Trang chủ
Tất cả chủ đề
Chính sách và Điều khoản
Chính sách bảo mật dữ liệu và quyền riêng tư

Chính sách bảo mật dữ liệu và quyền riêng tư

Nội dung chính

VNEtrust cam kết bảo vệ dữ liệu minh bạch, an toàn và có trách nhiệm.

Chính sách Bảo mật Dữ liệu & Quyền riêng tư này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ, chia sẻ (nếu cần), và bảo vệ dữ liệu khi bạn sử dụng nền tảng VNEtrust.

Nguyên tắc của VNEtrust rất rõ ràng: chúng tôi chỉ xử lý dữ liệu khi thật sự cần thiết để vận hành dịch vụ (tạo tài khoản, khảo sát–xác minh doanh nghiệp, xây dựng hồ sơ tín nhiệm, công bố theo lựa chọn của doanh nghiệp, phòng chống gian lận và tuân thủ pháp luật); không mua bán dữ liệu; không theo dõi người dùng cho quảng cáo cá nhân hóa; và chỉ công bố thông tin tín nhiệm trong phạm vi kiểm soát, không công khai trái phép dữ liệu cá nhân.

Chính sách này cũng nêu rõ quyền của bạn đối với dữ liệu, các biện pháp bảo vệ mà VNEtrust áp dụng, và cách chúng tôi xử lý khi có sự cố an toàn dữ liệu theo quy định pháp luật.

Trong bài viết này

VNEtrust™ là nền tảng công bố tín nhiệm nhà cung cấp và kết nối kinh doanh, được vận hành bởi Công ty Cổ phần Nghiên cứu Thị trường Châu Á Thái Bình Dương (ASPAM), trụ sở tại số 5/49 Nguyễn Cửu Đàm, phường Tân Sơn Nhì, thành phố Hồ Chí Minh, Việt Nam. Mã số đăng ký: 0304389162.

Chính sách này quy định cách thức VNEtrust thu thập, xử lý, lưu trữ, bảo vệ, chia sẻ và công bố dữ liệu trong quá trình cung cấp dịch vụ và vận hành hệ sinh thái tín nhiệm.

Chính sách này được xây dựng và áp dụng phù hợp với pháp luật Việt Nam hiện hành, bao gồm nhưng không giới hạn ở Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật Bảo vệ quyền lợi người tiêu dùng 2023, Luật Giao dịch điện tử 2023, và các quy định liên quan về an ninh mạng, an toàn thông tin và bảo vệ dữ liệu cá nhân.

Việc truy cập, đăng ký, sử dụng hoặc tiếp tục sử dụng nền tảng VNEtrust được hiểu là Người dùng/Thành viên đã đọc, hiểu và đồng ý với Chính sách này, trừ trường hợp pháp luật có quy định khác.

 

Điều 1. Phạm vi và đối tượng áp dụng

1.1. Phạm vi điều chỉnh

Chính sách điều chỉnh các hoạt động liên quan đến dữ liệu phát sinh trong quá trình:

  • Đăng ký, khởi tạo, xác thực và quản lý tài khoản;
  • Khảo sát, xác minh và đánh giá tín nhiệm doanh nghiệp;
  • Xây dựng, quản lý và công bố hồ sơ tín nhiệm;
  • Cung cấp dịch vụ liên quan đến TrustID™, TrustScore™, TrustMark™;
  • Vận hành hệ sinh thái, phòng chống gian lận và tuân thủ pháp luật.

1.2. Đối tượng áp dụng

Chính sách áp dụng đối với:

  • Cá nhân truy cập, sử dụng hoặc tương tác với nền tảng;
  • Doanh nghiệp, tổ chức đăng ký là thành viên hoặc sử dụng dịch vụ;
  • Đối tác, cộng tác viên, đơn vị đánh giá, bên thứ ba tham gia xử lý dữ liệu;
  • Các bên liên quan khác có dữ liệu được xử lý hợp pháp bởi VNEtrust.

1.3. Môi trường áp dụng

Áp dụng cho dữ liệu được xử lý thông qua website, ứng dụng, hệ thống công nghệ thông tin, cơ sở dữ liệu, biểu mẫu điện tử, hệ thống khảo sát, thông báo, mã QR, TrustMark™ và các kênh giao tiếp chính thức của VNEtrust.

1.4. Nguyên tắc ưu tiên

Trong trường hợp có khác biệt giữa Chính sách này và tài liệu khác:

  • Quy định có mức độ bảo vệ dữ liệu cao hơn cho chủ thể dữ liệu được ưu tiên áp dụng;
  • Thỏa thuận riêng bằng văn bản được áp dụng trong phạm vi không trái pháp luật.

 

Điều 2. Định nghĩa thuật ngữ

2.1. VNEtrust:

Là nền tảng công bố, kết nối và quản lý tín nhiệm doanh nghiệp, bao gồm website, ứng dụng, hệ thống công nghệ thông tin và các thành phần liên quan.

2.2. Người dùng:

Là cá nhân truy cập, tìm kiếm, tương tác hoặc sử dụng bất kỳ chức năng nào của nền tảng VNEtrust, kể cả khi chưa đăng ký tài khoản.

