CAM KẾT BẢO MẬT VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN

Cập nhật mới nhất: 29/05/2026

ĐIỀU 1. ĐỊNH NGHĨA VÀ PHẠM VI ÁP DỤNG

1.1. Định nghĩa

Trong chính sách này, các từ ngữ dưới đây được hiểu như sau:

a) "VNETWORK": Công ty Cổ phần VNETWORK, mã số doanh nghiệp 0312353730, trụ sở chính tại Tòa nhà UOA Tower, 6 Tân Trào, Phường Tân Mỹ, Thành phố Hồ Chí Minh, Việt Nam.

b) "Chủ thể dữ liệu cá nhân": Người được dữ liệu cá nhân phản ánh, bao gồm khách hàng cá nhân, người đại diện khách hàng doanh nghiệp, nhà cung cấp, đối tác, ứng viên tuyển dụng, người lao động, cộng tác viên và bất kỳ cá nhân nào có dữ liệu cá nhân được VNETWORK xử lý.

c) "Dữ liệu cá nhân": Dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

d) "Dữ liệu cá nhân cơ bản": Bao gồm các thông tin theo quy định của pháp luật, cụ thể: họ tên, ngày sinh, giới tính, nơi ở, quốc tịch, hình ảnh, số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, tình trạng hôn nhân, thông tin gia đình, thông tin tài khoản số và các thông tin khác giúp xác định một cá nhân cụ thể.

e) "Dữ liệu cá nhân nhạy cảm": Bao gồm các thông tin theo quy định của pháp luật, cụ thể: nguồn gốc chủng tộc/dân tộc, quan điểm chính trị/tôn giáo/tín ngưỡng, đời sống riêng tư, tình trạng sức khỏe, dữ liệu sinh trắc học, dữ liệu về tình dục, dữ liệu tội phạm, vị trí định vị, thông tin đăng nhập tài khoản định danh điện tử, thông tin tài khoản ngân hàng, lịch sử giao dịch tài chính, và dữ liệu theo dõi hành vi trên không gian mạng.

f) "Xử lý dữ liệu cá nhân": Mọi hoạt động tác động đến dữ liệu cá nhân bao gồm: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao và các hoạt động khác.

g) Vai trò pháp lý của VNETWORK được xác định theo từng hoạt động xử lý dữ liệu cụ thể:

  • Đối với dữ liệu cá nhân do VNETWORK trực tiếp thu thập và xử lý nhằm phục vụ quản lý tài khoản, ký kết và thực hiện hợp đồng, thanh toán, chăm sóc khách hàng, tuyển dụng, quản lý nhân sự, vận hành nội bộ, tuân thủ pháp luật và bảo vệ quyền lợi hợp pháp của VNETWORK, VNETWORK có thể đóng vai trò là Bên kiểm soát dữ liệu cá nhân hoặc Bên kiểm soát và xử lý dữ liệu cá nhân, tùy từng ngữ cảnh cụ thể.
  • Đối với dữ liệu cá nhân của người dùng cuối, khách hàng cuối hoặc bên thứ ba do khách hàng doanh nghiệp đưa vào, truyền tải, lưu trữ hoặc xử lý thông qua dịch vụ CDN, cloud, bảo mật, hạ tầng mạng hoặc các dịch vụ công nghệ khác của VNETWORK, VNETWORK thường đóng vai trò là Bên xử lý dữ liệu cá nhân, thực hiện xử lý theo hợp đồng, tài liệu dịch vụ và chỉ dẫn hợp pháp của khách hàng.
  • Trong trường hợp VNETWORK đóng vai trò là Bên xử lý dữ liệu cá nhân, khách hàng doanh nghiệp chịu trách nhiệm bảo đảm cơ sở pháp lý, thông báo, sự đồng ý hợp lệ nếu cần, và quyền xử lý đối với dữ liệu cá nhân của người dùng cuối theo quy định pháp luật.

1.2. Phạm vi áp dụng

Chính sách này áp dụng đối với tất cả cá nhân có dữ liệu cá nhân được VNETWORK xử lý, bao gồm:

a) Cá nhân truy cập website www.vnetwork.vn và các website, nền tảng, cổng dịch vụ do VNETWORK quản lý;

b) Khách hàng, người đại diện, đầu mối kỹ thuật, đầu mối thanh toán hoặc người dùng được khách hàng chỉ định khi đăng ký và sử dụng dịch vụ;

c) Đối tác, nhà cung cấp, nhà thầu, bên xử lý dữ liệu hoặc bên thứ ba có tương tác dữ liệu cá nhân với VNETWORK;

d) Ứng viên tuyển dụng, người lao động, cộng tác viên, thực tập sinh và nhân sự nội bộ;

e) Các cá nhân khác có dữ liệu cá nhân được VNETWORK xử lý trong quá trình vận hành, cung cấp dịch vụ, hỗ trợ kỹ thuật, bảo mật hệ thống hoặc thực hiện nghĩa vụ pháp lý.

