Dasar Privasi / Privacy Policy

🔒 Dasar Privasi / Privacy Policy

Kemas kini terakhir / Last updated: 10 April 2026

🏢 1. Maklumat Syarikat / Company Information

• Pengawal Data / Data Controller: Calmic Sdn Bhd
• No. Pendaftaran SSM: 1466852W / 202201021155
• Platform: GigHala (gighala.my)
• Pegawai Perlindungan Data (DPO): dpo@gighala.my
• E-mel Privasi / Privacy Email: privacy@gighala.my

📦 2. Data Peribadi Yang Kami Kumpul / Personal Data We Collect

2.1 Data Identiti & Hubungan

• Nama penuh, nama pengguna, alamat e-mel, nombor telefon
• Nombor Kad Pengenalan (IC/MyKad) atau nombor pasport
• Tarikh lahir, jantina, bangsa, status perkahwinan, kewarganegaraan
• Alamat tempat tinggal (untuk pendaftaran PERKESO)

2.2 Data Kewangan

• Nama bank, nombor akaun bank, nama pemegang akaun
• ID pelanggan Stripe, kaedah pembayaran
• Sejarah transaksi, pendapatan, no. keanggotaan PERKESO

2.3 Data Profil Profesional

• Foto profil, video profil, URL portfolio, kemahiran, biodata
• URL LinkedIn, sijil kelayakan, pengalaman kerja

2.4 Data Biometrik & Pengesahan Identiti (Sensitive Personal Data)

• Imej IC/MyKad (hadapan dan belakang) dan gambar selfie untuk pengesahan liveness
• Data ini dikumpul dengan persetujuan eksplisit anda dan digunakan semata-mata untuk pengesahan identiti

2.5 Data Lokasi

• Koordinat GPS (latitud/longitud) apabila anda bersetuju berkongsi lokasi

2.6 Data Penggunaan & Teknikal

• Alamat IP, jenis pelayar web, halaman yang dilawati, masa akses
• Sejarah perbualan dalam platform, log e-mel, maklumat sesi

2.7 Data Log Masuk Sosial (OAuth)

• ID unik dari Google, Microsoft, Apple, Facebook, atau X/Twitter (jika anda memilih log masuk sosial)

🎯 3. Tujuan Pemprosesan Data / Purpose of Processing

Tujuan / Purpose	Asas Undang-undang
Pendaftaran & pengesahan akaun	Persetujuan / Kontrak
Pemprosesan pembayaran & pencairan	Kontrak / Kewajipan undang-undang
Pematuhan PERKESO (Gig Workers Bill 2025)	Kewajipan undang-undang
Pengesahan identiti & pencegahan penipuan	Kepentingan sah / Persetujuan
Komunikasi & notifikasi platform	Kontrak / Persetujuan
Moderasi kandungan Syariah-Principled (AI)	Kepentingan sah
Analisis & penambahbaikan platform	Kepentingan sah
Pematuhan undang-undang & audit	Kewajipan undang-undang

🤝 4. Perkongsian Data dengan Pihak Ketiga / Third-Party Data Sharing

Kami TIDAK menjual data peribadi anda. Data dikongsi hanya dengan pemproses berikut berdasarkan keperluan perkhidmatan:

Perkhidmatan	Tujuan	Data Dikongsi	Lokasi
Brevo	Penghantaran e-mel	Alamat e-mel, kandungan e-mel	EU/USA
Twilio	Penghantaran SMS/OTP	Nombor telefon, kandungan SMS	USA
Meta (WhatsApp)	Notifikasi WhatsApp	Nombor telefon, kandungan mesej	USA
Stripe	Pemprosesan pembayaran	Data pembayaran, ID pelanggan	USA
Groq	Moderasi kandungan AI (Syariah-Principled)	Kandungan gig/deskripsi	USA
Railway	Hosting & infrastruktur	Semua data platform	USA
Google/Microsoft/Apple/Facebook/X	Log masuk sosial (OAuth)	ID OAuth, e-mel (jika bersetuju)	Pelbagai
PERKESO	Pendaftaran & caruman PERKESO	IC, nama, tarikh lahir, caruman	Malaysia

Pemindahan data ke luar Malaysia dilaksanakan atas keperluan operasi. Kami memastikan perlindungan yang mencukupi melalui Perjanjian Pemprosesan Data (DPA) dengan setiap pembekal.