2.3. Thành viên/ nhà cung cấp:

Là doanh nghiệp, tổ chức hoặc cá nhân đã đăng ký tài khoản hợp lệ và được cấp quyền sử dụng một hoặc nhiều dịch vụ của VNEtrust.

2.4. Doanh nghiệp:

Là tổ chức kinh tế được thành lập hợp pháp theo pháp luật Việt Nam hoặc pháp luật nước ngoài, tham gia khảo sát, xác minh, công bố tín nhiệm hoặc sử dụng dịch vụ của VNEtrust.

2.5. Dữ liệu:

Là thông tin dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự được thu thập, lưu trữ và xử lý trong quá trình vận hành nền tảng.

2.6. Dữ liệu cá nhân:

Là dữ liệu gắn liền với hoặc giúp xác định một cá nhân cụ thể theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

2.7. Dữ liệu cá nhân nhạy cảm:

Là dữ liệu cá nhân cần áp dụng biện pháp bảo vệ cao hơn theo quy định pháp luật và chỉ được xử lý khi có căn cứ pháp lý hợp lệ.

2.8. Dữ liệu cá nhân thông thường VNEtrust thu thập:

Bao gồm họ tên, chức danh, chuyên môn, email, số điện thoại công việc và thông tin tương tự phục vụ hoạt động hợp pháp trên nền tảng.

2.9. Dữ liệu doanh nghiệp:

Là dữ liệu liên quan đến tư cách pháp lý, hoạt động, năng lực kinh doanh và hồ sơ tín nhiệm của Doanh nghiệp.

2.10. Chủ thể dữ liệu (cá nhân):

Là cá nhân có dữ liệu cá nhân được VNEtrust thu thập và xử lý theo quy định pháp luật.

2.10a. Chủ thể dữ liệu doanh nghiệp (thuật ngữ vận hành):

Là doanh nghiệp hoặc tổ chức có dữ liệu được VNEtrust thu thập, xác minh, đánh giá và/hoặc công bố theo Chính sách này; thuật ngữ này được sử dụng cho mục đích vận hành nền tảng và không thay thế, không mở rộng khái niệm “chủ thể dữ liệu” theo pháp luật về bảo vệ dữ liệu cá nhân.

Việc bảo vệ dữ liệu doanh nghiệp không làm phát sinh các quyền của chủ thể dữ liệu cá nhân, trừ trường hợp dữ liệu doanh nghiệp có chứa hoặc gắn liền với dữ liệu cá nhân theo quy định pháp luật.

2.11. Xử lý dữ liệu:

Là một hoặc nhiều hoạt động tác động đến dữ liệu, bao gồm thu thập, ghi nhận, truy xuất, phân tích, lưu trữ, chỉnh sửa, chia sẻ, công bố, xóa hoặc hủy dữ liệu.

2.12. Bên kiểm soát dữ liệu:

Là tổ chức quyết định mục đích và phương tiện xử lý dữ liệu; trong phạm vi vận hành nền tảng, VNEtrust là Bên kiểm soát dữ liệu, trừ trường hợp có thỏa thuận khác phù hợp pháp luật.

2.13. Bên xử lý dữ liệu:

Là tổ chức hoặc cá nhân xử lý dữ liệu theo chỉ dẫn của Bên kiểm soát dữ liệu trên cơ sở hợp đồng hoặc thỏa thuận hợp pháp.

2.14. Công bố tín nhiệm:

Là việc hiển thị công khai hoặc cho phép truy cập có kiểm soát đối với hồ sơ, thông tin phản ánh tín nhiệm và năng lực của Doanh nghiệp trên nền tảng VNEtrust.

2.15. TrustID™:

Là mã định danh tín nhiệm do VNEtrust cấp nhằm xác định duy nhất hồ sơ tín nhiệm của Doanh nghiệp hoặc Thành viên trên nền tảng.

2.16. TrustScore™:

Là chỉ số tổng hợp phản ánh mức độ hoàn thiện, minh bạch hồ sơ và trạng thái xác minh dữ liệu doanh nghiệp; không phải thang đo chất lượng, xếp hạng tín nhiệm tài chính hay chứng chỉ bảo lãnh, bảo đảm.

2.17. TrustMark™:

Là dấu hiệu tín nhiệm (dưới dạng số, hình ảnh, mã QR hoặc hình thức tương đương) phản ánh trạng thái công bố tín nhiệm tại thời điểm tra cứu.

2.18. Đồng ý:

Là sự chấp thuận tự nguyện, rõ ràng và có thể chứng minh theo hình thức phù hợp của chủ thể dữ liệu đối với việc xử lý dữ liệu của mình theo quy định pháp luật.

2.19. Bên thứ ba:

Là tổ chức hoặc cá nhân không thuộc VNEtrust nhưng có liên quan đến việc xử lý dữ liệu theo thỏa thuận hợp pháp hoặc theo yêu cầu của pháp luật.

 

Điều 3. Loại dữ liệu được thu thập

VNEtrust chỉ thu thập và xử lý dữ liệu trong phạm vi cần thiết, phù hợp mục đích đã công bố, có căn cứ pháp lý hợp lệ và tuân thủ nguyên tắc bảo vệ dữ liệu theo pháp luật.

