03/04/2026 Cập nhật vào ngày 04/03/2026
CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN
(Áp dụng cho: Khách hàng – Đối tác – Ứng viên)
Công ty TNHH Cube System Việt Nam (sau đây gọi là “Công ty”) cam kết bảo vệ dữ liệu cá nhân của các cá nhân có tương tác với Công ty. Chính sách này được thiết lập nhằm đảm bảo mọi hoạt động xử lý dữ liệu đều minh bạch và tuân thủ các quy định pháp luật cao nhất.
1. Mục đích và Phạm vi áp dụng
Chính sách này quy định cách thức Công ty thu thập, xử lý, lưu trữ, sử dụng và bảo vệ dữ liệu cá nhân nhằm tuân thủ Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15 (có hiệu lực từ ngày 01/01/2026), cũng như các văn bản luật pháp liên quan khác. Công ty cam kết đảm bảo quyền và lợi ích hợp pháp của các chủ thể dữ liệu trong mọi hoạt động tương tác, bao gồm nhưng không giới hạn ở:
– Ứng viên: Cá nhân tham gia quy trình tuyển dụng tại Công ty.
– Khách hàng: Cá nhân đại diện hoặc nhân sự liên hệ của các tổ chức sử dụng dịch vụ/sản phẩm của Công ty.
– Đối tác: Các cá nhân, nhà cung cấp hoặc bên thứ ba có quan hệ hợp tác kinh doanh với Công ty.
– Người dùng: Cá nhân truy cập website hoặc sử dụng các dịch vụ trực tuyến của Công ty.
– Cá nhân khác: Các bên liên quan phát sinh quyền và nghĩa vụ trong quá trình Công ty cung cấp sản phẩm và vận hành dịch vụ.
Chính sách này được công bố công khai và là cơ sở pháp lý để Chủ thể dữ liệu hiểu rõ quyền, nghĩa vụ và cách thức Công ty thực hiện vai trò là Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân đối với mọi dữ liệu cá nhân phát sinh trong quá trình hoạt động.
2. Định nghĩa và Phân loại dữ liệu cá nhân
Dữ liệu cá nhân được Công ty thu thập và xử lý tùy theo mục đích tương tác và vai trò của Chủ thể dữ liệu. Dữ liệu bao gồm thông tin trên môi trường điện tử hoặc các dạng tương tự giúp xác định danh tính một cá nhân cụ thể, được phân loại như sau:
2.1 Dữ liệu cá nhân cơ bản
Bao gồm các thông tin định danh trực tiếp hoặc gián tiếp, phục vụ cho các tương tác hành chính và giao dịch thông thường:
– Thông tin định danh: Họ tên, ngày sinh, giới tính, quốc tịch, ảnh chân dung.
– Thông tin liên lạc: Số điện thoại, email, địa chỉ thường trú/tạm trú, thông tin mạng xã hội.
– Hồ sơ nghề nghiệp (đối với Ứng viên/Đối tác): Trình độ học vấn, kinh nghiệm làm việc, bằng cấp, chứng chỉ và các thông tin trong hồ sơ năng lực (CV).
– Dữ liệu tương tác số: Địa chỉ IP, cookie, định danh thiết bị, loại trình duyệt và nhật ký (logs) hoạt động của Người dùng trên các nền tảng của Công ty.
2.2. Dữ liệu cá nhân nhạy cảm
Là những dữ liệu có tính riêng tư cao, nếu bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền lợi của cá nhân. Công ty chỉ xử lý các dữ liệu này khi thực sự cần thiết và có biện pháp bảo mật nghiêm ngặt hơn:
– Thông tin tài chính: Mức thu nhập, thông tin tài khoản ngân hàng, thông tin về thuế (đối với đối tác cá nhân hoặc khi thực hiện ký kết hợp đồng).
– Thông tin sức khỏe: Kết quả khám sức khỏe đầu vào (đối với ứng viên theo yêu cầu công việc).
– Thông tin pháp lý: Dữ liệu về lý lịch tư pháp (khi có yêu cầu đặc thù từ dự án hoặc khách hàng).
– Dữ liệu sinh trắc học & Định vị: Thông tin nhận dạng đặc điểm cá nhân hoặc vị trí địa lý của cá nhân thông qua các hệ thống an ninh/ứng dụng của Công ty (nếu có).
– Dữ liệu về hoạt động trực tuyến: hành vi sử dụng website/ứng dụng và lịch sử mạng (logs) khi tương tác với hệ thống của Công ty.
