UrusProUrusProTerms of Use

Privacy Notice & Choice

Personal Data Protection Act 2010 (Malaysia) · Notis Privasi & Pilihan (Akta Perlindungan Data Peribadi 2010)

Last updated: [LAST UPDATED DATE]

This notice is issued by [COMPANY LEGAL NAME] (Business Registration No. [BUSINESS REGISTRATION NO.]), ("UrusPro", "we", "us"), of [REGISTERED ADDRESS]. It explains how we handle your personal data when you use the UrusPro platform to discover, book and stay at homestays. The English text and the Bahasa Melayu text below have the same meaning; if there is any conflict, the English version prevails.

English

1. Personal data we collect

When you use UrusPro we may collect:

  • Identity and contact details: your name, email address and phone number.
  • Identity verification data, including your MyKad / identity card (IC) number and a photo of your IC where check-in or local regulations require guest identification.
  • Booking details: the properties you view, your reservation dates, number of guests, special requests and stay history.
  • Payment information processed through our payment provider (see section 3). We do not store full card numbers on our servers.
  • Door-access and smart-lock data: time-limited access codes / passcodes, lock and unlock events and the device identifiers needed to grant you entry to a property.
  • Technical and usage data: device, browser, IP address and how you interact with the app, used to keep the service secure and working.

Some of this data, in particular your IC number and IC photo, is sensitive personal data. We collect it only where necessary and with your consent, and we minimise how long we keep it (see section 5).

2. Why we use your data (purposes)

  • To create and manage your account and process your bookings.
  • To take and reconcile payments, refunds and any deposits, in RM.
  • To issue smart-lock access so you can enter the property you have booked, and to maintain a security record of access events.
  • To verify guest identity where required for check-in or by law.
  • To provide customer support and respond to your enquiries.
  • To meet our legal, tax and regulatory obligations.
  • To send you service messages, and marketing or promotional messages only where you have consented. You can withdraw marketing consent at any time.

3. Who we share your data with (disclosure)

We do not sell your personal data. We share it only with service providers who help us run UrusPro, and only as far as needed for the purposes above. These include:

  • TTLock: our smart-lock provider, to issue and manage door access codes for your booking.
  • Stripe: our payment processor, to take and secure your payments.
  • Our cloud hosting and AI gateway provider: to host the platform and power in-app assistance and support features.
  • Government authorities, regulators or law enforcement where we are legally required to disclose.

Cross-border transfer (PDPA section 129)

Some of these providers store and process personal data on servers outside Malaysia. In particular, TTLock processes smart-lock data on servers in the European Union (for example euapi.ttlock.com), Stripe processes payment data internationally, and our cloud and AI gateway provider may process data outside Malaysia. By using UrusPro and providing your data, you consent to this cross-border transfer. We take reasonable steps to ensure these recipients protect your data to a standard comparable to the PDPA.

4. How long we keep your data (retention)

We keep your personal data only for as long as needed for the purposes above, or as required by law. As a guide:

  • Booking and payment records: up to 7 years to meet tax and accounting requirements.
  • Sensitive data such as your IC number and IC photo: kept only as long as needed for verification and then deleted or anonymised sooner.
  • Smart-lock access codes: expire and are removed shortly after your stay ends; access logs are retained only as long as needed for security.

5. Your rights under the PDPA

Subject to the PDPA, you may:

  • Access the personal data we hold about you.
  • Correct data that is inaccurate, incomplete or out of date.
  • Withdraw consent, including consent to marketing or to processing of your sensitive data (this may limit our ability to provide some services).
  • Request deletion of your personal data where it is no longer required and we are not legally obliged to keep it.
  • Limit or object to how we process your personal data.

To exercise any of these rights, contact our privacy contact at [DPO / PRIVACY CONTACT EMAIL]. We may need to verify your identity before we act on your request.

6. How we protect your data (security)

We use reasonable technical and organisational measures to protect your personal data, including encryption in transit (HTTPS/TLS), access controls that limit who can see your data, and role-based permissions across the platform. No system is completely secure, but we work to protect your data against loss, misuse and unauthorised access.

7. Contact us

For any privacy question or to make a request, contact [COMPANY LEGAL NAME] at [DPO / PRIVACY CONTACT EMAIL], or write to us at [REGISTERED ADDRESS].

Bahasa Melayu

1. Data peribadi yang kami kumpul

Apabila anda menggunakan UrusPro, kami mungkin mengumpul:

  • Maklumat identiti dan hubungan: nama, alamat e-mel dan nombor telefon anda.
  • Data pengesahan identiti, termasuk nombor kad pengenalan (IC / MyKad) dan gambar IC anda apabila daftar masuk atau peraturan tempatan memerlukan pengenalan tetamu.
  • Butiran tempahan: hartanah yang anda lihat, tarikh tempahan, bilangan tetamu, permintaan khas dan sejarah penginapan.
  • Maklumat pembayaran yang diproses melalui penyedia pembayaran kami (lihat seksyen 3). Kami tidak menyimpan nombor kad penuh pada pelayan kami.
  • Data akses pintu dan kunci pintar: kod akses / kata laluan berhad masa, rekod buka dan kunci, serta pengecam peranti yang diperlukan untuk memberi anda akses ke hartanah.
  • Data teknikal dan penggunaan: peranti, pelayar, alamat IP dan cara anda menggunakan aplikasi, untuk memastikan perkhidmatan selamat dan berfungsi.

