Staffly — Privacy Policy

Last updated: 15 June 2026

Staffly ("Staffly", "we", "us") is operated by THE FINEST TOUCH EMPIRE (Company No. 201903323024 (003047152-P)), of No. 239, Jalan Kristal 3, Kompleks Perindustrian Ringan Kristal, Jln Gangsa, 05150 Alor Setar, Kedah, Malaysia. This Privacy Policy explains how we collect, use, disclose and protect personal data when you use our website and the Staffly HR application (the "Service").

We comply with the Malaysian Personal Data Protection Act 2010 and its amendments. By using the Service or submitting your details, you agree to this Policy.

1. Who is responsible for your data

• For visitors, waitlist sign-ups, and the company administrators who register, we are the data controller.
• For the employee data that a customer company uploads and manages in Staffly, we act as a data processor on that company's behalf; the customer company is the data controller for its employees.

2. Personal data we collect

• Account & contact: name, work email, company name, password (stored hashed by our auth provider).
• Waitlist: email address, and optionally company name and team size.
• Employee records (entered by customers): name, IC/passport number, contact details, address, job and salary details, statutory numbers (EPF, SOCSO, income tax), bank account details, attendance (including clock-in selfies and GPS location), leave, claims and payroll data.
• Usage & technical: device/browser information, log data, and approximate location for attendance geofencing (only when you clock in).

3. Why we use it (purposes)

• To provide and operate the Service (HR, payroll, leave, attendance, claims).
• To create and secure your account, and to communicate with you about the Service.
• To process the waitlist and notify you about availability.
• To calculate statutory contributions (EPF, SOCSO, EIS, PCB) and produce payslips/reports.
• To maintain security, prevent fraud, and comply with legal obligations.

We process personal data on the basis of your consent and/or to perform our contract with you, and to meet legal obligations.

4. Disclosure

We do not sell your personal data. We share it only with:

• Service providers (data processors) who host and run Staffly on our behalf — currently Supabase (database, authentication, storage) and Vercel (hosting). They process data under agreements consistent with the PDPA.
• Authorities where required by law.

We do not use your data to train AI models, and we do not share it with advertisers.

5. Where data is stored / cross-border transfer

Your data may be stored or processed on cloud infrastructure provided by Supabase and Vercel, which may be located outside Malaysia (for example, Singapore). Where data is transferred outside Malaysia, we take steps consistent with the PDPA's cross-border transfer requirements.

6. Your rights

Subject to the PDPA, you may request to: access your personal data; correct inaccurate data; withdraw consent; or request deletion. To exercise these rights, contact us at privacy@staffly.com.my. We aim to respond within 21 days. If your data was entered by your employer (a Staffly customer), we may direct your request to that employer as the controller.

7. Retention

• Waitlist emails: kept until launch or until you withdraw, whichever is sooner.
• Account & customer data: kept for the duration of the subscription and a reasonable period after, unless a longer period is required by law (e.g. statutory payroll records).
• We delete or anonymise data when it is no longer needed.

8. Security

We use access controls (per-company row-level security), encryption in transit and at rest (via our providers), and regular reviews. No system is perfectly secure, but we take reasonable steps to protect your data. If a data breach occurs that meets the legal threshold, we will record it and notify the Commissioner and affected individuals as required by the PDPA 2024 amendments.

9. Children

The Service is for businesses and is not directed at children under 18.

10. Changes

We may update this Policy. Material changes will be notified via the Service or by email. The "Last updated" date shows the latest version.

11. Contact

Questions or requests: privacy@staffly.com.my, THE FINEST TOUCH EMPIRE, No. 239, Jalan Kristal 3, Kompleks Perindustrian Ringan Kristal, Jln Gangsa, 05150 Alor Setar, Kedah.

Bahasa Malaysia (versi penuh di bawah)

Staffly — Dasar Privasi

Kemas kini terakhir: 15 Jun 2026

Staffly ("Staffly", "kami") dikendalikan oleh THE FINEST TOUCH EMPIRE (No. Syarikat 201903323024 (003047152-P)), beralamat di No. 239, Jalan Kristal 3, Kompleks Perindustrian Ringan Kristal, Jln Gangsa, 05150 Alor Setar, Kedah, Malaysia. Dasar Privasi ini menerangkan cara kami mengumpul, menggunakan, mendedahkan dan melindungi data peribadi apabila anda menggunakan laman web kami dan aplikasi HR Staffly ("Perkhidmatan").

Kami mematuhi Akta Perlindungan Data Peribadi 2010 Malaysia dan pindaannya. Dengan menggunakan Perkhidmatan atau menghantar maklumat anda, anda bersetuju dengan Dasar ini.

1. Siapa bertanggungjawab ke atas data anda

• Bagi pelawat, pendaftar senarai menunggu, dan pentadbir syarikat yang mendaftar, kami ialah pengawal data.
• Bagi data pekerja yang dimuat naik dan diurus oleh syarikat pelanggan dalam Staffly, kami bertindak sebagai pemproses data bagi pihak syarikat tersebut; syarikat pelanggan ialah pengawal data bagi pekerja mereka.