3.1. Dữ liệu cá nhân (đối với cá nhân đại diện/người liên hệ/người sử dụng)

  • Họ và tên; chức danh/vai trò;
  • Số điện thoại, email công việc;
  • Thông tin tài khoản và xác thực;
  • Thông tin trao đổi phát sinh trong quá trình hỗ trợ/khảo sát/xác minh.

3.2. Dữ liệu doanh nghiệp

  • Thông tin pháp lý, ngành nghề;
  • Thông tin hoạt động, sản phẩm, dịch vụ;
  • Hồ sơ uy tín, năng lực, kết quả khảo sát, xác minh;
  • Tài liệu, hình ảnh minh chứng, báo cáo đánh giá khác.

3.3. Dữ liệu kỹ thuật

  • IP, thiết bị, trình duyệt;
  • Nhật ký truy cập, dữ liệu quét QR;
  • Dữ liệu thống kê vận hành.

3.3a. Cookie và công nghệ tương tự (nếu áp dụng)

VNEtrust không sử dụng cookie theo dõi quảng cáo. Chỉ sử dụng cookie kỹ thuật cần thiết (nếu có) để duy trì phiên đăng nhập, bảo đảm an ninh và vận hành nền tảng.

VNEtrust không sử dụng cookie hoặc dữ liệu kỹ thuật để xây dựng hồ sơ hành vi (profiling) phục vụ quảng cáo cá nhân hóa hoặc cho các mục đích huấn luyện, phân tích ngoài phạm vi cần thiết cho việc cung cấp và cải thiện dịch vụ theo Chính sách này.

3.4. Dữ liệu từ bên thứ ba hợp pháp

Bao gồm: dữ liệu đề cử/giới thiệu từ đối tác, dữ liệu xác minh từ đơn vị đánh giá/cơ quan có thẩm quyền, dữ liệu được chia sẻ hợp pháp theo thỏa thuận hoặc theo yêu cầu pháp luật.

3.5. Trường hợp không cung cấp dữ liệu

Không ảnh hưởng việc truy cập cơ bản, nhưng có thể bị hạn chế việc sử dụng một số chức năng hoặc quyền công bố trên nền tảng VNEtrust.

3.6. Giới hạn thu thập dữ liệu

VNEtrust không thu thập dữ liệu ngoài phạm vi cần thiết cho các mục đích nêu tại Chính sách này và không yêu cầu cung cấp dữ liệu trái pháp luật.

 

Điều 4. Mục đích xử lý dữ liệu

Việc xử lý dữ liệu tại VNEtrust được thực hiện có mục đích hợp pháp, cụ thể và rõ ràng; không sử dụng cho mục đích khác, trừ trường hợp được pháp luật cho phép hoặc có sự đồng ý hợp lệ của chủ thể dữ liệu.

Dữ liệu được xử lý nhằm các mục đích sau:

  • Đăng ký, khởi tạo, xác thực và quản lý tài khoản;
  • Khảo sát, xác minh và đánh giá doanh nghiệp;
  • Xây dựng và quản lý hồ sơ tín nhiệm;
  • Minh bạch thông tin và công bố tín nhiệm;
  • Cung cấp dịch vụ và hỗ trợ kết nối kinh doanh;
  • Phân tách và bảo vệ dữ liệu doanh nghiệp, dữ liệu cá nhân;
  • Phòng chống gian lận, bảo đảm an toàn hệ sinh thái;
  • Tuân thủ nghĩa vụ pháp lý và giải quyết khiếu nại;
  • Phân tích, đánh giá, cải thiện chất lượng dịch vụ, phát triển và tối ưu nền tảng (không nhằm theo dõi quảng cáo cá nhân hóa).

 

Điều 5. Cơ sở pháp lý cho việc xử lý dữ liệu

VNEtrust chỉ xử lý dữ liệu khi có ít nhất một căn cứ pháp lý hợp lệ theo quy định pháp luật Việt Nam, tương ứng với từng mục đích xử lý cụ thể; áp dụng căn cứ phù hợp nhất trong từng trường hợp và không lạm dụng sự đồng ý khi đã tồn tại căn cứ pháp lý khác.

Các căn cứ pháp lý bao gồm:

  • Sự đồng ý của chủ thể dữ liệu;
  • Thực hiện theo hợp đồng/yêu cầu/đề nghị hợp pháp của chủ thể dữ liệu;
  • Thực hiện nghĩa vụ pháp lý theo quy định của pháp luật;
  • Lợi ích hợp pháp của VNEtrust và các bên liên quan;
  • Trường hợp khẩn cấp theo quy định của pháp luật.

Trường hợp Người dùng đăng ký hoặc đăng nhập thông qua dịch vụ xác thực bên thứ ba (ví dụ: Google, Facebook, số điện thoại), dữ liệu được xử lý trên cơ sở Người dùng đã được thông báo đầy đủ về việc xử lý dữ liệu theo Chính sách này và đã thực hiện hành động xác nhận rõ ràng theo quy trình đăng ký/đăng nhập của nền tảng.