ĐIỀU 2. DỮ LIỆU CÁ NHÂN ĐƯỢC THU THẬP VÀ XỬ LÝ

2.1 Dữ liệu cá nhân cơ bản

VNETWORK có thể thu thập và xử lý các loại dữ liệu sau:

a) Thông tin định danh: Họ tên, ngày sinh, giới tính, quốc tịch, chức danh, đơn vị công tác;

b) Thông tin liên hệ: Địa chỉ email, số điện thoại, địa chỉ liên hệ, địa chỉ cư trú hoặc địa chỉ giao dịch;

c) Thông tin giấy tờ tùy thân: Số CMND/CCCD/hộ chiếu, ngày cấp, nơi cấp, trong trường hợp cần thiết để xác minh danh tính, ký kết hợp đồng hoặc thực hiện nghĩa vụ pháp lý;

d) Thông tin tài khoản dịch vụ: Tên đăng nhập, mã khách hàng, tài khoản quản trị, mật khẩu đã được mã hóa;

e) Thông tin doanh nghiệp/tổ chức: Tên doanh nghiệp, mã số thuế, địa chỉ, thông tin người đại diện, người liên hệ kỹ thuật, người liên hệ thanh toán;

f) Thông tin thanh toán: Lịch sử thanh toán, trạng thái thanh toán, chứng từ, thông tin hóa đơn và phương thức thanh toán. VNETWORK không chủ động thu thập thông tin thẻ tín dụng, dữ liệu tài khoản ngân hàng thuộc phạm vi quản lý tổ chức tín dụng, trừ trường hợp cần thiết và được thực hiện theo quy định pháp luật.

2.2. Dữ liệu kỹ thuật và dữ liệu thu thập tự động

Trong quá trình truy cập và sử dụng dịch vụ, hệ thống VNETWORK có thể tự động ghi nhận:

a) Địa chỉ IP, loại thiết bị, hệ điều hành, trình duyệt, ngôn ngữ, múi giờ, định danh phiên truy cập;

b) Log truy cập, log hệ thống, log bảo mật, log API và dữ liệu giám sát an toàn thông tin;

c) Thông tin traffic mạng, metadata kết nối, thông số hiệu năng và sự kiện bất thường;

d) Thời gian truy cập, trang đã truy cập, thao tác trên nền tảng, nguồn truy cập và dữ liệu cookies;

e) Dữ liệu thống kê, dữ liệu đã ẩn danh hóa hoặc khử nhận dạng phục vụ vận hành và cải thiện dịch vụ.

VNETWORK không sử dụng dữ liệu kỹ thuật nêu trên để định danh, theo dõi hoặc lập hồ sơ cá nhân ngoài phạm vi cần thiết cho việc cung cấp, vận hành, bảo mật, xử lý sự cố, phòng chống gian lận, tuân thủ pháp luật hoặc các mục đích đã được thông báo tại Chính sách này.

2.3. Dữ liệu nhân sự, ứng viên

VNETWORK có thể thu thập và xử lý dữ liệu cá nhân của người lao động, cộng tác viên, thực tập sinh và ứng viên nhằm phục vụ tuyển dụng, quản lý nhân sự, thực hiện hợp đồng lao động, tính lương, đóng bảo hiểm, đánh giá hiệu suất, quản lý quyền truy cập và tuân thủ pháp luật lao động. VNETWORK lưu trữ hồ sơ ứng viên không trúng tuyển tối đa 06 tháng kể từ ngày kết thúc quy trình tuyển dụng, trừ trường hợp ứng viên đồng ý cho phép lưu trữ lâu hơn.

2.4. Xử lý dữ liệu cá nhân nhạy cảm

VNETWORK không chủ động thu thập hoặc xử lý dữ liệu cá nhân nhạy cảm, trừ khi việc xử lý là cần thiết cho mục đích cụ thể đã được thông báo, phục vụ quan hệ lao động, tuyển dụng, xác minh, bảo mật, tuân thủ pháp luật, thực hiện nghĩa vụ theo hợp đồng hoặc theo yêu cầu hợp pháp của cơ quan có thẩm quyền. Trường hợp xử lý dữ liệu cá nhân nhạy cảm, VNETWORK sẽ áp dụng các nguyên tắc sau:

  1. Thông báo rõ cho chủ thể dữ liệu biết dữ liệu được xử lý là dữ liệu cá nhân nhạy cảm;
  2. Xác định mục đích xử lý cụ thể, hợp pháp và phù hợp với phạm vi cần thiết;
  3. Thu thập sự đồng ý riêng biệt của chủ thể dữ liệu trong trường hợp pháp luật yêu cầu;
  4. Áp dụng cơ chế phân quyền, giới hạn truy cập và biện pháp bảo mật tăng cường;
  5. Không sử dụng dữ liệu cá nhân nhạy cảm ngoài phạm vi mục đích đã thông báo, trừ trường hợp pháp luật cho phép hoặc yêu cầu.

