Build your box
0
  1. Trang chủ
  2. CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

Danh mục trang

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

Căn cứ các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân, quyền riêng tư, thương mại điện tử và các hoạt động kinh doanh, Tony Fruit xây dựng chính sách Bảo vệ dữ liệu cá nhân nhằm đảm bảo các quyền, nghĩa vụ và trách nhiệm của Công ty cũng như Khách hàng trong việc xử lý, lưu trữ, bảo mật và chia sẻ dữ liệu cá nhân.

A. MỤC ĐÍCH VÀ CĂN CỨ PHÁP LÝ

1. MỤC ĐÍCH BAN HÀNH

Chính sách này được ban hành với các mục đích tổng thể và chi tiết nhằm đảm bảo việc thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của khách hàng được thực hiện một cách hệ thống, minh bạch, tuân thủ pháp luật và đáp ứng các yêu cầu quản trị nội bộ. Cụ thể:

  1. Tuân thủ pháp luật:
    Tất cả các hoạt động xử lý dữ liệu cá nhân của khách hàng phải đảm bảo tuân thủ đầy đủ các quy định pháp luật hiện hành về bảo vệ dữ liệu, quyền riêng tư, an toàn thông tin và thương mại điện tử. Chính sách này nhằm thiết lập khung pháp lý nội bộ cho công ty, giúp phòng ngừa rủi ro pháp lý và tránh các hành vi xử lý dữ liệu trái pháp luật.
  2. Bảo vệ quyền riêng tư và bí mật thông tin khách hàng:
    Chính sách đảm bảo quyền chủ động của khách hàng đối với dữ liệu cá nhân của họ, bao gồm quyền được biết, truy cập, chỉnh sửa, xóa và hạn chế xử lý dữ liệu. Các biện pháp bảo mật được thiết lập nhằm ngăn chặn mọi truy cập trái phép, sử dụng sai mục đích và rò rỉ thông tin ra bên ngoài, từ đó nâng cao sự tin tưởng của khách hàng đối với công ty.
  3. Thiết lập quy trình quản lý dữ liệu minh bạch và hiệu quả:
    Quy trình quản lý dữ liệu được xây dựng rõ ràng, phân định trách nhiệm chi tiết giữa các bộ phận, phòng ban và cá nhân tham gia xử lý dữ liệu. Các bước xử lý dữ liệu, từ thu thập, xác minh, lưu trữ, phân tích, chia sẻ đến xóa dữ liệu đều được ghi nhận, lưu trữ bằng hồ sơ, tạo điều kiện cho việc giám sát, đối chiếu và báo cáo định kỳ.
  4. Tối ưu hóa chất lượng dịch vụ và trải nghiệm khách hàng:
    Việc xử lý dữ liệu cá nhân hợp pháp giúp công ty quản lý giao dịch, chăm sóc khách hàng, nâng cao hiệu quả vận hành, phát triển sản phẩm và dịch vụ phù hợp với nhu cầu khách hàng, đồng thời tạo nền tảng minh bạch và trách nhiệm trong quản lý dữ liệu.
  5. Đảm bảo kiểm soát rủi ro và minh bạch nội bộ:
    Chính sách thiết lập cơ chế kiểm soát nội bộ, giám sát định kỳ, đánh giá hiệu quả quản lý dữ liệu và nhận diện sớm các rủi ro bảo mật. Mỗi cá nhân, phòng ban đều có trách nhiệm tuân thủ các quy trình đã thiết lập, bảo đảm mọi hành vi xử lý dữ liệu đều được theo dõi và có hồ sơ minh chứng.

2. CĂN CỨ PHÁP LÝ

Chính sách này được xây dựng dựa trên các văn bản pháp luật sau:

  1. Hiến pháp nước Cộng hòa Xã hội Chủ nghĩa Việt Nam năm 2013 – Điều 21
    Hiến pháp quy định quyền con người và quyền công dân, trong đó bảo vệ quyền riêng tư, bí mật đời tư của cá nhân là quyền cơ bản. Chính sách này dựa trên điều khoản này nhằm đảm bảo mọi hoạt động thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân trong doanh nghiệp tôn trọng quyền cơ bản của các chủ thể dữ liệu.
  2. Bộ luật Dân sự 2015 – Điều 38
    Điều 38 quy định về quyền đối với bí mật đời tư, quyền bảo vệ thông tin cá nhân và dữ liệu cá nhân. Chính sách được xây dựng dựa trên cơ sở này nhằm xác định rõ quyền và nghĩa vụ của doanh nghiệp cũng như của chủ thể dữ liệu trong việc thu thập, xử lý và bảo vệ dữ liệu cá nhân.
  3. Luật An ninh mạng 2018
    Luật này quy định các biện pháp bảo đảm an ninh, an toàn thông tin trên mạng, bảo vệ hệ thống thông tin và dữ liệu cá nhân không bị xâm phạm. Chính sách được xây dựng dựa trên Luật này nhằm thiết lập các biện pháp kỹ thuật và quản trị nội bộ bảo đảm an toàn dữ liệu.
  4. Luật An toàn thông tin mạng 2015
    Luật này quy định các yêu cầu về bảo vệ thông tin, phòng ngừa rủi ro về dữ liệu điện tử và thông tin trên mạng. Chính sách dựa trên cơ sở này để định hướng quy trình vận hành, quản lý dữ liệu và các biện pháp bảo mật phù hợp.
  5. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
    Nghị định này hướng dẫn chi tiết các quy định về bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của tổ chức, doanh nghiệp trong việc thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân. Chính sách được xây dựng dựa trên Nghị định này nhằm đảm bảo doanh nghiệp tuân thủ các yêu cầu pháp lý hiện hành liên quan đến dữ liệu cá nhân trước khi Luật mới có hiệu lực.
  6. Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ 01/01/2026)
    Luật số 91/2025/QH15 đã được sửa đổi, bổ sung một số điều theo Nghị quyết số 203/2025/QH15 sẽ thay thế Nghị định 13/2023/NĐ-CP khi có hiệu lực, thiết lập khung pháp lý toàn diện hơn về thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân. Chính sách cập nhật căn cứ vào Luật này nhằm đảm bảo doanh nghiệp tuân thủ đầy đủ các quy định mới nhất về quyền và nghĩa vụ của tổ chức, doanh nghiệp, cũng như các quyền của chủ thể dữ liệu.
  7. Nghị định 53/2022/NĐ-CP hướng dẫn Luật An ninh mạng
    Nghị định hướng dẫn các biện pháp bảo đảm an ninh, an toàn thông tin trên mạng, yêu cầu doanh nghiệp thực hiện các giải pháp bảo vệ dữ liệu và quyền lợi của các cá nhân có liên quan. Chính sách dựa trên cơ sở này để xây dựng cơ chế kiểm soát rủi ro, quy trình vận hành và giám sát việc tuân thủ pháp luật.
  8. Các quy định khác của pháp luật hiện hành
    Chính sách cũng căn cứ vào các văn bản pháp luật khác có liên quan đến kế toán, thuế, thương mại, bảo hiểm, giao dịch điện tử, nhằm đảm bảo việc xử lý dữ liệu cá nhân luôn phù hợp với các nghĩa vụ pháp lý tổng thể của doanh nghiệp, đồng thời bảo đảm tính hợp pháp, minh bạch và an toàn trong toàn bộ quá trình quản lý dữ liệu.

B. NỘI DUNG CHÍNH SÁCH

ĐIỀU 1. LOẠI DỮ LIỆU

1.1. Dữ liệu cơ bản và dữ liệu nhạy cảm 

Chính sách phân loại dữ liệu cá nhân thành hai nhóm chính dựa trên mức độ bảo mật, tần suất xử lý và tính nhạy cảm của thông tin:

  • Dữ liệu cơ bản: họ tên, ngày sinh, giới tính, quốc tịch, số CMND/CCCD/hộ chiếu, địa chỉ liên lạc, email, số điện thoại, IP, các thông tin liên quan thiết bị truy cập các kênh truyền thông do Tony Fruit quản lý,..…
  • Dữ liệu nhạy cảm: thông tin sức khỏe, sinh trắc học, thói quen tiêu dùng đặc biệt, dữ liệu tài chính cá nhân, các thông tin đặc thù liên quan đến các dịch vụ cao cấp.Dữ liệu nhạy cảm: Bao gồm dữ liệu cần mức độ bảo mật cao hơn, như thông tin tài chính, y tế, sinh trắc học (vân tay, khuôn mặt), dữ liệu định danh cá nhân (CCCD/CMND), dữ liệu liên quan đến quan điểm chính trị, tôn giáo, đời sống cá nhân, sức khỏe hoặc thông tin riêng tư khác. Việc xử lý dữ liệu nhạy cảm yêu cầu có cơ sở pháp lý rõ ràng và biện pháp bảo vệ nghiêm ngặt để đảm bảo an toàn, tránh rủi ro rò rỉ, lạm dụng hoặc xử lý trái pháp luật.