Việc rút lại sự đồng ý (nếu có) không làm ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu đã được thực hiện trước thời điểm rút lại và không áp dụng đối với các trường hợp xử lý dữ liệu dựa trên nghĩa vụ pháp lý, lợi ích hợp pháp hoặc các căn cứ pháp lý khác theo luật định.

VNEtrust không mở rộng mục đích xử lý ngoài các mục đích đã công bố tại Chính sách này và kiểm soát phạm vi xử lý theo nguyên tắc cần thiết, tương xứng và phù hợp với đặc thù vận hành của nền tảng.

 

Điều 6. Phương thức thu thập dữ liệu

VNEtrust thu thập dữ liệu minh bạch, đúng mục đích, trong phạm vi cần thiết, có căn cứ pháp lý hợp lệ và tuân thủ các nguyên tắc bảo vệ dữ liệu theo quy định pháp luật.

Các phương thức thu thập dữ liệu bao gồm:

  • Do chủ thể dữ liệu cung cấp: khi đăng ký, khởi tạo, cập nhật thông tin, tham gia khảo sát, xác minh, yêu cầu hỗ trợ hoặc tương tác hợp pháp trên nền tảng;
  • Qua khảo sát và xác minh: thông qua hoạt động khảo sát và đối chiếu với nguồn hợp pháp, bao gồm tài liệu, hình ảnh và dữ liệu phục vụ báo cáo, xác minh;
  • Tự động qua hệ thống kỹ thuật: dữ liệu kỹ thuật như log, IP, thiết bị, dữ liệu quét QR nhằm bảo đảm an toàn hệ thống, phòng chống gian lận và cải thiện dịch vụ;
  • Từ nguồn công khai hợp pháp: dữ liệu doanh nghiệp do cơ quan nhà nước hoặc nguồn hợp pháp công khai, phục vụ cập nhật hồ sơ doanh nghiệp;
  • Từ bên thứ ba hợp pháp: dữ liệu tiếp nhận từ đối tác, đơn vị đánh giá, tổ chức liên kết hoặc cơ quan có thẩm quyền theo thỏa thuận;
  • Qua dịch vụ xác thực bên thứ ba (ví dụ: Google, Facebook, số điện thoại): Khi Người dùng lựa chọn đăng ký hoặc đăng nhập thông qua các dịch vụ xác thực bên thứ ba, VNEtrust có thể nhận được một số dữ liệu cơ bản do Người dùng cho phép chia sẻ từ bên thứ ba đó (bao gồm nhưng không giới hạn ở email, họ tên hiển thị, ảnh đại diện hồ sơ). Việc thu thập và xử lý các dữ liệu này được thực hiện theo các mục đích đã nêu tại Chính sách này và không làm thay đổi quyền của chủ thể dữ liệu theo quy định pháp luật.
  • Trường hợp không cần sự đồng ý: khi pháp luật cho phép, bao gồm thực hiện nghĩa vụ pháp lý, phòng ngừa, điều tra vi phạm hoặc tình huống khẩn cấp;
  • Hệ quả khi không cung cấp dữ liệu: có thể dẫn đến việc không đủ điều kiện đăng ký, khảo sát, xác minh, công bố tín nhiệm hoặc bị hạn chế sử dụng dịch vụ;
  • Rà soát và kiểm soát: các phương thức thu thập được định kỳ rà soát, điều chỉnh để bảo đảm tuân thủ pháp luật và phù hợp với mô hình vận hành nền tảng VNEtrust.

Mọi phương thức thu thập đều được áp dụng tương ứng với mục đích xử lý đã công bố tại Điều 4.

 

Điều 7. Thời gian lưu trữ dữ liệu

VNEtrust lưu trữ dữ liệu trong thời gian cần thiết để phục vụ các mục đích xử lý đã công bố, phù hợp với nghĩa vụ pháp lý và đặc thù vận hành nền tảng tín nhiệm.

Dữ liệu cá nhân được lưu trữ trong suốt thời gian tài khoản hoặc quan hệ sử dụng dịch vụ còn hiệu lực và một khoảng thời gian hợp lý sau khi chấm dứt nhằm giải quyết khiếu nại, tranh chấp và tuân thủ pháp luật.

Dữ liệu doanh nghiệp và hồ sơ tín nhiệm được lưu trữ trong thời gian cần thiết để bảo đảm tính toàn vẹn, giá trị tham chiếu, minh bạch thông tin và phòng chống gian lận, và không được hiểu là công khai dữ liệu cá nhân trái pháp luật.

Dữ liệu kỹ thuật được lưu trữ trong thời gian cần thiết cho an toàn hệ thống, phòng chống gian lận và cải thiện dịch vụ, sau đó được xóa, ẩn danh hoặc tổng hợp phù hợp.

VNEtrust có thể tiếp tục lưu trữ dữ liệu khi pháp luật yêu cầu hoặc cho phép, hoặc khi dữ liệu liên quan đến tranh chấp, khiếu nại, kiểm tra hoặc điều tra.