ĐIỀU 3. MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

3.1. VNETWORK xử lý dữ liệu cá nhân chỉ cho một hoặc nhiều mục đích sau, và không xử lý ngoài phạm vi đã thông báo trừ trường hợp có cơ sở pháp lý phù hợp:

a) Thiết lập và thực hiện quan hệ dịch vụ: Xem xét, xử lý yêu cầu đăng ký, tạo tài khoản, báo giá, giao kết và thực hiện hợp đồng dịch vụ;

b) Vận hành và cung cấp dịch vụ: Cung cấp, vận hành, duy trì, quản trị, bảo mật hạ tầng CDN, dịch vụ bảo mật mạng, cloud, hosting và các dịch vụ khác của VNETWORK;

c) Xác minh danh tính và quản lý tài khoản: Xác minh danh tính, xác thực người dùng, quản lý tài khoản và phân quyền truy cập hệ thống;

d) Hỗ trợ kỹ thuật và chăm sóc khách hàng: Tiếp nhận và xử lý yêu cầu hỗ trợ, phản hồi thắc mắc, khiếu nại hoặc sự cố kỹ thuật;

e) Tài chính, kế toán và pháp lý: Xuất hóa đơn, xử lý thanh toán, đối soát công nợ, kế toán, thuế, kiểm toán và lưu trữ chứng từ theo quy định pháp luật;

f) Thông tin và thông báo dịch vụ: Gửi thông báo vận hành, bảo trì, bảo mật, thay đổi chính sách hoặc điều khoản dịch vụ;

g) Bảo mật và chống gian lận: Phòng ngừa, phát hiện, điều tra tấn công DDoS, truy cập trái phép, gian lận dịch vụ và bảo đảm tính liên tục của hệ thống;

h) Nghiên cứu và cải tiến dịch vụ: Phân tích hiệu năng, thống kê, nghiên cứu thị trường và cải tiến sản phẩm, chỉ thực hiện trên cơ sở dữ liệu đã ẩn danh hóa hoặc khi có đồng ý hợp lệ;

i) Quản lý nhân sự nội bộ: Tuyển dụng, quản lý lao động, tính lương, phúc lợi, đào tạo, đánh giá hiệu suất và quản lý quyền truy cập nội bộ;

j) Tuân thủ pháp luật: Thực hiện nghĩa vụ pháp lý, yêu cầu của cơ quan nhà nước có thẩm quyền, bao gồm thuế, kế toán, lao động, bảo hiểm xã hội, an toàn thông tin, bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan;

k) Bảo vệ quyền và lợi ích hợp pháp: Thiết lập, thực hiện hoặc bảo vệ quyền và lợi ích hợp pháp của VNETWORK, khách hàng, người dùng hoặc bên thứ ba trong các tranh chấp, tố tụng hoặc điều tra;

l) Xử lý dữ liệu tự động, thuật toán phân tích hoặc trí tuệ nhân tạo nhằm phục vụ vận hành dịch vụ, tối ưu hiệu năng, bảo mật hệ thống, phát hiện tấn công, phòng chống gian lận, hỗ trợ kỹ thuật và bảo vệ hạ tầng theo phạm vi quy định tại Chính sách này.

3.2. Xử lý dữ liệu tự động và trí tuệ nhân tạo

a) VNETWORK có thể sử dụng hệ thống tự động, thuật toán phân tích, trí tuệ nhân tạo hoặc công cụ hỗ trợ tự động nhằm phục vụ vận hành dịch vụ, tối ưu hiệu năng, cân bằng tải, phát hiện tấn công, phân tích lưu lượng, phòng chống gian lận, giám sát an toàn thông tin, hỗ trợ kỹ thuật và bảo vệ hạ tầng.

b) Trường hợp hoạt động xử lý tự động hoặc AI có khả năng tạo ra quyết định ảnh hưởng pháp lý hoặc ảnh hưởng đáng kể đến quyền, lợi ích hợp pháp của chủ thể dữ liệu, VNETWORK sẽ thực hiện thông báo, giải thích nguyên tắc xử lý cơ bản và cung cấp cơ chế thực hiện quyền của chủ thể dữ liệu trong phạm vi pháp luật và khả năng kỹ thuật cho phép.

c) Việc sử dụng hệ thống tự động hoặc AI cho mục đích vận hành, bảo mật, phát hiện tấn công, phòng chống gian lận, cân bằng tải, phân tích traffic bất thường hoặc bảo đảm an toàn dịch vụ không nhằm mục đích đưa ra quyết định pháp lý bất lợi đối với cá nhân, trừ trường hợp pháp luật có quy định khác.

