CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN (Áp dụng cho các dịch vụ của EFY Việt Nam)

Công ty Cổ phần Công nghệ Tin học EFY Việt Nam (“EFY”) cam kết bảo vệ dữ liệu cá nhân của khách hàng, đối tác và người dùng theo quy định của pháp luật Việt Nam, bao gồm:

- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;

- Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân;

- Các quy định pháp luật chuyên ngành có liên quan.

Các văn bản này thiết lập khung pháp lý bắt buộc đối với mọi tổ chức xử lý dữ liệu cá nhân tại Việt Nam và có hiệu lực toàn diện từ 01/01/2026.

I. ĐỊNH NGHĨA

Trong Chính sách này, các thuật ngữ dưới đây được hiểu như sau:

1.  EFY là Công ty Cổ phần Công nghệ Tin học EFY Việt Nam, Giấy chứng nhận đăng ký doanh nghiệp số 0102519041; trụ sở chính tại Tầng 9, tòa Sannam, số 78 Duy Tân, Phường Cầu Giấy, Thành phố Hà Nội, Việt Nam.

2.  Khách hàng là cá nhân hoặc tổ chức có quan hệ với EFY trong việc tìm hiểu, tiếp cận, đăng ký, mua hoặc sử dụng sản phẩm, hàng hóa, dịch vụ do EFY cung cấp, và có dữ liệu cá nhân được EFY thu thập hoặc xử lý trong quá trình đó.

3. Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể.

4. Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành, bao gồm:

a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

c) Giới tính;

d) Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

e) Quốc tịch;

f) Hình ảnh của cá nhân;

g) Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;

h) Tình trạng hôn nhân;

i) Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);

j) Thông tin về tài khoản số của cá nhân;

k) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

5. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Bao gồm:

a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;

c) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;

d) Tình trạng sức khỏe;

đ) Dữ liệu sinh trắc học, đặc điểm di truyền;

e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Vị trí của cá nhân được xác định qua dịch vụ định vị;

i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;

k) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

m) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

6. Bảo vệ dữ liệu cá nhân là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân.

7. Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.

8. Xử lý dữ liệu cá nhân là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.

9. Bên kiểm soát dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

10. Bên xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng.

11. Bên kiểm soát và xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

II. ĐỐI TƯỢNG VÀ PHẠM VI ÁP DỤNG

Chính sách này áp dụng đối với toàn bộ hoạt động xử lý dữ liệu cá nhân phát sinh trong quá trình cung cấp và sử dụng các sản phẩm, dịch vụ của EFY, bao gồm nhưng không giới hạn: dịch vụ tin cậy, hóa đơn điện tử, bảo hiểm xã hội điện tử, hợp đồng điện tử và các dịch vụ liên quan khác do EFY cung cấp.

Để tránh nhầm lẫn, Chính sách này áp dụng đối với khách hàng là cá nhân, tổ chức; người lao động, người đại diện hoặc cá nhân có liên quan của khách hàng; người dùng, quản trị viên và các cá nhân sử dụng hệ thống, nền tảng hoặc dịch vụ của EFY xử lý theo quy định pháp luật hoặc trên cơ sở phục vụ quá trình cung cấp sản phẩm, dịch vụ của EFY. EFY khuyến nghị Khách hàng đọc kỹ Chính sách này và thường xuyên cập nhật các nội dung sửa đổi, bổ sung được công bố trên trang thông tin điện tử hoặc các kênh thông tin chính thức của EFY.

III. NGUYÊN TẮC XỬ LÝ DỮ LIỆU CÁ NHÂN

EFY tuân thủ các nguyên tắc cốt lõi:

1. Hợp pháp, minh bạch.

2. Đúng mục đích.

3. Tối thiểu hóa dữ liệu.

4. Bảo mật và an toàn.

5. Lưu trữ có thời hạn.

6.Trách nhiệm giải trình.

Đặc biệt, việc xử lý dữ liệu phải dựa trên sự đồng ý hợp lệ của chủ thể dữ liệu, trong đó người dùng phải biết rõ mục đích, loại dữ liệu và bên xử lý.

IV MỤC ĐÍCH XỬ LÝ DỮ LIỆU

EFY xử lý dữ liệu của bạn cho các mục đích:

1. Cung cấp dịch vụ: Xác thực danh tính để cấp chứng thư số; truyền nhận tờ khai BHXH, hóa đơn; lưu trữ hợp đồng điện tử.

2. Tuân thủ pháp luật: Thực hiện nghĩa vụ báo cáo cơ quan nhà nước (Bộ Khoa học và Công nghệ, Cục Thuế, BHXH Việt Nam, Bộ Nội vụ, Bộ Công thương).

3. Hỗ trợ khách hàng: Giải quyết khiếu nại, bảo hành, hướng dẫn sử dụng.

4. An toàn thông tin: Ngăn chặn các hành vi giả mạo, xâm nhập trái phép vào tài khoản khách hàng.

V. CƠ SỞ PHÁP LÝ XỬ LÝ DỮ LIỆU

Việc xử lý dữ liệu được thực hiện khi có một trong các căn cứ:

- Sự đồng ý của chủ thể dữ liệu;

- Nghĩa vụ pháp lý;

- Thực hiện hợp đồng;

- Yêu cầu của cơ quan nhà nước có thẩm quyền.

VI. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN (KHÁCH HÀNG)

1. Quyền của chủ thể dữ liệu cá nhân, bao gồm:

a) Được biết về hoạt động xử lý dữ liệu cá nhân;

b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;

c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;

d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;

đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;

e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

2. Nghĩa vụ của chủ thể dữ liệu cá nhân, bao gồm:

a) Tự bảo vệ dữ liệu cá nhân của mình;

b, Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;

c, Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý d, cho phép xử lý dữ liệu cá nhân của mình;

Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.

VII. BẢO MẬT DỮ LIỆU

EFY cam kết áp dụng các biện pháp bảo vệ tối ưu:

- Kỹ thuật: Sử dụng tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), kiểm soát truy cập, phân quyền hệ thống để đảm bảo tính toàn vẹn; sao lưu và phục hồi dữ liệu.

- Quản lý: Kiểm soát quyền truy cập của nhân viên EFY bằng cách phân quyền trong hệ thống sản phẩm, dịch vụ; ký cam kết bảo mật (NDA) với toàn bộ nhân sự tiếp xúc với dữ liệu khách hàng.

- Giám sát: Hệ thống giám sát an ninh mạng 24/7 để phát hiện sớm các nguy cơ rò rỉ; Kiểm tra định kỳ hệ thống.

VIII. THỜI GIAN LƯU TRỮ DỮ LIỆU

Dữ liệu cá nhân sẽ được lưu trữ cho đến khi hoàn thành mục đích xử lý hoặc theo thời hạn quy định của pháp luật chuyên ngành.

Ví dụ: Hồ sơ chứng thư số lưu trữ ít nhất 10 năm sau khi chứng thư hết hạn; Hóa đơn điện tử lưu trữ 10 năm theo Luật Kế toán.

IX.ĐƠN VỊ KIỂM SOÁT VÀ XỬ LÝ DỮ LIỆU

Công ty Cổ phần Công nghệ Tin học EFY Việt Nam.

Trường hợp Chủ thể dữ liệu có bất kỳ yêu cầu nào liên quan đến việc thực hiện quyền của mình, vui lòng liên hệ với EFY qua các hình thức sau:

- Đến trực tiếp Văn phòng:

+ Trụ sở chính: Tầng 9, tòa nhà Sannam – số 78 Duy Tân, Phường Cầu Giấy, Thành phố Hà Nội, Việt Nam.