1.2. Tương thích với sản phẩm và dịch vụ

Nguyên tắc xử lý dữ liệu dựa trên mức độ cần thiết:

  • Mỗi loại sản phẩm hoặc dịch vụ chỉ thu thập và xử lý những dữ liệu cần thiết cho mục đích cung cấp dịch vụ hoặc vận hành sản phẩm.
  • Tránh thu thập dư thừa hoặc không liên quan để bảo vệ quyền riêng tư của khách hàng, nhân viên, đối tác.
  • Ví dụ: Trong dịch vụ vận chuyển, chỉ thu thập địa chỉ giao hàng, số điện thoại liên hệ. Dữ liệu nhạy cảm như thông tin tài khoản ngân hàng hoặc dữ liệu sinh trắc học chỉ được thu thập khi cần xác thực thanh toán hoặc theo yêu cầu pháp luật.

1.3. Dữ liệu bổ sung

Ngoài dữ liệu cơ bản và nhạy cảm, doanh nghiệp có thể thu thập dữ liệu bổ sung để:

  • Phân tích nhu cầu, hành vi của khách hàng nhằm nâng cao chất lượng sản phẩm và dịch vụ;
  • Nghiên cứu thị trường, phát triển sản phẩm mới hoặc cải tiến sản phẩm/dịch vụ hiện có;
  • Thực hiện các chiến dịch marketing và chăm sóc khách hàng được cá nhân hóa;
  • Đáp ứng các nghĩa vụ pháp lý, quy định ngành nghề, chuẩn mực quản lý nội bộ và các báo cáo yêu cầu cơ quan quản lý nhà nước.

Dữ liệu bổ sung phải được thu thập minh bạch, rõ ràng về mục đích, thông báo đến chủ thể dữ liệu và chỉ sử dụng trong phạm vi đã thông báo, đảm bảo tuân thủ luật bảo vệ dữ liệu cá nhân..

ĐIỀU 2. LOẠI DỮ LIỆU ĐƯỢC THU THẬP

2.1. Dữ liệu khách hàng

Loại dữ liệu

Ví dụ cụ thể

Mục đích sử dụng

Thông tin định danh

Họ tên, số CCCD/CMND, ngày sinh (nếu có)

Xác thực danh tính, quản lý hồ sơ khách hàng

Thông tin liên hệ

Số điện thoại, địa chỉ giao hàng, email (nếu có)

Liên hệ, thông báo đơn hàng, chăm sóc khách hàng

Thông tin giao dịch

Sản phẩm đã mua, số lượng, giá trị, thời gian mua (nếu có)

Quản lý đơn hàng, phân tích nhu cầu, lập báo cáo kinh doanh

Thông tin thanh toán

Hình thức thanh toán, tài khoản ngân hàng (nếu chuyển khoản)

Xác nhận thanh toán, quản lý tài chính, tuân thủ pháp luật

Phản hồi/CSKH

Nội dung khiếu nại, đánh giá, phản hồi khách hàng (nếu có)

Cải thiện chất lượng dịch vụ, giải quyết khiếu nại, nâng cao trải nghiệm khách hàng

2.2. Hệ thống kỹ thuật và kênh thu thập dữ liệu

Nguồn thu thập

Thông tin thu thập

Mục đích sử dụng

Website công ty

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Đăng ký tài khoản, đặt hàng, khảo sát khách hàng, gửi thông báo

Mạng xã hội (Fanpage, TikTok, LinkedIn, Zalo)

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Quảng bá dịch vụ, chăm sóc khách hàng, khảo sát thị trường

Platform / Ứng dụng nội bộ

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Quản lý người dùng, phân tích dữ liệu, tối ưu hóa dịch vụ

Phiếu khảo sát (in / online)

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Nghiên cứu thị trường, cải thiện dịch vụ, thu thập phản hồi khách hàng

Gọi điện thoại trực tiếp

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Tư vấn, chăm sóc khách hàng, xác nhận thông tin

Máy tính tiền / POS

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Quản lý giao dịch, thanh toán, lập báo cáo kinh doanh

Email

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Thông báo, chăm sóc khách hàng, gửi hóa đơn, khảo sát

Phiếu giao/nhận hàng

Họ tên, CCCD, số điện thoại, địa chỉ, nghề nghiệp, tuổi, thu nhập

Theo dõi đơn hàng, xác nhận giao nhận, phục vụ chăm sóc khách hàng

2.3. Ghi chú chung:

  • Mọi dữ liệu thu thập đều tuân thủ nguyên tắc cần thiết, hợp pháp, minh bạch.
  • Các thông tin nhạy cảm chỉ được thu thập khi có cơ sở pháp lý rõ ràng hoặc phục vụ trực tiếp cho mục đích xử lý.
  • Dữ liệu được phân loại theo mức độ bảo mật, áp dụng các biện pháp kỹ thuật và quản trị để đảm bảo an toàn thông tin.

ĐIỀU 3: MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

3.1. Cung cấp sản phẩm và dịch vụ
Mục đích chính của việc thu thập và xử lý dữ liệu cá nhân là để đảm bảo việc cung cấp sản phẩm và dịch vụ được diễn ra hiệu quả, chính xác và an toàn. Các hoạt động liên quan bao gồm:

  • Quản lý đơn hàng: Thu thập thông tin khách hàng, sản phẩm/dịch vụ đã đặt, số lượng, giá trị và thời gian giao dịch để xử lý đơn hàng đầy đủ, đúng hạn và theo dõi lịch sử giao dịch.
  • Xác minh danh tính: Đảm bảo khách hàng hoặc người dùng là chính chủ, đặc biệt đối với các giao dịch tài chính hoặc các dịch vụ nhạy cảm.
  • Thanh toán: Xử lý các thông tin liên quan đến phương thức thanh toán, tài khoản ngân hàng, hóa đơn, biên lai, để đảm bảo tính chính xác và hợp pháp của các giao dịch.
  • Bảo đảm an toàn và chống gian lận: Sử dụng dữ liệu cá nhân để phát hiện và ngăn chặn các hành vi gian lận, truy cập trái phép, mất mát hoặc lạm dụng dịch vụ.
  • Xử lý tình huống khẩn cấp: Thu thập thông tin cần thiết để phản ứng nhanh chóng trong các sự cố kỹ thuật, vấn đề vận hành hoặc tình huống ảnh hưởng đến an toàn của khách hàng và doanh nghiệp.

3.2. Hỗ trợ khách hàng

Dữ liệu cá nhân được xử lý nhằm cung cấp dịch vụ hỗ trợ khách hàng một cách nhanh chóng, chính xác và hiệu quả:

  • Giải đáp thắc mắc: Cung cấp thông tin chi tiết về sản phẩm/dịch vụ, hướng dẫn sử dụng, chính sách bảo hành.
  • Hỗ trợ kỹ thuật: Thu thập dữ liệu để xử lý sự cố kỹ thuật, bảo trì, sửa chữa, đảm bảo dịch vụ luôn vận hành ổn định.
  • Tư vấn và chăm sóc khách hàng: Dựa trên dữ liệu cá nhân để đưa ra giải pháp phù hợp, cá nhân hóa trải nghiệm khách hàng.
  • Xử lý khiếu nại, phản hồi: Ghi nhận và giải quyết các khiếu nại, phàn nàn, phản hồi khách hàng theo đúng quy trình, đảm bảo quyền lợi hợp pháp.

