Phiên bản 2.0.0
CHÍNH SÁCH BẢO MẬT VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN
1. LỜI MỞ ĐẦU VÀ PHẠM VI ÁP DỤNG
Trạm’Ơi là nền tảng niêm yết thông tin theo cơ chế kiểm duyệt trước. Vì vậy, dữ liệu cá nhân phát sinh chủ yếu để phục vụ việc tiếp nhận nội dung, xác minh tính hợp lệ, trao đổi làm rõ, xử lý phản ánh hoặc tranh chấp và bảo đảm an toàn hệ thống. Chính sách này quy định cách Trạm’Ơi thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân khi cá nhân hoặc tổ chức truy cập nền tảng, gửi thông tin qua các biểu mẫu chính thức, liên hệ hỗ trợ, khiếu nại hoặc cung cấp hồ sơ xác minh liên quan đến nội dung niêm yết. Chính sách được xây dựng phù hợp với quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, bao gồm nhưng không giới hạn ở Nghị định 13/2023/NĐ-CP và các văn bản hướng dẫn có liên quan. Trường hợp có mâu thuẫn giữa Chính sách này và quy định pháp luật bắt buộc áp dụng, quy định pháp luật sẽ được ưu tiên.
2. GIẢI THÍCH THUẬT NGỮ
Trong Chính sách này, “dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. “Chủ thể dữ liệu” là cá nhân được dữ liệu cá nhân phản ánh, bao gồm người dùng, người gửi biểu mẫu, người đại diện của tổ chức, hoặc cá nhân có dữ liệu được cung cấp hợp pháp cho Trạm’Ơi trong phạm vi mục đích vận hành nền tảng. “Xử lý dữ liệu” là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như thu thập, ghi nhận, phân tích, lưu trữ, chỉnh sửa, công khai trong phạm vi được phép, kết hợp, truy cập, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa hoặc hủy dữ liệu cá nhân và các hành động liên quan. Tùy tình huống cụ thể, Trạm’Ơi có thể là bên kiểm soát dữ liệu cá nhân hoặc bên xử lý dữ liệu cá nhân theo quy định pháp luật, dựa trên mục đích và cách thức xử lý trong từng hoạt động.
3. NGUYÊN TẮC XỬ LÝ DỮ LIỆU
Trạm’Ơi áp dụng nguyên tắc minh bạch về mục đích và phạm vi xử lý, chỉ thu thập và xử lý dữ liệu trong mức cần thiết để vận hành nền tảng niêm yết có kiểm duyệt. Dữ liệu được sử dụng đúng mục đích đã công bố, hạn chế truy cập theo cấp quyền, và được lưu trữ trong thời hạn hợp lý gắn với mục đích xử lý hoặc nghĩa vụ pháp lý phát sinh. Trạm’Ơi ưu tiên nguyên tắc tối thiểu hóa dữ liệu. Trường hợp chủ thể dữ liệu tự nguyện cung cấp dữ liệu vượt quá phạm vi cần thiết, Trạm’Ơi có thể không xử lý phần dữ liệu không cần thiết hoặc áp dụng biện pháp giảm thiểu lưu trữ phù hợp.
4. DANH MỤC DỮ LIỆU CÓ THỂ ĐƯỢC THU THẬP
Tùy theo tương tác và tính chất yêu cầu, Trạm’Ơi có thể thu thập dữ liệu do chủ thể cung cấp trực tiếp, bao gồm họ tên, địa chỉ thư điện tử, số điện thoại hoặc thông tin liên hệ tương đương; thông tin về tư cách đại diện, chức danh hoặc thông tin tổ chức trong trường hợp gửi thay mặt tổ chức; và các tài liệu xác minh quyền hợp pháp đối với nội dung gửi, chẳng hạn tài liệu chứng minh quyền sở hữu, quyền đại diện, hoặc hồ sơ liên quan cần thiết cho việc kiểm duyệt. Trong một số trường hợp cần thiết để bảo đảm an toàn hệ thống và phòng ngừa gian lận, Trạm’Ơi có thể ghi nhận dữ liệu kỹ thuật phát sinh tự động như địa chỉ IP, loại thiết bị, loại trình duyệt, hệ điều hành, ngôn ngữ cài đặt, thời điểm truy cập và nhật ký hệ thống. Dữ liệu kỹ thuật này được sử dụng chủ yếu cho mục tiêu bảo mật, chẩn đoán sự cố, phát hiện truy cập bất thường và cải thiện ổn định hệ thống. Trạm’Ơi không chủ động thu thập dữ liệu cá nhân nhạy cảm ngoài phạm vi cần thiết cho mục đích vận hành nền tảng. Trường hợp phát sinh nhu cầu xác minh đặc thù có liên quan đến dữ liệu nhạy cảm theo quy định pháp luật, Trạm’Ơi chỉ xử lý khi có căn cứ hợp pháp phù hợp và áp dụng biện pháp bảo mật tăng cường.