2.3. Dữ liệu có liên quan khác
Mọi thông tin khác không thuộc các danh mục trên nhưng được tạo ra hoặc thu thập trong quá trình Chủ thể dữ liệu sử dụng dịch vụ hoặc làm việc với Công ty mà có thể dẫn đến việc xác định danh tính cá nhân.
3. Mục đích và Cơ sở pháp lý xử lý dữ liệu
3.1. Cơ sở pháp lý xử lý dữ liệu
Công ty chỉ thực hiện xử lý dữ liệu cá nhân khi có ít nhất một trong các cơ sở pháp lý sau đây:
– Sự đồng ý: Chủ thể dữ liệu tự nguyện đồng ý cho phép Công ty xử lý dữ liệu cho các mục đích cụ thể.
– Thực hiện hợp đồng: Xử lý dữ liệu để chuẩn bị giao kết hoặc thực hiện quyền và nghĩa vụ theo hợp đồng mà Chủ thể dữ liệu là một bên.
– Nghĩa vụ pháp lý: Xử lý dữ liệu để tuân thủ các quy định pháp luật hiện hành của Việt Nam (Thuế, Lao động, An ninh mạng…).
– Lợi ích hợp pháp: Xử lý dữ liệu nhằm bảo vệ an ninh hệ thống, phòng chống gian lận và đảm bảo an toàn cho các hoạt động của Công ty mà không gây ảnh hưởng đến quyền cơ bản của cá nhân.
3.2. Bảng mục đích xử lý chi tiết
| STT | Nhóm mục đích | Chi tiết hoạt động | Cơ sở pháp lý chính |
| 1 | Nhân sự & Tuyển dụng | Tiếp nhận CV, đánh giá năng lực, liên lạc phỏng vấn, kiểm tra tham chiếu. | Sự đồng ý & Chuẩn bị hợp đồng |
| 2 | Cung cấp dịch vụ/ Sản phẩm | Giao tiếp dự án, bàn giao mã nguồn, quản lý tài khoản người dùng, hỗ trợ kỹ thuật (Offshore/Product). | Thực hiện hợp đồng |
| 3 | Quản trị đối tác | Ký kết hợp đồng kinh tế, thực hiện nghĩa vụ thanh toán, đối soát dịch vụ. | Thực hiện hợp đồng & Nghĩa vụ pháp lý |
| 4 | An ninh & Bảo mật | Giám sát truy cập hệ thống (Logs), vận hành camera an ninh tại văn phòng. | Lợi ích hợp pháp & An ninh mạng |
| 5 | Liên lạc & Marketing | Gửi thông báo cập nhật dịch vụ, thiệp chúc mừng, khảo sát mức độ hài lòng. | Sự đồng ý |
3.3. Thu thập và Quản lý Sự đồng ý (Consent)
Để đảm bảo quyền tự quyết của Chủ thể dữ liệu, Công ty thiết lập quy trình quản lý Consent như sau:
– Hình thức: Consent phải được thể hiện rõ ràng, cụ thể bằng văn bản, hành động đánh dấu vào
– Phạm vi: Consent gắn liền với mục đích xử lý cụ thể. Nếu Công ty thay đổi mục đích, Công ty sẽ thông báo và thu thập lại Consent.
– Quyền rút lại: Chủ thể dữ liệu có quyền rút lại Consent bất kỳ lúc nào thông qua văn bản hoặc các kênh liên lạc được quy định tại Chính sách này.
– Hệ quả: Việc rút Consent không ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu đã diễn ra trước thời điểm rút. Tuy nhiên, việc này có thể dẫn đến việc Công ty không thể tiếp tục cung cấp một phần hoặc toàn bộ dịch vụ cho Chủ thể dữ liệu.
3.4. Cam kết về tính cần thiết và phạm vi xử lý
Công ty tuân thủ nghiêm ngặt nguyên tắc xử lý dữ liệu đúng mục đích và tối giản hóa dữ liệu:
– Công ty chỉ thu thập và xử lý những hạng mục dữ liệu thực sự cần thiết để đạt được mục đích đã xác định tại Mục 3.2. Mọi yêu cầu cung cấp thông tin không phục vụ trực tiếp cho mục đích đã nêu sẽ được loại bỏ.
– Dữ liệu cá nhân chỉ được xử lý trong phạm vi các hoạt động đã thông báo cho Chủ thể dữ liệu. Công ty không tự ý mở rộng phạm vi xử lý nếu chưa thông báo và nhận được sự đồng ý bổ sung (trừ trường hợp pháp luật có quy định khác).
– Dữ liệu thu thập phải ở mức tối thiểu cần thiết. Ví dụ: Nếu mục đích chỉ là liên lạc phỏng vấn, Công ty sẽ không yêu cầu cung cấp thông tin về tài khoản ngân hàng hay tình trạng sức khỏe chi tiết của ứng viên tại giai đoạn này.
