Điều khoản và Điều kiện chung về Bảo vệ và xử lý dữ liệu cá nhân
Căn cứ Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân,
Gonnapass xin trân trọng thông báo đến Quý Khách hàng văn bản Điều khoản và Điều kiện chung về bảo vệ dữ liệu cá nhân đối với Khách hàng được cập nhật kể từ 01/07/2023 như sau:
Điều 1: Cam kết của Gonnapass về bảo vệ thông tin cá nhân
- Các Điều khoản và Điều kiện này áp dụng đối với khách hàng cá nhân của Gonnapass và bất kỳ cá nhân nào có Dữ liệu cá nhân được Gonnapass xử lý (sau đây gọi chung là “Khách hàng”)
- Các Điều khoản và Điều kiện này giải thích các chính sách sau đây của Gonnapass liên quan tới bảo vệ Dữ liệu cá nhân của Khách hàng:
- Loại Dữ liệu cá nhân mà Gonnapass thu thập
- Cách thức Gonnapass xử lý Dữ liệu cá nhân
- Các bên liên quan tới xử lý Dữ liệu cá nhân;
- Quyền và nghĩa vụ của Khách hàng liên quan đến dữ liệu cá nhân của mình.
- Gonnapass cam kết tuân thủ các nguyên tắc sau trong quá trình xử lý thông tin cá nhân:
- Dữ liệu cá nhân của Khách hàng được Gonnapass xử lý được xử lý một cách hợp pháp, minh bạch, tuân thủ quy định pháp luật.
- Dữ liệu cá nhân của Khách hàng được thu thập với mục đích cụ thể, rõ ràng, hợp pháp, sẽ không được mua bán dưới mọi hình thức, trừ trường hợp luật có quy định khác và không được xử lý ngoài các mục đích đã nêu tại Chính sách này và tuân thủ quy định pháp luật;
- Dữ liệu cá nhân của Khách hàng được lưu trữ một cách thích hợp trong phạm vi cần thiết nhằm mục đích xử lý phù hợp với quy định pháp luật áp dụng;
- Dữ liệu cá nhân là chính xác, được cập nhật và các dữ liệu không chính xác liên quan đến mục đích xử lý sẽ được xóa hoặc chỉnh sửa kịp thời phù hợp với quy định pháp luật;
- Gonnapass áp dụng các biện pháp kỹ thuật và tổ chức phù hợp với quy định pháp luật áp dụng nhằm đảm bảo tính an toàn của dữ liệu cá nhân ở mức thích hợp, bao gồm các biện pháp bảo vệ khỏi sự truy cập trái phép hoặc bất hợp pháp dữ liệu cá nhân và sự phá hủy, mất, thiệt hại ngoài ý muốn.
- Gonnapass cũng yêu cầu các đối tác của Gonnapass và các bên liên quan tuân thủ việc bảo vệ Dữ liệu cá nhân phù hợp trong các hợp đồng, văn bản ký kết với [Công ty].
- Đối với các trường hợp pháp luật cho phép xử lý Dữ liệu cá nhân mà không cần sự đồng ý của Chủ thể dữ liệu, Gonnapass được quyền chủ động thực hiện việc xử lý dữ liệu theo quy định pháp luật.
- Ngoài các nguyên tắc nêu trên, Gonnapass cam kết tuân thủ các nguyên tắc khác được pháp luật quy định về bảo vệ dữ liệu cá nhân, đặc biệt là các quy định liên quan đến quyền của Chủ thể dữ liệu và các nghĩa vụ về chuyển giao dữ liệu xuyên biên giới.
Điều 2: Loại dữ liệu cá nhân mà Gonnapass thu thập, xử lý
Gonnapass chỉ thực hiện những hoạt động thu thập dữ liệu cá nhân trong phạm vi mà pháp luật cho phép nhằm phục vụ những mục đích hợp pháp hoặc những mục đích mà pháp luật yêu cầu. Dữ liệu cá nhân được Gonnapass thu thập bao gồm dữ liệu cá nhân cơ bản và không có dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân cơ bản: a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; c) Giới tính; d) Nơi ở hiện tại, địa chỉ liên hệ; e) Hình ảnh của cá nhân; g) Số điện thoại, h) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không phải là dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân nhạy cảm: KHÔNG THU THẬP
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; KHÔNG THU THẬP
Điều 3: Xử lý dữ liệu cá nhân
1) Xử lý dữ liệu cá nhân
Xử lý dữ liệu cá nhân được hiểu là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, bao gồm nhưng không giới hạn các hoạt động như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân, các hành động khác có liên quan hoặc bất kỳ hoạt động nào mà theo quy định pháp luật tại từng thời điểm được định nghĩa là xử lý dữ liệu cá nhân.
