Privacy Policy

NOTICE UNDER THE PERSONAL DATA PROTECTION ACT 2010
(As Amended in 2024)

1. Introduction

This Personal Data Protection Notice (“Notice”) is issued by OasisEye Specialists Sdn. Bhd. (“OasisEye”, “we”, “our” or “us”) in accordance with Malaysia’s Personal Data Protection Act 2010 and the 2024 amendments (“PDPA”). This Notice applies to all patients, employees, vendors, visitors, and other parties whose personal data we process in connection with our services.

2. Consent

By engaging with us or providing us your personal data, you consent to the processing of your data as described in this Notice.

The supply of personal data to OasisEye is obligatory in cases where it is required for:

• Medical diagnosis, treatment, and follow-up care 
• Compliance with Ministry of Health (MoH) regulations and LHDN e-Invoicing 
• Insurance claims and billing 
• Emergency response and patient safety 

Failure to provide such obligatory data may result in: 

• Inability to proceed with medical consultations or treatment 
• Delays or rejection of insurance claims 
• Limited access to clinic facilities or services 

Where data is voluntary, such as for marketing purposes, you may choose not to provide it without affecting your access to medical services. 

By engaging with our messaging services (e.g. WhatsApp), you may be subject to interaction-level analytics by our advertising partners. You may opt out by contacting our DPO.

3. Description of Personal Data Collected 

Depending on your relationship with us, we may collect the following types of personal data, including sensitive personal data: 

• Name, NRIC / Passport Number, Gender, Date of Birth 
• Contact Details (Address, Phone, Email) 
• Patient Medical Records, Diagnosis, Treatment History, Medication, Allergies 
• Biometric data (if collected), photographs or CCTV footage from clinic premises 
• Insurance or payment details 
• Emergency contact information 
• Employment or professional background (for vendors / partners) 
• Consent forms and documentation relating to medical procedures or research 

We may also collect physical documents handled by third-party processors such as laboratories. 

4. Purpose of Data Processing

Your personal data will be processed for purposes including but not limited to: 

• Providing medical consultations, diagnostics, treatment, and follow-up care 
• Managing patient registration, billing, insurance claims, and record-keeping 
• Verifying your identity and medical history 
• Complying with MOH guidelines and LHDN e-Invoicing requirements 
• Notifying and handling medical emergencies 
• Responding to inquiries and feedback 
• Securing our systems and premises (including visitor ID verification) 
• Training and auditing for clinical and operational quality 
• Marketing (with separate consent)

5. Legal Basis for Processing 

We process your personal data based on one or more of the following legal grounds: 

• Consent

a. When you submit a contact form or register for an appointment 

• Contractual Necessity

a. When processing is required to fulfill a service that you’ve requested 

• Legal Obligation 

a. To comply with applicable laws (e.g. Ministry of Health (MoH), Inland Revenue Board (LHDN)) 

• Legitimate Interests 

a. For website security, fraud prevention, or improving user experience, balanced against your rights and interests

6. Disclosure to Third Parties

We may share interaction-level data from messaging chats (e.g. WhatsApp / Facebook Messenger) with authorized advertising partners (e.g. Meta) for the purpose of improving service delivery and engagement. No medical or sensitive personal data will be disclosed without explicit consent.” 

• Government agencies (e.g. Ministry of Health (MoH), Inland Revenue Board (LHDN)) 
• Insurance companies and healthcare partners 
• Blood testing vendors (e.g., Pathlab, Gribbles), subject to physical data custody obligations • IT Service Providers, Cloud Storage, Cybersecurity Teams 
• Legal, Regulatory, or Enforcement authorities 
• Next of kin or emergency contacts (where necessary) 

Third-party partners must comply with OasisEye’s Third-Party Data Handling Policy including use of ID badges with full name and NRIC, and consent to ID verification or scanning before accessing sensitive zones. 

7. Data Subject Rights 

Under the 2024 revised PDPA, you have the right to: 

• Access and correct your personal data 
• Withdraw or limit consent (subject to medical / legal implications) 
• Object to certain processing activities, including direct marketing 
• Lodge complaints via our appointed Data Protection Officer (DPO)

8. Security Measures 

We adopt technical and organizational safeguards, including: 

• Role-based access controls 
• Encryption of data in transit and at rest 
• Audit logs and breach monitoring 
• Physical document handling protocols for labs and courier personnel 
• Regular training on cyber hygiene and PDPA for all staff 

9. Retention and Destruction 

Personal data is retained only as long as necessary for medical, legal, or regulatory purposes. 

