Data protection

Privacy Policy

As of March 4, 2026

This privacy policy is divided into two parts: (1) PART 1 – Malaysia (PDPA) as the main version for our online offering in Malaysia and (2) PART 2 – GDPR add-on module, which applies exclusively in cases where the General Data Protection Regulation (GDPR) is applicable.

Responsible

alimex ACP Asia Sdn Bhd

Block 1, No. 7, Jalan SILC 1/4

Kawasan Perindustrian SiLC

79200 Iskandar Puteri, Johor, Malaysia

Authorized representative: Managing Director Malcolm Hohls

Email: info@alimex.com.my

Phone: +60 7-553 9827

Online offering

Website: https://alimex.com.my/

PART 1 – Malaysia (PDPA) – Main version

1.

This part applies to the processing of personal data in connection with the operation and use of our online offering in Malaysia and related business communications (e.g., inquiries, contract processing, supplier and customer contact). The Malaysian Personal Data Protection Act 2010 (Act 709) ("PDPA") applies to the processing of personal data in the context of commercial transactions.

2. Applicable law (PDPA) and basic principles

We process personal data in accordance with the Personal Data Protection Act 2010 (Act 709) and the Personal Data Protection Regulations 2013 issued in this regard. Cross-border transfers from Malaysia are carried out in accordance with Section 129 PDPA and the Cross Border Personal Data Transfer Guideline (Guideline No. 3/2025, Version 1.0, April 29, 2025).

We are not required to register under the relevant requirements for the registration of certain data user classes in Malaysia.

Processing is carried out in accordance with the seven PDPA principles (Personal Data Protection Principles):

  • General Principle (Principle of Legitimacy/Necessity)
  • Notice & Choice Principle
  • Disclosure Principle
  • Security Principle
  • Retention Principle
  • Data Integrity Principle (Data Accuracy)
  • Access Principle (Access and Correction)

3. Categories of personal data

Depending on usage and contact, we process in particular:

  • Inventory data (e.g., name, company, position, address).
  • Contact data (e.g., email address, telephone number).
  • Communication and content data (e.g., content of inquiries, correspondence).
  • Contract and service data (e.g., offer, order, delivery, and project information).
  • Payment and billing data (e.g., invoice data, payment status).
  • Usage and log data when using the website (e.g., IP address, log files, browser/device information, access times, referrer URL).
  • Where necessary and legally permissible: "Sensitive Personal Data" within the meaning of the PDPA (e.g., health data) only under increased protection measures and, where necessary, with express consent.

4. Purposes of processing

We process personal data in particular for the following purposes:

  • Provision and operation of our online offering (including IT security, error analysis, and stability).
  • Processing contact requests and communicating with interested parties, customers, suppliers, and business partners.
  • Initiation, execution, and processing of contractual and business relationships (including delivery, service, and documentation).
  • Accounting, billing, payment transactions, and internal administration.
  • Marketing, public relations, and lead generation in the B2B environment (to the extent permitted and, where applicable, with consent).
  • Fulfillment of legal obligations and assertion/defense of legal claims.

5. Notice & Choice (information and options)

We inform data subjects transparently about the processing, in particular about purposes, data categories, recipient categories, any mandatory information and consequences of non-provision, as well as about their rights under the PDPA and contact options. Where consent is required, we obtain it prior to processing and document it.

6. Consent and minors

Where processing requires consent, we obtain it in a form that can be recorded and stored properly. If consent is obtained together with other declarations, the consent requirement is highlighted separately. For data subjects under the age of 18, we obtain the consent of the parents/legal guardians or a person with parental authority.

7. Hosting, server location, and technical provision

Our website https://alimex.com.my/ is operated on the network of Serverfreak Technologies Sdn Bhd. The server location is in Malaysia. This means that the technical provision of our online services generally takes place within Malaysia.

