Dasar Privasi

Tellus — platform data & jaminan ESG, sebuah produk Joshua Rayan Communications (“JRC”).

Versi 2.0 · Berkuat kuasa 20 Jun 2026

🌐 English: Read this Privacy Policy in English

Dasar Privasi ini menerangkan cara JRC mengumpul, menggunakan, mendedahkan dan melindungi data peribadi berkaitan platform Tellus (“Platform”). Ia disediakan selaras dengan Akta Perlindungan Data Peribadi 2010 Malaysia (“APDP”, sebagaimana dipinda) dan, apabila Platform digunakan oleh individu di Kesatuan Eropah atau Kawasan Ekonomi Eropah atau untuk memantau tingkah laku mereka, dengan Peraturan Perlindungan Data Am EU (Peraturan (EU) 2016/679) (“GDPR”). Dengan menggunakan Platform, anda mengakui amalan yang diterangkan di sini. Istilah bermula huruf besar yang digunakan tetapi tidak ditakrifkan di sini (seperti Klien, Pengawal, Pemproses dan Perjanjian Komersial) mempunyai maksud yang diberikan dalam Terma Perkhidmatan dan Perjanjian Pemprosesan Data kami. Dalam Dasar ini, “data peribadi” termasuk “maklumat peribadi” di bawah APDP dan “data peribadi” di bawah GDPR; “pengguna data” (APDP) dan “pengawal” (GDPR) digunakan secara saling bertukar, begitu juga “pemproses data” (APDP) dan “pemproses” (GDPR).

1. Siapa kami — pengawal, pemproses dan kenalan

Joshua Rayan Communications (“JRC”) ialah penyedia Platform. JRC ditubuhkan di Malaysia dan boleh dihubungi di tom@jr.com.my. Bagi hal dalam skop Dasar ini, JRC ialah pengawal data akaun, penggunaan dan keselamatan, dan bertindak sebagai pemproses bagi data ESG dan operasi yang dikendalikannya bagi pihak organisasi Klien (lihat di bawah).

Kenalan perlindungan data / Pegawai Perlindungan Data: JRC telah melantik kenalan perlindungan data yang juga menjalankan fungsi pegawai perlindungan data bagi Platform. Anda boleh menghubungi kenalan ini di tom@jr.com.my bagi sebarang soalan privasi, untuk melaksanakan hak anda, atau untuk menyuarakan kebimbangan.
Wakil EU/EEA (Perkara 27 GDPR): JRC tidak ditubuhkan di EU/EEA. Apabila Perkara 27 GDPR menghendaki JRC melantik seorang wakil di Kesatuan bagi pemprosesan dalam skop GDPR, wakil tersebut boleh dihubungi melalui kenalan perlindungan data JRC di tom@jr.com.my, yang akan menyalurkan perkara itu kepada wakil yang dilantik. Subjek data EU/EEA boleh menghubungi kami menggunakan alamat ini sebagai titik hubungan, sebagai tambahan kepada, atau sebagai ganti, menghubungi JRC secara terus.

Apabila JRC bertindak sebagai pemproses bagi data ESG Klien, organisasi Klien ialah pengawal dan anda hendaklah menujukan permintaan peringkat pengawal kepada organisasi itu; JRC akan menyokongnya sebagaimana dinyatakan dalam Perjanjian Pemprosesan Data.

2. Peranan pengawal dan pemproses

Platform mengendalikan dua jenis data:

Data akaun & penggunaan (butiran individu yang log masuk dan cara mereka menggunakan Platform): JRC ialah pengguna data / pengawal dan bertanggungjawab ke atasnya di bawah Dasar ini.
Data ESG dan operasi organisasi anda, termasuk sebarang data peribadi di dalamnya (contohnya bilangan pekerja atau angka keselamatan dan kesihatan): organisasi Klien ialah pengguna data / pengawal dan JRC bertindak sebagai pemproses data bagi pihak Klien, di bawah Perjanjian Pemprosesan Data.

