Dasar Privasi

PTIS Sarawak (Pasukan Teknikal ICT Sekolah) ialah pasukan teknikal ICT sekolah yang beroperasi di bawah Jabatan Pendidikan Negeri Sarawak (JPNS), Kementerian Pendidikan Malaysia (KPM). Kami adalah pengawal data (data controller) yang bertanggungjawab terhadap data peribadi yang diproses melalui Platform ini di bawah peruntukan PDPA 2010.

Kami mengumpul kategori data peribadi berikut apabila anda menggunakan Platform:

Maklumat Akaun

• Nama penuh
• Alamat e-mel
• Gambar profil (jika disediakan melalui akaun Google)
• Status pengesahan e-mel
• Cap masa penciptaan dan kemas kini terakhir akaun

Data Pengesahan

• Pengecam penyedia pengesahan (Google atau e-mel/kata laluan)
• Kata laluan yang dicincang (hashed) menggunakan algoritma sehala yang selamat — tidak pernah disimpan dalam teks biasa
• Token OAuth untuk log masuk Google (disimpan dan diuruskan dengan selamat)

Data Sesi & Teknikal

• Token sesi dan cap masa tamat tempoh
• Maklumat pelayar dan peranti (rentetan ejen pengguna)
• Konteks organisasi aktif semasa sesi

Data Organisasi

• Nama organisasi dan peranan keahlian (pentadbir, ahli)
• Rekod jemputan (e-mel penerima, penjemput, status, cap masa)
• Rekod permohonan akses (nama, e-mel, organisasi yang dimohon, status kelulusan)

Data Operasi

• Penyerahan borang dan data laporan ICT
• Rekod penyelenggaraan dan lawatan ICT sekolah
• Data inventori peralatan dan peranti
• Pemberitahuan dalam aplikasi

Kami memproses data peribadi anda untuk tujuan berikut, selaras dengan prinsip-prinsip PDPA 2010:

• Pengurusan akaun — Untuk mencipta dan menyelenggara akaun anda, mengesahkan identiti anda, dan mengurus proses pengesahan masuk
• Kawalan akses — Untuk memproses jemputan dan permohonan akses, serta mengurus peranan dan keahlian dalam organisasi
• Operasi platform — Untuk membolehkan penyerahan borang, menjana laporan, mengurus inventori, dan menyokong aliran kerja operasi ICT
• Komunikasi — Untuk menghantar pengesahan e-mel, e-mel tetapan semula kata laluan, jemputan organisasi, dan pemberitahuan operasi dalam aplikasi
• Keselamatan & pentadbiran — Untuk melindungi Platform daripada akses tanpa kebenaran, memantau sesi aktif, mengesan aktiviti mencurigakan, dan menguatkuasakan pematuhan Terma
• Analitik & penambahbaikan — Untuk menganalisis data operasi agregat (contohnya, status peralatan ICT merentas daerah) bagi perancangan strategik, penambahbaikan Platform, dan pelaporan kepada pihak berkuasa berkenaan

Kami tidak menjual, menyewa, atau mendagangkan data peribadi anda kepada mana-mana pihak ketiga untuk tujuan pemasaran atau komersial.

Di bawah Akta Perlindungan Data Peribadi 2010 (PDPA), kami memproses data peribadi anda berdasarkan asas undang-undang yang sah berikut:

• Persetujuan — Dengan mencipta akaun dan menggunakan Platform, anda memberikan persetujuan anda kepada pengumpulan dan pemprosesan data peribadi anda seperti yang diterangkan dalam Dasar ini. Anda boleh menarik balik persetujuan pada bila-bila masa, walaupun ini mungkin menjejaskan keupayaan anda untuk menggunakan Platform.
• Keperluan kontrak — Pemprosesan adalah perlu untuk menyediakan anda akses kepada Platform dan memenuhi obligasi perkhidmatan kami kepada anda.
• Kepentingan sah — Pemprosesan bagi tujuan menyelenggara keselamatan Platform, mencegah penipuan, dan menjalankan operasi ICT yang berkesan dalam sektor pendidikan.
• Kewajipan undang-undang — Pemprosesan yang diperlukan untuk mematuhi undang-undang Malaysia yang berkuat kuasa dan keperluan pentadbiran kerajaan di bawah KPM/JPNS.