8. Recipients and disclosure (disclosure principle)

Personal data may be disclosed to the following categories of recipients, where necessary and permissible:

  • IT and hosting service providers (e.g., operation, maintenance, security).
  • Communication and marketing service providers (e.g., ZoomInfo Technologies LLC).
  • Consultants (e.g., legal, tax, and business consultants) and auditors.
  • Banks and payment service providers.
  • Authorities, courts, or public bodies, to the extent that we are legally obliged to do so.

Where we use service providers, we take appropriate contractual and organizational measures to ensure that personal data is processed and protected in accordance with legal requirements.

9. ZoomInfo – Use directly on the website

We use ZoomInfo directly on our website https://alimex.com.my/, in particular for B2B lead generation, sales optimization, and market and target group analysis. In doing so, usage and meta/communication data (e.g., IP address, device and browser information) as well as other information necessary for establishing contact may be processed and transmitted to ZoomInfo Technologies LLC (USA). In doing so, we observe the Disclosure Principle and, in the case of cross-border transfers, the requirements of Section 129 PDPA and the Cross Border Personal Data Transfer Guideline (Guideline No. 3/2025).

10. International data transfers (Section 129 PDPA)

Transfers of personal data from Malaysia to recipients outside Malaysia will only take place if at least one of the legal conditions is met. These include, in particular:

  • The recipient country has essentially comparable data protection laws or an adequate level of protection is ensured (e.g., through appropriate contractual/organizational safeguards and assessment).
  • The data subject has consented to the transfer.
  • The transfer is necessary for the performance of a contract with the data subject or in the interest of the data subject for the performance of a contract with a third party.
  • Other legal exceptions (e.g., legal proceedings, vital interests, reasonable precautions, and due diligence).

11. Security measures (Security Principle)

We take appropriate technical and organizational security measures to protect personal data from loss, misuse, unauthorized access, disclosure, alteration, or destruction. These include, in particular, access controls, authorization concepts, encryption during transmission (e.g., TLS/HTTPS), logging, data backups, and procedures for handling security incidents.

12. Retention and deletion (retention principle)

We only store personal data for as long as is necessary for the respective purposes or as required by statutory retention or documentation obligations. Once the purpose no longer applies and there are no retention obligations, data is deleted or anonymized. Deletion is carried out securely and transparently in accordance with the Security Principle and the requirements of the Personal Data Protection Regulations 2013.

Note: Specific retention periods may arise from other applicable legal provisions (e.g., tax and commercial law). In such cases, data is stored for the duration of the respective obligation and then deleted or anonymized.

13. Rights of data subjects under the PDPA

Data subjects have the following rights under the PDPA:

  • Access to their personal data and, in accordance with legal requirements, a copy thereof.
  • Correction of inaccurate or incomplete data.
  • Withdrawal of consent.
  • Prevention of processing likely to cause damage or distress, provided that the conditions are met.
  • Prevent processing for direct marketing purposes.

Requests can be sent to the contact details listed in the "Controller" section (e.g., by email). We will confirm receipt promptly and usually respond to requests within 21 days, provided there are no legal reasons preventing us from doing so.

14. Cookies, tracking, and online marketing

Our online offering may use cookies or similar technologies to provide functions, increase security, and analyze the use of our online offering. If consent is required for this, we will obtain it in advance and document it. You can manage or deactivate cookies in your browser settings; this may restrict certain functions.

15. Complaints and supervisory authority in Malaysia

The competent supervisory authority in Malaysia is:

Personal Data Protection Commissioner (PDPC) / Department of Personal Data Protection (JPDP)

Level 8, Galeria PjH, Jalan P4W, Persiaran Perdana, Precinct 4, Federal Government Administration Centre, 62100 Putrajaya, Malaysia

Phone: +60 3-8000 8000 (MyGCC) / +60 3-7456 3888 (JPDP Call Center)

Email: aduan@pdp.gov.my

Website: https://www.pdp.gov.my

16. Changes and updates

We will amend this privacy policy if our data processing or legal requirements change. The current version will be published on our website.