3. Data peribadi yang kami kumpul

Kategori	Contoh	Tujuan
Data akaun	Nama, e-mel kerja, peranan, serta Klien dan entiti yang ditugaskan kepada anda	Pengesahan, kawalan akses, dan penyelenggaraan jejak audit
Data ESG & operasi	Angka tenaga, pelepasan, air, sisa, sosial dan tadbir urus, serta fail bukti sokongan yang dimuat naik organisasi anda	Untuk menyediakan perkhidmatan pelaporan dan jaminan kepada organisasi anda
Data penggunaan & keselamatan	Peristiwa log masuk, rekod siapa mengubah apa dan bila, dan aktiviti sesi	Keselamatan, log audit dalam aplikasi, dan pencegahan penyalahgunaan

Platform direka untuk memproses angka ESG agregat (termasuk statistik keselamatan dan kesihatan agregat), bukan data kesihatan peringkat individu. Organisasi Klien tidak boleh memuat naik data peribadi sensitif (sebagaimana ditakrifkan dalam APDP) atau kategori khas data peribadi (Perkara 9 GDPR — seperti data berkaitan kesihatan) tanpa terlebih dahulu memperoleh kebenaran nyata atau syarat sah lain yang dikehendaki oleh APDP dan GDPR. Kami tidak menggunakan data ESG anda untuk melatih model kecerdasan buatan, dan kami tidak menjual data peribadi.

4. Cara kami menggunakan data peribadi

Kami memproses data peribadi untuk: mengendali, melindungi dan menyokong Platform; mengesahkan pengguna dan menguatkuasakan akses berasaskan peranan; menyelenggara log audit yang diperlukan untuk jaminan; menyampaikan maklumat perkhidmatan dan akaun (seperti jemputan, set semula kata laluan dan peringatan tarikh akhir); dan mematuhi kewajipan undang-undang kami. Kami memproses data ESG hanya untuk menyediakan perkhidmatan kepada organisasi Klien dan atas arahan bertulisnya.

5. Asas sah untuk pemprosesan

APDP pada dasarnya merupakan rejim berasaskan kebenaran, ditambah dengan syarat dalam seksyen 6(2) APDP. GDPR menghendaki asas sah di bawah Perkara 6 bagi setiap aktiviti pemprosesan. Jadual di bawah memetakan setiap tujuan kepada asas APDP dan asas sah GDPR-nya.

Tujuan pemprosesan	Asas APDP	Asas sah GDPR (Perkara 6)
Mencipta dan mengurus akaun anda; mengesahkan anda; menguatkuasakan akses berasaskan peranan; menyediakan Platform yang anda dijemput untuk menggunakannya	Kebenaran yang diberi semasa pendaftaran; dan s.6(2) pemprosesan yang perlu untuk pelaksanaan perjanjian antara JRC dan organisasi anda	Perkara 6(1)(b) — pelaksanaan kontrak (atau langkah sebelumnya); dan, bagi data akaun kakitangan Klien, Perkara 6(1)(f) kepentingan sah dalam menyediakan perkhidmatan kepada Klien yang membenarkan akaun anda
Komunikasi perkhidmatan dan akaun (jemputan, set semula kata laluan, peringatan tarikh akhir)	Kebenaran; dan s.6(2) pelaksanaan perjanjian	Perkara 6(1)(b) — pelaksanaan kontrak; Perkara 6(1)(f) — kepentingan sah dalam mentadbir perkhidmatan
Keselamatan, log audit tambah-sahaja, pencegahan penipuan dan penyalahgunaan, serta melindungi integriti rekod pelaporan/jaminan	S.6(2) — pemprosesan yang perlu untuk kepentingan sah JRC dan untuk pematuhan kewajipan undang-undang; kebenaran untuk pengendalian Platform	Perkara 6(1)(f) — kepentingan sah dalam melindungi Platform dan memelihara rekod yang boleh diaudit; Perkara 6(1)(c) — pematuhan kewajipan undang-undang, jika berkenaan
Memproses data ESG & operasi bagi pihak Klien	Klien (sebagai pengguna data) bertanggungjawab ke atas asas sah; JRC memproses atas arahan di bawah DPA	Pengawal Klien bergantung pada asas Perkara 6-nya sendiri (lazimnya Perkara 6(1)(c) kewajipan undang-undang atau Perkara 6(1)(f) kepentingan sah); JRC memproses sebagai pemproses di bawah Perkara 28
Mematuhi kewajipan undang-undang, kawal selia, cukai dan perakaunan; menubuhkan, melaksanakan atau mempertahankan tuntutan undang-undang	S.6(2) — pematuhan kewajipan undang-undang; kepentingan sah	Perkara 6(1)(c) — kewajipan undang-undang; Perkara 6(1)(f) — kepentingan sah dalam mempertahankan tuntutan