Sebahagian data ini, khususnya nombor IC dan gambar IC anda, ialah data peribadi sensitif. Kami mengumpulnya hanya apabila perlu dan dengan kebenaran anda, serta mengehadkan tempoh penyimpanannya (lihat seksyen 5).

2. Tujuan kami menggunakan data anda

  • Untuk mewujudkan dan mengurus akaun anda serta memproses tempahan anda.
  • Untuk memungut dan menyelaras pembayaran, bayaran balik dan deposit, dalam RM.
  • Untuk mengeluarkan akses kunci pintar supaya anda boleh masuk ke hartanah yang ditempah, dan menyimpan rekod keselamatan bagi akses tersebut.
  • Untuk mengesahkan identiti tetamu apabila diperlukan untuk daftar masuk atau oleh undang-undang.
  • Untuk memberi sokongan pelanggan dan menjawab pertanyaan anda.
  • Untuk memenuhi kewajipan undang-undang, cukai dan kawal selia kami.
  • Untuk menghantar mesej perkhidmatan, dan mesej pemasaran atau promosi hanya apabila anda memberi kebenaran. Anda boleh menarik balik kebenaran pemasaran pada bila-bila masa.

3. Pihak yang kami kongsi data anda (pendedahan)

Kami tidak menjual data peribadi anda. Kami berkongsi data hanya dengan penyedia perkhidmatan yang membantu kami menjalankan UrusPro, dan setakat yang perlu sahaja bagi tujuan di atas. Ini termasuk:

  • TTLock: penyedia kunci pintar kami, untuk mengeluarkan dan mengurus kod akses pintu bagi tempahan anda.
  • Stripe: pemproses pembayaran kami, untuk memungut dan melindungi pembayaran anda.
  • Penyedia pengehosan awan dan get laluan AI kami: untuk mengehos platform dan menggerakkan ciri bantuan serta sokongan dalam aplikasi.
  • Pihak berkuasa kerajaan, pengawal selia atau penguatkuasa undang-undang apabila kami dikehendaki mendedahkan secara sah.

Pemindahan rentas sempadan (PDPA seksyen 129)

Sebahagian penyedia ini menyimpan dan memproses data peribadi pada pelayan di luar Malaysia. Khususnya, TTLock memproses data kunci pintar pada pelayan di Kesatuan Eropah (contohnya euapi.ttlock.com), Stripe memproses data pembayaran secara antarabangsa, dan penyedia awan serta get laluan AI kami mungkin memproses data di luar Malaysia. Dengan menggunakan UrusPro dan memberikan data anda, anda bersetuju dengan pemindahan rentas sempadan ini. Kami mengambil langkah munasabah untuk memastikan penerima ini melindungi data anda pada tahap yang setanding dengan PDPA.

4. Tempoh kami menyimpan data anda

Kami menyimpan data peribadi anda hanya selama yang diperlukan bagi tujuan di atas, atau seperti yang dikehendaki undang-undang. Sebagai panduan:

  • Rekod tempahan dan pembayaran: sehingga 7 tahun untuk memenuhi keperluan cukai dan perakaunan.
  • Data sensitif seperti nombor IC dan gambar IC anda: disimpan hanya selama yang diperlukan untuk pengesahan dan kemudian dipadam atau dilindung nama lebih awal.
  • Kod akses kunci pintar: luput dan dialih keluar sebaik sahaja penginapan anda berakhir; log akses disimpan hanya selama yang diperlukan untuk keselamatan.

5. Hak anda di bawah PDPA

Tertakluk kepada PDPA, anda boleh:

  • Mengakses data peribadi yang kami simpan tentang anda.
  • Membetulkan data yang tidak tepat, tidak lengkap atau lapuk.
  • Menarik balik kebenaran, termasuk kebenaran untuk pemasaran atau pemprosesan data sensitif anda (ini mungkin mengehadkan keupayaan kami menyediakan sesetengah perkhidmatan).
  • Meminta pemadaman data peribadi anda apabila ia tidak lagi diperlukan dan kami tidak diwajibkan undang-undang untuk menyimpannya.
  • Mengehad atau membantah cara kami memproses data peribadi anda.

Untuk melaksanakan mana-mana hak ini, hubungi kenalan privasi kami di [DPO / PRIVACY CONTACT EMAIL]. Kami mungkin perlu mengesahkan identiti anda sebelum bertindak atas permintaan anda.

6. Cara kami melindungi data anda (keselamatan)

Kami menggunakan langkah teknikal dan organisasi yang munasabah untuk melindungi data peribadi anda, termasuk penyulitan semasa penghantaran (HTTPS/TLS), kawalan akses yang mengehadkan siapa yang boleh melihat data anda, dan kebenaran berasaskan peranan di seluruh platform. Tiada sistem yang benar-benar selamat, tetapi kami berusaha melindungi data anda daripada kehilangan, penyalahgunaan dan akses tanpa kebenaran.

7. Hubungi kami

Untuk sebarang pertanyaan privasi atau membuat permintaan, hubungi [COMPANY LEGAL NAME] di [DPO / PRIVACY CONTACT EMAIL], atau tulis kepada kami di [REGISTERED ADDRESS].