3.3. Nâng cao chất lượng dịch vụ

Việc xử lý dữ liệu cá nhân còn phục vụ mục tiêu cải tiến và nâng cao chất lượng sản phẩm, dịch vụ, bao gồm:

  • Phân tích dữ liệu khách hàng: Xác định xu hướng tiêu dùng, nhu cầu và hành vi khách hàng để tối ưu hóa sản phẩm/dịch vụ.
  • Nghiên cứu thị trường: Thu thập và tổng hợp dữ liệu nhằm đánh giá thị trường, xác định cơ hội và thách thức kinh doanh.
  • Cải tiến sản phẩm và dịch vụ: Dựa trên phản hồi khách hàng và dữ liệu hành vi để nâng cấp sản phẩm, cải thiện quy trình, tăng trải nghiệm khách hàng.
  • Đánh giá trải nghiệm khách hàng: Xây dựng các chỉ số đo lường sự hài lòng, nhận diện điểm mạnh/yếu trong dịch vụ.
  • Chương trình khách hàng thân thiết: Sử dụng dữ liệu để triển khai chương trình ưu đãi, tích điểm, cá nhân hóa trải nghiệm và khuyến khích sự gắn bó lâu dài.

3.4. Tiếp thị

Dữ liệu cá nhân được xử lý nhằm thực hiện các hoạt động tiếp thị và quảng cáo một cách hiệu quả và đúng quy định, bao gồm:

  • Marketing: Gửi thông tin sản phẩm, dịch vụ, khuyến mại tới khách hàng dựa trên dữ liệu đã được đồng ý.
  • Đề xuất sản phẩm/dịch vụ cá nhân hóa: Phân tích hành vi và nhu cầu khách hàng để cung cấp thông tin, ưu đãi phù hợp.

3.5. Nghiên cứu thị trường và xúc tiến thương mại

Dữ liệu cá nhân cũng phục vụ cho mục tiêu xây dựng chiến lược kinh doanh và phát triển thị trường, bao gồm:

  • Khảo sát và thăm dò dư luận: Thu thập thông tin về nhu cầu, kỳ vọng, đánh giá của khách hàng đối với sản phẩm/dịch vụ.
  • Phân tích dữ liệu tổng hợp: Sử dụng dữ liệu ẩn danh hoặc tổng hợp để rút ra thông tin có giá trị về thị trường, khách hàng và xu hướng tiêu dùng.
  • Báo cáo nghiên cứu thị trường: Xây dựng báo cáo phân tích nhằm hỗ trợ ra quyết định chiến lược, lập kế hoạch phát triển sản phẩm và mở rộng kinh doanh.
  • Phát triển chiến lược kinh doanh: Cung cấp cơ sở dữ liệu để thiết kế chiến lược bán hàng, marketing, mở rộng dịch vụ và cải thiện hiệu quả vận hành.

ĐIỀU 4. CÁCH THỨC XỬ LÝ DỮ LIỆU

4.1. Thu thập dữ liệu

Dữ liệu cá nhân được thu thập một cách hợp pháp, minh bạch và đúng mục đích, thông qua nhiều hình thức khác nhau:

  • Thu thập trực tiếp từ khách hàng: Khi khách hàng cung cấp thông tin qua đăng ký tài khoản, mua sản phẩm/dịch vụ, tham gia khảo sát, phản hồi hoặc liên hệ chăm sóc khách hàng.
  • Thu thập từ thiết bị, website và ứng dụng: Dữ liệu được thu thập tự động thông qua cookie, log hệ thống, app, thiết bị IoT hoặc công nghệ giám sát hành vi sử dụng dịch vụ.
  • Thu thập từ mạng xã hội: Khi khách hàng tương tác trên các nền tảng như Fanpage, TikTok, LinkedIn, Zalo, dữ liệu được thu thập với sự đồng ý hợp pháp.
  • Thu thập gián tiếp từ đối tác hợp pháp: Bao gồm các thông tin nhận được từ bên thứ ba, đối tác kinh doanh, dịch vụ thanh toán hoặc nhà cung cấp dữ liệu, đảm bảo quyền hợp pháp và thông báo minh bạch đến khách hàng.

Nguyên tắc: Dữ liệu chỉ thu thập phù hợp với mục đích xử lý, tránh thu thập dư thừa hoặc không cần thiết.

4.2. Lưu trữ dữ liệu

Dữ liệu cá nhân được lưu trữ trong hệ thống công ty, có thể đặt tại Việt Nam với các tiêu chuẩn bảo mật cao:

  • Tuân thủ tiêu chuẩn bảo mật cao nhất nhằm đảm bảo dữ liệu không bị truy cập trái phép, rò rỉ hoặc mất mát.
  • Phân quyền truy cập nội bộ: Chỉ những cá nhân, phòng ban có trách nhiệm mới được quyền truy cập dữ liệu phù hợp với vai trò.
  • Sao lưu định kỳ: Dữ liệu được sao lưu để phục hồi trong trường hợp sự cố kỹ thuật hoặc thảm họa.

4.3. Chia sẻ và chuyển giao dữ liệu

Dữ liệu cá nhân có thể được chia sẻ hoặc chuyển giao trong các trường hợp hợp pháp, với các biện pháp bảo mật đầy đủ:

  • Chia sẻ nội bộ: Với công ty con, chi nhánh hoặc bộ phận liên quan để phục vụ quản lý, vận hành, chăm sóc khách hàng.
  • Chia sẻ bên ngoài: Với đối tác, đại lý, nhà cung cấp dịch vụ, cơ quan nhà nước hoặc cá nhân được ủy quyền, đảm bảo hợp pháp và bảo mật.
  • Hợp đồng và cam kết bảo mật: Khi chuyển giao, các bên nhận dữ liệu phải tuân thủ quy định về bảo vệ dữ liệu, không sử dụng dữ liệu ngoài mục đích đã thỏa thuận.

4.4. Phân tích dữ liệu

Dữ liệu cá nhân được phân tích theo quy trình nội bộ nhằm cải thiện sản phẩm và dịch vụ, với các nguyên tắc:

  • Dữ liệu có thể được ẩn danh hóa hoặc tổng hợp trước khi phân tích để bảo vệ quyền riêng tư của khách hàng.
  • Phân tích nhằm nghiên cứu thị trường, cải tiến sản phẩm, đánh giá trải nghiệm khách hàng, triển khai chương trình marketing hoặc khách hàng thân thiết.
  • Quy trình phân tích được kiểm soát chặt chẽ, đảm bảo dữ liệu không bị rò rỉ hoặc sử dụng trái phép.

4.5. Mã hóa dữ liệu

Mọi dữ liệu cá nhân quan trọng và nhạy cảm được mã hóa để đảm bảo:

  • Bảo mật thông tin: Ngăn chặn truy cập trái phép từ bên ngoài hoặc nội bộ.
  • Xác thực dữ liệu: Đảm bảo dữ liệu không bị thay đổi hoặc giả mạo trong quá trình lưu trữ và truyền tải.
  • Toàn vẹn dữ liệu: Dữ liệu được bảo vệ khỏi hư hỏng, mất mát trong quá trình xử lý.

4.6. Xóa dữ liệu

Dữ liệu cá nhân sẽ được xóa hoặc hủy an toàn trong các trường hợp sau:

  • Khi mục đích xử lý dữ liệu đã kết thúc hoặc không còn cần thiết cho hoạt động kinh doanh.
  • Khi khách hàng yêu cầu theo quyền được bảo vệ dữ liệu cá nhân.
  • Khi pháp luật hoặc cơ quan nhà nước yêu cầu xóa dữ liệu.

Nguyên tắc: Việc xóa dữ liệu đảm bảo an toàn, không thể phục hồi, đồng thời ghi nhận bằng chứng xóa trong hệ thống quản lý dữ liệu để phục vụ kiểm soát và giám sát.

ĐIỀU 5: XỬ LÝ DỮ LIỆU KHÁCH HÀNG DƯỚI 16 TUỔi

5.1. Nguyên tắc xác minh độ tuổi và thẩm quyền xử lý dữ liệu
Công ty chỉ được phép thu thập, xử lý, lưu trữ và sử dụng dữ liệu cá nhân của khách hàng dưới 16 tuổi khi có sự đồng ý hợp pháp của cha, mẹ hoặc người giám hộ hợp pháp, theo đúng các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân trẻ em.