10. Transfer of Data Outside Malaysia 

Any transfer of personal data outside Malaysia will comply with applicable regulations, including data transfer agreements or safeguarding mechanisms. 

11. Conflict

In the event of any conflict between the Bahasa Malaysia version and the English version of this Notice, the English version shall prevail.

12. Amendments 

We may update and amend this Notice from time to time to reflect changes in law, regulatory guidance, or operational requirements. Any amendments will be communicated via notices on our official website, internal email, or other appropriate channels. By continuing to engage with us after such amendments, you will be deemed to have accepted the updated Notice. 

13. DPO Contact Information 

Questions or requests regarding your data may be directed to: 

Is. Eugene Teow | Group Data Protection Officer 

OasisEye Specialists Sdn. Bhd. 

Email: oes-dpo@oasiseye.my  

Phone: +60 3 2730 7690

NOTIS DI BAWAH AKTA PERLINDUNGAN DATA PERIBADI 2010
(Pindaan 2024) 

1. Pengenalan 

Notis ini dikeluarkan oleh OasisEye Specialists Sdn. Bhd. (“OasisEye”, “kami”) selaras dengan Akta Perlindungan Data Peribadi 2010 dan pindaan tahun 2024. Ia menjelaskan bagaimana data peribadi anda diproses oleh kami dalam konteks perkhidmatan kesihatan kami. 

2. Persetujuan 

Dengan berinteraksi bersama kami atau memberikan data peribadi anda, anda dianggap telah memberikan persetujuan terhadap pemprosesan data sebagaimana yang dinyatakan dalam notis ini. 

Pemberian data peribadi kepada OasisEye adalah wajib dalam situasi berikut: 

• Untuk tujuan diagnosis perubatan, rawatan, dan susulan penjagaan 
• Bagi pematuhan kepada keperluan peraturan oleh Kementerian Kesihatan Malaysia (KKM) dan LHDN (e-Invois) 
• Proses tuntutan insurans dan bil perubatan 
• Respons kecemasan dan keselamatan pesakit 

Sekiranya data wajib ini tidak diberikan, ia boleh mengakibatkan: 

• Ketidakmampuan untuk menjalankan konsultasi atau rawatan perubatan 
• Penangguhan atau penolakan tuntutan insurans 
• Akses terhad ke fasiliti atau perkhidmatan klinik 

Bagi data yang bersifat pilihan seperti tujuan pemasaran, anda bebas untuk tidak memberikannya tanpa menjejaskan akses kepada perkhidmatan perubatan.

3. Jenis Data Peribadi yang Dikumpul

Bergantung kepada hubungan anda dengan kami, data peribadi berikut mungkin dikumpulkan: 

• Nama, Nombor Kad Pengenalan / Passport, Jantina, Tarikh Lahir 
• Alamat, Nombor Telefon, E-mel 
• Rekod perubatan, sejarah rawatan, alahan, ubat-ubatan 
• Data biometrik (jika berkaitan), gambar, rakaman CCTV 
• Butiran insurans & pembayaran 
• Maklumat waris dan orang untuk dihubungi semasa kecemasan 
• Latar belakang pekerjaan (untuk vendor/pembekal) 
• Borang persetujuan bagi rawatan atau penyertaan dalam kajian 

4. Tujuan Pemprosesan Data 

Data peribadi anda diproses bagi tujuan berikut: 

• Penyediaan perundingan, diagnosis, rawatan, susulan perubatan 
• Pendaftaran pesakit, bil, tuntutan insurans, penyimpanan rekod 
• Pengesahan identiti pesakit 
• Pematuhan kepada keperluan Kementerian Kesihatan Malaysia (KKM) dan Lembaga Hasil Dalam Negeri (LHDN) – (e-Invois) 
• Pengurusan situasi kecemasan kesihatan 
• Komunikasi dan respons kepada aduan pelanggan 
• Keselamatan sistem dan premis (termasuk pengesahan ID pelawat) 
• Latihan dalaman dan audit kualiti perkhidmatan 
• Tujuan pemasaran (jika bersetuju secara berasingan)

5. Asas Perundangan bagi Pemprosesan Data 

Kami memproses data peribadi anda berdasarkan satu atau lebih asas perundangan berikut: 

• Persetujuan 

a. Apabila anda menyerahkan borang pertanyaan atau membuat pendaftaran untuk janji temu. 