Apabila kami bergantung pada kepentingan sah (Perkara 6(1)(f)), kami telah mengimbangi kepentingan tersebut dengan hak dan kebebasan anda; anda boleh membantah seperti diterangkan dalam seksyen 11, dan anda boleh meminta kami maklumat lanjut tentang pengimbangan itu. Apabila kami bergantung pada kebenaran, anda boleh menariknya balik pada bila-bila masa tanpa menjejaskan pemprosesan yang dijalankan sebelum penarikan balik; penarikan balik mungkin bermakna kami tidak lagi dapat menyediakan perkhidmatan kepada anda.

6. Pendedahan dan sub-pemproses

Kami tidak mendedahkan data peribadi kecuali kepada penyedia perkhidmatan di bawah (yang bertindak sebagai pemproses / sub-pemproses kami atas arahan kami dan di bawah kontrak bertulis), kepada organisasi anda sendiri mengikut kawalan aksesnya, atau apabila dikehendaki oleh undang-undang atau untuk melindungi hak dan keselamatan. Sub-pemproses kami ialah:

Penyedia	Peranan	Lokasi data
Supabase / Amazon Web Services (AWS)	Pangkalan data (PostgreSQL), pengesahan dan storan fail bukti	Singapura (AWS ap-southeast-1)
Cloudflare	Pengehosan aplikasi dan penghantaran kandungan	Rangkaian edge global
Resend	E-mel transaksi (jemputan, set semula kata laluan, peringatan)	Tokyo, Jepun

Kami akan mengemas kini senarai ini dan memaklumkan pentadbir Klien sebelum menambah atau menukar sub-pemproses yang memberi kesan material kepada pemprosesan. Setiap sub-pemproses terikat dengan terma perlindungan data yang selaras dengan APDP dan, jika berkenaan, Perkara 28 GDPR.

7. Pemindahan data antarabangsa

Storan data utama Platform dihoskan di Singapura (AWS ap-southeast-1). Selain itu, data peribadi terhad — alamat e-mel akaun dan kandungan e-mel jemputan, set semula kata laluan dan peringatan — diproses oleh penyedia e-mel kami di Jepun, dan penyedia pengehosan/CDN kami mengendalikan rangkaian global. Ini bermakna data peribadi dipindahkan ke luar Malaysia dan, bagi data dalam skop GDPR, ke luar EU/EEA.

Di bawah APDP: apabila data peribadi dipindahkan ke luar Malaysia, kami hanya memindahkan apabila data akan menerima perlindungan selaras dengan APDP, dengan bergantung pada perlindungan kontraktual yang sesuai dengan sub-pemproses kami serta syarat dan Garis Panduan Pemindahan Rentas Sempadan yang berkenaan.
Di bawah GDPR: bagi pemindahan data peribadi EU/EEA ke negara tanpa keputusan kecukupan (adequacy) EU (seperti Singapura), kami bergantung pada Klausa Kontrak Standard (SCC) Suruhanjaya Eropah yang dimasukkan ke dalam perjanjian kami dengan sub-pemproses yang berkenaan, bersama-sama langkah teknikal dan organisasi tambahan (termasuk penyulitan semasa penghantaran) jika sesuai. Pemindahan kepada penyedia e-mel kami di Jepun dilindungi oleh keputusan kecukupan (adequacy) Suruhanjaya Eropah untuk Jepun. Anda boleh meminta salinan perlindungan pemindahan yang berkenaan dengan menghubungi kami di tom@jr.com.my.