Khi không còn căn cứ pháp lý để lưu trữ, dữ liệu sẽ được xóa, hủy hoặc ẩn bằng biện pháp kỹ thuật phù hợp; yêu cầu xóa dữ liệu có thể bị hạn chế trong trường hợp ảnh hưởng đến nghĩa vụ pháp lý hoặc tính toàn vẹn của hệ sinh thái tín nhiệm.

Đối với dữ liệu được thu thập thông qua việc đăng ký hoặc đăng nhập bằng dịch vụ xác thực bên thứ ba, thời gian lưu trữ và xử lý dữ liệu được áp dụng tương tự như các dữ liệu thu thập theo phương thức khác, trừ trường hợp pháp luật có quy định khác hoặc chủ thể dữ liệu có yêu cầu hợp lệ theo quy định của Chính sách này.

 

Điều 8. Quyền của chủ thể dữ liệu

Trong Chính sách này, chủ thể dữ liệu được hiểu là cá nhân có dữ liệu cá nhân được VNEtrust thu thập và xử lý theo quy định pháp luật.

Việc Người dùng lựa chọn đăng ký hoặc đăng nhập thông qua Google, Facebook, số điện thoại hoặc các dịch vụ xác thực bên thứ ba khác không làm mất, hạn chế hoặc thay đổi các quyền của chủ thể dữ liệu theo quy định pháp luật và theo Chính sách này. Mọi yêu cầu liên quan đến quyền dữ liệu cá nhân vẫn được thực hiện trực tiếp với VNEtrust theo cơ chế quy định tại Chính sách này.

Đối với dữ liệu doanh nghiệp, VNEtrust tiếp nhận và xử lý các yêu cầu liên quan theo cơ chế quản trị hồ sơ và quan hệ hợp đồng, không làm phát sinh hoặc thay thế các quyền của chủ thể dữ liệu cá nhân, trừ trường hợp dữ liệu doanh nghiệp có chứa dữ liệu cá nhân theo quy định pháp luật.

VNEtrust tôn trọng và bảo đảm các quyền của chủ thể dữ liệu cá nhân theo quy định pháp luật, phù hợp với đặc thù vận hành của nền tảng tín nhiệm.

Chủ thể dữ liệu cá nhân có các quyền sau:

  • Được biết về việc thu thập và xử lý dữ liệu;
  • Được đồng ý/không đồng ý và rút lại sự đồng ý (khi pháp luật yêu cầu);
  • Được truy cập dữ liệu trên nền tảng VNEtrust;
  • Quyền chỉnh sửa/cập nhật dữ liệu phù hợp;
  • Được yêu cầu xóa hoặc hạn chế xử lý trong các trường hợp được phép;
  • Được phản đối việc xử lý dữ liệu trong các trường hợp được phép;
  • Được khiếu nại khi quyền và lợi ích hợp pháp bị xâm phạm.
  • Được yêu cầu áp dụng biện pháp bảo vệ dữ liệu phù hợp.

Việc thực hiện các quyền nêu trên có thể bị hạn chế hoặc từ chối trong các trường hợp pháp luật cho phép, đặc biệt khi việc thực hiện quyền ảnh hưởng đến nghĩa vụ pháp lý, quyền và lợi ích hợp pháp của bên thứ ba hoặc tính toàn vẹn, độ tin cậy của hồ sơ và hệ sinh thái tín nhiệm.

 

Điều 9. Cơ chế thực hiện quyền của chủ thể dữ liệu

VNEtrust tiếp nhận và xử lý yêu cầu thực hiện quyền của chủ thể dữ liệu (bao gồm cá nhân và doanh nghiệp theo phạm vi áp dụng của Chính sách này) trên nguyên tắc hợp pháp, minh bạch, có xác minh và bảo đảm an toàn dữ liệu.

Yêu cầu được gửi qua các kênh liên hệ chính thức của VNEtrust, cần nêu rõ thông tin nhận diện, quyền được yêu cầu và phạm vi dữ liệu liên quan.

VNEtrust có quyền xác minh danh tính, tư cách yêu cầu và từ chối xử lý nếu không thể xác minh hoặc phát hiện dấu hiệu lạm dụng.

VNEtrust xử lý yêu cầu trong thời hạn theo quy định pháp luật. Trường hợp cần xác minh bổ sung hoặc thuộc yêu cầu phức tạp, thời hạn có thể được gia hạn theo quy định và VNEtrust sẽ thông báo (nếu áp dụng).

Việc thực hiện quyền được thực hiện miễn phí, trừ trường hợp pháp luật cho phép thu phí hợp lý đối với các yêu cầu lặp lại hoặc phức tạp.

VNEtrust có thể từ chối hoặc hạn chế thực hiện yêu cầu trong các trường hợp pháp luật cho phép, đặc biệt theo Điều 10 của Chính sách này; mọi yêu cầu và quá trình xử lý được ghi nhận phục vụ mục đích tuân thủ và giải trình.

 

Điều 10. Quyền từ chối, hạn chế và ngoại lệ

VNEtrust có thể từ chối, hạn chế hoặc trì hoãn việc thực hiện yêu cầu của chủ thể dữ liệu trong các trường hợp pháp luật cho phép nhằm bảo đảm tuân thủ nghĩa vụ pháp lý, bảo vệ quyền và lợi ích hợp pháp của các bên liên quan và duy trì tính toàn vẹn, độ tin cậy của hệ sinh thái tín nhiệm.