ĐIỀU 4. CƠ SỞ PHÁP LÝ CỦA VIỆC XỬ LÝ DỮ LIỆU

VNETWORK xử lý dữ liệu cá nhân dựa trên một hoặc nhiều căn cứ sau:

a) Sự đồng ý của chủ thể dữ liệu — được thể hiện rõ ràng, cụ thể, tự nguyện, có thể in sao và kiểm chứng được; im lặng hoặc không phản hồi không được coi là đồng ý;

b) Thực hiện hợp đồng ký kết với chủ thể dữ liệu, khách hàng hoặc đối tác;

c) Nghĩa vụ pháp lý của VNETWORK theo quy định pháp luật;

d) Bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong trường hợp khẩn cấp;

e) Hoạt động của cơ quan nhà nước theo quy định pháp luật;

f) Lợi ích hợp pháp của VNETWORK hoặc bên thứ ba, với điều kiện không xâm phạm quyền và lợi ích hợp pháp của chủ thể dữ liệu.

Lưu ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý bất kỳ lúc nào. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của hoạt động xử lý đã thực hiện trước thời điểm VNETWORK nhận được yêu cầu rút lại hợp lệ.

ĐIỀU 5. QUYỀN CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

5.1. Theo quy định của pháp luật hiện hành, chủ thể dữ liệu cá nhân có các quyền liên quan đến dữ liệu cá nhân của mình, bao gồm nhưng không giới hạn:

a) Quyền được biết về hoạt động xử lý dữ liệu cá nhân;

b) Quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân trong các trường hợp pháp luật yêu cầu sự đồng ý;

c) Quyền rút lại sự đồng ý đã cung cấp;

d) Quyền truy cập, xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;

e) Quyền yêu cầu cung cấp dữ liệu cá nhân;

f) Quyền yêu cầu xóa hoặc hủy dữ liệu cá nhân;

g) Quyền yêu cầu hạn chế xử lý dữ liệu cá nhân;

h) Quyền phản đối hoạt động xử lý dữ liệu cá nhân;

i) Quyền khiếu nại, tố cáo, khởi kiện hoặc yêu cầu bồi thường thiệt hại theo quy định pháp luật;

j) Quyền yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các biện pháp bảo vệ dữ liệu cá nhân;

k) Các quyền khác theo quy định pháp luật hiện hành.

5.2. Cách thức thực hiện quyền

Chủ thể dữ liệu có thể thực hiện các quyền nêu trên bằng cách gửi yêu cầu bằng văn bản hoặc phương thức điện tử có thể kiểm chứng đến VNETWORK theo thông tin liên hệ tại Điều 13 của Chính sách này.

5.3. Xác minh và xử lý yêu cầu

Để bảo vệ quyền riêng tư và an toàn dữ liệu, VNETWORK có quyền yêu cầu chủ thể dữ liệu cung cấp thông tin hoặc tài liệu phù hợp nhằm xác minh danh tính, xác minh thẩm quyền đại diện hoặc làm rõ phạm vi yêu cầu trước khi xử lý yêu cầu. VNETWORK sẽ tiếp nhận, xem xét và phản hồi yêu cầu của chủ thể dữ liệu trong thời hạn luật định hoặc thời hạn hợp lý tùy theo tính chất, phạm vi và mức độ phức tạp của yêu cầu.

5.4. Trường hợp gia hạn, từ chối hoặc giới hạn thực hiện yêu cầu

Trường hợp yêu cầu hợp lệ, thông tin xác minh đầy đủ và dữ liệu thuộc phạm vi VNETWORK có thể kiểm soát trực tiếp, VNETWORK sẽ thực hiện yêu cầu theo quy định pháp luật hiện hành. Trường hợp yêu cầu phức tạp, liên quan đến nhiều hệ thống, dữ liệu sao lưu, log hệ thống, dữ liệu đã được ẩn danh hóa hoặc khử nhận dạng, bên thứ ba, nhà cung cấp dịch vụ, nghĩa vụ pháp lý, tranh chấp, công nợ, kiểm toán, điều tra hoặc yêu cầu của cơ quan có thẩm quyền, VNETWORK có thể gia hạn, từ chối hoặc giới hạn thực hiện yêu cầu theo quy định pháp luật và sẽ thông báo lý do phù hợp cho chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.

5.5. Các trường hợp VNETWORK có thể từ chối, trì hoãn hoặc giới hạn yêu cầu

VNETWORK có thể từ chối, trì hoãn hoặc giới hạn việc thực hiện yêu cầu của chủ thể dữ liệu trong các trường hợp sau:

a) Cần tuân thủ nghĩa vụ pháp lý bắt buộc;

b) Cần thực hiện hợp đồng, thỏa thuận hoặc nghĩa vụ còn tồn tại với chủ thể dữ liệu, khách hàng hoặc bên liên quan;

c) Cần giải quyết tranh chấp, khiếu nại, công nợ, kiểm toán, thanh tra, điều tra hoặc tố tụng;

d) Cần bảo vệ an toàn, an ninh hệ thống, phòng chống gian lận, tấn công mạng hoặc hành vi trái pháp luật;

e) Cần bảo vệ tính mạng, sức khỏe, tài sản, quyền và lợi ích hợp pháp của chủ thể dữ liệu, VNETWORK hoặc bên thứ ba;

f) Theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền;

g) Các trường hợp khác theo quy định pháp luật hiện hành.

