CHÍNH SÁCH BẢO VỆ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN

Chính sách bảo vệ và xử lý dữ liệu cá nhân đối với toàn thể Nhân viên, Ứng viên và các Đối tác Công Ty Cổ Phần Công Nghệ Trustify, Công ty mẹ và các Công ty trong cùng tập đoàn (sau đây gọi chung là “Trustify”), có thể thay đổi theo quy định pháp luật khi cần thiết và phiên bản cập nhật mới nhất sẽ được đăng tải trên trang thông tin điện tử chính thức của Trustify. Vì vậy, Trustify khuyến nghị Nhân viên, Ứng viên và Đối tác nên định kỳ kiểm tra Chính sách trên Trang thông tin điện tử của chúng tôi.

Điều 1: Mục đích sử dụng 

Chính sách Bảo vệ và Xử lý dữ liệu cá nhân (“Chính sách”) này nhầm thông báo với Nhân viên, Ứng viên và các Đối tác của Trustify các điều khoản, quy định về việc bảo vệ, xử lý và cách thức xử lý dữ liệu cá nhân trên cơ sở tuân thủ theo quy định của pháp luật Việt Nam về bảo vệ Dữ liệu cá nhân.

Điều 2: Phạm vi, đối tượng áp dụng

  1. Toàn thể Nhân viên, Ứng viên, Đối tác tại Trustify (bao gồm cả các chi nhánh, văn phòng đại diện, Công ty mẹ, Công ty liên kết, Công ty con nếu có).
  2. Bên Cung cấp dữ liệu cá nhân (ứng viên, Nhân viên, cộng tác viên, thực tập sinh, người tập nghề, đối tác trong các dự án có nhân sự tham gia thực hiện công việc…).
  3. Chủ thể dữ liệu cá nhân.
  4. Trong bản Chính sách này, Trustify là Bên Kiểm soát và Xử lý dữ liệu cá nhân.

Điều 3: Giải thích từ ngữ

  1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
  2. Dữ liệu cá nhân cơ bản gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con cái); Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là dữ liệu cá nhân nhạy cảm.
  3. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: Quan điểm chính trị, quan điểm tôn giáo; Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
  4. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
  5. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
  6. Bên Nhận Dữ Liệu Cá Nhân là Trustify và/hoặc bên được Trustify ủy quyền nhằm mục đích thực hiện các hoạt động về bảo vệ và xử lý dữ liệu cá nhân theo quy định của pháp luật.
  7. Bên Cung Cấp Dữ Liệu Cá nhân là cá nhân hoặc tổ chức cung cấp dữ liệu cá nhân cho Bên nhận dữ liệu cá nhân.
  8. Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân là Trustify – đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
  9. Chủ Thể Dữ Liệu là cá nhân được dữ liệu cá nhân phản ánh.
  10. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
  11. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: (a)Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; (b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
  12. Bên Thứ Ba là cá nhân, tổ chức ngoài Bên Nhận Dữ Liệu Cá Nhân và Bên Cung Cấp Dữ Liệu Cá Nhân được phép Xử Lý Dữ Liệu Cá nhân theo quy định của pháp luật Việt Nam hiện hành, bao gồm nhưng không giới hạn (a) Công ty mẹ của Trustify (“Công ty mẹ”), các nhà thầu, đại diện của Công ty mẹ, (b) các kiểm toán viên, các nhà tư vấn pháp lý/thuế/kế toán/bảo hiểm/khám sức khỏe…của Trustify hoặc của các bên đối tác cung cấp dịch vụ cho Trustify hoặc của Công ty mẹ, (c) nhà cung cấp dịch vụ phần mềm kế toán và những người thực hiện việc bảo trì, nâng cấp, bảo hành của phần mềm đó; (d) Các cơ quan Nhà nước có thẩm quyền của Việt Nam; (e ) Bất kỳ đối tác nào mà hợp tác với Trustify nhằm cung cấp các sản phẩm/dịch vụ trong phạm vi kinh doanh của Trustify; và (f) bất kỳ bên thứ ba nào khác hợp pháp hoặc được yêu cầu bởi luật pháp, lệnh của cơ quan nhà nước có thẩm quyền hoặc bởi tòa án, trung tâm trọng tài quốc tế có đủ thẩm quyền hoặc yêu cầu của Chính Phủ, hoặc theo yêu cầu từ các chính sách nội bộ phù hợp với luật pháp Việt Nam hiện hành của Công ty mẹ hoặc Trustify để phục vụ cho mục đích Xử Lý Dữ Liệu Cá Nhân nêu tại bản Chính sách này.
  13. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân (nếu có), Bên Xử lý dữ liệu cá nhân (nếu có), Bên thứ ba (nếu có).
  14. Để tránh hiểu lầm, trong Chính sách này, những nội dung được ghi là “theo quy định của pháp luật”, “theo quy định của pháp luật hiện hành”, “theo quy định của Trustify” sẽ đều được hiểu là quy định tại từng thời điểm nhất định. Những quy định đó có thể thay đổi do sự thay đổi của pháp luật hoặc thay đổi theo quyết định riêng của Trustify.
  15. Trong bản Chính sách này khi một khái niệm/định nghĩa được nhắc tới, sẽ được hiểu là đề cập tới một và/hoặc đồng thời nhiều khái niệm/định nghĩa/hành vi như được mô tả tại định nghĩa/khái niệm đó.