– Trường hợp phát sinh mục đích mới ngoài danh mục đã công bố, Công ty cam kết sẽ thực hiện thông báo và chỉ tiến hành xử lý sau khi có cơ sở pháp lý phù hợp hoặc sự đồng ý xác nhận từ Chủ thể dữ liệu.
3.5. Đối với dữ liệu trên các hệ thống do Công ty cung cấp cho Khách hàng
Trong trường hợp Công ty cung cấp nền tảng, hệ thống phần mềm và thực hiện xử lý dữ liệu theo chỉ định của Khách hàng (với tư cách là Bên xử lý dữ liệu):
– Trách nhiệm của Khách hàng: Khách hàng có trách nhiệm đảm bảo đã có đầy đủ cơ sở pháp lý và sự đồng ý hợp lệ của Chủ thể dữ liệu (nhân viên, người dùng của Khách hàng) trước khi đưa dữ liệu vào hệ thống.
– Phạm vi của Công ty: Công ty chỉ thực hiện các hoạt động xử lý dữ liệu trong phạm vi thỏa thuận tại hợp đồng cung cấp dịch vụ, nhằm đảm bảo hệ thống vận hành ổn định và bảo mật. Công ty không sử dụng dữ liệu này cho bất kỳ mục đích nào khác ngoài chỉ thị của Khách hàng.
4. Các hoạt động xử lý dữ liệu
Công ty thực hiện quản lý dữ liệu cá nhân thông qua các hoạt động xử lý khép kín, đảm bảo tính toàn vẹn và an toàn thông tin trong suốt vòng đời của dữ liệu:
4.1. Thu thập và Ghi nhận:
Dữ liệu được thu thập trực tiếp từ Chủ thể dữ liệu (qua hồ sơ, biểu mẫu, website) hoặc từ các nguồn hợp pháp khác đã được sự đồng ý của Chủ thể. Mọi hoạt động ghi nhận dữ liệu đều được thực hiện minh bạch và lưu vết (log) trên hệ thống.
4.2. Sắp xếp và Lưu trữ:
Dữ liệu sau khi thu thập được phân loại theo tính chất (Cơ bản hoặc Nhạy cảm) để áp dụng các biện pháp lưu trữ phù hợp. Công ty sử dụng hạ tầng lưu trữ an toàn, có hệ thống dự phòng và được bảo vệ bởi các lớp bảo mật đa tầng.
4.3. Chỉnh sửa và Cập nhật:
Công ty thực hiện chỉnh sửa, cập nhật dữ liệu ngay khi nhận được yêu cầu hợp lệ từ Chủ thể dữ liệu hoặc khi có căn cứ xác thực dữ liệu hiện tại không còn chính xác, đảm bảo dữ liệu luôn đúng với thực tế
4.4. Truyền tải và Chia sẻ:
Hoạt động chia sẻ dữ liệu chỉ được thực hiện với các cơ quan Nhà nước có thẩm quyền hoặc các bên thứ ba có chức năng liên quan (đơn vị cung cấp hạ tầng, đối tác dự án) dựa trên các thỏa thuận bảo mật bằng văn bản và tuân thủ nghiêm ngặt mục đích đã xác định tại Điều 3.
4.5. Chuyển dữ liệu ra nước ngoài:
Nhằm phục vụ hoạt động quản lý dự án Offshore hoặc báo cáo Tập đoàn, Công ty có thể chuyển dữ liệu ra nước ngoài (đặc biệt là Nhật Bản). Công ty cam kết thực hiện đầy đủ các thủ tục Lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và báo cáo cơ quan chức năng theo đúng quy định trước khi thực hiện việc chuyển giao.
4.6. Xóa và Hủy dữ liệu:
Dữ liệu cá nhân sẽ được xóa hoặc hủy bỏ một cách an toàn, không thể khôi phục khi:
– Đã hoàn thành mục đích xử lý;
– Hết thời hạn lưu trữ theo quy định của pháp luật hoặc hợp đồng;
– Chủ thể dữ liệu rút lại sự đồng ý và việc xóa dữ liệu không vi phạm các nghĩa vụ pháp lý khác của Công ty.