Việc thực hiện quyền của chủ thể dữ liệu không làm ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu đã được thực hiện trước thời điểm VNETWORK nhận được và xác minh yêu cầu hợp lệ, trừ trường hợp pháp luật có quy định khác.

ĐIỀU 6. NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

Theo quy định của pháp luật hiện hành, chủ thể dữ liệu có nghĩa vụ:

a) Tự bảo vệ dữ liệu cá nhân của mình; bảo mật mật khẩu, mã OTP và không chia sẻ thông tin xác thực với bất kỳ ai;

b) Tôn trọng và bảo vệ dữ liệu cá nhân của người khác;

c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân theo yêu cầu hợp lệ và thông báo kịp thời khi có thay đổi. VNETWORK không chịu trách nhiệm đối với hậu quả phát sinh do thông tin sai lệch do lỗi của chủ thể dữ liệu;

d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân;

e) Phối hợp với VNETWORK và cơ quan nhà nước khi phát sinh sự cố liên quan đến dữ liệu cá nhân;

f) Không gây cản trở việc thực hiện quyền, nghĩa vụ pháp lý của VNETWORK với vai trò Bên kiểm soát dữ liệu hoặc Bên xử lý dữ liệu; không xâm phạm quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.

ĐIỀU 7. NGHĨA VỤ CỦA VNETWORK

7.1. Nghĩa vụ khi đóng vai trò Bên kiểm soát và xử lý dữ liệu

a) Thực hiện đầy đủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định của pháp luật hiện hành;

b) Bảo đảm cơ sở pháp lý hợp lệ trước khi tiến hành xử lý dữ liệu cá nhân;

c) Thông báo đầy đủ cho chủ thể dữ liệu về mục đích, phương tiện, thời hạn xử lý và các thông tin cần thiết khác;

d) Lập, lưu trữ, nộp, cập nhật và duy trì hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo thời hạn, trình tự, phạm vi áp dụng và biểu mẫu do pháp luật hiện hành quy định;

e) Xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để chủ thể dữ liệu thực hiện các quyền của mình;

f) Bố trí hoặc chỉ định bộ phận/nhân sự phụ trách bảo vệ dữ liệu cá nhân phù hợp với quy mô, tính chất hoạt động xử lý dữ liệu của VNETWORK và đáp ứng yêu cầu theo quy định pháp luật hiện hành;

g) Áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân;

h) Thực hiện nghĩa vụ thông báo sự cố theo Điều 9 Chính sách này.

7.2. Nghĩa vụ khi đóng vai trò Bên xử lý dữ liệu

a) Chỉ xử lý dữ liệu cá nhân theo chỉ dẫn hợp pháp và hợp đồng với bên kiểm soát dữ liệu (khách hàng doanh nghiệp);

b) Không tự ý xử lý dữ liệu ngoài phạm vi, mục đích đã được bên kiểm soát ủy quyền;

c) Bảo đảm nhân sự, nhà thầu phụ tham gia xử lý dữ liệu tuân thủ các nghĩa vụ bảo vệ dữ liệu tương đương;

d) Lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu theo thỏa thuận với bên kiểm soát;

e) Thông báo cho bên kiểm soát về mọi sự cố liên quan đến dữ liệu cá nhân trong thời hạn hợp lý sau khi phát hiện và xác minh, đồng thời phối hợp thực hiện các nghĩa vụ khắc phục.

ĐIỀU 8. CHIA SẺ DỮ LIỆU CÁ NHÂN VỚI BÊN THỨ BA

8.1. Nguyên tắc chung

VNETWORK không mua bán, trao đổi hoặc chia sẻ dữ liệu cá nhân với bên thứ ba vì mục đích thương mại độc lập.

8.2. Các trường hợp chia sẻ được phép

VNETWORK chỉ chia sẻ dữ liệu cá nhân trong phạm vi cần thiết cho các trường hợp sau, kèm thỏa thuận bảo vệ dữ liệu phù hợp:

a) Với đối tác, nhà cung cấp dịch vụ kỹ thuật, bao gồm nhà cung cấp hạ tầng kỹ thuật, điện toán đám mây, lưu trữ, CDN, bảo mật, email, CRM, giám sát hệ thống và các dịch vụ kỹ thuật liên quan, nhằm phục vụ vận hành, bảo trì, bảo mật và cải thiện dịch vụ;

b) Với nhà cung cấp dịch vụ thanh toán, kế toán, kiểm toán, tư vấn pháp lý, thuế và các dịch vụ vận hành khác;

c) Với cơ quan nhà nước có thẩm quyền, tòa án, cơ quan điều tra, cơ quan thuế hoặc bên thứ ba theo nghĩa vụ pháp luật hoặc yêu cầu hợp pháp;

d) Trong trường hợp tái cấu trúc, sáp nhập, hợp nhất, chuyển nhượng tài sản hoặc dịch vụ, với điều kiện bên nhận tiếp tục áp dụng các nghĩa vụ bảo vệ dữ liệu tương đương;

e) Khi cần thiết để bảo vệ quyền, lợi ích hợp pháp của VNETWORK, khách hàng, người dùng hoặc bên thứ ba;

f) Khi có sự đồng ý hợp lệ của chủ thể dữ liệu.