  • Trong các trường hợp dữ liệu phát sinh từ giao dịch trực tuyến, chương trình khuyến mãi, phiếu khảo sát, website, ứng dụng hoặc các tương tác trên nền tảng số, hệ thống sẽ thực hiện xác minh độ tuổi dựa trên thông tin hợp pháp do người giám hộ cung cấp, đảm bảo tính hợp pháp và hợp lệ của việc thu thập dữ liệu.
  • Việc xác minh tuổi phải tuân thủ quy trình chuẩn hóa nội bộ, minh bạch, có thể kiểm tra và đối chiếu, nhằm giảm thiểu tối đa nguy cơ thu thập dữ liệu trái pháp luật hoặc dữ liệu từ đối tượng chưa đủ năng lực hành vi dân sự.
  • Công ty áp dụng nguyên tắc tối thiểu hóa dữ liệu, chỉ thu thập những thông tin cần thiết, hạn chế tuyệt đối việc thu thập dư thừa, không phục vụ mục đích kinh doanh hợp pháp hoặc không được người giám hộ đồng ý.

5.2. Sự đồng ý của người giám hộ

  • Cha, mẹ hoặc người giám hộ hợp pháp phải cung cấp sự đồng ý trước khi dữ liệu được xử lý, dưới dạng văn bản hoặc điện tử có giá trị pháp lý.
  • Hồ sơ đồng ý phải được lưu trữ an toàn, có thể truy vết, bảo đảm bảo mật, phục vụ kiểm tra nội bộ hoặc thanh tra, giám sát bởi cơ quan nhà nước.
  • Người giám hộ có quyền rút lại đồng ý bất kỳ lúc nào, khi đó dữ liệu phải được xóa, ẩn danh hoặc vô hiệu hóa hoàn toàn ngay lập tức, bao gồm cả các bản sao dự phòng, nhằm bảo vệ quyền riêng tư và tuân thủ luật pháp.
  • Mỗi hành vi thu thập, xử lý, chia sẻ hoặc lưu trữ dữ liệu phải được ghi nhận đầy đủ, tạo bằng chứng pháp lý, đảm bảo tính minh bạch, có thể đối chiếu và kiểm tra bởi cơ quan quản lý.

5.3. Mục đích và phạm vi xử lý dữ liệu

Dữ liệu cá nhân của khách hàng dưới 16 tuổi chỉ được sử dụng trong các mục đích hợp pháp, cụ thể, hạn chế và minh bạch:

  • Cung cấp sản phẩm/dịch vụ hợp pháp, bao gồm bán buôn, giao hàng, chăm sóc khách hàng và hỗ trợ kỹ thuật.
  • Thực hiện các chương trình khuyến mãi, khảo sát trải nghiệm khách hàng, nghiên cứu thị trường, cải thiện chất lượng dịch vụ, đảm bảo không vượt quá phạm vi đồng ý.
    • Dữ liệu tuyệt đối không được sử dụng cho mục đích tiếp thị, quảng cáo hoặc chia sẻ với bên thứ ba ngoài phạm vi đã được người giám hộ đồng ý, trừ khi có cơ sở pháp lý rõ ràng và minh bạch.
    • Phạm vi xử lý phải được ghi nhận bằng văn bản, thông báo rõ ràng cho người giám hộ, đồng thời được rà soát định kỳ để đảm bảo tuân thủ liên tục các quy định pháp luật và chính sách nội bộ.
    • Công ty cam kết ngăn chặn việc sử dụng dữ liệu vượt quá mục đích hoặc không có sự đồng ý hợp pháp, đồng thời tạo cơ sở pháp lý minh bạch cho mọi giao dịch dữ liệu.

5.4. Bảo mật, phân quyền và lưu trữ dữ liệu

  • Dữ liệu cá nhân của khách hàng dưới 16 tuổi phải được mã hóa theo tiêu chuẩn bảo mật cao nhất, đồng thời áp dụng phân quyền truy cập chặt chẽ, giới hạn phạm vi truy cập nội bộ theo vai trò và chức năng, nhằm bảo vệ tuyệt đối dữ liệu khỏi rủi ro rò rỉ, truy cập trái phép hoặc gian lận.
  • Công ty áp dụng cơ chế sao lưu định kỳ, kiểm tra toàn vẹn dữ liệu, bảo đảm dữ liệu không bị mất mát, hư hỏng hoặc thay đổi trái phép trong toàn bộ vòng đời xử lý.
  • Dữ liệu được lưu trữ tối thiểu 5 năm kể từ lần thu thập cuối cùng, và chỉ tiếp tục lưu nếu vẫn phục vụ mục đích hợp pháp hoặc theo yêu cầu pháp luật. Khi mục đích xử lý kết thúc hoặc đồng ý bị rút lại, dữ liệu phải được xóa hoặc ẩn danh hoàn toàn, bao gồm cả bản sao dự phòng.

5.5. Triển khai thực tế tại điểm bán hàng và tương tác trực tiếp

  • Khi khách hàng dưới 16 tuổi tự mua hàng tại cửa hàng mà không có người giám hộ đi kèm, việc thu thập dữ liệu cá nhân không được thực hiện, nhằm bảo vệ quyền riêng tư và tuân thủ pháp luật.
  • Hóa đơn vẫn được xuất hợp pháp nhưng không ghi thông tin cá nhân; thay vào đó ghi chú là “khách vãng lai”, đảm bảo vận hành thương mại hợp pháp mà không vi phạm quyền riêng tư.
  • Khi thu thập dữ liệu cho chương trình marketing, khảo sát hoặc chăm sóc khách hàng, nhân viên phải hướng dẫn người giám hộ ký đồng ý hợp pháp, đồng thời ghi nhận bằng chứng đồng ý trong hệ thống quản lý dữ liệu, tạo cơ sở minh bạch, có thể đối chiếu và kiểm tra nội bộ.

5.6. Giám sát, kiểm soát và đối chiếu pháp lý

  • Mọi quy trình liên quan đến dữ liệu khách hàng dưới 16 tuổi phải được giám sát định kỳ bởi bộ phận kiểm soát nội bộ và phòng pháp chế.
  • Hồ sơ thu thập, đồng ý, xử lý, lưu trữ và xóa dữ liệu phải được ghi nhận đầy đủ, có thể truy vết và đối chiếu, nhằm đảm bảo tuân thủ pháp luật, chuẩn mực đạo đức và trách nhiệm quản lý dữ liệu.
  • Công ty áp dụng nguyên tắc tối thiểu hóa dữ liệu, hạn chế xử lý vượt quá mục đích, đồng thời bảo đảm an toàn tuyệt đối cho dữ liệu trẻ em trong toàn bộ vòng đời xử lý, tạo nền tảng pháp lý vững chắc cho việc kiểm soát, giám sát và đánh giá hiệu quả quản lý dữ liệu.

ĐIỀU 6. PHƯƠNG THỨC THU THẬP DỮ LIỆU CÁ NHÂN

6.1. Thu thập trực tiếp từ khách hàng

  • Khi khách hàng đặt hàng trực tiếp tại cửa hàng, nhân viên được hướng dẫn thu thập thông tin cần thiết, bao gồm thông tin định danh, liên hệ, thanh toán và các thông tin hợp pháp phục vụ giao dịch.
  • Trong trường hợp giao dịch qua điện thoại, Zalo, Facebook hoặc website, dữ liệu được thu thập thông qua các kênh giao tiếp hợp pháp và lưu trữ trong hệ thống nội bộ, đảm bảo tính chính xác, đầy đủ và bảo mật.
  • Mọi hình thức thu thập trực tiếp đều tuân thủ nguyên tắc tối thiểu hóa dữ liệu, hạn chế thu thập thông tin dư thừa hoặc không cần thiết, đồng thời được ghi nhận bằng chứng thu thập để có cơ sở pháp lý minh bạch.

6.2. Thu thập thông qua hợp đồng và văn bản pháp lý

  • Khi khách hàng ký hợp đồng mua hàng hoặc hợp đồng nguyên tắc, dữ liệu cá nhân được thu thập trong phạm vi hợp đồng và tuân thủ pháp luật hiện hành, bao gồm thông tin định danh, liên hệ, giao dịch và thanh toán.
  • Khi nhân viên nộp hồ sơ xin việc, ký hợp đồng lao động, dữ liệu cá nhân được thu thập để phục vụ quy trình tuyển dụng, ký kết hợp đồng, quản lý nhân sự, thực hiện quyền lợi theo pháp luật lao động, đồng thời đảm bảo tính minh bạch và hợp pháp trong lưu trữ hồ sơ nhân sự.
  • Khi nhà cung cấp, đại lý cung cấp thông tin để ký hợp đồng hoặc thực hiện giao dịch hợp pháp, dữ liệu được thu thập nhằm quản lý đối tác, thực hiện nghĩa vụ hợp đồng và tuân thủ nghĩa vụ pháp lý, đồng thời ghi nhận cơ sở pháp lý đối chiếu trong trường hợp kiểm tra, thanh tra.