Điều 4: Nguyên tắc Bảo vệ và Xử lý dữ liệu cá nhân

  1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
  2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
  3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo/tuyên bố về xử lý dữ liệu cá nhân.
  4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp pháp luật có quy định khác.
  5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
  6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
  7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
  8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định tại các văn bản pháp luật hiện hành và Chính sách này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

Điều 5: Những hành vi bị nghiêm cấm khi Bảo vệ và Xử lý dữ liệu cá nhân

  1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
  2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
  3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
  4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
  5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Điều 6: Trách nhiệm của Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân

  1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
  2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
  3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật hiện hành.
  4. Bảo đảm các quyền của chủ thể dữ liệu theo quy định của pháp luật hiện hành.
  5. Chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
  6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
  7. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại các văn bản pháp luật có liên quan.
  8. Xây dựng nội dung và tổ chức thực hiện việc tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cá nhân người lao động trong Công ty.
  9. Thực hiện hoạt động báo cáo định kỳ cho cơ quan nhà nước có thẩm quyền về việc thực hiện bảo vệ và xử lý dữ liệu cá nhân.

Điều 7: Các biện pháp và điều kiện bảo đảm hoạt động Bảo Vệ Dữ Liệu Cá Nhân

  1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
  2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
    1. Biện pháp quản lý (xây dựng, ban hành các quy định) do Công ty tổ chức thực hiện.
    2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
    3. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
    4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
    5. Thực hiện các biện pháp bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề của Công ty.
    6. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý (nếu có xử lý dữ liệu cá nhân nhạy cảm), trừ trường hợp pháp luật có quy định khác.
    7. Xây dựng nội dung và tổ chức thực hiện việc tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cá nhân người lao động trong Công ty.
    8. Tuân thủ các quy định của pháp luật hiện hành về Bảo vệ và Xử lý dữ liệu cá nhân.

Điều 8: Thông báo xử lý dữ liệu cá nhân

  1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
  2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: Mục đích xử lý; Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; Cách thức xử lý; Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
  3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
  4. Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 8.1 Điều này trong các trường hợp sau: (i) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 8.1 và khoản 8.2 Điều này trước khi đồng ý cho Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định của pháp luật hiện hành; Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.

Điều 9: Quyền của Chủ Thể Dữ Liệu

  1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
  2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp được xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu theo quy định của pháp luật.
  3. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
  4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
  5. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
  6. Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
  7. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
  8. Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu được phản đối Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
  9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
  10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
  11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Điều 10: Nghĩa vụ của chủ thể dữ liệu

  1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
  2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
  3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
  4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
  5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
  6. Thông báo ngay cho Trustify nếu phát hiện hoặc nghi ngờ Dữ liệu cá nhân của mình hoặc của người khác bị lộ, có nguy cơ bị lộ, có thể dẫn tới rủi ro trong quá trình làm việc/giao dịch/hợp tác…với Trustify, hoặc bất kỳ vi phạm nào về Bảo vệ và Xử lý dữ liệu cá nhân theo Chính sách này hoặc theo quy định của pháp luật mà Chủ thể Dữ liệu cá nhân có thể biết được/nhận thấy được.
  7. Các nghĩa vụ khác theo từng trường hợp thỏa thuận, hợp đồng, giao dịch…cụ thể tại từng thời điểm và các nghĩa vụ theo quy định của pháp luật.

