Notis Perlindungan Data Peribadi

Berkuatkuasa: 28 Mei 2026 | Dikeluarkan oleh: Data Brain Sdn. Bhd. (1335252-P)

Notis ini dikeluarkan menurut Seksyen 7 Akta Perlindungan Data Peribadi 2010 (Pindaan 2024) ("PDPA"). Ia menerangkan bagaimana Data Brain Sdn. Bhd. ("FinTag", "kami") mengumpul, memproses, menyimpan dan melindungi data peribadi anda apabila anda menggunakan platform FinTag.my.

1. Identiti Data User

Nama Syarikat: Data Brain Sdn. Bhd.
No. Pendaftaran: 1335252-P
Alamat Berdaftar: Tingkat 1, 2309, Jalan SJ 10/1, Taman Seremban Jaya, 70450 Seremban, Negeri Sembilan, Malaysia
Pegawai Perlindungan Data (DPO): admin@fintag.my

2. Jenis Data Peribadi Yang Dikumpul

Maklumat pendaftaran: nama, alamat email, kata laluan (di-hash), nombor telefon
Maklumat syarikat: nama syarikat, alamat, nombor pendaftaran SSM
Data penyata kewangan PDF yang dimuat naik untuk pemprosesan XBRL
Maklumat pembayaran: gateway Billplz mengendalikan transaksi (FinTag tidak menyimpan butiran kad)
Data teknikal: alamat IP, pelayar, peranti, masa log masuk, fingerprint peranti
Log aktiviti: muat naik, muat turun, perubahan data, log keluar/masuk

3. Tujuan Pengumpulan

Menyediakan perkhidmatan penukaran PDF ke XBRL untuk pemfailan SSM MBRS 2.0
Pengurusan akaun, pembilan, dan sokongan pelanggan
Keselamatan: pengesahan dua-faktor, pemantauan peranti baharu, pencegahan penipuan
Pematuhan undang-undang: rekod transaksi kewangan (LHDN), audit keselamatan (NACSA/MCMC)
Komunikasi: notifikasi pemfailan, email pengesahan, alert keselamatan

4. Pendedahan Kepada Pihak Ketiga

Kami HANYA dedahkan data peribadi anda kepada:

Penyedia AI (Google Gemini, Anthropic Claude): Untuk pemprosesan OCR & ekstraksi data PDF. Penyedia ini terikat dengan kontrak data processing.
Gateway pembayaran (Billplz): Untuk memproses transaksi top-up token
Infrastruktur hosting (Contabo VPS, Malaysia/Singapore): Server tempat data disimpan
Pihak berkuasa: Jika dimandatkan oleh undang-undang (e.g. perintah mahkamah, PDPA, PDRM)

Kami TIDAK menjual, menyewa, atau berkongsi data peribadi anda untuk tujuan pemasaran pihak ketiga.

5. Pemindahan Data Merentas Sempadan

Data peribadi mungkin diproses di luar Malaysia oleh penyedia AI antarabangsa (Google, Anthropic). Pemindahan ini dilindungi oleh kontrak data processing yang mematuhi Seksyen 129 PDPA 2010.

6. Tempoh Penyimpanan

Data akaun aktif: selama akaun aktif
Rekod pemfailan XBRL: 7 tahun (mengikut keperluan LHDN/SSM)
Log aktiviti & audit: 5 tahun
Selepas penghapusan akaun: data dianonimkan dalam 30 hari (Section 8 PDPA right-to-erasure)

7. Hak Anda Sebagai Subjek Data

Akses (S.30 PDPA): Eksport data anda di /profile/privacy
Pembetulan (S.34 PDPA): Kemaskini profil di /profile
Penarikan persetujuan (S.38 PDPA): Padam akaun di /profile/privacy
Aduan: Email admin@fintag.my, atau lapor terus ke Jabatan Perlindungan Data Peribadi (JPDP) di pdp.gov.my

8. Langkah Keselamatan

Penyulitan SSL/TLS untuk semua trafik (HTTPS)
Penyulitan kata laluan (bcrypt) — kami TIDAK simpan kata laluan plaintext
Pengesahan dua-faktor (2FA) tersedia
Pemantauan log masuk peranti baharu dengan alert email
Backup harian dengan penyulitan at-rest
Akses pekerja diaudit dan dilog

9. Cookies dan Tracking

Kami menggunakan cookies sesi untuk pengesahan dan keselamatan. Tiada cookies pemasaran pihak ketiga. Anda boleh nyahaktifkan cookies di tetapan pelayar, tetapi sebahagian fungsi mungkin terjejas.

