Chính sách bảo vệ dữ liệu cá nhân

Điều 1. Mục đích và Phạm vi áp dụng

• Mục đích: Bản cam kết này nhằm đảm bảo rằng mọi dữ liệu cá nhân và dữ liệu liên quan đến khách hàng, đối tác do GSS thu thập, xử lý, và lưu trữ đều được bảo vệ một cách nghiêm ngặt và minh bạch.
• Phạm vi: Áp dụng cho tất cả dữ liệu được thu thập từ các dịch vụ của GSS, bao gồm nhưng không giới hạn ở:
  • Các dịch vụ gia công phần mềm.
  • Các giải pháp phần mềm được cung cấp (ví dụ: GTS, AUTOTMS, VAMS).
  • Các dịch vụ tư vấn và hỗ trợ kỹ thuật.
  • Mọi thông tin được thu thập qua website, ứng dụng, hoặc các kênh liên hệ chính thức khác của GSS.

Điều 2. Nội dung bảo vệ dữ liệu cá nhân

• Các bên thừa nhận và đồng ý như sau: (i) GSS là bên xử lý Dữ liệu cá nhân theo Luật bảo vệ dữ liệu; (ii) Khách hàng, đối tác là chủ thể dữ liệu hoặc bên kiểm soát hoặc bên kiểm soát và xử lý, đối với Dữ liệu cá nhân theo Luật bảo vệ dữ liệu; và (iii) mỗi bên sẽ tuân thủ các nghĩa vụ của mình theo Luật bảo vệ dữ liệu hiện hành liên quan đến việc xử lý Dữ liệu cá nhân.
• Mục đích của việc thu thập, xử lý dữ liệu:
  GSS sẽ thu thập, lưu trữ, xử lý dữ liệu cá nhân khi cần thiết để: thực hiện hợp đồng ký kết với khách hàng, đối tác và các công việc có liên quan đến hợp đồng.
  Khách hàng, đối tác đồng ý cho phép GSS xử lý dữ liệu của khách hàng, đối tác và chia sẻ kết quả xử lý dữ liệu cho các mục đích sau:
  • Gửi các thông báo về các hoạt động trao đổi thông tin giữa Khách hàng, đối tác và GSS;
  • Ngăn ngừa các hoạt động phá hủy, chiếm đoạt tài khoản người dùng của Khách hàng, đối tác hoặc các hoạt động giả mạo Khách hàng, đối tác;
  • Nghiên cứu, phát triển các dịch vụ mới và cung cấp các sản phẩm, dịch vụ phù hợp cho Khách hàng, đối tác;
  • Xác minh danh tính và đảm bảo tính bảo mật thông tin của Khách hàng, đối tác;
  • GSS thu thập, lưu trữ và sử dụng dữ liệu cá nhân của Khách hàng, đối tác nhằm mục đích thực hiện dịch vụ như lưu giữ hồ sơ và tuân thủ các nghĩa vụ pháp lý và thuế. GSS lưu trữ các dữ liệu này trong thời gian theo quy định của pháp luật;
  • GSS thực hiện các hành động khác theo quy định của pháp luật từng thời kỳ.
  GSS sẽ không:

  • (a) Xử lý, lưu giữ, sử dụng, hay tiết lộ dữ liệu cá nhân trừ khi cần thiết để thực hiện các nghĩa vụ của Hợp đồng, hay theo pháp luật yêu cầu;
  • (b) Bán Dữ liệu cá nhân cho bất kỳ bên thứ ba nào;
  • (c) Lưu giữ, sử dụng hay tiết lộ Dữ liệu cá nhân đó ra bên ngoài mối quan hệ kinh doanh trực tiếp giữa GSS với Khách hàng, đối tác, trừ khi đó là tuân theo yêu cầu của chủ thể dữ liệu hoặc quy định của pháp luật.

  Để làm rõ, các hướng dẫn của Khách hàng, đối tác về việc xử lý Dữ liệu cá nhân sẽ phù hợp với nội dung Hợp đồng và tuân theo tất cả các Luật về bảo vệ dữ liệu. Khách hàng, đối tác chịu trách nhiệm về sự chính xác, chất lượng và tính hợp pháp của Dữ liệu cá nhân và phương thức mà Khách hàng, đối tác nhận được Dữ liệu cá nhân.