2) Mục đích xử lý dữ liệu cá nhân
Gonnapass và các Bên xử lý dữ liệu mà Gonnapass sử dụng có thể xử lý Dữ liệu cá nhân về một hoặc nhiều mục đích dưới đây.
Để Gonnapass cân nhắc việc cung cấp hoặc tiếp tục cung cấp bất kỳ sản phẩm, dịch vụ nào của Gonnapass với Khách hàng
Gửi các thông báo về các hoạt động trao đổi thông tin giữa Khách hàng và Gonnapass;
Ngăn ngừa các hoạt động phá hủy, chiếm đoạt tài khoản người dùng của Khách hàng hoặc các hoạt động giả mạo Khách hàng;
Liên lạc và giải quyết khiếu nại với Khách hàng;
Xác nhận và trao đổi thông tin về giao dịch của Khách hàng tại GONNA PASS;
Trong trường hợp có yêu cầu của cơ quan quản lý nhà nước có thẩm quyền.
Điều 4: Các bên liên quan
1) Để cung cấp, quản lý và vận hành các sản phẩm, dịch vụ cho Khách hàng cũng như phục vụ các mục đích như đã tuyên bố ở trên, Gonnapass có thể cung cấp dữ liệu cá nhân của Khách hàng cho các Bên xử lý dữ liệu sau đây:
a) Các cơ quan có thẩm quyền yêu cầu cung cấp thông tin theo quy định của pháp luật;
b) Bất kỳ thành viên nào thuộc [Công ty]; các công ty con, công ty liên kết, công ty thuộc cùng tập đoàn hệ sinh thái thuộc Gonnapass được Gonnapass xác định;
d) Bất kỳ tòa án, trọng tài hoặc cơ quan có thẩm quyền nào, dù là chính phủ hay không thuộc chính phủ nhưng có thẩm quyền/được yêu cầu việc thực thi trách nhiệm từ [Công ty].
e) Bất kỳ nhà thầu, đại lý, bên cung cấp dịch vụ, các nhà tư vấn hoặc các bên liên kết của Gonnapass ( bao gồm cả các nhân viên, giám đốc và viên chức của họ); các tổ chức là bên bán, bên cung cấp, các đối tác, đại lý bao gồm nhưng không giới hạn các công ty cung cấp dịch vụ hỗ trợ cho các hoạt động kinh doanh của Gonnapass như các tổ chức cung cấp dịch vụ về hành chính, bưu chính, tiếp thị qua điện thoại, bán hàng trực tiếp, cung cấp nhân sự, xử lý dữ liệu, công nghệ thông tin, máy tính, dịch vụ pháp lý, thu hồi nợ, tìm kiếm và xác minh Khách hàng, lưu ký, nghiên cứu thị trường, mô hình hóa dữ liệu, lưu trữ hồ sơ, nhập liệu, gửi tin nhắn, gửi thư điện tử, định giá, các dịch vụ tư vấn, cung cấp dịch vụ hỗ trợ cho các quy trình kinh doanh…;
Cung cấp cho bất kỳ người nào hành động nhân danh Khách hàng (bên nhận thanh toán, bên thụ hưởng, người được chỉ định liên quan tới Tài khoản, các ngân hàng trung gian, ngân hàng xác nhận và ngân hàng đại lý…);
g) Các đối tác kinh doanh, đối tác liên quan có hợp tác với Gonnapass để phát triển, cung cấp hoặc liên quan tới việc phát triển, cung cấp các sản phẩm, dịch vụ của Công ty;
h) Bất kỳ cá nhân, cơ quan có thẩm quyền hoặc cơ quan quản lý hoặc bên thứ ba mà Gonnapass được phép hoặc bắt buộc phải tiết lộ theo quy định của bất kỳ quốc gia nào hoặc theo bất kỳ hợp đồng hoặc cam kết nào khác giữa bên thứ ba và Gonnapass
i) Các bên liên quan khác mà Gonnapass thấy là cần thiết để đáp ứng, bảo vệ quyền và lợi ích hợp pháp của KH;
j) Các cố vấn của Khách hàng bao gồm cả các kế toán viên, các kiểm toán viên, các luật sư, các cố vấn tài chính của KH.