6.3. Thu thập tự động thông qua hệ thống công nghệ

  • Công ty thu thập dữ liệu tự động qua camera giám sát, phần mềm bán hàng, hóa đơn điện tử, hệ thống quản lý đơn hàng và các công cụ công nghệ khác, nhằm bảo đảm an ninh, quản lý vận hành, minh bạch trong giao dịch và hỗ trợ phân tích dữ liệu.
  • Dữ liệu thu thập tự động được xử lý theo quy trình nội bộ chuẩn hóa, bao gồm mã hóa, phân quyền truy cập và kiểm soát toàn vẹn dữ liệu, nhằm bảo vệ toàn vẹn, tính bảo mật và hạn chế rủi ro truy cập trái phép.
  • Các hệ thống công nghệ được kiểm tra định kỳ, cập nhật tiêu chuẩn bảo mật và tuân thủ quy định pháp luật, đảm bảo ngăn chặn rủi ro lộ lọt, gian lận hoặc sử dụng trái mục đích.

6.4. Thu thập từ cơ quan nhà nước và nguồn hợp pháp khác

  • Dữ liệu cá nhân có thể được thu thập từ các cơ quan nhà nước theo yêu cầu pháp luật, nhằm thực hiện nghĩa vụ pháp lý, kê khai, báo cáo hoặc kiểm tra, thanh tra hợp pháp.
  • Dữ liệu cũng có thể được thu thập từ nguồn hợp pháp khác, bao gồm đối tác, nhà cung cấp, cơ sở dữ liệu công khai hoặc các nguồn được pháp luật cho phép, đảm bảo tính minh bạch, hợp pháp và phục vụ mục đích hợp pháp.
  • Mọi dữ liệu thu thập từ bên thứ ba đều phải xác thực tính hợp pháp, đảm bảo người cung cấp dữ liệu có quyền chia sẻ thông tin và tuân thủ nguyên tắc bảo mật, an toàn thông tin và tối thiểu hóa dữ liệu.

6.5. Nguyên tắc áp dụng trong toàn bộ phương thức thu thập

  • Mọi dữ liệu thu thập phải được thông báo đầy đủ cho chủ thể dữ liệu, bao gồm mục đích, phạm vi sử dụng, quyền rút lại đồng ý, thời gian lưu trữ và cơ chế bảo mật.
  • Công ty áp dụng nguyên tắc tối thiểu hóa dữ liệu, chỉ thu thập thông tin cần thiết, không vượt quá mục đích khai báo, đồng thời ghi nhận bằng chứng thu thập và sự đồng ý của chủ thể dữ liệu.
  • Dữ liệu thu thập phải được ghi nhận, lưu trữ và bảo mật theo quy định nội bộ, có thể truy vết và đối chiếu, đảm bảo tuân thủ pháp luật, chuẩn mực đạo đức và trách nhiệm quản lý dữ liệu.
  • Công ty thực hiện giám sát định kỳ, đánh giá rủi ro, rà soát và cập nhật các phương thức thu thập nhằm tăng cường bảo mật, minh bạch và hiệu quả trong vận hành dữ liệu cá nhân.

ĐIỀU 7. NGUYÊN TẮC XỬ LÝ VÀ SỬ DỤNG DỮ LIỆU CÁ NHÂN

7.1. Nguyên tắc tối thiểu hóa và đúng mục đích

  • Công ty chỉ được phép thu thập dữ liệu cá nhân cần thiết cho hoạt động kinh doanh, sản xuất, cung cấp dịch vụ hoặc thực hiện nghĩa vụ pháp lý.
  • Việc thu thập phải tuân thủ nguyên tắc hợp pháp, minh bạch, rõ ràng về mục đích; dữ liệu không phục vụ mục đích đã được thông báo hoặc vượt quá yêu cầu pháp lý thì không được thu thập.
  • Mỗi bộ phận, phòng ban trong công ty có trách nhiệm đảm bảo chỉ sử dụng dữ liệu trong phạm vi cần thiết, tránh lưu trữ, xử lý hoặc khai thác dữ liệu ngoài mục đích hợp pháp.

7.2. Thông báo và sự đồng ý của chủ thể dữ liệu

  • Chủ thể dữ liệu phải được thông báo đầy đủ về mục đích, phạm vi, thời gian lưu trữ, quyền truy cập, quyền rút lại đồng ý và cơ chế bảo mật dữ liệu trước khi dữ liệu được thu thập và xử lý.
  • Trong trường hợp pháp luật cho phép miễn trừ thông báo hoặc đồng ý (ví dụ dữ liệu phục vụ nghĩa vụ báo cáo, thanh tra, xử lý khẩn cấp), công ty phải lưu giữ bằng chứng pháp lý về cơ sở miễn trừ này.
  • Mọi hành vi xử lý dữ liệu khi chưa thông báo hoặc chưa được đồng ý hợp pháp đều được coi là vi phạm nguyên tắc bảo vệ dữ liệu, và phải chịu trách nhiệm theo quy định pháp luật.

7.3. Nguyên tắc không mua bán, trao đổi dữ liệu trái phép

  • Công ty không được mua bán, trao đổi, cho thuê hoặc chuyển giao dữ liệu cá nhân khi chưa được sự đồng ý hợp pháp của chủ thể dữ liệu, trừ các trường hợp có cơ sở pháp lý rõ ràng.
  • Mọi chia sẻ dữ liệu với bên thứ ba phải được hợp đồng hóa, ghi nhận trách nhiệm bảo mật, giới hạn phạm vi sử dụng, đảm bảo tính minh bạch và tuân thủ pháp luật.
  • Cơ chế kiểm soát nội bộ phải ghi nhận đầy đủ bằng chứng về việc chia sẻ, chuyển giao và mục đích sử dụng dữ liệu, để đối chiếu khi kiểm toán hoặc thanh tra.

7.4. Nguyên tắc về tính chính xác và cập nhật dữ liệu

  • Dữ liệu cá nhân phải chính xác, đầy đủ và được cập nhật thường xuyên; người cung cấp dữ liệu chịu trách nhiệm về tính trung thực của thông tin đã cung cấp.
  • Công ty áp dụng các biện pháp xác minh, kiểm tra, rà soát dữ liệu định kỳ, nhằm đảm bảo tính toàn vẹn, đáng tin cậy và phù hợp với mục đích xử lý.
  • Trường hợp phát hiện dữ liệu sai lệch, lỗi hoặc không còn hợp pháp, công ty phải cập nhật, chỉnh sửa, xóa hoặc ẩn danh dữ liệu theo quy định, đồng thời thông báo cho chủ thể dữ liệu nếu cần thiết.

7.5. Nguyên tắc bảo mật, phân quyền và kiểm soát nội bộ

  • Dữ liệu cá nhân phải được mã hóa, phân quyền truy cập chặt chẽ và được quản lý theo chức năng, trách nhiệm của từng phòng ban để ngăn chặn truy cập trái phép hoặc sử dụng sai mục đích.
  • Bộ phận kiểm soát nội bộ chịu trách nhiệm giám sát việc tuân thủ nguyên tắc xử lý dữ liệu, đánh giá rủi ro và báo cáo định kỳ.
  • Công ty áp dụng cơ chế ghi nhận, theo dõi và kiểm toán toàn bộ luồng dữ liệu, đảm bảo dữ liệu chỉ được sử dụng theo đúng mục đích đã thông báo và được sự đồng ý hợp pháp.

7.6 Nguyên tắc tuân thủ pháp luật và trách nhiệm pháp lý

  • Mọi hoạt động thu thập, xử lý, lưu trữ, chia sẻ và sử dụng dữ liệu cá nhân phải tuân thủ các quy định của Hiến pháp, Bộ luật Dân sự, Luật An ninh mạng, Luật An toàn thông tin mạng, Luật bảo vệ dữ liệu cá nhân 2025 và các nghị định hướng dẫn liên quan.
  • Cá nhân, phòng ban và đơn vị vi phạm các nguyên tắc này sẽ chịu trách nhiệm kỷ luật nội bộ và pháp lý, đồng thời công ty sẽ thực hiện biện pháp khắc phục, thông báo cho cơ quan quản lý khi cần thiết.
  • Việc áp dụng nguyên tắc này phải được ghi nhận thành văn bản, lưu trữ minh bạch và đối chiếu trong các hoạt động kiểm tra, thanh tra, kiểm toán hoặc xử lý sự cố bảo mật.