⏱️ 5. Tempoh Penyimpanan Data / Data Retention

Kami menyimpan data peribadi hanya selama yang diperlukan. Lihat Jadual Penyimpanan Data kami untuk butiran lengkap.

Jenis Data	Tempoh
Data akaun aktif	Selagi akaun aktif
Data selepas penutupan akaun	7 tahun (keperluan Akta Syarikat 2016)
Rekod transaksi & PERKESO	7 tahun (keperluan LHDN & PERKESO)
Log e-mel	1 tahun
Log pengunjung (alamat IP)	90 hari
Imej IC & selfie (pengesahan identiti)	1 tahun selepas pengesahan tamat tempoh
Token pengesahan e-mel/telefon	24 jam

🔐 6. Keselamatan Data / Data Security

• Kata laluan: Di-hash menggunakan PBKDF2 dengan garam — tidak disimpan dalam bentuk teks biasa
• Sambungan selamat: HTTPS/TLS dipaksakan; pengepala HSTS dikonfigurasikan
• Cookies selamat: HttpOnly, Secure, SameSite=Lax
• Kawalan akses: Kawalan akses berasaskan peranan (RBAC)
• Pengehadan kadar: Perlindungan brute-force pada log masuk
• 2FA: Pengesahan dua faktor (TOTP) tersedia untuk semua pengguna
• Pengepala keselamatan: CSP, X-Frame-Options, X-XSS-Protection

⚖️ 7. Hak-Hak Anda Di Bawah PDPA / Your Rights Under PDPA 2010

Hantar permintaan ke privacy@gighala.my — kami akan bertindak balas dalam 21 hari bekerja.

Aduan boleh difailkan kepada Jabatan Perlindungan Data Peribadi (JPDP): www.pdp.gov.my

🍪 8. Cookies

• Cookies Penting: Mengekalkan sesi log masuk (wajib untuk fungsi platform)
• Cookies Keutamaan: Mengingat pilihan bahasa anda
• Cookies Perkhidmatan: Membolehkan PWA berfungsi

Kami tidak menggunakan cookies penjejakan pihak ketiga untuk pengiklanan.

🔔 9. Pemberitahuan Pelanggaran Data / Breach Notification

• JPDP akan diberitahu dalam masa 72 jam selepas pelanggaran dikenal pasti (jika menyebabkan kemudaratan yang ketara)
• Pengguna yang terjejas akan dimaklumkan tanpa kelewatan yang tidak wajar

Lihat Pelan Tindak Balas Pelanggaran Data kami untuk prosedur lengkap.

🌐 10. Pemindahan Data Antarabangsa / International Transfers

Beberapa pembekal kami menyimpan dan memproses data di luar Malaysia (USA/EU) atas keperluan perkhidmatan. Kami memastikan perlindungan yang mencukupi melalui DPA dengan setiap pembekal bersertifikat (ISO 27001, SOC 2, PCI-DSS).

👨‍💼 11. Pegawai Perlindungan Data (DPO)

Calmic Sdn Bhd telah melantik DPO yang bertanggungjawab memantau pematuhan PDPA, mengendalikan aduan privasi, dan bekerjasama dengan JPDP.

• E-mel DPO: dpo@gighala.my
• E-mel Privasi: privacy@gighala.my

📝 12. Perubahan Dasar Ini / Policy Changes

Perubahan ketara akan dimaklumkan melalui notifikasi dalam platform dan e-mel kepada pengguna berdaftar. Tarikh "Kemas kini terakhir" di atas akan dikemas kini.

📞 13. Hubungi Kami / Contact Us

Calmic Sdn Bhd (1466852W / 202201021155) — GigHala Platform, gighala.my