5. Quyền và Nghĩa vụ của Chủ thể dữ liệu
5.1. Quyền của Chủ thể dữ liệu
Trừ trường hợp pháp luật có quy định khác, Chủ thể dữ liệu có đầy đủ các quyền sau đối với dữ liệu cá nhân của mình:
– Được biết về hoạt động xử lý dữ liệu cá nhân;
– Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
– Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
– Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
– Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
– Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
5.2. Nghĩa vụ của Chủ thể dữ liệu
Để đảm bảo quyền lợi của mình và an ninh chung của hệ thống, Chủ thể dữ liệu có nghĩa vụ:
– Tôn trọng pháp luật: Tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm.
– Cung cấp thông tin: Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý.
– Tôn trọng quyền của người khác: Không xâm phạm dữ liệu cá nhân của người khác trong quá trình sử dụng dịch vụ của Công ty.
– Bảo vệ tài khoản: Tự chịu trách nhiệm bảo mật tài khoản, mật khẩu, mã OTP và thông báo ngay cho Công ty khi phát hiện sự cố.
5.3. Cách thức thực hiện quyền và Thời hạn xử lý
– Chủ thể dữ liệu gửi yêu cầu thực hiện quyền thông qua thông tin liên hệ tại Điều 11 của Chính sách này.
– Thời hạn phản hồi ban đầu: Trong vòng 02 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ từ Chủ thể dữ liệu, Công ty sẽ thực hiện phản hồi xác nhận việc tiếp nhận yêu cầu, thông báo về tính hợp lệ của yêu cầu và dự kiến kế hoạch/phương án xử lý.
– Thời hạn hoàn tất thực hiện: Việc triển khai các biện pháp kỹ thuật, hành chính để thực hiện nội dung yêu cầu (như trích xuất dữ liệu, chỉnh sửa thông tin, hạn chế xử lý hoặc xóa dữ liệu) và thông báo kết quả cuối cùng cho Chủ thể dữ liệu sẽ được hoàn tất trong vòng 10 đến 15 ngày.
(Lưu ý: Trường hợp yêu cầu có tính chất phức tạp hoặc số lượng dữ liệu lớn cần nhiều thời gian xử lý hơn, Công ty sẽ thông báo gia hạn thời gian thực hiện nhưng không quá thời hạn tối đa mà pháp luật quy định.)
– Công ty cam kết lưu vết (log) toàn bộ quá trình tiếp nhận và xử lý yêu cầu để đảm bảo trách nhiệm giải trình trước cơ quan chức năng.
5.4. Trường hợp hạn chế hoặc từ chối thực hiện quyền
Công ty có quyền từ chối thực hiện một phần hoặc toàn bộ yêu cầu của Chủ thể dữ liệu trong các trường hợp sau:
– Việc thực hiện yêu cầu vi phạm quy định của luật pháp;
– Dữ liệu đang được xử lý bởi cơ quan nhà nước có thẩm quyền theo quy định pháp luật;
– Việc xóa/chỉnh sửa dữ liệu gây ảnh hưởng đến tính mạng, sức khỏe, tài sản hoặc quyền và lợi ích hợp pháp của người khác;
– Chủ thể dữ liệu không thực hiện đúng các quy định về xác minh danh tính.
6. Thời gian và Nguyên tắc lưu trữ dữ liệu
Công ty cam kết tuân thủ nguyên tắc “hạn chế mục đích” và bảo mật trong lưu trữ đối với mọi dữ liệu cá nhân:
– Gắn liền với mục đích: Dữ liệu chỉ được thu thập khi thực sự cần thiết cho các mục đích rõ ràng đã nêu tại Điều 3 (Tuyển dụng, cung cấp dịch vụ, quản lý hợp đồng…) và chỉ được lưu trữ trong khoảng thời gian phù hợp để hoàn thành các mục đích đó.
– Địa điểm lưu trữ: Dữ liệu được lưu trữ trên hệ thống máy chủ hoặc các hệ thống đám mây (Cloud) đạt chuẩn an toàn, tuân thủ quy định về lưu trữ dữ liệu của pháp luật Việt Nam.
– Tuân thủ pháp luật: Trong mọi trường hợp, thời hạn lưu trữ sẽ không ngắn hơn thời hạn tối thiểu mà pháp luật Việt Nam quy định cho từng loại dữ liệu cụ thể.
6.2. Thời hạn lưu trữ chi tiết
Trừ khi có yêu cầu hủy bỏ sớm từ Chủ thể dữ liệu (và yêu cầu này hợp lệ), thời gian lưu trữ được quy định cụ thể như sau:
Đối với Dữ liệu Ứng viên:
– Ứng viên trúng tuyển: Dữ liệu được chuyển sang lưu trữ theo quy định về hồ sơ nhân sự/lao động.
