Dasar Pemprosesan dan Perlindungan Data Peribadi

Dasar ini merupakan akta normatif tempatan Platform Moleculs.ai (selepas ini disebut - Pengusaha), yang diterima pakai dengan mengambil kira keperluan, khususnya, Undang-Undang Persekutuan mengenai Data Peribadi dan perundangan berkaitan perlindungan data.

Dasar ini menetapkan:

• tujuan, prosedur dan syarat pemprosesan data peribadi;
• kategori subjek yang data peribadinya diproses, kategori (senarai) data peribadi yang diproses, kaedah, tempoh pemprosesan dan penyimpanannya, prosedur pemusnahan data tersebut apabila tujuan pemprosesan tercapai atau apabila timbul alasan sah yang lain;
• peruntukan berkaitan perlindungan data peribadi, prosedur yang bertujuan untuk mengenal pasti dan mencegah pelanggaran perundangan dalam bidang data peribadi, serta memulihkan akibat daripada pelanggaran tersebut.

Dalam Dasar ini, terma dan definisi digunakan mengikut makna yang ditakrifkan dalam undang-undang data peribadi yang berkenaan.

Dasar ini berkuat kuasa dari tarikh pengesahannya oleh Pengusaha dan kekal berkuat kuasa sehingga dibatalkan oleh Pengusaha atau sehingga Dasar baharu diperkenalkan.

Pindaan kepada Dasar ini dibuat berdasarkan keputusan Pengusaha. Pindaan berkuat kuasa dari tarikh penandatanganan dokumen yang berkenaan.

2. Kategori Subjek Data Peribadi

2.1. Subjek yang data peribadinya diproses oleh Pengusaha mengikut Dasar ini termasuk:

• calon untuk pengambilan kerja oleh Pengusaha;
• pekerja Pengusaha;
• bekas pekerja Pengusaha;
• ahli keluarga pekerja Pengusaha — dalam kes di mana, mengikut perundangan, maklumat mengenai mereka diberikan oleh pekerja;
• individu lain yang data peribadinya wajib diproses oleh Pengusaha mengikut perundangan buruh dan akta lain yang mengandungi norma undang-undang buruh;
• pelanggan, kontraktor, rakan kongsi Pengusaha.

3. Tujuan Pemprosesan Data Peribadi, Kategori Data Peribadi yang Diproses

3.1. Mengikut Dasar ini, data peribadi diproses bagi tujuan pelaksanaan dan pematuhan perundangan buruh dalam rangka hubungan buruh dan hubungan lain yang berkaitan secara langsung dengannya, serta dalam rangka hubungan sivil, interaksi Pengusaha dengan rakan kongsi berpotensi, pelanggan dan individu lain bagi tujuan perlindungan data peribadi kategori-kategori individu, termasuk:

• dalam membantu penempatan kerja;
• pengurusan rekod kakitangan dan perakaunan;
• membantu pekerja dalam mendapatkan pendidikan dan kenaikan pangkat;
• pemprosesan anugerah dan ganjaran;
• penyediaan syarat kerja, jaminan dan pampasan yang ditetapkan oleh perundangan oleh Pengusaha;
• pengisian dan penyerahan borang laporan yang diperlukan kepada pihak berkuasa yang berkenaan;
• memastikan keselamatan peribadi pekerja, individu lain dan perlindungan harta benda;
• melaksanakan kawalan ke atas kuantiti dan kualiti kerja yang dilaksanakan;
• memastikan perlindungan hak dan kebebasan individu semasa pemprosesan data peribadinya, termasuk perlindungan hak ke atas privasi, rahsia peribadi dan keluarga;
• mempromosikan barangan, kerja, perkhidmatan Pengusaha di pasaran melalui hubungan terus dengan pengguna berpotensi menggunakan alat komunikasi;
• interaksi Pengusaha mengenai kerjasama yang saling menguntungkan, penyiapan transaksi dengan rakan kongsi berpotensi, pelanggan dan individu lain.