Các trường hợp bao gồm, nhưng không giới hạn ở:

  • Dữ liệu thuộc hồ sơ tín nhiệm đã được xác minh và công bố hợp pháp;
  • Dữ liệu cần thiết để thực hiện nghĩa vụ pháp lý, yêu cầu của cơ quan có thẩm quyền;
  • Dữ liệu liên quan đến tranh chấp, khiếu nại, kiểm tra, điều tra hoặc phòng chống gian lận;
  • Việc thực hiện yêu cầu có thể ảnh hưởng đến an toàn hệ thống, lợi ích công cộng hoặc quyền, lợi ích hợp pháp của bên thứ ba.

Trong các trường hợp phù hợp, VNEtrust có thể áp dụng biện pháp xử lý thay thế như hạn chế phạm vi hiển thị, ẩn một phần dữ liệu hoặc cập nhật trạng thái thông tin nhằm tránh gây hiểu nhầm.

VNEtrust không lạm dụng quyền từ chối hoặc hạn chế; mọi quyết định đều được thực hiện trên cơ sở cần thiết, có căn cứ pháp lý và được thông báo phù hợp cho chủ thể dữ liệu.

 

Điều 11. Chia sẻ, công bố và chuyển giao dữ liệu

VNEtrust chỉ thực hiện việc chia sẻ, công bố hoặc chuyển giao dữ liệu khi có mục đích hợp pháp, căn cứ pháp lý phù hợp và trong phạm vi cần thiết, tuân thủ các quy định về bảo vệ dữ liệu theo pháp luật.

11.1. Chia sẻ dữ liệu

VNEtrust có thể chia sẻ dữ liệu với đối tác, đơn vị đánh giá, nhà cung cấp dịch vụ kỹ thuật hoặc cơ quan nhà nước có thẩm quyền nhằm phục vụ hoạt động xác minh, cung cấp dịch vụ, vận hành nền tảng hoặc theo yêu cầu pháp luật; các bên nhận dữ liệu phải tuân thủ nghĩa vụ bảo mật tương ứng.

11.2. Công bố dữ liệu và công bố tín nhiệm

VNEtrust thực hiện công bố dữ liệu doanh nghiệp và thông tin tín nhiệm (bao gồm TrustID™, TrustScore™, TrustMark™) theo điều kiện, phạm vi và thời điểm phù hợp; việc công bố được thực hiện có kiểm soát, không nhằm tiết lộ trái phép dữ liệu cá nhân.

11.3. Giới hạn công bố dữ liệu cá nhân

Dữ liệu cá nhân chỉ được công bố khi pháp luật cho phép, có sự đồng ý hợp lệ của chủ thể dữ liệu hoặc thuộc thông tin công khai theo quy định; trong mọi trường hợp, phạm vi công bố được giới hạn ở mức tối thiểu cần thiết.

11.4. Chuyển giao dữ liệu

VNEtrust có thể chuyển giao dữ liệu trong trường hợp tái cấu trúc, sáp nhập, chuyển nhượng dự án hoặc theo yêu cầu pháp luật, với điều kiện bên nhận dữ liệu tiếp tục tuân thủ các nghĩa vụ bảo vệ dữ liệu tương đương.

11.5. Chuyển dữ liệu ra nước ngoài (nếu có)

Trường hợp dữ liệu được lưu trữ hoặc xử lý trên hạ tầng đặt ngoài lãnh thổ Việt Nam, VNEtrust thực hiện theo quy định pháp luật Việt Nam và áp dụng các biện pháp bảo vệ cần thiết nhằm bảo đảm mức độ an toàn dữ liệu phù hợp.

VNEtrust thực hiện nghĩa vụ thông báo, đăng ký hoặc các thủ tục pháp lý liên quan (nếu áp dụng) đối với hoạt động chuyển dữ liệu ra nước ngoài theo quy định pháp luật Việt Nam.

11.6. Sử dụng hạ tầng và dịch vụ công nghệ bên thứ ba

VNEtrust có thể sử dụng hạ tầng và nền tảng công nghệ của bên thứ ba để phục vụ việc vận hành an toàn, ổn định và liên tục của hệ thống, bao gồm nhưng không giới hạn ở: hệ thống quản lý và gửi email, dịch vụ gửi email, hạ tầng lưu trữ, xử lý dữ liệu và điện toán đám mây.

Các bên cung cấp dịch vụ chỉ được tiếp cận và xử lý dữ liệu trong phạm vi cần thiết để cung cấp dịch vụ theo chỉ dẫn của VNEtrust, trên cơ sở hợp đồng hoặc thỏa thuận hợp pháp, và không được sử dụng dữ liệu cho mục đích riêng.

Trường hợp các nhà cung cấp dịch vụ đóng vai trò là bên xử lý dữ liệu, VNEtrust áp dụng cơ chế hợp đồng, kiểm soát truy cập và biện pháp kỹ thuật phù hợp theo nguyên tắc tối thiểu cần thiết (least privilege), bảo đảm dữ liệu chỉ được xử lý đúng mục đích, trong thời hạn cung cấp dịch vụ và phù hợp với Chính sách này.