– Ứng viên không trúng tuyển: Dữ liệu sẽ được xóa/hủy bỏ an toàn trong vòng 20 ngày kể từ khi kết thúc đợt tuyển dụng hoặc khi Ứng viên yêu cầu xóa. Ngoại lệ: Nếu Ứng viên có sự đồng ý (consent) cho phép Công ty lưu trữ hồ sơ trong “Kho dữ liệu ứng viên tiềm năng” (Talent Pool), dữ liệu sẽ được lưu trữ thêm trong thời hạn đã thỏa thuận để giới thiệu các cơ hội việc làm trong tương lai.
Đối với Dữ liệu hoạt động (Khách hàng/Người dùng):
– Được lưu trữ trong suốt thời gian Công ty cung cấp sản phẩm, dịch vụ hoặc cho đến khi hoàn thành mục đích xử lý đã nêu tại Điều 3.
Đối với Dữ liệu Người dùng Website (Cookies/Logs):
– Lưu trữ trong khoảng thời gian cần thiết để duy trì phiên làm việc hoặc bảo đảm an ninh hệ thống (thường từ 3 tháng đến 1 năm tùy cấu hình hệ thống), sau đó sẽ tự động ghi đè hoặc xóa bỏ.
Đối với dữ liệu tuân thủ nghĩa vụ pháp lý (Sau khi chấm dứt dịch vụ/hợp đồng):
Công ty sẽ tiếp tục lưu trữ dữ liệu sau khi chấm dứt hợp đồng/dịch vụ nhằm tuân thủ các quy định chuyên ngành, bao gồm nhưng không giới hạn:
– Dữ liệu Kế toán, Thuế: Lưu trữ theo thời hạn quy định của pháp luật về Kế toán và Quản lý thuế (bao gồm cả thời gian chờ hoàn tất các thủ tục thanh tra, kiểm tra và quyết toán thuế với cơ quan Nhà nước).
– Dữ liệu Lao động: Lưu trữ theo quy định của Bộ luật Lao động và pháp luật về Bảo hiểm xã hội.
– Đối với tranh chấp pháp lý: Dữ liệu được lưu trữ cho đến khi các tranh chấp, khiếu nại (nếu có) được giải quyết dứt điểm hoặc hết thời hiệu khởi kiện theo quy định pháp luật.
– Các trường hợp khác: Lưu trữ theo yêu cầu bằng văn bản của cơ quan Nhà nước có thẩm quyền hoặc để phục vụ công tác điều tra, an ninh.
6.3. Xử lý khi hết hạn lưu trữ
Khi hết thời hạn lưu trữ nêu trên, hoặc khi Chủ thể dữ liệu rút lại sự đồng ý (đối với các dữ liệu lưu trữ dựa trên consent như Talent Pool, Marketing), hoặc khi mục đích xử lý đã hoàn thành và không có yêu cầu lưu trữ thêm từ pháp luật, Công ty sẽ tiến hành:
– Xóa bỏ vĩnh viễn: Dữ liệu được xóa khỏi hệ thống lưu trữ điện tử và tiêu hủy các bản sao lưu (backup) theo quy trình an toàn.
– Hủy giấy: Đối với hồ sơ bản cứng (dùng máy hủy tài liệu).
– Ẩn danh hóa (Anonymization): Trong trường hợp cần giữ lại dữ liệu để phục vụ công tác thống kê, báo cáo nội bộ, Công ty sẽ thực hiện mã hóa hoặc ẩn danh hóa để dữ liệu không còn khả năng xác định danh tính của một cá nhân cụ thể.
7. Chia sẻ và Chuyển giao dữ liệu
7.1. Chia sẻ dữ liệu với bên thứ ba
Công ty cam kết không bán, trao đổi hoặc chia sẻ dữ liệu cá nhân cho bất kỳ bên thứ ba nào vì mục đích thương mại trái phép. Tuy nhiên, để thực hiện các mục đích đã nêu tại Điều 3 (cung cấp dịch vụ, thanh toán, thực hiện dự án…), Công ty có thể chia sẻ dữ liệu với các nhóm đối tượng sau:
Các đối tác cung cấp dịch vụ (Vendors/Sub-contractors): Các đơn vị cung cấp hạ tầng CNTT (Cloud/Hosting), dịch vụ bảo mật, tư vấn pháp lý, kiểm toán hoặc các nhà thầu phụ hỗ trợ thực hiện dự án.
Các tổ chức tài chính, ngân hàng: Để thực hiện các giao dịch thanh toán, chi trả thù lao hoặc các nghĩa vụ tài chính theo hợp đồng hoặc theo yêu cầu cụ thể của Chủ thể dữ liệu.
Công ty trong cùng Tập đoàn (Cube System Group):
– Với vai trò quản trị: Chia sẻ báo cáo, dữ liệu quản lý nội bộ.