3.2. Selaras dengan tujuan yang dinyatakan dalam perenggan 3.1 Dasar ini, data peribadi berikut diproses:

• nama keluarga, nama pertama, nama tengah (jika ada), serta nama keluarga, nama pertama, nama tengah terdahulu (jika ada), tarikh dan tempat perubahannya;
• jantina;
• tarikh (hari, bulan, tahun) dan tempat lahir;
• imej fotografi;
• maklumat kewarganegaraan;
• jenis, siri, nombor dokumen pengenalan diri, nama badan yang mengeluarkannya, tarikh pengeluaran;
• nombor akaun individu insurans;
• nombor pengenalan cukai;
• alamat dan tarikh pendaftaran di tempat kediaman (tempat tinggal), alamat kediaman sebenar;
• nombor telefon hubungan, alamat e-mel dan (atau) maklumat tentang cara komunikasi lain;
• butiran sijil pendaftaran negeri akta status sivil dan maklumat yang terkandung di dalamnya;
• maklumat tentang status perkahwinan, komposisi keluarga (darjat pertalian, nama keluarga, nama pertama, nama tengah (jika ada), tarikh dan tempat lahir);
• maklumat tentang pendidikan dan (atau) kelayakan atau pemilikan pengetahuan khusus;
• maklumat tentang penguasaan bahasa asing;
• maklumat tentang kewajipan tentera, pendaftaran tentera dan butiran dokumen pendaftaran tentera;
• maklumat tentang aktiviti buruh, serta maklumat tentang tempat kerja terdahulu, tempoh dan pengalaman kerja;
• maklumat yang terkandung dalam dokumen yang memberi hak untuk tinggal dan bekerja di wilayah berkenaan (untuk warganegara asing);
• maklumat tentang pendapatan, obligasi di bawah dokumen pelaksanaan;
• nombor akaun semasa, kad bank;
• maklumat tentang keadaan kesihatan (untuk kategori pekerja tertentu);
• maklumat tentang kehadiran (ketiadaan) rekod jenayah dan (atau) fakta pendakwaan jenayah atau penamatan pendakwaan jenayah atas alasan rehabilitasi (untuk kategori pekerja tertentu);
• data peribadi lain yang terkandung dalam dokumen yang penyerahannya ditetapkan oleh perundangan, jika pemprosesan data tersebut selaras dengan tujuan pemprosesan yang ditetapkan dalam perenggan 3.1 Dasar ini.

3.3. Pengusaha tidak memproses kategori khas data peribadi yang berkaitan dengan bangsa, kebangsaan, pandangan politik, kepercayaan agama atau falsafah, kehidupan intim, kecuali dalam kes yang diperuntukkan oleh perundangan yang berkenaan.

4. Prosedur dan Syarat Pemprosesan Data Peribadi

4.1. Sebelum memulakan pemprosesan data peribadi, Pengusaha wajib memberitahu pihak berkuasa kawal selia yang berkenaan tentang niat untuk menjalankan pemprosesan data peribadi.

4.2. Asas undang-undang untuk pemprosesan data peribadi adalah Kod Buruh, akta perundangan normatif lain yang mengandungi norma undang-undang buruh, Undang-Undang Persekutuan mengenai Data Peribadi, Undang-Undang Persekutuan mengenai Perakaunan, dan peraturan berkaitan pendaftaran tentera.

4.3. Pemprosesan data peribadi dijalankan oleh Pengusaha dengan mematuhi prinsip dan syarat yang diperuntukkan oleh perundangan dalam bidang data peribadi dan Dasar ini.

4.4. Pemprosesan data peribadi oleh Pengusaha dilaksanakan dengan cara-cara berikut:

• pemprosesan data peribadi secara tidak automatik;
• pemprosesan data peribadi secara automatik dengan penghantaran maklumat yang diperoleh melalui rangkaian telekomunikasi maklumat atau tanpanya;
• pemprosesan data peribadi secara campuran.

4.5. Pemprosesan data peribadi oleh Pengusaha dilaksanakan dengan persetujuan subjek data peribadi untuk pemprosesan data peribadinya, melainkan jika perundangan dalam bidang data peribadi memperuntukkan sebaliknya.

4.5.1. Pemprosesan data peribadi yang dibenarkan oleh subjek data peribadi untuk disebarkan dilaksanakan dengan mematuhi larangan dan syarat yang diperuntukkan oleh perundangan data peribadi yang berkenaan.

4.5.2. Pemprosesan data peribadi biometrik hanya dibenarkan dengan kebenaran bertulis daripada subjek data peribadi. Pengecualian adalah situasi yang diperuntukkan oleh perundangan data peribadi yang berkenaan.

4.6. Pengusaha tidak menjalankan pemindahan data peribadi rentas sempadan.

4.7. Pemprosesan data peribadi dilaksanakan melalui pengumpulan, rakaman, penstrukturan, pengakumulasian, penyimpanan, penjelasan (kemas kini, pengubahan), pengekstrakan, penggunaan, penyahtandaan, penyekatan, pemadaman, pemusnahan data peribadi, termasuk menggunakan alat pengkomputeran.

4.7.1. Pengumpulan, rakaman, penstrukturan, pengakumulasian dan penjelasan data peribadi oleh Pengusaha dilaksanakan melalui:

• penerimaan dokumen asal atau salinannya;
• penyalinan dokumen asal;
• kemasukan maklumat ke dalam borang pendaftaran pada media kertas dan elektronik;
• penciptaan dokumen yang mengandungi data peribadi pada media kertas dan elektronik;
• kemasukan data peribadi ke dalam sistem maklumat data peribadi.