10. Notifikasi Pelanggaran Data

Jika berlaku pelanggaran data, kami akan memberitahu pengguna yang terjejas dan JPDP dalam masa 72 jam mengikut Seksyen 12A PDPA (Pindaan 2024).

11. Perubahan Notis Ini

Kami boleh mengemaskini notis ini dari masa ke semasa. Versi terkini sentiasa tersedia di https://fintag.my/privacy. Perubahan material akan dimaklumkan melalui email.

Aduan & Penguatkuasaan: Jika anda tidak berpuas hati dengan cara kami mengendalikan data peribadi anda, anda boleh mengemukakan aduan kepada Pesuruhjaya Perlindungan Data Peribadi di www.pdp.gov.my.

Personal Data Protection Notice

Effective: 28 Mei 2026 | Issued by: Data Brain Sdn. Bhd. (1335252-P)

This notice is issued pursuant to Section 7 of the Personal Data Protection Act 2010 (Amendment 2024) ("PDPA"). It explains how Data Brain Sdn. Bhd. ("FinTag", "we") collects, processes, stores, and protects your personal data when you use the FinTag.my platform.

1. Data User Identity

Company: Data Brain Sdn. Bhd.
Registration No.: 1335252-P
Registered Address: Tingkat 1, 2309, Jalan SJ 10/1, Taman Seremban Jaya, 70450 Seremban, Negeri Sembilan, Malaysia
Data Protection Officer: admin@fintag.my

2. Personal Data We Collect

Registration info: name, email, hashed password, phone number
Company info: company name, address, SSM registration number
Uploaded financial statement PDFs (for XBRL conversion)
Payment info: Billplz handles transactions (we do NOT store card details)
Technical data: IP address, browser, device, login timestamps, device fingerprint
Activity logs: uploads, downloads, data changes, login/logout events

3. Purpose of Collection

Providing PDF-to-XBRL conversion for SSM MBRS 2.0 filing
Account management, billing, and customer support
Security: 2FA, new-device monitoring, fraud prevention
Legal compliance: financial transaction records (LHDN), security audits (NACSA/MCMC)
Communication: filing notifications, verification emails, security alerts

4. Third-Party Disclosure

We disclose personal data ONLY to:

AI providers (Google Gemini, Anthropic Claude): For OCR & data extraction. Bound by data processing agreements.
Payment gateway (Billplz): For token top-up transactions
Hosting (Contabo VPS, Malaysia/Singapore): Server infrastructure
Authorities: If mandated by law (court order, PDPA, PDRM)

We do NOT sell, rent, or share personal data for third-party marketing.

5. Cross-Border Data Transfer

Personal data may be processed outside Malaysia by international AI providers (Google, Anthropic). Such transfers are protected by data processing agreements compliant with Section 129 PDPA 2010.

6. Retention Period

Active account data: duration of active account
XBRL filing records: 7 years (per LHDN/SSM requirements)
Activity logs & audit trail: 5 years
Post-deletion: data anonymized within 30 days (Section 8 PDPA right-to-erasure)

7. Your Rights as Data Subject

Access (S.30 PDPA): Export your data at /profile/privacy
Correction (S.34 PDPA): Update profile at /profile
Withdraw consent (S.38 PDPA): Delete account at /profile/privacy
Complaint: Email admin@fintag.my, or file directly with Department of Personal Data Protection (JPDP) at pdp.gov.my

8. Security Measures

SSL/TLS encryption for all traffic (HTTPS)
Password hashing (bcrypt) — we do NOT store plaintext passwords
Two-factor authentication (2FA) available
New-device login monitoring with email alerts
Daily backups with at-rest encryption
Employee access audited and logged

9. Cookies and Tracking

We use session cookies for authentication and security. No third-party marketing cookies. You may disable cookies in browser settings, but some features may be affected.

10. Data Breach Notification

In the event of a data breach, we will notify affected users and JPDP within 72 hours per Section 12A PDPA (Amendment 2024).

11. Changes to This Notice

We may update this notice from time to time. The latest version is always at https://fintag.my/privacy. Material changes will be communicated via email.

Complaints & Enforcement: If you are not satisfied with how we handle your personal data, you may file a complaint with the Personal Data Protection Commissioner at www.pdp.gov.my.