– Với vai trò Đối tác/Khách hàng: Chia sẻ dữ liệu phục vụ việc thực hiện các dự án Offshore, phát triển sản phẩm hoặc kết nối kinh doanh.
Cơ quan Nhà nước: Khi có yêu cầu bằng văn bản hợp pháp hoặc để tuân thủ nghĩa vụ báo cáo thuế, lao động, an ninh.
7.2. Nguyên tắc bảo mật khi chia sẻ
Công ty áp dụng các biện pháp bảo vệ phù hợp với từng nhóm đối tượng nhận dữ liệu:
– Đối với Đối tác cung cấp dịch vụ (Vendors): Công ty bắt buộc ký kết thỏa thuận bảo mật hoặc hợp đồng xử lý dữ liệu, yêu cầu bên thứ ba chỉ xử lý theo chỉ đạo và áp dụng các biện pháp an ninh tương đương.
– Đối với Ngân hàng/Cơ quan Nhà nước: Việc chia sẻ tuân thủ theo quy định pháp luật chuyên ngành và quy định của tổ chức đó, đảm bảo tính chính xác và an toàn trong quá trình truyền tải.
7.3. Chuyển dữ liệu ra nước ngoài
Trong quá trình cung cấp dịch vụ hoặc vận hành hệ thống quản trị toàn cầu, dữ liệu có thể được chuyển đến máy chủ hoặc đối tác tại Nhật Bản và các quốc gia khác. Công ty cam kết:
– Mục đích rõ ràng: Việc chuyển dữ liệu chỉ phục vụ mục đích thực hiện hợp đồng, duy trì hoạt động kinh doanh hoặc theo yêu cầu của Chủ thể dữ liệu.
– Tuân thủ pháp luật: Công ty thực hiện đầy đủ các thủ tục Lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và báo cáo cơ quan chức năng theo đúng quy định, đồng thời đảm bảo bên tiếp nhận dữ liệu có các biện pháp bảo vệ phù hợp.
8. Biện pháp An ninh và Bảo mật dữ liệu
8.1. Cam kết bảo mật
Công ty nhận thức rõ tầm quan trọng của dữ liệu và cam kết áp dụng các tiêu chuẩn an ninh thông tin phù hợp với quy mô doanh nghiệp và quy định pháp luật để bảo vệ dữ liệu cá nhân khỏi các nguy cơ truy cập trái phép, mất mát, phá hủy, rò rỉ hoặc tiết lộ không mong muốn.
8.2. Các biện pháp kỹ thuật và tổ chức
Công ty triển khai hệ thống bảo mật đa lớp bao gồm:
Biện pháp kỹ thuật:
– Mã hóa dữ liệu: Áp dụng công nghệ mã hóa dữ liệu đường truyền (SSL/TLS) và mã hóa dữ liệu lưu trữ quan trọng.
– An ninh mạng: Triển khai tường lửa, phần mềm phát hiện xâm nhập và các biện pháp kiểm soát truy cập hệ thống (Logs) nghiêm ngặt để ngăn chặn các cuộc tấn công từ bên ngoài.
– Giới hạn truy cập: Quyền truy cập dữ liệu cá nhân chỉ được cấp cho một số lượng hạn chế nhân viên có thẩm quyền và trực tiếp cần dữ liệu đó để thực hiện công việc (nguyên tắc “Need-to-know”).
– Xóa hủy an toàn: Sử dụng các công cụ chuyên dụng để xóa dữ liệu vĩnh viễn khi hết hạn lưu trữ, đảm bảo không thể phục hồi.
Biện pháp tổ chức:
– Đào tạo và Quy trình: Duy trì các quy định nội bộ và đào tạo định kỳ để đảm bảo nhân viên hiểu và tuân thủ các nguyên tắc bảo mật,
– Ràng buộc trách nhiệm: Yêu cầu các bên thứ ba (nhà cung cấp dịch vụ, đối tác) ký cam kết bảo mật bằng văn bản trước khi tiếp nhận dữ liệu
8.3. Hậu quả và thiệt hại không mong muốn
Mặc dù Công ty luôn áp dụng các biện pháp bảo vệ tốt nhất, không gian mạng luôn tồn tại những rủi ro tiềm ẩn. Chủ thể dữ liệu cần hiểu rằng các hậu quả không mong muốn có thể xảy ra (dù xác suất thấp), bao gồm nhưng không giới hạn
– Sự cố kỹ thuật khách quan: Lỗi phần cứng, hư hỏng thiết bị lưu trữ vật lý hoặc lỗi phần mềm bất ngờ dẫn đến mất mát dữ liệu.