4.7.2. Sistem maklumat berikut digunakan oleh Pengusaha:

• e-mel korporat;
• sistem pengurusan dokumen elektronik;
• sistem sokongan tempat kerja pengguna;
• sistem maklumat rujukan normatif;
• sistem pengurusan kakitangan;
• sistem kawalan akses jauh;
• portal maklumat.

4.8. Pemindahan (penyebaran, penyediaan, akses) data peribadi subjek data peribadi dilaksanakan dalam kes dan mengikut prosedur yang diperuntukkan oleh perundangan dalam bidang data peribadi dan Dasar ini.

5. Tempoh Pemprosesan dan Penyimpanan Data Peribadi

5.1. Pemprosesan data peribadi oleh Pengusaha dihentikan dalam kes-kes berikut:

• apabila fakta pemprosesan data peribadi yang tidak sah dikenal pasti (tempoh penamatan pemprosesan — dalam masa tiga hari bekerja dari tarikh pengesanan fakta tersebut);
• apabila tujuan pemrosesannya tercapai (dengan beberapa pengecualian);
• selepas tamat tempoh atau apabila subjek data peribadi menarik balik persetujuan untuk pemprosesan data peribadinya (dengan beberapa pengecualian);
• apabila subjek data peribadi mengemukakan permintaan kepada Pengusaha untuk menamatkan pemprosesan data peribadi (tempoh penamatan pemprosesan — tidak melebihi 10 hari bekerja dari tarikh penerimaan permintaan).

5.2. Data peribadi disimpan dalam bentuk yang membolehkan pengenalan subjek data peribadi, tidak lebih lama daripada yang diperlukan oleh tujuan pemrosesannya. Pengecualian adalah kes di mana tempoh penyimpanan data peribadi ditetapkan oleh undang-undang persekutuan, kontrak yang mana subjek data peribadi merupakan pihak.

5.3. Data peribadi pada media kertas disimpan oleh Pengusaha dalam tempoh penyimpanan dokumen yang tempohnya diperuntukkan oleh perundangan arkib yang berkenaan.

5.4. Tempoh penyimpanan data peribadi yang diproses dalam sistem maklumat data peribadi sepadan dengan tempoh penyimpanan data peribadi pada media kertas.

6. Prosedur Penyekatan dan Pemusnahan Data Peribadi

6.1. Pengusaha menyekat data peribadi mengikut prosedur dan syarat yang diperuntukkan oleh perundangan dalam bidang data peribadi.

6.2. Apabila tujuan pemprosesan data peribadi tercapai atau sekiranya keperluan untuk mencapai tujuan tersebut hilang, data peribadi dimusnahkan atau dinyahtandakan.

6.3. Data peribadi yang diperoleh secara tidak sah atau yang tidak diperlukan untuk tujuan pemprosesan dimusnahkan dalam masa tujuh hari bekerja dari tarikh subjek data peribadi mengemukakan maklumat pengesahan.

6.4. Data peribadi yang pemprosesannya dihentikan kerana ketidaksahannya dan yang kesahannya tidak dapat dipastikan dimusnahkan dalam masa 10 hari bekerja dari tarikh pengesanan fakta pemprosesan yang tidak sah.

6.5. Data peribadi dimusnahkan dalam masa 30 hari dari tarikh pencapaian tujuan pemprosesan, melainkan jika kontrak yang mana subjek data peribadi merupakan pihak, perjanjian lain antara subjek dan Pengusaha memperuntukkan sebaliknya, atau jika Pengusaha tidak berhak memproses data peribadi tanpa persetujuan subjek data peribadi atas alasan yang diperuntukkan oleh undang-undang persekutuan.

6.6. Data peribadi dimusnahkan (jika penyimpanannya tidak diperlukan untuk tujuan pemprosesan data peribadi) dalam masa 30 hari dari tarikh penerimaan penarikan balik persetujuan oleh subjek data peribadi untuk pemprosesan mereka.

6.7. Pemilihan media fizikal (dokumen, cakera keras, pemacu kilat dan lain-lain) dan (atau) maklumat dalam sistem maklumat yang mengandungi data peribadi yang perlu dimusnahkan dilaksanakan oleh pegawai yang bertanggungjawab di Pengusaha yang memproses data peribadi.

6.7.2. Data peribadi pada media kertas dimusnahkan menggunakan mesin penghancur. Data peribadi pada media elektronik dimusnahkan dengan merosakkan integriti media secara mekanikal, yang tidak membolehkan data peribadi dibaca atau dipulihkan, serta dengan memadam data daripada media elektronik menggunakan kaedah dan alat pemadaman terjamin maklumat baki.

6.7.3. Pegawai yang bertanggungjawab mengesahkan pemusnahan data peribadi mengikut Keperluan untuk Pengesahan Pemusnahan Data Peribadi yang diluluskan oleh perintah pihak berkuasa kawal selia yang berkenaan.