PART 2 – GDPR Add-on Module (only applicable in certain cases)

This additional module applies exclusively if the General Data Protection Regulation (GDPR) is applicable in individual cases (e.g., if persons in the European Economic Area (EEA) use our online services). We do not actively target our services at persons in the EEA; however, the GDPR may be relevant due to specific circumstances.

A. Legal basis (Art. 6 GDPR) – brief overview

  • Consent (Art. 6 (1) (a) GDPR).
  • Performance of a contract and pre-contractual measures (Art. 6 (1) (b) GDPR).
  • Legal obligation (Art. 6 (1) (c) GDPR).
  • Legitimate interests (Art. 6(1)(f) GDPR), provided that there are no overriding interests of the data subject.

B. Rights of data subjects – brief overview

  • Right of access (Art. 15 GDPR), right to rectification (Art. 16 GDPR).
  • Erasure (Art. 17 GDPR) and restriction of processing (Art. 18 GDPR).
  • Data portability (Art. 20 GDPR), objection (Art. 21 GDPR).
  • Withdrawal of consent (Art. 7 GDPR).

C. International transfers under the GDPR – brief overview

Where data is transferred to third countries under the GDPR, this is only done in compliance with the provisions of the GDPR (e.g., adequacy decision, standard contractual clauses, or comparable safeguards).

D. Supervisory authority (EEA) – Note

Where the GDPR applies, data subjects may lodge complaints with a data protection supervisory authority, in particular in the Member State of their habitual residence, place of work, or place of the alleged infringement.

Mulai 4 Mac 2026

Dasar privasi ini dibahagikan kepada dua bahagian: (1) BAHAGIAN 1 – Malaysia (PDPA) sebagai versi utama untuk tawaran dalam talian kami di Malaysia dan (2) BAHAGIAN 2 – modul tambahan GDPR, yang terpakai secara eksklusif dalam kes di mana Peraturan Perlindungan Data Umum (GDPR) terpakai.

Tawaran dalam talian

Laman web: https://alimex.com.my/

BAHAGIAN 1 – Malaysia (PDPA) – Versi Utama

1. Skop

Bahagian ini terpakai kepada pemprosesan data peribadi berkaitan operasi dan penggunaan tawaran dalam talian kami di Malaysia serta komunikasi perniagaan berkaitan (contohnya pertanyaan, pemprosesan kontrak, hubungan pembekal dan pelanggan). Akta Perlindungan Data Peribadi Malaysia 2010 (Akta 709) ("PDPA") terpakai kepada pemprosesan data peribadi dalam konteks transaksi komersial.

2. Undang-undang terpakai (PDPA) dan prinsip asas

Kami memproses data peribadi selaras dengan Akta Perlindungan Data Peribadi 2010 (Akta 709) dan Peraturan Perlindungan Data Peribadi 2013 yang dikeluarkan berhubung perkara ini. Pemindahan merentas sempadan dari Malaysia dijalankan selaras dengan Seksyen 129 PDPA dan Garis Panduan Pemindahan Data Peribadi Merentas Sempadan (Garis Panduan No. 3/2025, Versi 1.0, 29 April 2025).

Kami tidak dikehendaki berdaftar di bawah keperluan berkaitan pendaftaran kelas pengguna data tertentu di Malaysia.

Pemprosesan dijalankan selaras dengan tujuh prinsip PDPA (Prinsip Perlindungan Data Peribadi):

  • Prinsip Umum (Prinsip Kebolehan/Keperluan)
  • Prinsip Notis & Pilihan
  • Prinsip Pendedahan
  • Prinsip Keselamatan
  • Prinsip Penahanan
  • Prinsip Integriti Data (Ketepatan Data)
  • Prinsip Akses (akses dan pembetulan)

3. Kategori data peribadi

Bergantung pada penggunaan dan hubungan, kami memproses terutamanya:

  • Data inventori (contohnya nama, syarikat, jawatan, alamat).
  • Data hubungan (contohnya alamat e-mel, nombor telefon).
  • Data komunikasi dan kandungan (contohnya kandungan pertanyaan, surat-menyurat).
  • Data kontrak dan perkhidmatan (contohnya sebut harga, pesanan, penghantaran dan maklumat projek).
  • Data pembayaran dan pengebilan (contohnya data invois, status pembayaran).
  • Data penggunaan dan log apabila menggunakan laman web (contohnya alamat IP, fail log, maklumat pelayar/peranti, masa capaian, URL rujukan).
  • Apabila perlu dan dibenarkan oleh undang-undang: "Data Peribadi Sensitif" mengikut maksud PDPA (contohnya data kesihatan) hanya di bawah langkah perlindungan yang dipertingkatkan dan – apabila perlu – dengan kebenaran nyata.

4. Tujuan pemprosesan

Kami memproses data peribadi terutamanya untuk tujuan berikut:

  • Penyediaan dan pengoperasian tawaran dalam talian kami (termasuk keselamatan IT, analisis ralat dan kestabilan).
  • Pemprosesan pertanyaan hubungan dan komunikasi dengan pihak yang berminat, pelanggan, pembekal dan rakan kongsi perniagaan.
  • Permulaan, pelaksanaan dan pemprosesan hubungan kontrak dan perniagaan (termasuk penghantaran, perkhidmatan dan dokumentasi).
  • Perakaunan, pengebilan, transaksi pembayaran dan pentadbiran dalaman.
  • Pemasaran, perhubungan awam dan penjanaan prospek dalam persekitaran B2B (setakat yang dibenarkan dan, jika berkenaan, dengan kebenaran).
  • Pemenuhan kewajipan undang-undang dan penegasan/pertahanan tuntutan undang-undang.

5. Notis & Pilihan (maklumat dan pilihan)

Kami memaklumkan subjek data secara telus mengenai pemprosesan, terutamanya mengenai tujuan, kategori data, kategori penerima, sebarang maklumat wajib dan akibat sekiranya tidak disediakan, serta mengenai hak mereka di bawah PDPA dan pilihan untuk menghubungi. Apabila persetujuan diperlukan, kami memperolehnya sebelum pemprosesan dan mendokumentasikannya.

6. Persetujuan dan kanak-kanak di bawah umur

Apabila pemprosesan memerlukan persetujuan, kami memperolehinya dalam bentuk yang boleh direkod dan disimpan dengan betul. Jika persetujuan diperoleh bersama dengan penyataan lain, keperluan persetujuan itu diserlahkan secara berasingan. Bagi subjek data di bawah umur 18 tahun, kami memperoleh persetujuan ibu bapa/penjaga sah mereka atau seseorang yang mempunyai tanggungjawab keibubapaan.

7. Penghosan, lokasi pelayan dan penyediaan teknikal

Laman web kami https://alimex.com.my/ dioperasikan di rangkaian Serverfreak Technologies Sdn Bhd. Lokasi pelayan adalah di Malaysia. Ini bermakna bahawa penyediaan teknikal perkhidmatan dalam talian kami umumnya berlaku di dalam Malaysia.

8. Penerima dan pendedahan (prinsip pendedahan)

Data peribadi mungkin didedahkan kepada kategori penerima berikut, apabila perlu dan dibenarkan:

  • Penyedia perkhidmatan IT dan hosting (contohnya operasi, penyelenggaraan, keselamatan).
  • Penyedia perkhidmatan komunikasi dan pemasaran (contohnya ZoomInfo Technologies LLC).
  • Perunding (contohnya perunding undang-undang, cukai dan perniagaan) dan juruaudit.
  • Bank dan penyedia perkhidmatan pembayaran.
  • Pihak berkuasa, mahkamah atau badan awam, setakat mana kami diwajibkan oleh undang-undang untuk berbuat demikian.