8. Pengekalan

Kami menyimpan data peribadi hanya selama yang perlu bagi tujuan yang dinyatakan dalam Dasar ini:

Data ESG dan bukti: dikekalkan selagi akaun organisasi anda aktif, dan selepas itu mengikut Perjanjian Pemprosesan Data (pemulangan atau pemadaman apabila penamatan, lazimnya dalam tempoh 30 hari selepas penamatan melainkan tempoh yang lebih lama dikehendaki oleh undang-undang).
Data akaun: dikekalkan semasa akaun anda aktif dan untuk tempoh yang munasabah selepas itu bagi mengendalikan pertanyaan dan pertikaian, kemudian dipadam atau dianonimkan.
Entri log audit: dikekalkan sepanjang hayat akaun untuk memelihara integriti rekod pelaporan dan jaminan, selepas itu dipadam atau dianonimkan selaras dengan DPA.
Log e-mel dan keselamatan: dikekalkan untuk tempoh terhad yang berkadar dengan keperluan keselamatan dan penyelesaian masalah.

Fail bukti yang dipadam dalam Platform dikeluarkan daripada storan secara berjadual. Apabila kami dikehendaki menyimpan rekod tertentu untuk memenuhi kewajipan undang-undang, kami mengekalkannya untuk tempoh yang dikehendaki undang-undang dan tidak lebih daripada itu.

9. Keselamatan

Kami menggunakan langkah teknikal dan organisasi yang sesuai dengan data, termasuk: penyulitan semasa penghantaran; akses berasaskan peranan yang dikuatkuasakan di pelayan dan diskopkan kepada entiti yang ditugaskan kepada setiap pengguna; log audit tambah-sahaja bagi perubahan; pengesahan fail bukti yang dimuat naik (menyemak jenis fail sebenar dan menolak fail yang mengandungi makro atau kandungan aktif); dan keupayaan untuk mengunci tahun pelaporan supaya angka yang dijamin tidak boleh diubah. Tiada sistem yang sempurna selamat, tetapi kami berusaha melindungi data anda dan menambah baik kawalan kami dari semasa ke semasa.

10. Pembuatan keputusan automatik dan pemprofilan

JRC tidak menggunakan Platform untuk membuat keputusan tentang anda berdasarkan semata-mata pemprosesan automatik, termasuk pemprofilan, yang menghasilkan kesan undang-undang atau kesan ketara yang serupa dalam maksud Perkara 22 GDPR. Platform melaksanakan pengiraan ke atas angka yang dimasukkan oleh organisasi anda (contohnya anggaran gas rumah hijau menggunakan faktor pelepasan yang diterbitkan) sebagai alat bantu pelaporan; ini bukan keputusan automatik tentang individu.

11. Hak anda

Tertakluk kepada APDP dan, apabila terpakai, GDPR, anda mempunyai hak berikut berkaitan data peribadi anda:

Akses — untuk memperoleh pengesahan sama ada kami memproses data peribadi anda dan salinannya;
Pembetulan — untuk membetulkan data yang tidak tepat atau tidak lengkap;
Pemadaman (“hak untuk dilupakan”) — untuk memadam data peribadi anda apabila salah satu alasan GDPR terpakai (ini ialah hak GDPR dan mungkin tidak tersedia apabila pengekalan dikehendaki oleh undang-undang atau untuk mempertahankan tuntutan undang-undang);
Pengehadan pemprosesan — untuk meminta kami menghadkan cara kami memproses data anda dalam keadaan tertentu;
Kemudahalihan data — apabila boleh dilaksanakan secara teknikal dan data anda disimpan dalam format berstruktur, lazim digunakan, boleh dibaca mesin dan diproses secara automatik atas asas kebenaran atau kontrak, untuk menerimanya atau memindahkannya kepada pengawal / pengguna data lain;
Bantahan — untuk membantah pemprosesan berasaskan kepentingan sah (Perkara 6(1)(f)), dan untuk membantah pada bila-bila masa pemprosesan bagi tujuan pemasaran langsung;
Menarik balik kebenaran — apabila pemprosesan bergantung pada kebenaran anda, untuk menariknya balik pada bila-bila masa tanpa menjejaskan kesahihan pemprosesan sebelum penarikan balik;
Membuat aduan — untuk membuat aduan kepada pihak berkuasa penyeliaan, seperti diterangkan dalam seksyen 13.