7. Perlindungan Data Peribadi

7.1. Tanpa persetujuan bertulis daripada subjek data peribadi, Pengusaha tidak mendedahkan kepada pihak ketiga dan tidak menyebarkan data peribadi, melainkan jika undang-undang persekutuan memperuntukkan sebaliknya.

7.2. Bagi tujuan perlindungan data peribadi, Pengusaha melantik (meluluskan):

• pekerja yang bertanggungjawab untuk mengorganisasikan pemprosesan data peribadi;
• senarai jawatan yang pemegangnya memproses data peribadi;
• senarai data peribadi yang boleh diakses oleh pekerja yang memegang jawatan yang melibatkan pemprosesan data peribadi;
• prosedur akses ke premis di mana pemprosesan data peribadi dijalankan;
• prosedur pemindahan data peribadi oleh Pengusaha;
• borang persetujuan untuk pemprosesan data peribadi;
• prosedur perlindungan data peribadi semasa pemprosesan dalam sistem maklumat data peribadi;
• prosedur menjalankan siasatan dan pemeriksaan dalaman;
• akta normatif tempatan lain yang diterima pakai mengikut keperluan perundangan dalam bidang data peribadi.

7.3. Pekerja yang memegang jawatan yang melibatkan pemprosesan data peribadi dibenarkan berbuat demikian selepas menandatangani akujanji kerahsiaan.

7.4. Media fizikal data peribadi disimpan dalam kabinet berkunci (jika berkenaan).

7.5. Akses kepada maklumat peribadi yang terkandung dalam sistem maklumat Pengusaha dilaksanakan menggunakan kata laluan individu.

7.6. Pengusaha menggunakan perisian antivirus bertauliah dengan pangkalan data yang dikemas kini secara berkala.

7.7. Pekerja Pengusaha yang memproses data peribadi menjalani latihan berkala mengenai keperluan perundangan dalam bidang data peribadi.

7.9. Pengusaha menjalankan siasatan dalaman dalam situasi berikut:

• apabila berlaku pemindahan (penyediaan, penyebaran, akses) data peribadi yang tidak sah atau tidak sengaja yang mengakibatkan pelanggaran hak subjek data peribadi;
• dalam kes lain yang diperuntukkan oleh perundangan dalam bidang data peribadi.

7.10. Pekerja yang bertanggungjawab untuk mengorganisasikan pemprosesan data peribadi menjalankan kawalan dalaman terhadap pematuhan keperluan perundangan dalam bidang data peribadi. Kawalan dalaman dilaksanakan dalam bentuk pemeriksaan dalaman.

7.11. Siasatan dalaman dijalankan apabila fakta pemindahan data peribadi yang tidak sah atau tidak sengaja yang mengakibatkan pelanggaran hak subjek data peribadi dikenal pasti (selepas ini disebut — insiden).

7.11.1. Dalam kes insiden, Pengusaha dalam masa 24 jam memberitahu pihak berkuasa kawal selia yang berkenaan: tentang insiden tersebut, punca yang disyaki dan kemudaratan yang ditimpakan ke atas hak subjek data peribadi, serta langkah-langkah yang diambil untuk memulihkan akibat insiden tersebut.

7.11.2. Dalam masa 72 jam, Pengusaha wajib memberitahu pihak berkuasa kawal selia yang berkenaan tentang hasil siasatan dalaman dan memberikan maklumat tentang individu yang tindakannya menyebabkan insiden (jika ada).

7.12. Sekiranya maklumat yang disahkan diterima bahawa data peribadi adalah tidak lengkap, tidak tepat atau tidak terkini, perubahan dibuat dalam masa tujuh hari bekerja.

8. Tanggungjawab atas Pelanggaran Norma yang Mengawal Pemprosesan Data Peribadi

8.1. Individu yang bersalah melanggar peruntukan perundangan dalam bidang data peribadi semasa pemprosesan data peribadi tertakluk kepada tindakan tatatertib dan tanggungjawab material mengikut prosedur yang ditetapkan oleh Kod Buruh dan undang-undang persekutuan lain. Di samping itu, mereka tertakluk kepada tanggungjawab pentadbiran, sivil atau jenayah mengikut prosedur yang ditetapkan oleh undang-undang persekutuan.

8.2. Kemudaratan moral yang ditimpakan ke atas subjek data peribadi akibat pelanggaran haknya, pelanggaran peraturan pemprosesan data peribadi, serta ketidakpatuhan kepada keperluan perlindungannya, tertakluk kepada pampasan mengikut perundangan yang berkenaan. Pampasan kemudaratan moral dilaksanakan secara bebas daripada pampasan kemudaratan harta benda dan kerugian yang ditanggung oleh subjek data peribadi.