Jika anda memilih untuk log masuk dengan Google melalui protokol OAuth 2.0, kami menerima maklumat berikut daripada akaun Google anda:

• Nama penuh dan alamat e-mel anda
• Gambar profil anda (jika ada)
• Token pengesahan untuk mengesahkan identiti anda semasa sesi

Kami tidak mengakses Google Drive, Google Calendar, kenalan Gmail, sejarah penyemakan imbas, atau mana-mana perkhidmatan Google lain di luar maklumat profil asas anda. Kata laluan Google anda tidak pernah dikongsi dengan atau disimpan oleh PTIS Sarawak dalam apa jua bentuk.

Anda boleh membatalkan akses PTIS Sarawak pada bila-bila masa melalui Kebenaran Akaun Google. Selepas pembatalan, anda tidak akan dapat log masuk ke Platform menggunakan akaun Google tersebut.

Data anda disimpan dengan selamat menggunakan amalan standard industri terkini:

• Pangkalan data — Data disimpan dalam pangkalan data terurus yang selamat dengan penyulitan semasa rehat (at-rest) dan semasa transit (in-transit) menggunakan TLS/SSL
• Pengehosan — Platform dihoskan pada penyedia infrastruktur awan yang bereputasi dengan penguatkuasaan HTTPS automatik pada semua sambungan
• Kata laluan — Semua kata laluan dicincang menggunakan algoritma pencincangan sehala yang selamat (bcrypt) dan tidak pernah disimpan dalam teks biasa dalam apa jua keadaan
• Storan fail — Fail yang dimuat naik disimpan dengan selamat dalam storan awan dengan kawalan akses berasaskan peranan
• Kawalan akses — Akses kepada data pengeluaran (production) adalah terhad kepada kakitangan teknikal yang diberi kuasa sahaja dengan pengesahan berbilang faktor (MFA)

Walaupun kami melaksanakan langkah-langkah teknikal dan organisasi yang sewajarnya untuk melindungi data anda, tiada sistem penghantaran atau penyimpanan data melalui internet yang dapat menjamin keselamatan mutlak seratus peratus. Sekiranya anda mengesyaki sebarang pelanggaran keselamatan berkaitan akaun anda, sila hubungi kami dengan segera.

Kami menggunakan perkhidmatan pihak ketiga yang dipercayai sebagai pemproses data (data processors) untuk mengendalikan Platform. Setiap pemproses data dikontrak untuk menguruskan data anda selaras dengan piawaian keselamatan dan privasi yang ketat:

• Google (Pengesahan) — Untuk Log Masuk Google, kami menggunakan perkhidmatan OAuth 2.0 Google bagi pengesahan identiti yang selamat. Dasar Privasi Google →
• Vercel (Pengehosan Platform) — Platform kami dihoskan pada Vercel, penyedia infrastruktur awan yang bereputasi dengan keupayaan pengehosan tepi (edge) global. Dasar Privasi Vercel →
• Neon (Pangkalan Data) — Data operasi dan peribadi anda disimpan dalam perkhidmatan pangkalan data PostgreSQL tanpa pelayan (serverless) yang dikendalikan oleh Neon, dengan penyulitan penuh semasa rehat dan transit. Dasar Privasi Neon →
• Cloudflare R2 (Storan Fail) — Fail yang dimuat naik melalui Platform disimpan dengan selamat dalam perkhidmatan storan objek Cloudflare R2 dengan kawalan akses yang ketat. Dasar Privasi Cloudflare →
• Resend (Perkhidmatan E-mel) — Kami menggunakan Resend untuk menghantar e-mel transaksional seperti pengesahan akaun, tetapan semula kata laluan, jemputan, dan pemberitahuan operasi. Dasar Privasi Resend →

Kami tidak berkongsi data peribadi anda dengan mana-mana pihak ketiga lain selain daripada yang disenaraikan di atas, melainkan diwajibkan oleh undang-undang atau dengan persetujuan nyata anda.