  Nếu Khách hàng, đối tác không phải là chủ thể dữ liệu cá nhân, Khách hàng, đối tác thừa nhận và đồng ý như sau:

  • (i) Khách hàng, đối tác đã nhận được sự đồng ý rõ ràng (theo quy định Luật bảo vệ dữ liệu) của chủ thể dữ liệu đối với mọi hoạt động thu thập, chia sẻ và sử dụng dữ liệu như các nội dung đã thỏa thuận theo Hợp đồng;
  • (ii) Khách hàng, đối tác đã thông báo và nhận được sự đồng ý rõ ràng (theo quy định Luật bảo vệ dữ liệu) của chủ thể dữ liệu về việc Dữ liệu cá nhân có thể được xử lý bên ngoài quốc gia ban đầu của họ. Nếu Khách hàng, đối tác là bên kiểm soát và xử lý Dữ liệu cá nhân, Khách hàng, đối tác đảm bảo rằng các hướng dẫn và hành động của Khách hàng, đối tác đối với Dữ liệu cá nhân, bao gồm cả việc chỉ định GSS làm bên xử lý khác, đã được ủy quyền bởi bên kiểm soát có liên quan. GSS sẽ không bắt buộc phải tuân thủ hoặc tuân theo hướng dẫn của Khách hàng, đối tác nếu những hướng dẫn đó vi phạm Luật bảo vệ dữ liệu.
• Các loại Dữ liệu cá nhân được bảo vệ: Dữ liệu cá nhân được bảo vệ theo Cam kết này là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, có thể là các dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm bao gồm: tên; địa chỉ, số điện thoại; ngày sinh, địa chỉ email, hoặc bất kỳ thông tin nào mà theo quy định pháp luật tại từng thời điểm được định nghĩa là dữ liệu cá nhân.
• Thời gian bảo vệ dữ liệu cá nhân: Việc bảo vệ Dữ liệu cá nhân sẽ được bắt đầu kể từ thời điểm GSS nhận được thông tin/dữ liệu cá nhân cũng như sự đồng ý của Khách hàng, đối tác cho việc xử lý thông tin/dữ liệu cá nhân đó. GSS sẽ duy trì việc xử lý Dữ liêu cá nhân trong khoảng thời gian Hợp đồng còn hiệu lực và theo quy định của pháp luật.
• Cam kết của GSS:

  GSS cam kết, bằng mọi nỗ lực cần thiết và hợp lý bảo mật và bảo vệ Dữ liệu cá nhân quy định tại cam kết này theo những yêu cầu, tiêu chuẩn về bảo mật thông tin, bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam và theo quy định tại Cam kết này. Trong quá trình xử lý Dữ liệu cá nhân có thể xảy ra sự gián đoạn, trì hoãn, ngắt kết nối hoặc bất cứ sự cố nào do các nguyên nhân nằm ngoài khả năng kiểm soát hợp lý của GSS, bao gồm nhưng không giới hạn tình trạng gián đoạn do nâng cấp, sửa chữa, lỗi đường truyền, lỗi gián đoạn kỹ thuật do nhà cung cấp/nhà thầu của GSS gây ra. Trong những trường hợp như vậy, GSS sẽ nỗ lực tối đa kịp thời thông báo cho Khách hàng, đối tác về sự cố xảy ra và Khách hàng, đối tác đồng ý miễn trừ cho GSS khỏi trách nhiệm trong những trường hợp đó.

  Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, GSS sẽ thông báo cho Khách hàng, đối tác một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. Ngoài ra, Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân sẽ thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.

Điều 3. Nguyên tắc bảo vệ dữ liệu

GSS tuân thủ các nguyên tắc cốt lõi sau đây trong việc xử lý dữ liệu:

• Tính hợp pháp, công bằng, và minh bạch: Mọi hoạt động thu thập và xử lý dữ liệu đều được thực hiện trên cơ sở pháp lý rõ ràng, công bằng và khách hàng có thể dễ dàng nắm bắt.
• Hạn chế mục đích: Dữ liệu chỉ được thu thập và sử dụng cho các mục đích cụ thể, đã được xác định trước và được thông báo cho khách hàng.
• Giới hạn dữ liệu: Chỉ thu thập các dữ liệu cần thiết và phù hợp với mục đích đã định.
• Tính chính xác và cập nhật: Đảm bảo dữ liệu luôn chính xác và được cập nhật khi cần thiết. Khách hàng có quyền yêu cầu chỉnh sửa thông tin sai lệch.
• Giới hạn thời gian lưu trữ: Dữ liệu chỉ được lưu trữ trong khoảng thời gian cần thiết để phục vụ mục đích đã thu thập trừ khi có thỏa thuận khác.
• Tính toàn vẹn và bảo mật: Áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo an toàn, bảo mật dữ liệu, chống lại các hành vi xử lý trái phép, mất mát hoặc hư hỏng.

Điều 4. Quyền và nghĩa vụ của chủ thể dữ liệu

• Quyền được biết: Khách hàng có quyền được biết về cách thức dữ liệu cá nhân của mình được thu thập, xử lý và sử dụng.
• Quyền truy cập và chỉnh sửa: Khách hàng có quyền yêu cầu GSS truy cập và chỉnh sửa thông tin cá nhân của mình nếu phát hiện sai sót.
• Quyền rút lại sự đồng ý: Khách hàng có quyền rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân bất cứ lúc nào, trừ trường hợp pháp luật có quy định khác.
• Quyền được xóa dữ liệu: Khách hàng có quyền yêu cầu xóa dữ liệu cá nhân của mình khi không còn cần thiết cho mục đích đã thu thập, hoặc khi việc xử lý là trái pháp luật.
• Nghĩa vụ của khách hàng: Khách hàng có trách nhiệm cung cấp dữ liệu chính xác và đầy đủ, đồng thời tự bảo vệ thông tin cá nhân của mình và tôn trọng quyền riêng tư của người khác.