5. CƠ SỞ VÀ MỤC ĐÍCH XỬ LÝ DỮ LIỆU
Dữ liệu cá nhân có thể được xử lý trên một hoặc nhiều cơ sở sau: sự đồng ý của chủ thể dữ liệu; nghĩa vụ pháp lý mà Trạm’Ơi phải thực hiện; hoặc lợi ích hợp pháp của Trạm’Ơi trong việc vận hành nền tảng niêm yết có kiểm duyệt, bảo vệ hệ thống và xử lý rủi ro. Mục đích xử lý dữ liệu tại Trạm’Ơi gắn với chuỗi vận hành của nền tảng. Khi tiếp nhận thông tin, Trạm’Ơi sử dụng dữ liệu để xác minh tính hợp lệ của nội dung, xác nhận tư cách đại diện hoặc quyền hợp pháp đối với nội dung được gửi, và trao đổi làm rõ khi phát hiện thiếu thông tin hoặc dấu hiệu rủi ro. Trong quá trình vận hành, dữ liệu có thể được dùng để liên hệ thông báo tình trạng kiểm duyệt, phản hồi yêu cầu hỗ trợ, xử lý phản ánh, khiếu nại và tranh chấp liên quan đến nội dung niêm yết. Ở cấp độ hệ thống, dữ liệu kỹ thuật được sử dụng để phát hiện và ngăn chặn hành vi xâm nhập trái phép, giả mạo danh tính, spam, khai thác lỗ hổng hoặc các hành vi gây rối làm gián đoạn dịch vụ. Trạm’Ơi không sử dụng dữ liệu cá nhân cho mục đích tiếp thị độc lập, không bán, không cho thuê và không chuyển giao dữ liệu cá nhân cho bên thứ ba vì mục đích thương mại ngoài phạm vi vận hành nền tảng.
6. CÁCH THỨC THU THẬP VÀ KÊNH PHÁT SINH DỮ LIỆU
Dữ liệu có thể phát sinh khi chủ thể dữ liệu điền và gửi biểu mẫu chính thức, gửi yêu cầu hỗ trợ, gửi phản ánh hoặc khiếu nại, hoặc cung cấp hồ sơ xác minh theo yêu cầu của Trạm’Ơi. Dữ liệu cũng có thể phát sinh tự động khi chủ thể truy cập và tương tác với website, bao gồm dữ liệu kỹ thuật và nhật ký hệ thống phục vụ mục tiêu bảo mật. Trạm’Ơi có thể sử dụng công cụ kỹ thuật tiêu chuẩn để vận hành website và bảo đảm an toàn hệ thống. Nếu Trạm’Ơi áp dụng cookie hoặc công nghệ tương tự, Trạm’Ơi sẽ triển khai theo cách thức phù hợp với mục tiêu vận hành và bảo mật, đồng thời cung cấp cơ chế thông tin hoặc lựa chọn cần thiết theo quy định pháp luật hiện hành.
7. PHẠM VI CHIA SẺ DỮ LIỆU
Dữ liệu cá nhân chỉ được chia sẻ trong phạm vi tối thiểu cần thiết và trong các trường hợp giới hạn. Trạm’Ơi có thể chia sẻ dữ liệu theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền. Trạm’Ơi cũng có thể chia sẻ dữ liệu khi cần thiết để bảo vệ quyền và lợi ích hợp pháp của mình trong quá trình giải quyết khiếu nại, tranh chấp hoặc điều tra sự cố an ninh liên quan đến hệ thống. Trong quá trình vận hành kỹ thuật, Trạm’Ơi có thể sử dụng nhà cung cấp hạ tầng, dịch vụ lưu trữ, giám sát, bảo mật hoặc email vận hành. Khi đó, dữ liệu chỉ được chia sẻ trong mức cần thiết để cung cấp dịch vụ kỹ thuật, trên cơ sở nghĩa vụ bảo mật phù hợp và các biện pháp bảo vệ tương xứng. Trường hợp chủ thể dữ liệu chủ động yêu cầu kết nối, đồng bộ hoặc công khai thông tin niêm yết với nền tảng bên thứ ba, việc chia sẻ sẽ được thực hiện theo yêu cầu đó trong phạm vi cần thiết. Trạm’Ơi không kiểm soát chính sách xử lý dữ liệu của bên thứ ba và khuyến nghị chủ thể dữ liệu tham khảo chính sách riêng của các bên liên quan.