K) Bất kỳ người nào được thông báo, ủy quyền, cho phép bởi Khách hàng là được được phép để đưa ra các thông tin phục vụ giao dịch thay cho Khách hàng;
l) Công an hoặc bất kỳ nhân viên công vụ nào tiến hành điều tra liên quan đến bất kỳ vi phạm nào bao gồm các vi phạm bị nghi vấn.
m) Việc cung cấp Dữ liệu được thực hiện có chấp thuận của Khách hàng;
2) Chuyển Dữ liệu cá nhân ra nước ngoài:
Nhằm thực hiện các mục đích xử lý Dữ liệu cá nhân như thỏa thuận với Khách hàng tại Điều khoản và Điều kiện giao dịch chung này và các văn kiện, thỏa thuận đã xác lập với Khách hàng, Gonnapass có thể chia sẻ, chuyển Dữ liệu cá nhân của Khách hàng tới các bên thứ ba liên quan của Gonnapass và các bên thứ ba này có thể tại Việt Nam hoặc bất kỳ nơi nào khác. Khi thực hiện chuyển Dữ liệu cá nhân ra nước ngoài, Gonnapass sẽ yêu cầu bên nhận đảm bảo an toàn với Dữ liệu được chuyển giao. Gonnapass cam kết tuân thủ đầy đủ quy định, yêu cầu tuân thủ của pháp luật Việt Nam để bảo vệ an toàn cho Dữ liệu của Khách hàng.
Điều 5: Quyền và nghĩa vụ của Khách hàng với vai trò Chủ thể dữ liệu
- Quyền của Khách hàng
a) Quyền được biết và Quyền đồng ý:
Gonnapass tôn trọng quyền được biết và quyền đồng ý của Khách hàng đối với hoạt động xử lý dữ liệu. Các văn bản, thông điệp về bảo vệ dữ liệu cùng Điều khoản và điều kiện giao dịch chung này được Gonnapass cung cấp đầy đủ và thông tin tới Khách hàng để Khách hàng thể hiện sự đồng ý một cách rõ ràng, khẳng định việc cho phép Gonnapass xử lý dữ liệu.
b) Quyền truy cập, cung cấp và chỉnh sửa Dữ liệu:
(i) Trừ trường hợp pháp luật có quy định khác, Khách hàng có quyền yêu cầu Gonnapass cung cấp xác nhận về Dữ liệu cá nhân của Khách hàng và/hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân của Khách hàng do Gonnapass đang nắm giữ;
(ii) Để bảo đảm an toàn, việc cung cấp, truy cập, chỉnh sửa Dữ liệu của Khách hàng có thể được yêu cầu thực hiện theo hình thức, quy trình và thủ tục phù hợp, Khách hàng vui lòng thực hiện đầy đủ yêu cầu về thủ tục, trình tự theo thông báo của Gonnapass để được hỗ trợ.
(iii) Gonnapass bằng sự nỗ lực hợp lý, sẽ tuân thủ yêu cầu cung cấp hoặc chỉnh sửa Dữ liệu cá nhân của Khách hàng trong vòng 72 giờ kể từ khi nhận được yêu cầu hoàn chỉnh, hợp lệ và phí xử lý liên quan (nếu có) từ KH.
(iv) Gonnapass có quyền từ chối quyền truy cập trong một số trường hợp nhất định, ví dụ khi Gonnapass không thể xác thực được danh tính Khách hàng hoặc khi Dữ liệu được yêu cầu có tính chất thương mại, bí mật hoặc trong trường hợp Gonnapass nhận định có sự vi phạm, dấu hiệu vi phạm về bảo vệ dữ liệu cá nhân.