ĐIỀU 8: NGUYÊN TẮC BẢO MẬT DỮ LIỆU

8.1. Tuân thủ quy định pháp luật về bảo mật dữ liệu

  • Công ty thực hiện tất cả các biện pháp bảo mật dữ liệu cá nhân, an ninh mạng và thông tin khách hàng theo đúng các quy định pháp luật hiện hành, bao gồm nhưng không giới hạn: Luật Bảo vệ dữ liệu cá nhân 2025, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, các nghị định hướng dẫn và các quy định pháp luật liên quan khác.
  • Mọi hành vi thu thập, lưu trữ, xử lý, chia sẻ hoặc xóa dữ liệu phải tuân thủ các nguyên tắc hợp pháp, minh bạch, hạn chế rủi ro, bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu.
  • Công ty định kỳ rà soát các quy định pháp luật mới, điều chỉnh quy trình và chính sách bảo mật để đảm bảo tuân thủ liên tục, tránh rủi ro pháp lý hoặc vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân.

8.2. Quy trình bảo mật nội bộ

  • Phân quyền truy cập dữ liệu: Mỗi phòng ban, cá nhân được phân quyền truy cập dữ liệu theo chức năng, nhiệm vụ và cấp độ bảo mật; hạn chế tối đa truy cập trái phép hoặc sử dụng vượt quá mục đích.
  • Đào tạo nhân viên định kỳ: Công ty tổ chức huấn luyện, tập huấn và nâng cao nhận thức về bảo mật dữ liệu, bao gồm quản lý thông tin nhạy cảm, nhận diện nguy cơ, xử lý sự cố và tuân thủ pháp luật.
  • Áp dụng phần mềm bảo mật và công nghệ: Hệ thống dữ liệu được bảo vệ bằng phần mềm chống virus, tường lửa, mã hóa dữ liệu khi lưu trữ và truyền tải, đảm bảo toàn vẹn, xác thực và bí mật dữ liệu.
  • Kiểm soát vật lý và kỹ thuật: Các cơ sở lưu trữ dữ liệu, máy chủ và thiết bị mạng được bảo vệ bằng kiểm soát vật lý, giám sát camera, khóa truy cập và các biện pháp an ninh vật lý khác.

8.3. An toàn thông tin liên tục và giám sát rủi ro

  • Hệ thống dữ liệu được giám sát chặt chẽ bao gồm: theo dõi truy cập, phát hiện xâm nhập trái phép, ghi nhận sự kiện bất thường và cảnh báo kịp thời.
  • Thực hiện kiểm tra, rà soát và đánh giá định kỳ các lỗ hổng bảo mật, bao gồm hệ thống phần mềm, phần cứng, quy trình nội bộ và các phương thức thu thập dữ liệu.
  • Công ty lập phương án ứng phó khẩn cấp, bao gồm quy trình cách ly dữ liệu bị xâm nhập, phục hồi dữ liệu, thông báo sự cố và báo cáo cơ quan quản lý khi cần thiết.

8.4. Bảo vệ quyền lợi của khách hàng

  • Khi phát hiện rủi ro hoặc sự cố ảnh hưởng dữ liệu khách hàng, công ty thực hiện thông báo kịp thời, minh bạch và đầy đủ cho khách hàng, đồng thời áp dụng các biện pháp giảm thiểu rủi ro và khôi phục dữ liệu.
  • Các biện pháp bảo vệ bao gồm: mã hóa dữ liệu, ẩn danh dữ liệu nhạy cảm, hạn chế truy cập nội bộ, rà soát và điều chỉnh quyền truy cập, đảm bảo ngăn chặn việc xâm phạm, sử dụng trái phép hoặc lộ lọt thông tin cá nhân.
  • Công ty cam kết minh bạch trong mọi hành động bảo mật, tạo cơ sở pháp lý vững chắc cho việc kiểm tra, giám sát và đánh giá an toàn dữ liệu trong toàn bộ vòng đời xử lý.

8.5. Nguyên tắc tổng hợp và trách nhiệm quản lý

  • Mỗi phòng ban, cá nhân liên quan đến dữ liệu phải chịu trách nhiệm về việc tuân thủ nguyên tắc bảo mật, đồng thời được giám sát định kỳ và đánh giá hiệu quả.
  • Quy trình bảo mật phải được ghi nhận, lưu trữ minh bạch, tạo bằng chứng pháp lý để phục vụ kiểm tra nội bộ, thanh tra, kiểm toán hoặc xử lý sự cố.
  • Công ty thực hiện đánh giá rủi ro toàn diện định kỳ, cập nhật các biện pháp bảo mật, áp dụng công nghệ mới, và điều chỉnh quy trình để bảo đảm an toàn dữ liệu liên tục, hiệu quả và phù hợp với pháp luật.

ĐIỀU 9: THỜI GIAN XỬ LÝ DỮ LIỆU

9.1. Khởi đầu xử lý dữ liệu:

Quá trình xử lý dữ liệu được khởi động khi khách hàng cung cấp dữ liệu cá nhân hợp pháp và đầy đủ căn cứ pháp lý, bao gồm các dữ liệu mà khách hàng trực tiếp cung cấp hoặc dữ liệu thu thập từ các nguồn được phép. Việc khởi tạo xử lý dữ liệu được tiến hành trong phạm vi các mục đích hợp pháp và minh bạch, tuân thủ các quy định hiện hành về bảo vệ dữ liệu cá nhân và các tiêu chuẩn quản trị dữ liệu nội bộ. Trong giai đoạn này, dữ liệu được phân loại, đánh giá rủi ro bảo mật và thiết lập cơ chế kiểm soát quyền truy cập, nhằm đảm bảo tính toàn vẹn, chính xác và bảo mật thông tin từ thời điểm bắt đầu xử lý.

9.2. Kết thúc xử lý dữ liệu:
Quá trình xử lý dữ liệu kết thúc khi một trong các điều kiện sau được thỏa mãn:

  • Mục tiêu xử lý dữ liệu đã đạt được hoặc không còn cần thiết trong phạm vi các hoạt động hợp pháp của công ty;
  • Khách hàng có yêu cầu hợp pháp để dừng hoặc hủy bỏ việc xử lý dữ liệu;
  • Các quy định pháp lý bắt buộc về lưu trữ và quản lý dữ liệu yêu cầu kết thúc hoặc điều chỉnh việc xử lý.

Trong thời gian kết thúc xử lý, dữ liệu sẽ được đánh giá lại theo các tiêu chí về rủi ro, tính cần thiết, và khả năng tiếp tục phục vụ các mục đích kinh doanh hợp pháp. Việc này đảm bảo rằng dữ liệu không bị xử lý vượt quá phạm vi mục đích ban đầu, đồng thời duy trì tuân thủ các nguyên tắc bảo vệ dữ liệu.

9.3. Lưu trữ và bảo quản dữ liệu:
Dữ liệu khách hàng được lưu trữ phục vụ các mục đích hợp pháp, bao gồm nhưng không giới hạn ở:

  • Kế toán và kiểm toán: Hỗ trợ việc ghi nhận, đối chiếu, và báo cáo tài chính;
  • Pháp lý và quản trị hợp đồng: Đảm bảo khả năng truy xuất thông tin phục vụ giải quyết tranh chấp, khiếu nại, và tuân thủ các quy định pháp luật;
  • Chăm sóc khách hàng: Duy trì các dịch vụ hỗ trợ, xử lý yêu cầu và phản hồi của khách hàng;
  • Hoạt động marketing: Bao gồm đề xuất sản phẩm, chương trình chăm sóc khách hàng và các hoạt động nâng cao trải nghiệm của khách hàng mà khách hàng đã đồng ý tham gia.

Dữ liệu được lưu trữ tối thiểu trong 05 năm kể từ lần thu thập cuối cùng, nhằm đáp ứng các yêu cầu pháp lý bắt buộc, chuẩn mực kiểm toán nội bộ, và nhu cầu quản trị dữ liệu chiến lược của công ty. Sau thời hạn này, nếu khách hàng không rút lại sự đồng ý, dữ liệu có thể được tiếp tục lưu trữ tự động, đồng thời vẫn được quản lý theo các chính sách bảo mật và quyền riêng tư hiện hành.