Điều 11: Sự đồng ý của chủ thể dữ liệu

  1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
  2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: Loại dữ liệu cá nhân được xử lý; Mục đích xử lý dữ liệu cá nhân; Tổ chức, cá nhân được xử lý dữ liệu cá nhân; Các quyền, nghĩa vụ của chủ thể dữ liệu.
  3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
  4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
  5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
  6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
  7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
  8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
  9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
  10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
  11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 11.3 Điều này, trừ trường hợp luật có quy định khác.

Điều 12: Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu

  1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm chứng minh trường hợp này.
  2. Việc công khai dữ liệu cá nhân theo quy định của luật.
  3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
  4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
  5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

Điều 13: Chủ thể dữ liệu rút lại sự đồng ý

  1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
  2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
  3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
  4. Sau khi thực hiện quy định tại khoản 13.2 Điều này, Bên Kiểm soát và xử lý dữ liệu phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan (nếu có) ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.

Điều 14: Tiếp nhận và giải quyết yêu cầu cung cấp dữ liệu cá nhân

  1. Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu cầu; Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên Kiểm soát và xử lý dữ liệu cá nhân phải thông báo và hướng dẫn bên yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân.
  2. Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này.

Điều 15: Lưu trữ và cung cấp dữ liệu cá nhân

  1. Lưu trữ dữ liệu cá nhân: Dữ liệu cá nhân sẽ được Bên nhận dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lưu trữ và áp dụng các biện pháp thích hợp để bảo mật. Trong phạm vi pháp luật cho phép, Bên nhận dữ liệu cá nhân có thể lưu trữ Dữ liệu cá nhân tại Việt Nam hoặc tại nước ngoài, kể cả giải pháp lưu trữ trên điện toán đám mây. Việc lưu trữ Dữ liệu cá nhân được thực hiện trong khoảng thời gian cần thiết để hoàn thành các mục đích như thỏa thuận với Chủ thể dữ liệu cá nhân tại các bản cam kết, các hợp đồng, thỏa thuận, văn kiện khác được xác lập với Chủ thể dữ liệu cá nhân và/hoặc Bên Cung cấp dữ liệu cá nhân, trừ trường hợp được hoặc phải lưu trữ lâu hơn theo yêu cầu của quy định pháp luật từng thời kỳ.
  2. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân mình dữ liệu cá nhân của mình.
  3. Hình thức yêu cầu cung cấp dữ liệu cá nhân như sau:
    1. Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác (sau đây gọi là bên yêu cầu) đến trụ sở Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.

Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn bên yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân hoặc kiểm tra tính chính xác, đầy đủ của phiếu yêu cầu do bên yêu cầu đã điền trước và mang tới.

Trường hợp bên yêu cầu không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì người tiếp nhận có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp dữ liệu cá nhân;

  1. Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân qua mạng điện tử, dịch vụ bưu chính, fax đến Bên Kiểm soát và xử lý dữ liệu cá nhân.
  2. Mẫu phiếu yêu cầu cung cấp dữ liệu cá nhân phải thể hiện bằng tiếng Việt và gồm những nội dung chính sau đây: a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu. Trường hợp ủy quyền cho cá nhân, tổ chức khác thì phải kèm theo giấy ủy quyền hợp pháp theo quy định của pháp luật và phần thông tin bên yêu cầu sẽ điền thông tin của người được ủy quyền; số fax, điện thoại, địa chỉ thư điện tử (nếu có); b) Dữ liệu cá nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu; c) Hình thức cung cấp dữ liệu cá nhân; d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân. Có mẫu phiếu đính kèm với Chính sách này.
  1. Bên Kiểm soát và xử lý dữ liệu cá nhân:
    1. Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
    2. Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
    3. Cung cấp dữ liệu cá nhân trong 72 giờ sau khi có yêu cầu hợp lệ của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
    4. Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp sau: a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; b) Việc cung cấp dữ liệu cá nhân có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác; c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.
  2. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 15.3.1 và 15.3.2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.