Bagi data ESG yang kami simpan bagi pihak organisasi Klien, sila tujukan permintaan anda kepada organisasi itu (Pengawal); JRC akan membantunya seperti dinyatakan dalam Perjanjian Pemprosesan Data. Bagi data akaun anda, hubungi kami menggunakan butiran dalam seksyen 14. Kami akan membalas dalam tempoh yang dikehendaki oleh undang-undang yang terpakai — di bawah GDPR, lazimnya dalam tempoh satu bulan (boleh dilanjutkan dua bulan lagi bagi permintaan yang rumit, dengan notis). Kami tidak mengenakan caj untuk melaksanakan hak anda kecuali apabila permintaan itu nyata-nyata tidak berasas atau keterlaluan, sebagaimana dibenarkan oleh undang-undang.

12. Pemberitahuan pelanggaran data

Bagi data peribadi yang JRC merupakan pengguna data / pengawal (seperti data akaun dan penggunaan):

Di bawah APDP: jika berlaku pelanggaran data peribadi, JRC akan memaklumkan Pesuruhjaya Perlindungan Data Peribadi Malaysia secepat mungkin yang praktik, dan akan memaklumkan individu yang terjejas tanpa kelewatan yang tidak perlu apabila pelanggaran berkemungkinan menyebabkan kemudaratan yang ketara, mengikut APDP dan garis panduan yang berkenaan.
Di bawah GDPR: JRC akan memaklumkan pihak berkuasa penyeliaan yang berwibawa tanpa kelewatan yang tidak wajar dan, jika boleh dilaksanakan, dalam tempoh 72 jam selepas menyedari berlakunya pelanggaran data peribadi yang berkemungkinan menyebabkan risiko kepada hak dan kebebasan individu, dan akan memaklumkan individu yang terjejas tanpa kelewatan yang tidak wajar apabila pelanggaran itu berkemungkinan menyebabkan risiko tinggi kepada mereka.

Bagi data ESG yang diproses bagi pihak organisasi Klien, JRC akan memaklumkan pengawal Klien tanpa kelewatan yang tidak wajar selepas menyedari berlakunya pelanggaran supaya pengawal dapat memenuhi kewajipan pemberitahuannya sendiri; kewajipan pelanggaran JRC dinyatakan dalam Perjanjian Pemprosesan Data.

13. Aduan dan pihak berkuasa penyeliaan

Jika anda mempunyai kebimbangan tentang cara data peribadi anda dikendalikan, sila hubungi kami terlebih dahulu di tom@jr.com.my supaya kami dapat cuba menyelesaikannya. Anda juga berhak membuat aduan kepada pihak berkuasa penyeliaan:

Malaysia: Pesuruhjaya Perlindungan Data Peribadi (Jabatan Perlindungan Data Peribadi, Malaysia).
EU/EEA: pihak berkuasa penyeliaan perlindungan data di Negara Anggota tempat kediaman biasa anda, tempat kerja, atau tempat dakwaan pelanggaran berlaku.

14. Kuki dan storan tempatan

Platform menggunakan storan pelayar yang benar-benar perlu untuk memastikan anda kekal log masuk dan mengingati keutamaan asas (seperti mod cerah/gelap). Ia tidak menggunakan kuki pengiklanan atau penjejakan pihak ketiga, jadi tiada persetujuan kuki berasingan diperlukan bagi fungsi yang benar-benar perlu ini.

15. Kanak-kanak

Platform ialah alat perniagaan dan tidak ditujukan kepada kanak-kanak. Kami tidak mengumpul data peribadi daripada kanak-kanak secara sedar.

16. Hubungi kami

Untuk hal privasi dan perlindungan data — termasuk untuk melaksanakan hak anda, menghubungi pegawai perlindungan data / titik hubungan wakil EU kami, atau menyuarakan kebimbangan — hubungi JRC di tom@jr.com.my. Kami akan membalas dalam tempoh yang dikehendaki oleh undang-undang yang terpakai.

17. Perubahan kepada Dasar ini

Kami mungkin mengemas kini Dasar ini dari semasa ke semasa. Kami akan menyiarkan versi yang dikemas kini di sini, menukar versi dan tarikh kuat kuasa di atas, mengemas kini versi Bahasa Malaysia, dan memaklumkan pentadbir Klien tentang perubahan material.