 

Điều 12. Biện pháp bảo mật và bảo vệ dữ liệu

VNEtrust áp dụng các biện pháp kỹ thuật và tổ chức phù hợp nhằm bảo vệ dữ liệu khỏi truy cập trái phép, rò rỉ, mất mát, thay đổi hoặc hủy hoại; bảo đảm tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu trong suốt quá trình xử lý.

12.1. Biện pháp quản trị và tổ chức

VNEtrust thiết lập cơ chế quản trị dữ liệu phù hợp, bao gồm phân công trách nhiệm, quy trình nội bộ, đào tạo nhân sự và kiểm soát quyền truy cập theo vai trò nhằm hạn chế rủi ro và bảo đảm tuân thủ pháp luật.

12.2. Biện pháp kỹ thuật

VNEtrust áp dụng các biện pháp kỹ thuật phù hợp, bao gồm nhưng không giới hạn ở kiểm soát truy cập, xác thực, quản lý tài khoản, ghi nhận nhật ký hệ thống, sao lưu và cơ chế bảo vệ hạ tầng nhằm phòng chống truy cập trái phép và sự cố an toàn thông tin.

12.3. Bảo mật khi sử dụng dịch vụ bên thứ ba

Khi sử dụng hạ tầng hoặc dịch vụ công nghệ của bên thứ ba, VNEtrust yêu cầu các bên này chỉ xử lý dữ liệu trong phạm vi cần thiết, tuân thủ nghĩa vụ bảo mật và áp dụng biện pháp bảo vệ dữ liệu tương đương theo thỏa thuận hợp pháp.

12.4. Rà soát và cải tiến biện pháp bảo mật

Các biện pháp bảo mật được định kỳ rà soát, đánh giá và điều chỉnh nhằm phù hợp với yêu cầu pháp luật, tiến bộ công nghệ và mô hình vận hành của nền tảng.

12.5. Trách nhiệm của Người dùng và Thành viên

Người dùng và Thành viên có trách nhiệm bảo mật thông tin truy cập, không chia sẻ trái phép tài khoản và thông báo kịp thời cho VNEtrust khi phát hiện dấu hiệu mất an toàn dữ liệu.

12.6. Giới hạn trách nhiệm

Trong phạm vi pháp luật cho phép, VNEtrust không chịu trách nhiệm đối với thiệt hại phát sinh từ hành vi vi phạm nghĩa vụ bảo mật của Người dùng, bên thứ ba hoặc các sự kiện ngoài khả năng kiểm soát hợp lý của VNEtrust.

 

Điều 13. Xử lý sự cố vi phạm dữ liệu

VNEtrust thiết lập cơ chế tiếp nhận, phát hiện và xử lý sự cố vi phạm dữ liệu nhằm hạn chế rủi ro, giảm thiểu thiệt hại và bảo đảm tuân thủ các quy định pháp luật liên quan.

13.1. Phát hiện và kiểm soát sự cố

Khi phát hiện hoặc nghi ngờ xảy ra sự cố vi phạm dữ liệu, VNEtrust áp dụng các biện pháp kỹ thuật và tổ chức cần thiết để kịp thời kiểm soát, cô lập và ngăn chặn sự cố.

13.2. Đánh giá và khắc phục

VNEtrust tiến hành đánh giá phạm vi, mức độ ảnh hưởng và nguyên nhân sự cố; thực hiện các biện pháp khắc phục phù hợp nhằm giảm thiểu tác động và ngăn ngừa tái diễn.

13.3. Thông báo theo quy định pháp luật

Trong trường hợp pháp luật yêu cầu, VNEtrust thực hiện thông báo tới cơ quan nhà nước có thẩm quyền và/hoặc chủ thể dữ liệu liên quan trong thời hạn và hình thức phù hợp, trên cơ sở đánh giá mức độ rủi ro của sự cố.

13.4. Phối hợp với các bên liên quan

VNEtrust có thể phối hợp với đối tác công nghệ, đơn vị liên quan hoặc cơ quan chức năng để điều tra, xử lý và khắc phục sự cố theo quy định pháp luật.

13.5. Lưu vết và cải tiến

Mọi sự cố và quá trình xử lý được ghi nhận, lưu trữ phục vụ mục đích quản trị, kiểm soát và cải thiện hệ thống bảo mật.

 

Điều 14. Trách nhiệm của các bên

14.1. Trách nhiệm của VNEtrust

VNEtrust có trách nhiệm:

  • Tuân thủ quy định pháp luật về bảo vệ dữ liệu;
  • Áp dụng biện pháp bảo mật phù hợp để bảo vệ dữ liệu trong phạm vi kiểm soát của mình;
  • Tiếp nhận và xử lý yêu cầu, khiếu nại liên quan đến dữ liệu theo quy định và Chính sách này.