Trường hợp phát sinh việc chia sẻ dữ liệu, sử dụng nhà cung cấp dịch vụ, nhà cung cấp hạ tầng, đối tác kỹ thuật hoặc bên xử lý dữ liệu dẫn đến việc chuyển dữ liệu cá nhân ra nước ngoài hoặc cho phép tổ chức/cá nhân ở nước ngoài truy cập, xử lý dữ liệu cá nhân thuộc phạm vi điều chỉnh của pháp luật Việt Nam, VNETWORK chỉ thực hiện khi có cơ sở pháp lý phù hợp và tuân thủ các điều kiện, thủ tục, hồ sơ đánh giá tác động, biện pháp bảo vệ dữ liệu và nghĩa vụ thông báo/báo cáo theo quy định pháp luật hiện hành.

Trường hợp VNETWORK xử lý dữ liệu cá nhân với vai trò là Bên xử lý dữ liệu theo chỉ dẫn của khách hàng, hoạt động chuyển dữ liệu cá nhân ra nước ngoài, nếu phát sinh, sẽ được thực hiện theo thỏa thuận với khách hàng, chỉ dẫn hợp pháp của khách hàng và quy định pháp luật áp dụng.

VNETWORK không chuyển dữ liệu cá nhân ra nước ngoài cho mục đích thương mại độc lập ngoài phạm vi cung cấp dịch vụ, trừ khi có sự đồng ý hợp lệ của chủ thể dữ liệu, có thỏa thuận phù hợp với khách hàng hoặc thuộc trường hợp pháp luật cho phép.

ĐIỀU 9. THÔNG BÁO VÀ XỬ LÝ SỰ CỐ DỮ LIỆU CÁ NHÂN

Khi phát hiện sự cố vi phạm bảo vệ dữ liệu cá nhân, VNETWORK thực hiện:

a) Đánh giá sự cố ngay sau khi phát hiện; áp dụng biện pháp ngăn chặn, khắc phục và giảm thiểu thiệt hại;

b) Thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo thời hạn, trình tự và phạm vi pháp luật quy định, bao gồm trong thời hạn 72 giờ kể từ khi phát hiện đối với các trường hợp thuộc diện phải thông báo theo quy định pháp luật;

c) Thông báo cho chủ thể dữ liệu trong trường hợp pháp luật yêu cầu hoặc khi VNETWORK đánh giá việc thông báo là cần thiết để bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu. Nội dung thông báo, nếu có, được thực hiện theo phạm vi phù hợp, bao gồm các thông tin cần thiết về bản chất sự cố, loại dữ liệu bị ảnh hưởng, biện pháp đã và đang thực hiện, khuyến nghị dành cho chủ thể dữ liệu và đầu mối liên hệ;

d) Trong trường hợp VNETWORK là Bên xử lý dữ liệu: thông báo cho khách hàng (Bên kiểm soát) trong thời hạn hợp lý sau khi phát hiện và xác minh, đồng thời phối hợp thực hiện các nghĩa vụ thông báo, khắc phục theo hợp đồng và quy định pháp luật.

ĐIỀU 10. BẢO MẬT VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN

10.1. Biện pháp bảo mật

VNETWORK áp dụng các biện pháp kỹ thuật và tổ chức phù hợp với tính chất dữ liệu, mức độ rủi ro, phạm vi xử lý và năng lực hạ tầng tại từng thời điểm, bao gồm nhưng không giới hạn:

a) Mã hóa dữ liệu cá nhân khi lưu trữ và truyền tải trong trường hợp phù hợp với tính chất dữ liệu, mức độ rủi ro, yêu cầu pháp luật, tiêu chuẩn kỹ thuật áp dụng và khả năng kỹ thuật của hệ thống. Đối với dữ liệu cá nhân được lưu trữ trên môi trường điện toán đám mây thuộc phạm vi kiểm soát của VNETWORK, VNETWORK áp dụng cơ chế mã hóa ở trạng thái lưu trữ và truyền tải theo tiêu chuẩn kỹ thuật phù hợp, trừ trường hợp pháp luật, đặc thù kỹ thuật hoặc thỏa thuận dịch vụ có quy định/cơ sở khác;

b) Kiểm soát truy cập, phân quyền người dùng, xác thực tài khoản và áp dụng xác thực đa yếu tố trong trường hợp phù hợp;

c) Tường lửa, hệ thống phát hiện/ngăn chặn xâm nhập, giám sát an toàn thông tin và cảnh báo bất thường;

d) Sao lưu dữ liệu định kỳ, kế hoạch khôi phục sau sự cố và bảo đảm tính liên tục của dịch vụ;

e) Kiểm tra, đánh giá bảo mật định kỳ, rà soát lỗ hổng và kiểm thử bảo mật trong trường hợp phù hợp;

f) Đào tạo nhân sự, cam kết bảo mật nội bộ và kiểm soát truy cập đối với nhân viên, nhà thầu, đối tác.