Apabila kami menggunakan penyedia perkhidmatan, kami mengambil langkah-langkah kontrak dan organisasi yang sesuai untuk memastikan data peribadi diproses dan dilindungi mengikut keperluan undang-undang.

9. ZoomInfo – Penggunaan secara langsung di laman web

Kami menggunakan ZoomInfo secara langsung di laman web kami https://alimex.com.my/, terutamanya untuk penjanaan prospek B2B, pengoptimuman jualan dan analisis pasaran serta kumpulan sasaran. Dalam melakukannya, data penggunaan dan meta/komunikasi (contohnya alamat IP, maklumat peranti dan pelayar) serta maklumat lain yang diperlukan untuk mewujudkan hubungan mungkin diproses dan dihantar kepada ZoomInfo Technologies LLC (AS). Dalam melakukannya, kami mematuhi Prinsip Pendedahan dan – dalam kes pemindahan merentas sempadan – keperluan Seksyen 129 PDPA dan Garis Panduan Pemindahan Data Peribadi Merentas Sempadan (Garis Panduan No. 3/2025).

10. Pemindahan data antarabangsa (Seksyen 129 PDPA)

Pemindahan data peribadi dari Malaysia ke penerima di luar Malaysia hanya akan berlaku jika sekurang-kurangnya salah satu syarat undang-undang dipenuhi. Ini termasuk, terutamanya:

  • Negara penerima mempunyai undang-undang perlindungan data yang pada dasarnya setara atau tahap perlindungan yang mencukupi dijamin (contohnya melalui langkah keselamatan kontrak/organisasi dan penilaian yang sesuai).
  • Subjek data telah memberi persetujuan untuk pemindahan tersebut.
  • Pemindahan itu diperlukan untuk pelaksanaan kontrak dengan subjek data atau demi kepentingan subjek data untuk pelaksanaan kontrak dengan pihak ketiga.
  • Pengecualian undang-undang lain (contohnya prosiding undang-undang, kepentingan penting, langkah berjaga-jaga munasabah dan ketekunan wajar).

11. Langkah keselamatan (prinsip keselamatan)

Kami mengambil langkah keselamatan teknikal dan organisasi yang sesuai untuk melindungi data peribadi daripada kehilangan, penyalahgunaan, akses tanpa kebenaran, pendedahan, pengubahsuaian atau pemusnahan. Ini termasuk, terutamanya, kawalan akses, konsep kebenaran, penyulitan semasa penghantaran (contohnya TLS/HTTPS), log, sandaran data dan prosedur untuk menangani insiden keselamatan.

12. Penyimpanan dan pemadaman (prinsip penyimpanan)

Kami hanya menyimpan data peribadi selama yang diperlukan untuk tujuan masing-masing atau seperti yang dikehendaki oleh kewajipan penyimpanan atau dokumentasi menurut undang-undang. Setelah tujuan tersebut tidak lagi terpakai dan tiada kewajipan penyimpanan, data akan dipadam atau dianonymkan. Pemadaman dilakukan dengan selamat dan telus selaras dengan Prinsip Keselamatan dan keperluan Peraturan Perlindungan Data Peribadi 2013.

Nota: Tempoh penyimpanan tertentu mungkin timbul daripada peruntukan undang-undang lain yang terpakai (contohnya undang-undang cukai dan perdagangan). Dalam kes sedemikian, data disimpan untuk tempoh kewajipan tersebut dan kemudian dipadam atau dianonimkan.

13. Hak subjek data di bawah PDPA

Subjek data mempunyai hak-hak berikut di bawah PDPA:

  • Akses kepada data peribadi mereka dan, selaras dengan keperluan undang-undang, satu salinan daripadanya.
  • Pembetulan data yang tidak tepat atau tidak lengkap.
  • Penarikan balik persetujuan.
  • Pencegahan pemprosesan yang berkemungkinan menyebabkan kerosakan atau kesusahan, dengan syarat syarat-syarat dipenuhi.
  • Mencegah pemprosesan untuk tujuan pemasaran langsung.