14.2. Trách nhiệm của Người dùng và Thành viên

Người dùng và Thành viên có trách nhiệm:

  • Cung cấp thông tin chính xác, hợp pháp;
  • Bảo mật thông tin truy cập và chịu trách nhiệm đối với hoạt động phát sinh từ tài khoản của mình;
  • Tuân thủ Chính sách này và các quy định liên quan khi sử dụng nền tảng.

14.3. Trách nhiệm của bên thứ ba

Các bên thứ ba tham gia xử lý dữ liệu có trách nhiệm tuân thủ nghĩa vụ bảo mật và bảo vệ dữ liệu theo thỏa thuận hợp pháp và quy định pháp luật tương ứng.

14.4. Giới hạn trách nhiệm

Trong phạm vi pháp luật cho phép, VNEtrust không chịu trách nhiệm đối với thiệt hại phát sinh từ:

  • Hành vi vi phạm nghĩa vụ bảo mật của Người dùng, Thành viên hoặc bên thứ ba;
  • Dữ liệu không chính xác, không đầy đủ hoặc lỗi thời do chủ thể dữ liệu, đối tác hoặc nguồn công khai cung cấp;
  • Sự cố kỹ thuật, gián đoạn dịch vụ hoặc rủi ro phát sinh từ hạ tầng, dịch vụ của bên thứ ba mà VNEtrust không trực tiếp kiểm soát;
  • Sự kiện bất khả kháng hoặc các yếu tố ngoài khả năng kiểm soát hợp lý của VNEtrust.

VNEtrust không giới hạn trách nhiệm trong trường hợp vi phạm pháp luật do lỗi cố ý của mình theo quy định pháp luật.

 

Điều 15. Cập nhật, hiệu lực và liên hệ

Chính sách này có hiệu lực kể từ ngày được ghi nhận tại đầu văn bản và thay thế các phiên bản trước đó của VNEtrust (nếu có). VNEtrust có quyền cập nhật, sửa đổi Chính sách khi có thay đổi về pháp luật, mô hình vận hành hoặc nhằm nâng cao bảo vệ dữ liệu; phiên bản cập nhật có hiệu lực kể từ thời điểm được công bố trên nền tảng chính thức, trừ khi pháp luật có quy định khác.

Việc Người dùng, Thành viên hoặc Doanh nghiệp tiếp tục truy cập hoặc sử dụng nền tảng VNEtrust được hiểu là đã đọc, hiểu và chấp thuận Chính sách này, trừ trường hợp pháp luật có quy định khác.

Trong trường hợp có khác biệt giữa Chính sách này và các thỏa thuận, hợp đồng riêng được ký kết hợp pháp, các thỏa thuận, hợp đồng đó được ưu tiên áp dụng.

Chính sách này được lập bằng tiếng Việt. Trường hợp có bản dịch sang ngôn ngữ khác, bản tiếng Việt được ưu tiên áp dụng khi có khác biệt về cách hiểu.

Trường hợp VNEtrust cung cấp dịch vụ hoặc xử lý dữ liệu liên quan đến các quốc gia/vùng lãnh thổ ngoài Việt Nam, việc xử lý dữ liệu được thực hiện phù hợp với pháp luật Việt Nam và, khi có yêu cầu áp dụng, các quy định bảo vệ dữ liệu liên quan; các yêu cầu bổ sung (nếu có) sẽ được áp dụng theo phụ lục hoặc thỏa thuận riêng và không áp dụng mặc định cho toàn bộ hoạt động của VNEtrust. 

Trong trường hợp VNEtrust thay đổi phạm vi, mục đích hoặc cách thức xử lý dữ liệu liên quan đến việc đăng ký hoặc đăng nhập thông qua dịch vụ xác thực bên thứ ba, VNEtrust sẽ thực hiện thông báo phù hợp và yêu cầu Người dùng xác nhận lại sự đồng ý khi pháp luật có yêu cầu áp dụng.

Mọi thắc mắc, yêu cầu thực hiện quyền của chủ thể dữ liệu, phản ánh hoặc khiếu nại liên quan đến bảo mật dữ liệu và quyền riêng tư, vui lòng liên hệ VNEtrust thông qua các kênh chính thức dưới đây:

Đơn vị vận hành nền tảng:

CÔNG TY CỔ PHẦN NGHIÊN CỨU THỊ TRƯỜNG CHÂU Á THÁI BÌNH DƯƠNG (ASPAM).

Địa chỉ: Số 5/49 Nguyễn Cửu Đàm, phường Tân Sơn Nhì, thành phố Hồ Chí Minh, Việt Nam

  • Bộ phận Bảo mật Dữ liệu & Tuân thủ – VNEtrust
  • Email: support@vnetrust.vn
  • Website: https://vnetrust.vn
  • Hotline: 1900 8197

VNEtrust cam kết tiếp nhận và xử lý các liên hệ một cách kịp thời, minh bạch và bảo mật theo quy định pháp luật.

----------------

Phiên bản: 1.0.1
Ngày có hiệu lực: 01/01/2026
Ngày cập nhật mới nhất: 15/12/2025

Bài viết liên quan
Kết nối với chúng tôi để được tư vấn chuyên sâu hơn cho những vướng mắc của bạn.
Đăng nhập
Bạn chưa có tài khoản?