– Lỗ hổng chưa được công bố: Các cuộc tấn công khai thác lỗ hổng bảo mật mới (Zero-day) mà các hãng bảo mật toàn cầu chưa kịp cập nhật bản vá.
– Rủi ro đường truyền: Dữ liệu có thể bị rò rỉ trong quá trình truyền tải nếu thiết bị hoặc mạng internet của người dùng không đảm bảo an toàn.
8.4. Giới hạn trách nhiệm (Miễn trừ)
Để đảm bảo tính công bằng, Công ty sẽ được miễn trừ trách nhiệm pháp lý đối với các sự cố mất mát, rò rỉ hoặc tổn thất dữ liệu xuất phát từ các nguyên nhân sau:
Sự kiện bất khả kháng: Các sự kiện nằm ngoài tầm kiểm soát của Công ty bao gồm nhưng không giới hạn: thiên tai, hỏa hoạn, mất điện diện rộng, sự cố cáp quang quốc gia, hoặc các cuộc tấn công mạng quy mô lớn vượt quá khả năng phòng chống kỹ thuật tiêu chuẩn (như tấn công từ chối dịch vụ DDoS quy mô lớn, khai thác lỗ hổng Zero-day chưa được công bố).
Lỗi của Chủ thể dữ liệu:
– Chủ thể tự ý chia sẻ tài khoản, mật khẩu hoặc mã OTP cho người khác.
– Chủ thể truy cập vào các đường dẫn độc hại (phishing), sử dụng thiết bị nhiễm mã độc để đăng nhập vào hệ thống của Công ty.
– Chủ thể cung cấp thông tin liên lạc sai lệch dẫn đến việc dữ liệu/thông báo được gửi đến sai người nhận.
Bên thứ ba độc lập: Sự cố xảy ra do lỗi của các nhà cung cấp dịch vụ viễn thông, ngân hàng hoặc các nền tảng bên thứ ba mà Chủ thể dữ liệu sử dụng để kết nối với Công ty (trừ khi các bên này là nhà thầu phụ chịu sự quản lý trực tiếp của Công ty).
9. Xử lý vi phạm và Thông báo sự cố
Trong trường hợp phát hiện hoặc nghi ngờ có sự cố rò rỉ, mất mát hoặc vi phạm an toàn dữ liệu cá nhân, Công ty cam kết kích hoạt quy trình ứng phó khẩn cấp với các bước sau:
9.1. Ngăn chặn và Khắc phục
Ngay khi phát hiện sự cố, Công ty sẽ lập tức áp dụng các biện pháp kỹ thuật để:
– Ngăn chặn hành vi xâm nhập, cô lập hệ thống bị ảnh hưởng.
– Đánh giá mức độ thiệt hại và thực hiện các biện pháp khắc phục, khôi phục dữ liệu trong thời gian sớm nhất nhằm giảm thiểu tối đa rủi ro cho Chủ thể dữ liệu.
9.2. Thông báo cho Cơ quan chức năng
Công ty sẽ thực hiện thông báo vi phạm dữ liệu cá nhân cho Cơ quan chuyên trách bảo vệ dữ liệu (Bộ Công an/Cục An ninh mạng) chậm nhất là 72 giờ kể từ thời điểm phát hiện sự cố, trừ trường hợp sự cố được xác định là không gây rủi ro đến quyền và lợi ích của cá nhân. Trong trường hợp bất khả kháng không thể báo cáo trong vòng 72 giờ, Công ty sẽ gửi báo cáo kèm theo lý do chậm trễ cho cơ quan chức năng.
9.3. Thông báo cho Chủ thể dữ liệu
Trong trường hợp sự cố có nguy cơ gây rủi ro cao đến quyền và lợi ích hợp pháp của Chủ thể dữ liệu (như lộ thông tin tài khoản ngân hàng, mật khẩu, dữ liệu nhạy cảm), Công ty sẽ thông báo trực tiếp cho các cá nhân liên quan. Nội dung thông báo bao gồm:
– Mô tả sơ bộ về sự cố.
– Các loại dữ liệu bị ảnh hưởng.
– Khuyến nghị các biện pháp để Chủ thể dữ liệu tự bảo vệ mình (đổi mật khẩu, khóa thẻ…).