10.2. Giới hạn trách nhiệm

Mặc dù VNETWORK áp dụng các biện pháp kỹ thuật và tổ chức phù hợp nhằm bảo vệ dữ liệu cá nhân, không có hệ thống truyền tải, lưu trữ hoặc xử lý dữ liệu nào có thể được bảo đảm an toàn tuyệt đối trước mọi rủi ro an ninh mạng, lỗi kỹ thuật, truy cập trái phép hoặc sự cố ngoài ý muốn.

Trong phạm vi pháp luật cho phép, VNETWORK không chịu trách nhiệm đối với các thiệt hại phát sinh từ nguyên nhân nằm ngoài phạm vi kiểm soát hợp lý của VNETWORK, bao gồm nhưng không giới hạn: lỗi hoặc hành vi của chủ thể dữ liệu; việc chủ thể dữ liệu tự tiết lộ thông tin xác thực; hành vi gian lận, lừa đảo, tấn công mạng từ bên thứ ba vượt ngoài khả năng phòng vệ hợp lý; sự cố của nhà cung cấp dịch vụ không thuộc quyền kiểm soát trực tiếp của VNETWORK; hoặc sự kiện bất khả kháng theo quy định pháp luật.

Quy định này không loại trừ hoặc giới hạn trách nhiệm của VNETWORK đối với các nghĩa vụ bắt buộc theo quy định pháp luật về bảo vệ dữ liệu cá nhân.

ĐIỀU 11. LƯU TRỮ VÀ XÓA DỮ LIỆU CÁ NHÂN

VNETWORK lưu trữ dữ liệu cá nhân trong thời gian cần thiết để thực hiện mục đích xử lý đã thông báo, cung cấp dịch vụ, thực hiện hợp đồng, tuân thủ nghĩa vụ pháp lý và bảo vệ quyền, lợi ích hợp pháp của VNETWORK, khách hàng, chủ thể dữ liệu hoặc bên thứ ba.

Tùy từng loại dữ liệu, thời hạn lưu trữ có thể được xác định như sau:

a) Dữ liệu tài khoản và thông tin cá nhân cơ bản của khách hàng: được lưu trữ trong thời gian sử dụng dịch vụ và trong thời hạn cần thiết sau khi chấm dứt dịch vụ để phục vụ hỗ trợ, đối soát, giải quyết tranh chấp, tuân thủ pháp luật hoặc bảo vệ quyền lợi hợp pháp;

b) Dữ liệu liên quan đến hợp đồng, đơn hàng, giao dịch, hóa đơn, chứng từ thanh toán, kế toán, thuế và kiểm toán: được lưu trữ theo thời hạn bắt buộc của pháp luật kế toán, thuế và các quy định pháp luật liên quan;

c) Log hệ thống, log bảo mật, log API, dữ liệu giám sát an toàn thông tin và dữ liệu phục vụ điều tra sự cố: được lưu trữ trong thời hạn cần thiết cho mục đích vận hành, bảo mật, phòng chống gian lận, điều tra sự cố, tuân thủ pháp luật và bảo vệ quyền, lợi ích hợp pháp của VNETWORK;

d) Dữ liệu của người lao động, cộng tác viên, thực tập sinh: được lưu trữ trong thời gian làm việc, hợp tác và theo thời hạn lưu trữ bắt buộc theo pháp luật lao động, thuế, bảo hiểm xã hội, kế toán và các quy định liên quan;

e) Hồ sơ ứng viên không trúng tuyển: được lưu trữ tối đa 06 tháng kể từ ngày kết thúc quy trình tuyển dụng, trừ trường hợp ứng viên đồng ý cho phép VNETWORK lưu trữ lâu hơn hoặc pháp luật có quy định khác;

f) Dữ liệu đã được ẩn danh hóa hoặc tổng hợp theo cách không còn khả năng xác định một cá nhân cụ thể theo quy định pháp luật: có thể được lưu trữ và sử dụng cho mục đích thống kê, nghiên cứu, phân tích, bảo mật, cải thiện dịch vụ hoặc mục đích hợp pháp khác trong thời hạn phù hợp với mục đích sử dụng.

VNETWORK có thể kéo dài thời hạn lưu trữ trong trường hợp cần thiết để thực hiện nghĩa vụ pháp lý, giải quyết tranh chấp, khiếu nại, công nợ, kiểm toán, thanh tra, điều tra, tố tụng hoặc bảo vệ quyền và lợi ích hợp pháp của VNETWORK, khách hàng, chủ thể dữ liệu hoặc bên thứ ba.