• Keperluan Kontrak 

a. Apabila pemprosesan diperlukan untuk melaksanakan perkhidmatan yang anda minta. 

• Kewajipan Undang-Undang 

a. Bagi mematuhi undang-undang yang berkuat kuasa (Arahan Kementerian Kesihatan Malaysia (KKM), pematuhan e-Invois Lembaga Hasil Dalam Negeri (LHDN)). 

• Kepentingan Sah 

a. Untuk tujuan keselamatan laman web, pencegahan penipuan, atau penambahbaikan pengalaman pengguna, selagi kepentingan anda tidak terjejas.

6. Penzahiran kepada Pihak Ketiga 

Kami mungkin berkongsi data interaksi atau data peribadi sensitif dari segi sembang permesejan (Contoh, perbualan WhatsApp / Facebook Messenger) dengan rakan pengiklanan yang dibenarkan (contohnya Meta) bagi tujuan penambahbaikan perkhidmatan dan penglibatan pengguna. 

Pendedahan ini adalah tertakluk kepada pematuhan dasar pengendalian data pihak ketiga OasisEye dan tidak akan melibatkan sebarang maklumat perubatan melainkan dengan persetujuan nyata daripada individu berkenaan. 

• Agensi kerajaan (KKM, LHDN) 
• Syarikat insurans dan rakan kesihatan berlesen 
• Makmal (seperti Pathlab, Gribbles) yang menguruskan sampel fizikal 
• Penyedia sistem IT, storan awan, pasukan keselamatan siber 
• Pihak berkuasa undang-undang dan penguatkuasaan 
• Waris atau individu yang anda namakan untuk kecemasan 

Vendor makmal fizikal diwajibkan mematuhi polisi pengendalian data fizikal OasisEye termasuk Pemakaian tag ID rasmi dengan nama penuh dan Nombor Kad Pengenalan berserta gambar, dan kebenaran bagi imbasan kad pengenalan untuk tujuan rekod dan keselamatan. 

7. Hak Anda 

Di bawah Akta Perlindungan Data Peribadi (Pindaan) 2024, anda berhak untuk: 

• Mengakses dan membetulkan data peribadi anda 
• Menarik balik atau mengehadkan persetujuan (tertakluk kepada keperluan undangundang / perubatan) 
• Membantah penggunaan data untuk pemasaran 
• Membuat aduan kepada Pegawai Perlindungan Data (DPO) kami

8. Langkah Keselamatan 

Kami melaksanakan kawalan keselamatan seperti: 

• Akses mengikut peranan (Role-Based Access Control) 
• Penyulitan data semasa penghantaran dan semasa disimpan 
• Log audit dan pemantauan kebocoran data 
• Prosedur pengendalian fizikal untuk vendor yang membawa dokumen atau sampel 
• Latihan berkala kepada staf tentang kebersihan siber dan Akta Perlindungan Data Peribadi 2010 dan pindaan 2024 

9. Tempoh Penyimpanan Data 

Data akan disimpan selagi diperlukan untuk tujuan perubatan, undang-undang atau pengawalseliaan. 

10. Pemindahan Data ke Luar Negara 

Sekiranya perlu, data anda akan dipindahkan ke luar negara dengan perlindungan sewajarnya, sejajar dengan peruntukan Akta Perlindungan Data Peribadi 2010 dan pindaan 2024. 

11. Konflik 

Sekiranya terdapat sebarang percanggahan antara versi Bahasa Malaysia dan versi Bahasa Inggeris notis ini, versi Bahasa Inggeris akan diguna pakai.

12. Pindaan 

Notis ini mungkin dikemaskini dan dipinda dari semasa ke semasa untuk mematuhi perubahan undang-undang, garis panduan pengawalseliaan, atau keperluan operasi kami. Sebarang pindaan akan dimaklumkan melalui notis di laman web rasmi kami, e-mel dalaman, atau saluran komunikasi lain yang sesuai. Dengan terus berurusan dengan kami selepas pindaan tersebut, anda dianggap telah bersetuju dengan Notis ini yang telah dikemaskini. 

13.Maklumat Perhubungan DPO 

Sebarang pertanyaan berkaitan data anda boleh dikemukakan kepada: 

Eugene Teow | Group Data Protection Officer 

OasisEye Specialists Sdn. Bhd. 

E-mel: oes-dpo@oasiseye.my 

No. Tel.: +60 3 2730 7690