(v) Gonnapass có quyền cho phép Khách hàng chỉnh sửa Dữ liệu cá nhân theo yêu cầu hoặc yêu cầu Khách hàng cung cấp thêm hồ sơ, tài liệu chứng minh tính xác thực của dữ liệu mới.
c) Quyền rút lại sự đồng ý, xóa dữ liệu, hạn chế xử lý dữ liệu và phản đối xử lý dữ liệu:
(i) KH có thể rút lại sự đồng ý của mình đối với bất kỳ hoặc tất cả hoạt động xử lý dữ liệu đã thỏa thuận với Gonnapass có thể yêu cầu xóa dữ liệu, hạn chế xử lý dữ liệu cũng như phản đối việc xử lý dữ liệu;
(ii) Các yêu cầu của Khách hàng sẽ phải thực hiện theo mẫu văn bản đề nghị và tuân theo quy trình, thủ tục do Gonnapass quy định, các yêu cầu của Khách hàng được tiếp nhận tại các địa điểm kinh doanh của Gonnapass hoặc các phương thức khác do Gonnapass quy định từng thời kỳ.
Các yêu cầu của KH tại Mục c Khoản 1 này không ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu trước đó của [Công ty].
d) Quyền khiếu nại, phản hồi khi có sự cố hoặc yêu cầu phát sinh
(i) KH có thể phản hồi, phản ánh, khiếu nại với Gonnapass bất kỳ vi phạm hoặc sự kiện nghi ngờ vi phạm về bảo vệ dữ liệu mà Khách hàng nhận biết được. Thông tin phản hồi, phản ánh, khiếu nại của Khách hàng vui lòng chuyển đến Gonnapass theo các phương thức liên lạc, trao đổi thông tin: Đường dây nóng, Bộ phận chăm sóc khách hàng..
(ii) Khách hàng có quyền khiếu nại với cơ quan có thẩm quyền trong trường hợp Gonnapass vi phạm pháp luật áp dụng hiện hành liên quan đến bảo vệ dữ liệu.
2) Nghĩa vụ của Khách hàng:
KH cần thực hiện đầy đủ nghĩa vụ về bảo mật dữ liệu theo quy định của pháp luật. Trong đó, Khách hàng lưu ý, Gonnapass dựa vào Dữ liệu cá nhân của Khách hàng để cung cấp các sản phẩm, dịch vụ đến Khách hàng và các bên liên quan của Khách hàng. Theo đó, Khách hàng cần bảo đảm rằng tại mọi thời điểm, thông tin, dữ liệu do Khách hàng cung cấp cho Gonnapass là đúng, chính xác và đầy đủ. Khách hàng cần cập nhật kịp thời tất cả các thay đổi đối với Dữ liệu đã cung cấp cho [Công ty].
3) Hạn chế khi thực hiện các quyền của Chủ thể Dữ liệu
a) Khi Khách hàng rút lại sự đồng ý của mình đối với bất kỳ hoặc tất cả các mục đích, yêu cầu xóa dữ liệu, yêu cầu hạn chế xử lý dữ liệu hoặc phản đối xử lý dữ liệu, tùy thuộc vào yêu cầu của Khách hàng, việc thực hiện theo các yêu cầu này có thể làm cho việc cung cấp sản phẩm, dịch vụ của Gonnapass bị giới hạn, hạn chế, tạm ngừng, hủy bỏ, ngăn cản hoặc bị cấm đóan, tùy từng trường hợp.
Để làm rõ, Gonnapass có thể sẽ không cung cấp cho Khách hàng các sản phẩm, dịch vụ đầy đủ và chất lượng như thông thường hoặc tùy theo quyết định của mình có thể quyết định việc ngừng, không tiếp tục cung cấp các sản phẩm hoặc dịch vụ. Gonnapass sẽ không chịu trách nhiệm với Khách hàng cho bất kỳ tổn thất nào phát sinh và các quyền hợp pháp của Gonnapass sẽ được bảo lưu một cách rõ ràng đối với việc giới hạn, hạn chế, tạm ngừng, hủy bỏ hoặc ngăn cản, hoặc cấm đoán đó.
b) Trong những trường hợp mà Dữ liệu cá nhân do Khách hàng đã cung cấp là điều kiện tiên quyết cho việc cung cấp sản phẩm, dịch vụ, các yêu cầu về thu hồi sự đồng ý, xóa dữ liệu, hạn chế xử lý dữ liệu hay xóa dữ liệu mà Khách hàng đưa ra có thể được Gonnapass xem là quyết định chấm dứt từ phía KH cho bất kỳ mối quan hệ hợp đồng nào mà Khách hàng có với [Công ty].
c) Ngoài ra, KH đồng ý rằng việc thực hiện yêu cầu của Chủ thể dữ liệu phụ thuộc vào khả năng và hệ thống của [Công ty].