Tất cả các quyền của chủ thể dữ liệu bên trên đều sẽ được GSS cam kết thực hiện trong vòng 72h sau khi nhận được yêu cầu từ chủ thể dữ liệu.

Điều 5. Các biện pháp bảo vệ dữ liệu

GSS cam kết áp dụng các biện pháp bảo mật mạnh mẽ, bao gồm:

• Tuân thủ tiêu chuẩn ISO 27001: Áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế ISO 27001, đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu.
• Bảo mật kỹ thuật: Sử dụng các công nghệ mã hóa, tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để bảo vệ dữ liệu trên các hệ thống, máy chủ, và mạng lưới.
• Quy trình nội bộ chặt chẽ: Xây dựng và thực thi các quy trình nội bộ nghiêm ngặt về quản lý truy cập dữ liệu, sao lưu, và phục hồi dữ liệu.
• Đào tạo nhân viên: Tổ chức đào tạo định kỳ cho toàn bộ nhân viên về các chính sách và quy trình bảo mật dữ liệu, nâng cao nhận thức về trách nhiệm bảo vệ thông tin khách hàng.
• Đối tác và nhà cung cấp: Đảm bảo các đối tác và nhà cung cấp dịch vụ liên quan đến việc xử lý dữ liệu của GSS cũng tuân thủ các tiêu chuẩn bảo mật tương đương.

Điều 6: Trả lại và xóa Dữ liệu cá nhân

• Tùy thuộc vào nội dung của Hợp đồng, Khách hàng, đối tác có thể được cung cấp quyền kiểm soát để truy xuất hoặc xóa dữ liệu cá nhân. Nếu không có yêu cầu xóa dữ liệu từ khách hàng, đối tác, việc xóa dữ liệu cá nhân sẽ diễn ra theo thời gian cụ thể quy định trong hợp đồng. Nếu không có quy định nào tại Hợp đồng về thời gian xóa dữ liệu cá nhân, thì thời gian này sẽ được GSS áp dụng theo quy định nội bộ của GSS từng thời kỳ, và trong mọi trường hợp, Khách hàng và đối tác thừa nhận rằng trước ngày chấm dứt Hợp đồng, Khách hàng, đối tác có trách nhiệm xuất bất kỳ Dữ liệu cá nhân nào muốn giữ lại hoặc xóa toàn bộ các dữ liệu cá nhân không cần thiết sau ngày chấm dứt Hợp đồng với điều kiện việc xuất hoặc xóa đó phải tuân thủ theo đúng quy định của pháp luật.
• Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của Khách hàng, đối tác trong các trường hợp:
  • a) Pháp luật quy định không cho phép xóa dữ liệu;
  • b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
  • c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
  • d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
  • đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
  • e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
• Việc trả lại hoặc xóa Dữ liêu cá nhân theo yêu cầu của Khách hàng, đối tác hoặc khi chấm dứt một phần Hợp đồng sẽ được thực hiện với điều kiện không ảnh hưởng bất lợi đến khả năng cung cấp các dịch vụ còn lại của GSS theo Hợp Đồng và việc trả lại hoặc xóa này không vi phạm các quy định pháp luật về bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan khác.

Điều 7: Tuyên bố của Khách hàng, đối tác

• Khách hàng, đối tác tự nguyện đồng ý và hiểu rõ các nội dung quy định tại từng Điều khoản của Cam kết này.
• Trường hợp Khách hàng, đối tác là Bên kiểm soát hoặc Bên kiểm soát và xử lý dữ liệu cá nhân, Khách hàng, đối tác đảm bảo:
  • Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung về việc thông báo xử lý dữ liệu cá nhân được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân; và nội dung quy định tại Điều 2 Cam kết này trước khi đồng ý cho Khách hàng, đối tác tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Cam kết này và Luật bảo vệ dữ liệu.
• Khách hàng, đối tác đảm bảo và bồi thường cho GSS các thiệt hại do Khách hàng, đối tác không thực hiện theo đúng cam kết theo quy định tại Điều này.

Điều 8: Điều khoản chung

Cam kết này là một phần không thể tách rời với Hợp đồng đã ký giữa Khách hàng, đối tác và GSS mà Cam kết này được dẫn chiếu trong đó. Trong trường hợp GSS có cung cấp các dữ liệu cá nhân mà GSS thu thập/nắm giữ cho Khách hàng, đối tác, thì Khách hàng, đối tác cam kết sẽ tuân thủ mức độ bảo vệ dữ liệu cá nhân không thấp hơn mức độ bảo vệ mà GSS đã cam kết tại văn bản này.