara, selaras dengan Garis Panduan Pemindahan Rentas Sempadan PDP.
8. Hak subjek data dan pemadaman
Daftarku menyediakan ciri layan-diri untuk membantu memenuhi hak subjek data: pengguna berdaftar boleh memadam akaun mereka melalui Padam Akaun dan memuat turun data mereka dari halaman Akaun; pelawat boleh memadam atau memuat turun data mereka melalui Permintaan Data Pelawat. Pemadaman membuang data peribadi sambil mengekalkan rekod keselamatan dalam bentuk tanpa pengenalan.
9. Liabiliti
Setiap pihak bertanggungjawab atas obligasinya sendiri di bawah PDPA. Selaras dengan pindaan Akta A1709 2024, Pemproses Data turut memikul liabiliti langsung bagi kewajipan pemprosesnya. Had liabiliti komersil tertakluk kepada Terma Perkhidmatan.
10. Penerimaan
Penerimaan DPA ini direkodkan secara elektronik (tarikh, masa, versi, nama tandatangan dan alamat IP) semasa anda mendaftar. Penerimaan ini menjadi bukti perjanjian antara Pengawal Data dan Pemproses Data.
11. Undang-undang yang mentadbir
DPA ini ditadbir oleh undang-undang Malaysia dan garis panduan Pesuruhjaya Perlindungan Data Peribadi.
12. Hubungi
Pegawai Perlindungan Data (DPO), Daftarku
Emel: dpo@daftarku.com (subjek: "DPA")