Trong quá trình sử dụng sản phẩm, dịch vụ, Khách hàng chỉ được thay đổi quyết định (bao gồm việc hạn chế xử lý dữ liệu, thay đổi quyết định, rút lại sự đồng ý, phản đối việc xử lý dữ liệu, yêu cầu xóa dữ liệu…) khi:
– Đã chấm dứt việc sử dụng sản phẩm, dịch vụ bằng văn bản đề nghị chấm dứt sản phẩm, dịch vụ do Khách hàng gửi cho [Công ty]; và
– Toàn bộ các nghĩa vụ phát sinh từ các hợp đồng/văn bản do Khách hàng ký với Gonnapass đã được tất toán; và
– Nội dung thay đổi quyết định/rút lại quyết định, phản đối việc xử lý dữ liệu/ yêu cầu xóa dữ liệu… không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý và không thuộc trường hợp pháp luật không cho phép.
Điều 6: Lưu trữ và bảo mật dữ liệu cá nhân
- Dữ liệu cá nhân của Khách hàng do Gonnapass lưu trữ sẽ được bảo mật. Gonnapass sẽ áp dụng các biện pháp hợp lý để bảo vệ Dữ liệu cá nhân của Khách hàng. Trong phạm vi pháp luật cho phép, Gonnapass có thể lưu trữ Dữ liệu cá nhân của Khách hàng tại Việt Nam hoặc tại nước ngoài, kể cả giải pháp lưu trữ điện toán đám mây. Chúng tôi áp dụng các tiêu chuẩn toàn cầu về bảo mật Dữ liệu của [Công ty], phù hợp với quy định của pháp luật hiện hành.
- Gonnapass lưu trữ Dữ liệu cá nhân của Khách hàng trong khoảng thời gian cần thiết để hoàn thành các mục đích như thỏa thuận với Khách hàng tại Điều khoản và Điều kiện chung này và các văn kiện xác lập với Khách hàng trừ khi thời gian lưu trữ lâu hơn được yêu cầu hoặc cho phép bởi các quy định pháp luật hiện hành.
Điều 7: Thời gian xử lý dữ liệu cá nhân
Tùy thuộc từng hoạt động cụ thể, Dữ liệu có thể được Gonnapass xử lý sau khi được cung cấp, thu thập và kết thúc khi hoàn thành việc xử lý phù hợp với mục đích thực hiện hoặc cho đến khi Khách hàng có yêu cầu xóa dữ liệu cá nhân đã cung cấp.
Điều 8. Hậu quả, thiệt hại không mong muốn có thể xảy ra
Việc xử lý Dữ liệu các nhân có thể gây rủi ro rò rỉ dữ liệu hoặc xử lý dữ liệu không phù hợp. Gonnapass luôn coi Dữ liệu cá nhân của Khách hàng là tài sản quý giá cần bảo mật do đó Gonnapass luôn coi trọng việc đảm bảo an toàn đối với Dữ liệu cá nhân của Khách hàng. Gonnapass cam kết áp dụng các biện pháp bảo vệ phù hợp và thường xuyên xem xét, cập nhật các biện pháp quản lý và kỹ thuật xử lý dữ liệu cá nhân của Khách hàng.
Điều 9: Sự đồng ý của KH
KH xác nhận rằng, Khách hàng đã được Gonnapass thông báo, đã biết và đồng ý với toàn bộ các nội dung cần được thông báo trước khi Gonnapass xử lý dữ liệu. Theo đó, Gonnapass không cần thực hiện lại các thông báo này trước khi xử lý dữ liệu cá nhân của Khách hàng.