Kami menyimpan data peribadi anda hanya selagi ia diperlukan untuk tujuan yang dinyatakan dalam Dasar ini, tertakluk kepada keperluan undang-undang dan dasar rekod rasmi KPM/JPNS:

• Data akaun aktif — Disimpan selagi akaun anda aktif dan anda terus menggunakan Platform
• Data sesi — Token sesi dipadamkan secara automatik apabila sesi tamat tempoh atau anda log keluar
• Rekod operasi — Penyerahan borang, laporan penyelenggaraan, data inventori, dan rekod lawatan disimpan mengikut dasar penyimpanan rekod rasmi KPM/JPNS yang berkuat kuasa
• Permohonan akses — Permohonan yang ditolak atau tamat tempoh dipadamkan selepas tempoh yang ditetapkan oleh pentadbir
• Selepas penamatan akaun — Data peribadi akaun yang ditamatkan akan dipadamkan atau dinyahkenal pasti (de-identified) dalam tempoh yang munasabah, melainkan penyimpanan berterusan diperlukan untuk tujuan audit atau undang-undang

Jika anda ingin meminta pemadaman data anda, sila hubungi kami menggunakan maklumat dalam bahagian "Hubungi Kami".

Di bawah Akta Perlindungan Data Peribadi 2010 (PDPA), anda mempunyai hak-hak berikut berkenaan data peribadi anda:

• Hak Akses — Anda boleh meminta salinan data peribadi yang kami simpan tentang anda. Kami akan memberikan maklumat ini dalam tempoh yang munasabah.
• Hak Pembetulan — Anda boleh meminta pembetulan terhadap sebarang data peribadi yang tidak tepat, tidak lengkap, atau lapuk yang berkaitan dengan anda.
• Hak Menarik Balik Persetujuan — Anda boleh menarik balik persetujuan anda untuk pemprosesan data pada bila-bila masa. Penarikan balik ini tidak menjejaskan kesahan pemprosesan yang telah berlaku sebelum penarikan balik.
• Hak Menghalang Pemprosesan — Anda boleh meminta kami menghentikan atau menyekat pemprosesan data anda dalam keadaan tertentu, contohnya jika pemprosesan menyebabkan kerosakan atau kesulitan material kepada anda.
• Hak Pemadaman — Dalam keadaan tertentu, anda boleh meminta pemadaman data peribadi anda, tertakluk kepada kewajipan penyimpanan rekod kami di bawah undang-undang yang berkenaan.

Untuk menggunakan mana-mana hak di atas, sila hantar permintaan bertulis kepada kami melalui e-mel yang disediakan dalam bahagian "Hubungi Kami". Kami akan memproses permintaan anda dalam tempoh 21 hari kalendar mengikut peruntukan PDPA.

Platform menggunakan kuki (cookies) dan token sesi untuk tujuan yang terhad dan khusus:

• Kuki sesi pengesahan — Kuki penting yang menyimpan token sesi anda selepas log masuk berjaya. Kuki ini diperlukan untuk Platform berfungsi dan tidak boleh dilumpuhkan.
• Token CSRF — Digunakan untuk melindungi borang daripada serangan pemalsuan permintaan merentas tapak (cross-site request forgery).
• Pilihan antara muka — Data kecil yang menyimpan tetapan UI asas seperti mod gelap atau bahasa pilihan anda.

Kami tidak menggunakan kuki penjejakan pihak ketiga, kuki analitik komersial, kuki pengiklanan, atau sebarang teknologi penjejakan merentas tapak. Semua kuki yang digunakan adalah perlu secara teknikal untuk operasi Platform sahaja.

Kuki sesi akan tamat tempoh secara automatik apabila anda menutup pelayar atau selepas tempoh tidak aktif yang ditetapkan, atau apabila anda log keluar secara eksplisit.

Platform ini direka bentuk dan bertujuan semata-mata untuk kegunaan kakitangan sektor pendidikan yang telah dilantik secara rasmi dan berumur 18 tahun ke atas. Platform ini bukan bertujuan untuk diakses oleh pelajar atau kanak-kanak.