9.4. Xử lý dữ liệu quá hạn:
Dữ liệu được coi là quá hạn và sẽ được xóa bỏ hoặc ẩn danh trong các trường hợp sau:

  • Khách hàng chính thức yêu cầu hủy dữ liệu hoặc rút lại sự đồng ý;
  • Mục đích sử dụng dữ liệu đã hết hiệu lực, tức dữ liệu không còn phục vụ bất kỳ mục đích hợp pháp nào, trừ khi pháp luật yêu cầu lưu giữ lâu hơn.

Việc xóa hoặc ẩn danh dữ liệu sẽ được thực hiện theo các quy trình quản trị dữ liệu chuẩn, đảm bảo rằng thông tin cá nhân không còn khả năng được truy xuất hoặc phục hồi, đồng thời duy trì tính minh bạch và trách nhiệm giải trình của tổ chức trong việc quản lý dữ liệu khách hàng.

ĐIỀU 10: TỔ CHỨC, CÁ NHÂN THAM GIA XỬ LÝ DỮ LIỆU

10.1. Bên kiểm soát dữ liệu:

Tony Fruit là bên kiểm soát dữ liệu, chịu trách nhiệm xác định mục đích, phạm vi và phương thức xử lý dữ liệu cá nhân. Công ty đảm bảo mọi hoạt động thu thập, xử lý, lưu trữ và chia sẻ dữ liệu được thực hiện theo các quy định pháp luật hiện hành, nguyên tắc bảo vệ dữ liệu cá nhân và các chính sách nội bộ về bảo mật thông tin.

10.2. Bên xử lý dữ liệu được ủy quyền:

Các bộ phận nội bộ và đối tác được ủy quyền thực hiện việc xử lý dữ liệu theo yêu cầu của Công ty, bao gồm:

  • Bộ phận bán hàng, vận hành, marketing, IT: Thực hiện các hoạt động xử lý dữ liệu phục vụ quản lý khách hàng, chăm sóc khách hàng, marketing, triển khai hệ thống và quản lý kỹ thuật;
  • Đối tác dịch vụ và thanh toán trung gian: Xử lý dữ liệu liên quan đến giao dịch, thanh toán, vận chuyển và các dịch vụ hỗ trợ khách hàng;
  • Cơ quan pháp luật khi cần: Thực hiện truy xuất, cung cấp dữ liệu theo yêu cầu hợp pháp nhằm phục vụ thanh tra, kiểm tra hoặc điều tra theo quy định của pháp luật.

10.3. Chia sẻ dữ liệu:

Dữ liệu khách hàng có thể được chia sẻ trong phạm vi hạn chế, tuân thủ nguyên tắc cần thiết và minh bạch, bao gồm:

  • Công ty con, đối tác cung ứng và đại lý hợp pháp: Để triển khai các hoạt động kinh doanh, vận hành dịch vụ và hỗ trợ khách hàng;
  • Cá nhân hoặc đơn vị được ủy quyền theo hợp đồng: Bao gồm các nhà cung cấp dịch vụ chuyên môn, nhà thầu hoặc đối tác được ký hợp đồng xử lý dữ liệu với Công ty;
  • Cơ quan nhà nước có thẩm quyền: Khi thực hiện chức năng thanh tra, kiểm tra, điều tra hoặc yêu cầu pháp lý khác.

10.4. Giám sát và kiểm tra:

Công ty duy trì các cơ chế giám sát và kiểm tra để đảm bảo mọi bên liên quan tuân thủ nguyên tắc bảo mật và trách nhiệm xử lý dữ liệu:

  • Nhật ký truy cập dữ liệu: Ghi nhận toàn bộ hoạt động truy xuất, chỉnh sửa, xóa và chia sẻ dữ liệu;
  • Kiểm toán định kỳ: Đánh giá việc tuân thủ quy trình xử lý, bảo mật dữ liệu và thực hiện các biện pháp khắc phục khi phát hiện vi phạm;
  • Đào tạo và hướng dẫn: Đảm bảo nhân sự nội bộ và bên thứ ba nhận thức đầy đủ về trách nhiệm bảo mật dữ liệu và các quy định pháp lý liên quan.

ĐIỀU 11: QUYỀN CỦA KHÁCH HÀNG

11.1. Quyền biết và kiểm soát dữ liệu

Khách hàng có quyền được biết rõ ràng và minh bạch về các loại dữ liệu cá nhân mà Công ty thu thập, mục đích và phạm vi sử dụng dữ liệu đó, cũng như các bên thứ ba mà dữ liệu có thể được chia sẻ. Quyền này giúp khách hàng chủ động kiểm soát thông tin cá nhân và nắm rõ cách thức dữ liệu của mình được xử lý.

11.2. Quyền quyết định đồng ý

Khách hàng có quyền đồng ý hoặc từ chối việc xử lý dữ liệu cá nhân trước khi sử dụng bất kỳ dịch vụ nào của Công ty. Việc đồng ý phải được thực hiện một cách tự nguyện và rõ ràng. Khách hàng có quyền từ chối hoặc giới hạn việc xử lý dữ liệu mà không làm ảnh hưởng đến các quyền cơ bản khác.

11.3. Quyền truy cập và chỉnh sửa dữ liệu

Khách hàng có quyền truy cập, xem xét và chỉnh sửa thông tin cá nhân đã cung cấp cho Công ty. Việc này có thể thực hiện thông qua các kênh chính thức như website, hotline hoặc email. Công ty sẽ đảm bảo dữ liệu được cập nhật kịp thời, chính xác và đầy đủ.

11.4. Quyền xóa dữ liệu

Khách hàng có quyền yêu cầu xóa dữ liệu cá nhân khi không còn nhu cầu sử dụng dịch vụ, ngoại trừ những trường hợp mà pháp luật yêu cầu Công ty lưu giữ dữ liệu trong thời gian nhất định. Việc xóa dữ liệu sẽ được tiến hành theo quy trình chuẩn, đảm bảo dữ liệu không còn khả năng truy xuất hoặc phục hồi.

11.5. Quyền hạn chế xử lý

Khách hàng có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân trong một số mục đích nhất định, chẳng hạn như ngừng sử dụng dữ liệu cho marketing, quảng cáo hay phân tích dữ liệu, trong khi vẫn duy trì các chức năng dịch vụ khác. Việc hạn chế sẽ được thực hiện theo quy định pháp luật và chính sách nội bộ của Công ty.

11.6. Quyền rút lại đồng ý

Khách hàng có quyền rút lại sự đồng ý cho việc xử lý dữ liệu cá nhân bất cứ lúc nào. Việc rút lại phải được thông báo bằng văn bản hoặc thông qua các kênh chính thức mà Công ty cung cấp. Sau khi rút lại đồng ý, dữ liệu sẽ không còn được xử lý cho mục đích trước đó, trừ trường hợp pháp luật yêu cầu khác.

11.7. Quyền khiếu nại và yêu cầu bồi thường

Khách hàng có quyền khiếu nại, tố cáo hoặc yêu cầu bồi thường thiệt hại liên quan đến việc xử lý dữ liệu cá nhân nếu phát hiện vi phạm quyền của mình. Khiếu nại có thể gửi đến bộ phận phụ trách bảo vệ dữ liệu của Công ty hoặc cơ quan nhà nước có thẩm quyền theo quy định pháp luật.

11.8 Các quyền khác

Ngoài các quyền nêu trên, khách hàng được hưởng mọi quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân, bao gồm các quyền bổ sung theo luật quốc gia mà Công ty áp dụng trong việc bảo vệ và quản lý dữ liệu cá nhân.

ĐIỀU 12: NGHĨA VỤ CỦA KHÁCH HÀNG

12.1. Cung cấp dữ liệu chính xác, đầy đủ và trung thực

Khách hàng có trách nhiệm cung cấp thông tin cá nhân và dữ liệu liên quan một cách chính xác, đầy đủ, trung thực và kịp thời. Dữ liệu này bao gồm mọi thông tin mà Công ty yêu cầu phục vụ cho việc đăng ký, sử dụng dịch vụ, giao dịch, thanh toán, chăm sóc khách hàng, và các hoạt động hợp pháp khác. Việc cung cấp dữ liệu không chính xác, thiếu sót, hoặc sai sự thật có thể dẫn đến việc dịch vụ bị gián đoạn, dữ liệu bị xử lý không đúng mục đích, hoặc các rủi ro pháp lý. Khách hàng cần cập nhật dữ liệu ngay khi có thay đổi để đảm bảo tính chính xác liên tục.