10. Cam kết và Trách nhiệm của Khách hàng/Đối tác (Tổ chức)
Đối với Khách hàng, Đối tác là tổ chức, doanh nghiệp cung cấp dữ liệu cá nhân của bên thứ ba (nhân viên, khách hàng, người dùng cuối…) cho Công ty để thực hiện hợp đồng hoặc sử dụng dịch vụ, Quý Khách hàng/Đối tác cam kết:
10.1. Cam kết về quyền cung cấp dữ liệu
Khách hàng/Đối tác đảm bảo rằng mọi dữ liệu cá nhân chuyển giao cho Công ty đều hợp pháp. Khách hàng/Đối tác cam kết đã có đầy đủ sự đồng ý (consent) hợp lệ hoặc các cơ sở pháp lý khác theo quy định của Luật Bảo vệ Dữ liệu Cá nhân để cung cấp dữ liệu đó cho Công ty xử lý.
10.2. Trách nhiệm cập nhật
Khách hàng/Đối tác có trách nhiệm đảm bảo tính chính xác của dữ liệu cung cấp và thông báo kịp thời cho Công ty bằng văn bản ngay khi có bất kỳ sự thay đổi, điều chỉnh hoặc yêu cầu xóa bỏ nào từ phía Chủ thể dữ liệu gốc.
10.3. Nhận thức về giới hạn dịch vụ
Khách hàng/Đối tác hiểu và đồng ý rằng, việc rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu đối với các thông tin thiết yếu có thể dẫn đến việc Công ty không thể tiếp tục cung cấp một phần hoặc toàn bộ dịch vụ, tính năng kỹ thuật hoặc thực hiện hợp đồng. Trong trường hợp này, Công ty không chịu trách nhiệm đối với các gián đoạn dịch vụ hoặc thiệt hại phát sinh.
10.4. Miễn trừ trách nhiệm cho Công ty
Khách hàng/Đối tác cam kết chịu trách nhiệm giải quyết và bồi thường cho Công ty đối với mọi khiếu nại, tranh chấp hoặc án phạt từ cơ quan chức năng phát sinh do việc Khách hàng/Đối tác thu thập dữ liệu trái phép hoặc không xin sự đồng ý của Chủ thể dữ liệu trước khi chuyển giao cho Công ty. Đồng thời, Khách hàng/Đối tác cam kết đã thực hiện Đánh giá tác động xử lý dữ liệu (DPIA) theo quy định trước khi chuyển giao dữ liệu cho Công ty.
11. Hiệu lực và Thay đổi chính sách
11.1. Cơ sở pháp lý và Hiệu lực
– Chính sách này được xây dựng và thực hiện dựa trên quy định của Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15, Nghị định 356/2025/NĐ-CP và các văn bản pháp luật liên quan khác của Việt Nam.
– Chính sách này có hiệu lực kể từ ngày 01/01/2026 và thay thế cho các phiên bản trước của “Chính sách bảo vệ dữ liệu cá nhân” mà Công ty đã công bố.
– Chính sách này không làm mất hiệu lực hoặc thay thế các Quy định, Quy chế an toàn thông tin nội bộ đang áp dụng đối với nhân viên và hệ thống nội bộ của Công ty.
11.2. Cập nhật và Sửa đổi
Công ty bảo lưu quyền sửa đổi, bổ sung Chính sách này tại bất kỳ thời điểm nào để phù hợp với quy định pháp luật và hoạt động thực tế.
– Thông báo: Mọi thay đổi sẽ được cập nhật công khai trên Website, Ứng dụng hoặc gửi thông báo qua Email tới Chủ thể dữ liệu (trong trường hợp thay đổi ảnh hưởng trọng yếu đến quyền lợi).
– Trách nhiệm cập nhật: Chủ thể dữ liệu được khuyến nghị thường xuyên kiểm tra lại Chính sách này để nắm bắt phương thức xử lý dữ liệu mới nhất.
– Sự chấp thuận: Việc Chủ thể dữ liệu tiếp tục sử dụng dịch vụ hoặc duy trì quan hệ hợp tác sau khi Chính sách sửa đổi được công bố đồng nghĩa với việc đã chấp nhận và đồng ý tuân thủ các nội dung đó.
11.3. Thông tin liên hệ
Mọi thắc mắc, khiếu nại hoặc yêu cầu thực hiện quyền của Chủ thể dữ liệu, vui lòng liên hệ:
CÔNG TY TNHH CUBE SYSTEM VIỆT NAM
Bộ phận: Ban Kiểm soát Tuân thủ Dữ liệu (DPO) – Bộ phận Quản lý
Địa chỉ: Tầng 4, Toà nhà văn phòng ICT2, Lô 46, Công viên phần mềm Quang Trung, Phường Trung Mỹ Tây, Thành phố Hồ Chí Minh, Việt Nam.
Email: info@vn-cubesystem.com
Số điện thoại: (+84) 028-3715-5701
