Chính sách bảo vệ Dữ liệu cá nhân (PDPL)
DRAFT — cần luật sư rà soát trước khi coi là chính thứcChính sách này tuân thủ Nghị định 13/2023/NĐ-CP của Chính phủ Việt Nam về Bảo vệ Dữ liệu Cá nhân (Personal Data Protection Law — PDPL).
1. Bên kiểm soát dữ liệu
Đơn vị kiểm soát dữ liệu cá nhân: [CHƯA CẤU HÌNH — điền trong Admin]
- Địa chỉ: [CHƯA CẤU HÌNH — điền trong Admin]
- Mã số thuế: [CHƯA CẤU HÌNH — điền trong Admin]
- Người đại diện pháp luật: [CHƯA CẤU HÌNH — điền trong Admin]
Cán bộ bảo vệ dữ liệu cá nhân (DPO):
- Họ tên: [CHƯA CẤU HÌNH — điền trong Admin]
- Email: [CHƯA CẤU HÌNH — điền trong Admin]
- Điện thoại: [CHƯA CẤU HÌNH — điền trong Admin]
2. Phạm vi DLCN xử lý
DLCN cơ bản (Điều 2.3 NĐ 13/2023):
- Họ tên, ngày sinh, giới tính, nơi sinh.
- Số điện thoại, email, địa chỉ.
- Thông tin tài khoản nền tảng (username, mật khẩu băm).
- Thông tin xe (hãng, model, đời) và biển số (nếu bạn nhập tự nguyện).
DLCN nhạy cảm (Điều 2.4 NĐ 13/2023): otoX không thu thập DLCN nhạy cảm trong vận hành thường xuyên (không thu thập dữ liệu y tế, tài chính cá nhân, lý lịch tư pháp, dữ liệu vị trí thời gian thực kéo dài).
3. Mục đích xử lý DLCN
- Tạo và quản lý tài khoản — Cơ sở pháp lý: sự đồng ý của chủ thể (Điều 11 NĐ 13/2023).
- Xử lý đơn hàng, lắp đặt, bảo hành — Cơ sở pháp lý: thực hiện hợp đồng.
- Hỗ trợ khách hàng, khiếu nại — Cơ sở pháp lý: sự đồng ý + thực hiện hợp đồng.
- Gửi email/SMS thông báo dịch vụ — Cơ sở pháp lý: thực hiện hợp đồng.
- Gửi email/SMS tiếp thị — Cơ sở pháp lý: sự đồng ý riêng, có thể rút lại bất kỳ lúc nào.
- Phân tích, cải tiến nền tảng — Cơ sở pháp lý: lợi ích chính đáng, đã ẩn danh hoá khi có thể.
- Tuân thủ pháp luật (hóa đơn, kế toán) — Cơ sở pháp lý: nghĩa vụ pháp lý.
4. Quyền của chủ thể dữ liệu cá nhân
Theo Điều 9 NĐ 13/2023, bạn có các quyền:
- Quyền được biết — biết DLCN nào của mình được xử lý.
- Quyền đồng ý — yêu cầu xử lý chỉ khi có sự đồng ý.
- Quyền truy cập — xem DLCN của mình đang được lưu giữ.
- Quyền rút lại sự đồng ý — bất kỳ lúc nào, không cần lý do.
- Quyền xóa dữ liệu — yêu cầu xóa (trừ dữ liệu pháp luật yêu cầu lưu).
- Quyền hạn chế xử lý — yêu cầu tạm dừng xử lý DLCN.
- Quyền yêu cầu cung cấp DLCN — bằng định dạng có cấu trúc, có thể chuyển sang đơn vị khác.
- Quyền phản đối xử lý — phản đối các xử lý cụ thể.
- Quyền khiếu nại, tố cáo, khởi kiện.
- Quyền yêu cầu bồi thường khi DLCN bị vi phạm theo quy định pháp luật.
- Quyền tự bảo vệ theo quy định pháp luật.
5. Cơ chế thực thi quyền
Cách gửi yêu cầu:
- Email DPO: [CHƯA CẤU HÌNH — điền trong Admin]
- Email pháp lý: [CHƯA CẤU HÌNH — điền trong Admin]
Thời hạn xử lý: otoX phản hồi trong vòng 72 giờ kể từ khi nhận yêu cầu hợp lệ và xác minh được danh tính chủ thể.
Xác minh danh tính: trước khi mở DLCN, otoX yêu cầu xác minh qua kênh đăng ký gốc (OTP SĐT/email).
6. Chia sẻ DLCN với bên thứ ba
DLCN được chia sẻ tối thiểu cần thiết với:
- Shop / Garage: chỉ thông tin cần thiết cho giao dịch của bạn với họ.
- Đối tác thanh toán, vận chuyển: chỉ phần phục vụ giao dịch.
- Cơ quan nhà nước: khi có yêu cầu hợp pháp bằng văn bản.
otoX không chuyển DLCN ra khỏi lãnh thổ Việt Nam khi không có sự đồng ý của bạn và không có cơ chế bảo đảm tương đương.
7. Thời gian lưu trữ
[CHƯA CẤU HÌNH — điền trong Admin]
Dữ liệu hóa đơn, kế toán, chứng từ thuế: lưu theo quy định Luật Kế toán (tối thiểu 10 năm), không xóa được kể cả khi bạn yêu cầu.
8. Biện pháp bảo vệ
- Mã hóa TLS 1.3 cho mọi kết nối.
- Mật khẩu băm với salt (không thể hoàn nguyên).
- Phân quyền tối thiểu (least privilege) trong nội bộ.
- Nhật ký truy cập (audit log) cho dữ liệu nhạy cảm.
- Kiểm thử bảo mật định kỳ.
9. Sự cố bảo vệ DLCN
Trong trường hợp xảy ra vi phạm bảo vệ DLCN, otoX cam kết:
- Thông báo đến Bộ Công an trong vòng 72 giờ kể từ khi phát hiện.
- Thông báo đến chủ thể dữ liệu bị ảnh hưởng nếu có rủi ro cao.
- Thực hiện biện pháp khắc phục, giảm thiệt hại.
10. Liên hệ DPO
Mọi yêu cầu liên quan đến DLCN: [CHƯA CẤU HÌNH — điền trong Admin] | [CHƯA CẤU HÌNH — điền trong Admin].
Khiếu nại pháp lý: [CHƯA CẤU HÌNH — điền trong Admin].