Permintaan boleh dihantar ke butiran hubungan yang disenaraikan dalam seksyen "Pengawal" (contohnya melalui e-mel). Kami akan mengesahkan penerimaan dengan segera dan biasanya akan membalas permintaan dalam tempoh 21 hari, selagi tiada sebab undang-undang yang menghalang kami daripada berbuat demikian.

14. Kuki, penjejakan dan pemasaran dalam talian

Tawaran dalam talian kami mungkin menggunakan kuki atau teknologi serupa untuk menyediakan fungsi, meningkatkan keselamatan dan menganalisis penggunaan tawaran dalam talian kami. Jika persetujuan diperlukan untuk ini, kami akan memperolehnya terlebih dahulu dan mendokumentasikannya. Anda boleh mengurus atau menyahaktifkan kuki dalam tetapan pelayar anda; ini mungkin mengehadkan fungsi tertentu.

15. Aduan dan pihak berkuasa pengawasan di Malaysia

Badan pengawasan yang berkenaan di Malaysia ialah:

Pesuruhjaya Perlindungan Data Peribadi (PDPC) / Jabatan Perlindungan Data Peribadi (JPDP)

Tingkat 8, Galeria PjH, Jalan P4W, Persiaran Perdana, Precinct 4, Pusat Pentadbiran Kerajaan Persekutuan, 62100 Putrajaya, Malaysia

Telefon: +60 3-8000 8000 (MyGCC) / +60 3-7456 3888 (Pusat Panggilan JPDP)

E-mel: aduan@pdp.gov.my

Laman web: https://www.pdp.gov.my

16. Perubahan dan kemas kini

Kami akan meminda dasar privasi ini jika pemprosesan data atau keperluan undang-undang kami berubah. Versi semasa akan diterbitkan di laman web kami.

BAHAGIAN 2 – Modul tambahan GDPR (hanya terpakai dalam kes tertentu)

Modul tambahan ini terpakai secara eksklusif jika Peraturan Perlindungan Data Umum (GDPR) terpakai dalam kes-kes tertentu (contohnya jika individu di Kawasan Ekonomi Eropah (EEA) menggunakan perkhidmatan dalam talian kami). Kami tidak secara aktif mensasarkan perkhidmatan kami kepada individu di EEA; bagaimanapun, GDPR mungkin relevan disebabkan keadaan tertentu.

A. Asas undang-undang (Art. 6 GDPR) – gambaran ringkas

  • Persetujuan (Art. 6(1)(a) GDPR).
  • Pelaksanaan kontrak dan langkah-langkah prakontrak (Art. 6(1)(b) GDPR).
  • Kewajipan undang-undang (Art. 6(1)(c) GDPR).
  • Keperluan sah (Art. 6(1)(f) GDPR), dengan syarat tiada kepentingan yang mengatasi kepentingan subjek data.

B. Hak subjek data – gambaran ringkas

  • Hak akses (Art. 15 GDPR), hak pembetulan (Art. 16 GDPR).
  • Pembuangan data (Art. 17 GDPR) dan sekatan pemprosesan (Art. 18 GDPR).
  • Portabiliti data (Art. 20 GDPR), keberatan (Art. 21 GDPR).
  • Penarikan balik persetujuan (Art. 7 GDPR).

C. Pemindahan antarabangsa di bawah GDPR – gambaran ringkas

Apabila data dipindahkan ke negara ketiga di bawah GDPR, ia hanya akan dilakukan selaras dengan peruntukan GDPR (contohnya keputusan kecukupan, klausa kontrak piawai atau langkah keselamatan yang setara).

D. Pihak berkuasa pengawasan (EEA) – Nota

Apabila GDPR terpakai, subjek data boleh mengemukakan aduan kepada pihak berkuasa pengawasan perlindungan data, terutamanya di Negara Ahli tempat kediaman tetap mereka, tempat kerja atau tempat pelanggaran yang didakwa berlaku.