Kami tidak mengumpul data peribadi kanak-kanak di bawah umur 18 tahun secara sedar atau sengaja. Sekiranya anda percaya bahawa seorang kanak-kanak telah memberikan data peribadi mereka kepada kami tanpa persetujuan ibu bapa atau penjaga yang sah, sila hubungi kami dengan segera melalui maklumat dalam bahagian "Hubungi Kami" dan kami akan mengambil langkah-langkah yang sewajarnya untuk memadamkan data tersebut.

Beberapa penyedia perkhidmatan pihak ketiga yang kami gunakan mungkin memproses atau menyimpan data dalam pelayan yang terletak di luar Malaysia, termasuk di Amerika Syarikat dan rantau lain. Ini berlaku melalui:

• Vercel — Infrastruktur tepi (edge) global yang mungkin melibatkan pemprosesan di pelbagai rantau
• Neon — Pangkalan data yang dihoskan pada awan AWS, dengan rantau penyimpanan utama yang dipilih untuk prestasi
• Cloudflare R2 — Storan objek global Cloudflare dengan pengedaran merentasi pusat data antarabangsa
• Resend — Perkhidmatan penghantaran e-mel yang beroperasi melalui infrastruktur global

Setiap pemindahan data antarabangsa ini dilakukan dengan perlindungan kontrak yang sesuai bagi memastikan data anda menerima tahap perlindungan yang setara dengan yang ditetapkan di bawah PDPA Malaysia. Dengan menggunakan Platform, anda bersetuju kepada pemindahan data ini.

Walaupun kami mengambil langkah-langkah keselamatan yang komprehensif, kami mengakui bahawa tiada sistem yang sempurna. Sekiranya berlaku pelanggaran data atau insiden keselamatan yang menjejaskan data peribadi anda:

• Kami akan menilai skop dan impak insiden tersebut dengan segera
• Kami akan memberitahu pengguna yang terjejas dalam tempoh yang munasabah, selaras dengan keperluan undang-undang yang berkuat kuasa
• Kami akan mengambil langkah-langkah pemulihan yang sewajarnya untuk mengurangkan impak dan mencegah kejadian berulang
• Kami akan melaporkan insiden tersebut kepada pihak berkuasa yang berkenaan jika diwajibkan oleh undang-undang

Jika anda mengesyaki sebarang aktiviti mencurigakan berkaitan akaun anda atau menemui kelemahan keselamatan pada Platform, sila hubungi kami serta-merta melalui admin@ptissarawak.com.

Kami mungkin mengemas kini Dasar Privasi ini dari semasa ke semasa untuk mencerminkan perubahan dalam amalan pemprosesan data kami, keperluan undang-undang yang berkuat kuasa, atau perkhidmatan pihak ketiga yang kami gunakan. Apabila perubahan material dibuat:

• Tarikh "Kemas Kini Terakhir" di bahagian atas halaman ini akan disemak semula
• Pengguna mungkin menerima notifikasi dalam Platform atau melalui e-mel bagi perubahan yang memberi impak signifikan kepada cara kami menguruskan data anda

Penggunaan berterusan anda terhadap Platform selepas tarikh kuat kuasa perubahan merupakan penerimaan anda terhadap Dasar Privasi yang telah dikemas kini. Sekiranya anda tidak bersetuju dengan perubahan tersebut, anda berhak untuk menghentikan penggunaan Platform dan meminta penamatan akaun. Adalah tanggungjawab anda untuk menyemak halaman ini secara berkala bagi memastikan anda sentiasa mengetahui Dasar Privasi terkini yang berkuat kuasa.

Sekiranya anda mempunyai sebarang pertanyaan, kebimbangan, atau ingin menggunakan hak-hak anda di bawah PDPA berkaitan Dasar Privasi ini, sila hubungi kami:

Kami berusaha untuk membalas semua permintaan berkaitan privasi dalam tempoh tiga (3) hingga dua puluh satu (21) hari bekerja bergantung kepada kerumitan permintaan, selaras dengan peruntukan PDPA.