2. Data peribadi yang kami kumpul

• Akaun & hubungan: nama, emel kerja, nama syarikat, kata laluan (disimpan dalam bentuk hashed oleh penyedia pengesahan kami).
• Senarai menunggu: alamat emel, dan secara pilihan nama syarikat serta saiz pasukan.
• Rekod pekerja (dimasukkan oleh pelanggan): nama, nombor IC/pasport, butiran hubungan, alamat, butiran kerja dan gaji, nombor berkanun (EPF, SOCSO, cukai pendapatan), butiran akaun bank, kehadiran (termasuk swafoto clock-in dan lokasi GPS), cuti, tuntutan dan data gaji.
• Penggunaan & teknikal: maklumat peranti/pelayar, data log, dan lokasi anggaran untuk geofencing kehadiran (hanya semasa anda clock-in).

3. Mengapa kami menggunakannya (tujuan)

• Untuk menyediakan dan mengendalikan Perkhidmatan (HR, gaji, cuti, kehadiran, tuntutan).
• Untuk mencipta dan melindungi akaun anda, serta berkomunikasi dengan anda mengenai Perkhidmatan.
• Untuk memproses senarai menunggu dan memberitahu anda tentang ketersediaan.
• Untuk mengira caruman berkanun (EPF, SOCSO, EIS, PCB) dan menghasilkan slip gaji/laporan.
• Untuk mengekalkan keselamatan, mencegah penipuan, dan mematuhi kewajipan undang-undang.

Kami memproses data peribadi atas dasar keizinan anda dan/atau untuk melaksanakan kontrak kami dengan anda, serta untuk memenuhi kewajipan undang-undang.

4. Pendedahan

Kami tidak menjual data peribadi anda. Kami hanya berkongsi dengannya:

• Penyedia perkhidmatan (pemproses data) yang mengehos dan menjalankan Staffly bagi pihak kami — buat masa ini Supabase (pangkalan data, pengesahan, storan) dan Vercel (pengehosan). Mereka memproses data di bawah perjanjian yang selaras dengan PDPA.
• Pihak berkuasa apabila dikehendaki oleh undang-undang.

Kami tidak menggunakan data anda untuk melatih model AI, dan kami tidak berkongsinya dengan pengiklan.

5. Di mana data disimpan / pemindahan rentas sempadan

Data anda mungkin disimpan atau diproses pada infrastruktur awan yang disediakan oleh Supabase dan Vercel, yang mungkin terletak di luar Malaysia (contohnya, Singapura). Apabila data dipindahkan ke luar Malaysia, kami mengambil langkah yang selaras dengan keperluan pemindahan rentas sempadan di bawah PDPA.

6. Hak anda

Tertakluk kepada PDPA, anda boleh memohon untuk: mengakses data peribadi anda; membetulkan data yang tidak tepat; menarik balik keizinan; atau memohon pemadaman. Untuk melaksanakan hak ini, hubungi kami di privacy@staffly.com.my. Kami berhasrat untuk membalas dalam tempoh 21 hari. Jika data anda dimasukkan oleh majikan anda (pelanggan Staffly), kami mungkin menghalakan permohonan anda kepada majikan tersebut sebagai pengawal data.

7. Pengekalan

• Emel senarai menunggu: disimpan sehingga pelancaran atau sehingga anda menarik balik, yang mana lebih awal.
• Data akaun & pelanggan: disimpan sepanjang tempoh langganan dan tempoh munasabah selepasnya, melainkan tempoh lebih lama dikehendaki oleh undang-undang (cth rekod gaji berkanun).
• Kami memadam atau menyahnama data apabila ia tidak lagi diperlukan.

8. Keselamatan

Kami menggunakan kawalan akses (keselamatan peringkat baris setiap syarikat), penyulitan semasa penghantaran dan semasa rehat (melalui penyedia kami), dan semakan berkala. Tiada sistem yang selamat sepenuhnya, tetapi kami mengambil langkah munasabah untuk melindungi data anda. Jika berlaku pelanggaran data yang memenuhi ambang undang-undang, kami akan merekodkannya dan memberitahu Pesuruhjaya serta individu yang terjejas sebagaimana dikehendaki oleh pindaan PDPA 2024.

9. Kanak-kanak

Perkhidmatan ini adalah untuk perniagaan dan tidak ditujukan kepada kanak-kanak bawah 18 tahun.

10. Perubahan

Kami mungkin mengemas kini Dasar ini. Perubahan penting akan dimaklumkan melalui Perkhidmatan atau emel. Tarikh "Kemas kini terakhir" menunjukkan versi terkini.

11. Hubungi

Soalan atau permohonan: privacy@staffly.com.my, THE FINEST TOUCH EMPIRE, No. 239, Jalan Kristal 3, Kompleks Perindustrian Ringan Kristal, Jln Gangsa, 05150 Alor Setar, Kedah.

*Versi Bahasa Inggeris bagi notis ini juga disediakan. Jika terdapat percanggahan tafsiran, sila rujuk kedua-dua versi dan dapatkan pengesahan peguam.*

← Back to Staffly