12.2. Tuân thủ pháp luật và hướng dẫn của Công ty

Khách hàng phải tuân thủ đầy đủ các quy định pháp luật hiện hành, bao gồm các luật liên quan đến bảo vệ dữ liệu cá nhân, an ninh mạng, giao dịch điện tử và các quy định khác có liên quan đến việc sử dụng dịch vụ. Đồng thời, khách hàng phải thực hiện các hướng dẫn, quy trình, quy định và chính sách nội bộ của Công ty liên quan đến bảo mật, xử lý và chia sẻ dữ liệu. Việc này đảm bảo mọi hành vi của khách hàng trong quá trình sử dụng dịch vụ đều hợp pháp, minh bạch và không vi phạm quyền lợi của bên thứ ba.

12.3. Phối hợp với Công ty, cơ quan nhà nước và bên thứ ba khi được yêu cầu

Khách hàng có nghĩa vụ hợp tác khi Công ty, cơ quan nhà nước có thẩm quyền hoặc các bên thứ ba được ủy quyền yêu cầu cung cấp, xác minh, xử lý hoặc kiểm tra dữ liệu. Sự phối hợp này có thể bao gồm việc cung cấp thông tin bổ sung, xác nhận dữ liệu, tham gia các cuộc kiểm tra hoặc hỗ trợ giải quyết các khiếu nại, tranh chấp, điều tra hoặc thanh tra pháp lý. Việc hợp tác đúng thời gian và đầy đủ sẽ đảm bảo dữ liệu được quản lý, xử lý chính xác, đồng thời đáp ứng các yêu cầu pháp lý và kiểm toán.

12.4. Bảo vệ dữ liệu cá nhân của chính mình

Khách hàng có trách nhiệm tự bảo vệ dữ liệu cá nhân, bao gồm việc giữ an toàn thông tin đăng nhập, mật khẩu, thiết bị truy cập và các tài khoản liên quan. Khách hàng cần thông báo ngay cho Công ty nếu phát hiện các dấu hiệu rủi ro, vi phạm, truy cập trái phép, mất mát hoặc xâm phạm dữ liệu cá nhân. Điều này giúp Công ty kịp thời triển khai các biện pháp bảo vệ, hạn chế rủi ro và đảm bảo an toàn thông tin.

12.5. Tôn trọng quyền riêng tư và dữ liệu của người khác

Khách hàng phải tôn trọng quyền riêng tư và bảo vệ dữ liệu cá nhân của người khác, không thu thập, chia sẻ hoặc sử dụng dữ liệu cá nhân của người thứ ba trái pháp luật hoặc trái với quyền lợi hợp pháp của họ. Điều này bao gồm việc không truyền tải, không sao chép, không khai thác thông tin người khác mà không có sự đồng ý hợp pháp. Khách hàng cũng cần tuân thủ các quy định về quyền riêng tư và bảo mật khi tương tác với các nền tảng, dịch vụ và các hệ thống dữ liệu của Công ty.

12.6. Chịu trách nhiệm về dữ liệu tự tạo lập hoặc cung cấp

Khách hàng hoàn toàn chịu trách nhiệm về dữ liệu cá nhân và thông tin mà mình tự tạo lập, cung cấp hoặc cập nhật trong quá trình sử dụng dịch vụ. Công ty không chịu trách nhiệm đối với các hậu quả phát sinh từ việc dữ liệu cung cấp sai sự thật, thiếu sót, không hợp lệ hoặc không được cập nhật kịp thời. Khách hàng cần đảm bảo dữ liệu được quản lý một cách chính xác và minh bạch, phù hợp với quy định pháp luật.

12.7. Tham gia phòng chống vi phạm dữ liệu khi có yêu cầu

Khách hàng có nghĩa vụ hợp tác tham gia các hoạt động phòng chống, phát hiện và xử lý vi phạm dữ liệu, khi được Công ty yêu cầu. Điều này có thể bao gồm việc cung cấp thông tin, hỗ trợ rà soát các hành vi nghi ngờ vi phạm, tham gia các chương trình đào tạo hoặc hướng dẫn phòng chống rủi ro dữ liệu. Sự tham gia chủ động của khách hàng giúp duy trì an toàn, bảo mật thông tin và tuân thủ pháp luật, đồng thời góp phần nâng cao trách nhiệm cộng đồng trong bảo vệ dữ liệu

12.8. Tuân thủ các nguyên tắc bảo mật dữ liệu và trách nhiệm đạo đức
Khách hàng cần thực hiện mọi hành vi sử dụng dữ liệu một cách có trách nhiệm và đạo đức, không sử dụng dữ liệu nhằm mục đích xâm phạm quyền lợi của người khác, gian lận, hoặc thực hiện các hành vi trái pháp luật. Khách hàng phải tôn trọng nguyên tắc bảo mật dữ liệu, không tiết lộ, chia sẻ dữ liệu trái phép và luôn đảm bảo việc xử lý dữ liệu cá nhân diễn ra trong phạm vi pháp luật và chính sách của Công ty.

12.9 Trách nhiệm pháp lý và xử lý vi phạm
Khách hàng chịu trách nhiệm pháp lý đối với mọi hành vi vi phạm nghĩa vụ liên quan đến dữ liệu cá nhân. Trong trường hợp vi phạm dẫn đến mất mát, rủi ro hoặc xâm phạm dữ liệu, khách hàng có thể bị Công ty hoặc cơ quan pháp luật xử lý theo quy định. Khách hàng có nghĩa vụ phối hợp để khắc phục hậu quả, thông báo và thực hiện các biện pháp phòng ngừa theo hướng dẫn của Công ty.

 

Sản phẩm

Hướng dẫn

Sàn TMĐT

Mã số thuế: 0315101259

Công Ty TNHH Tú Phượng Tony
Địa chỉ: 212 đường số 48, Phường Vĩnh Hội, TP.HCM
SĐT: 0903339933
Do Sở Kế hoạch & Đầu tư TP HCM cấp ngày: 11/06/2018

Cửa hàng Tony Fruit CN1: 169 Khánh Hội, Phường Vĩnh Hội, TP.Hồ Chí Minh

Cửa hàng Tony Fruit CN2: Landmark 4, L4-SH.06 Khu Vinhomes Central Park, 208 Nguyễn Hữu Cảnh, Phường Thạnh Mỹ Tây, TP.Hồ Chí Minh

Cửa hàng Tony Fruit CN3: Số 0.11 Tháp B1 - Khu chung cư phức hợp - Lô M2 (Sarimi), số 72 Nguyễn Cơ Thạch, P. An Khánh, TP.Hồ Chí Minh

Cửa hàng Tony Fruit CN4: Số B229/1-Tầng B2-TTTM Takashimaya-Số 92 Nam Kỳ Khởi Nghĩa, Phường Bến Nghé, TP.Hồ Chí Minh

Cửa hàng Tony Fruit CN5: V3-23 Khu Manhattan - Vinhomes Grand Park, Đường V3, Phường Tăng Nhơn Phú, TP.HCM

Cửa hàng Tony Fruit CN6: 426 Cách Mạng Tháng Tám, Phường Cẩm Lệ, TP.Đà Nẵng

Kho sỉ HCM: 19A Mai Chí Thọ, Phường An Khánh, TP. Hồ Chí Minh Hotline: 0907 533 335 - 0901 110 818 - 093 803 9090 - 0903730012 (HCM)

Kho sỉ Cần Thơ:  253-255-257 Trần Văn Trà (A3), Phường Hưng Phú, TP.Cần Thơ
Hotline: 0932 679 988 - 093 8686 600

Kho sỉ Đà Nẵng: 426 Cách Mạng Tháng Tám, Phường Cẩm Lệ, TP. Đà Nẵng Hotline: 0909266060 (Zalo)

Kho lạnh Miền Bắc: Kho lạnh SK2- LÔ 18A, KCN Quang Minh, Xã Quang Minh, TP.Hà Nội  Hotline: 0862 118 110 - 0862 119 110

Kho sỉ Miền Bắc: 39 Lê Văn Lương, Phường Thanh Xuân, TP.Hà Nội Hotline: 0862 118 110 - 0862 119 110

© Bản quyền thuộc về Tony Fruit 2021