Sau khi hết thời hạn lưu trữ hoặc khi không còn cần thiết cho mục đích xử lý hợp pháp, VNETWORK sẽ xóa, hủy, ẩn danh hóa hoặc áp dụng biện pháp xử lý phù hợp đối với dữ liệu cá nhân theo quy trình nội bộ và quy định pháp luật hiện hành.

VNETWORK có thể chưa thực hiện hoặc chỉ thực hiện một phần yêu cầu xóa, hủy dữ liệu cá nhân nếu dữ liệu đó vẫn cần được lưu trữ hoặc xử lý để tuân thủ nghĩa vụ pháp lý, thực hiện hợp đồng, giải quyết tranh chấp, bảo vệ an toàn hệ thống, phục vụ kiểm toán, thanh tra, điều tra, tố tụng hoặc bảo vệ quyền và lợi ích hợp pháp của VNETWORK hoặc bên thứ ba. Trường hợp không thể thực hiện toàn bộ yêu cầu, VNETWORK sẽ thông báo lý do phù hợp cho chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.

ĐIỀU 12. HẬU QUẢ KHI CHỦ THỂ DỮ LIỆU THỰC HIỆN CÁC QUYỀN

Việc thực hiện các quyền của chủ thể dữ liệu là quyền hợp pháp và được VNETWORK tôn trọng, hỗ trợ theo quy định pháp luật. Tuy nhiên, trong một số trường hợp, việc xóa, hủy, hạn chế xử lý, rút lại sự đồng ý hoặc phản đối xử lý dữ liệu cá nhân có thể ảnh hưởng đến khả năng VNETWORK cung cấp một phần hoặc toàn bộ dịch vụ, bao gồm:

a) Không thể sử dụng được một phần hoặc toàn bộ dịch vụ của VNETWORK;

b) Sử dụng dịch vụ với chất lượng hạn chế hoặc không đúng như mô tả;

c) Không nhận được thông báo, cập nhật về dịch vụ hoặc thông tin bảo mật quan trọng;

d) Không được tham gia các chương trình ưu đãi, khuyến mại;

e) Các hạn chế khác tùy từng trường hợp cụ thể.

ĐIỀU 13. CÁC ĐIỀU KHOẢN CHUNG

13.1. Hiệu lực

Chính sách này có hiệu lực kể từ ngày được công bố hoặc từ thời điểm được thông báo/xác nhận bằng phương thức phù hợp. Khi truy cập website, đăng ký, sử dụng dịch vụ hoặc tương tác với VNETWORK, chủ thể dữ liệu xác nhận đã được thông báo về Chính sách này.

Việc xử lý dữ liệu cá nhân được thực hiện trên cơ sở sự đồng ý hợp lệ của chủ thể dữ liệu hoặc căn cứ pháp lý phù hợp theo quy định pháp luật hiện hành. Trường hợp pháp luật yêu cầu sự đồng ý riêng biệt cho một hoạt động xử lý cụ thể, VNETWORK sẽ thực hiện việc thu thập sự đồng ý đó theo hình thức phù hợp trước khi xử lý, trừ trường hợp pháp luật có quy định khác.

13.2. Cập nhật và sửa đổi

VNETWORK có thể cập nhật Chính sách này theo từng thời kỳ để phản ánh thay đổi pháp luật, công nghệ hoặc hoạt động kinh doanh. Các thay đổi quan trọng ảnh hưởng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu sẽ được thông báo bằng hình thức phù hợp, chẳng hạn qua email hoặc thông báo trên website, trong thời hạn hợp lý trước khi có hiệu lực, trừ trường hợp pháp luật có quy định khác hoặc việc cập nhật cần thực hiện ngay để tuân thủ pháp luật, bảo đảm an toàn hệ thống hoặc khắc phục lỗi kỹ thuật. Trong trường hợp pháp luật yêu cầu, VNETWORK sẽ xin sự đồng ý lại từ chủ thể dữ liệu.

13.3. Tranh chấp và giải quyết

Các tranh chấp phát sinh được giải quyết trước tiên bằng thương lượng, hòa giải trên tinh thần thiện chí. Trường hợp không thương lượng được trong thời gian 30 ngày, các bên có quyền yêu cầu cơ quan có thẩm quyền giải quyết theo quy định pháp luật Việt Nam.

13.4. Liên hệ và Nhân sự bảo vệ dữ liệu cá nhân

Mọi thắc mắc, yêu cầu liên quan đến bảo vệ dữ liệu cá nhân, vui lòng liên hệ:

Bộ phận/Nhân sự phụ trách bảo vệ dữ liệu cá nhân

  • Email: support@vnetwork.vn
  • Điện thoại: 028 7306 8789
  • Địa chỉ: Phòng 23-06, tầng 23 Tòa nhà UOA Tower, số 6 Tân Trào, Phường Tân Mỹ, Thành phố Hồ Chí Minh, Việt Nam

Chính sách này thay thế các phiên bản trước đó liên quan đến bảo vệ và xử lý dữ liệu cá nhân của VNETWORK kể từ ngày có hiệu lực nêu trên.

Sitemap HTML