Điều 16: Chỉnh sửa, xóa và hủy dữ liệu cá nhân

  • Chỉnh sử dữ liệu cá nhân
  • Chủ thể dữ liệu cá nhân: Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác; Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.
  • Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.
  1. Xóa, hủy dữ liệu cá nhân
  • Chủ thể dữ liệu được yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.
  • Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
  • Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân được chuyển giao theo quy định của pháp luật.
  • Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.
  • Bên Kiểm soát và xử lý dữ liệu cá nhân xóa không thể khôi phục trong trường hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý; b) Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của Bên Kiểm soát và xử lý dữ liệu cá nhân; c) Bên Kiểm soát và xử lý dữ liệu cá nhân bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.

Điều 17: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

  1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm (mẫu báo cáo tuân theo mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ- CP ngày 17/4/2023). Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
  2. Bên Xử lý dữ liệu cá nhân (nếu thuê ngoài) phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
  3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân; c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân; d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
  4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 19.3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
  5. Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
  6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau: a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân; b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật; c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng; d) Trường hợp khác theo quy định của pháp luật.

Điều 18: Đánh giá tác động xử lý dữ liệu cá nhân

  1. Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
  2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của Bên Kiểm soát và xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát và xử lý dữ liệu cá nhân; c) Mục đích xử lý dữ liệu cá nhân;
  1. d) Các loại dữ liệu cá nhân được xử lý; đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam; e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài; g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có); h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
  1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 20.1 và khoản 20.2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát và xử lý dữ liệu cá nhân.
  2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
  3. Bên Kiểm soát và xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
  4. Bên Kiểm soát và xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023.

Điều 19: Chuyển dữ liệu cá nhân ra nước ngoài

  1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 19.3, 19.4 và 19.5 Điều này.
  2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm: a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP ngày 17/4/2023, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP ngày 17/4/2023 trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
  3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
  4. Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
  5. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
  6. Trong trường hợp hồ sơ chưa đầy đủ và đúng quy định và được cơ quan có thẩm quyền yêu cầu, Bên chuyển dữ liệu cá nhân ra nước ngoài có trách nhiệm hoàn thiện lại hồ sơ và nộp lại cho Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo quy định.
  7. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
  8. Bộ Công an là cơ quan quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP ngày 17/4/2023 hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
  9. Trường hợp có yêu cầu/quyết định của Bộ Công an, Bên chuyển dữ liệu cá nhân ra nước ngoài phải ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp sau:
  1. Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam; 
  2. Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 19.5, khoản 19.6 Điều này; 
  3. Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

Điều 20: Thông tin liên lạc

Chủ thể dữ liệu nếu có bất kỳ thắc mắc hoặc khiếu nại nào liên quan đến quyền, nghĩa vụ của mình về bảo vệ và xử lý dữ liệu cá nhân như quy định tại Chính sách này, Chủ thể dữ liệu cần liên hệ/phản hồi ngay cho Trustify qua số điện thoại (+84) 28 36367069, hoặc liên hệ trực tiếp tại văn phòng công ty địa chỉ sau: 

  • Bộ phận HR: Tòa nhà Sabay, 40/4 Lam Sơn, Phường 2, Quận Tân Bình, Thành phố Hồ Chí Minh, Việt Nam.

Trường hợp chủ thể khiếu nại cần có đơn khiếu nại theo đúng quy định của pháp luật và gửi tới Trustify trong thời hiệu khiếu nại. Đơn khiếu nại phải nêu rõ họ và tên người khiếu nại, thông tin loại, số, ngày cấp giấy tờ chứng thực cá nhân, địa chỉ thường trú, nơi ở hiện tại, điện thoại/email liên lạc, bên bị khiếu khại, nội dung việc khiếu nại, tài liệu, chứng cứ kèm theo (nếu có).

Điều 21: Hiệu lực thi hành

  1. Chính sách này có hiệu lực thi hành từ ngày 09 tháng 07 năm 2024.
  2. Chính sách này cũng là Thông báo xử lý dữ liệu cá nhân quy định tại Điều 13 Nghị định 13/NĐ-CP/2023 về Bảo vệ dữ liệu cá nhân
  3. Chính Sách này được giải thích và điều chỉnh theo pháp luật Việt Nam. Mọi sửa đổi/bổ sung/thay thế Chính sách này sẽ được Trustify ban hành bằng văn bản và đăng tải công khai trên trang web trustifytechnology.com 
  4. Chính sách Bảo vệ và xử lý dữ liệu cá nhân này được cập nhật lần cuối vào ngày 09/07/2024