8. CHUYỂN DỮ LIỆU RA NGOÀI LÃNH THỔ VIỆT NAM
Trong trường hợp hạ tầng kỹ thuật, nhà cung cấp dịch vụ hoặc phương án dự phòng khiến dữ liệu được lưu trữ hoặc xử lý trên hệ thống đặt ngoài lãnh thổ Việt Nam, Trạm’Ơi sẽ thực hiện các nghĩa vụ pháp lý liên quan theo quy định hiện hành và áp dụng biện pháp bảo vệ dữ liệu tương xứng. Việc chuyển dữ liệu, nếu có, được giới hạn trong mức cần thiết cho vận hành hệ thống.
9. THỜI HẠN LƯU TRỮ VÀ TIÊU HỦY DỮ LIỆU
Trạm’Ơi lưu trữ dữ liệu cá nhân trong thời gian cần thiết để đạt được mục đích xử lý đã công bố hoặc để thực hiện nghĩa vụ pháp lý và bảo vệ quyền lợi hợp pháp của nền tảng khi phát sinh tranh chấp. Thời hạn lưu trữ có thể khác nhau theo loại dữ liệu và mục đích xử lý, chẳng hạn dữ liệu phục vụ kiểm duyệt và trao đổi có thể được giữ trong thời hạn hợp lý để truy vết, trong khi dữ liệu liên quan đến hồ sơ khiếu nại hoặc tranh chấp có thể được giữ cho đến khi vụ việc được giải quyết dứt điểm và hết thời hạn lưu trữ cần thiết theo quy định pháp luật. Khi mục đích xử lý đã hoàn thành và không còn nghĩa vụ lưu trữ, Trạm’Ơi có thể xóa dữ liệu, ẩn danh hóa hoặc giới hạn truy cập theo quy trình nội bộ. Việc tiêu hủy hoặc ẩn danh hóa được thực hiện bằng biện pháp phù hợp nhằm giảm thiểu khả năng khôi phục trái phép trong phạm vi kỹ thuật hợp lý.
10. BIỆN PHÁP BẢO MẬT VÀ CƠ CHẾ QUẢN TRỊ TRUY CẬP
Trạm’Ơi triển khai biện pháp bảo mật ở cả cấp kỹ thuật và cấp tổ chức, tương xứng với quy mô vận hành. Ở cấp kỹ thuật, Trạm’Ơi có thể áp dụng mã hóa khi truyền tải dữ liệu bằng các giao thức bảo mật phổ biến, và áp dụng biện pháp bảo vệ đối với dữ liệu lưu trữ trên hệ thống trong phạm vi phù hợp. Ở cấp tổ chức, Trạm’Ơi áp dụng nguyên tắc giới hạn truy cập theo vai trò, trong đó chỉ nhân sự hoặc bộ phận được phân quyền theo nhiệm vụ mới có thể tiếp cận dữ liệu cần thiết. Hoạt động truy cập dữ liệu trong nội bộ có thể được ghi nhận dưới dạng nhật ký hệ thống nhằm phục vụ kiểm soát an ninh, phát hiện sai lệch và hỗ trợ điều tra sự cố. Trạm’Ơi có thể áp dụng cơ chế cảnh báo khi phát hiện hành vi truy cập bất thường theo tiêu chí kỹ thuật phù hợp. Không có hệ thống công nghệ nào bảo đảm an toàn tuyệt đối trước mọi rủi ro an ninh mạng. Trạm’Ơi thực hiện các biện pháp hợp lý trong phạm vi kiểm soát của mình để phòng ngừa và giảm thiểu thiệt hại.
11. XỬ LÝ SỰ CỐ AN NINH DỮ LIỆU
Khi phát hiện hoặc nhận được thông tin về sự cố an ninh có khả năng ảnh hưởng đến dữ liệu cá nhân trong phạm vi kiểm soát, Trạm’Ơi sẽ kích hoạt quy trình ứng phó phù hợp, bao gồm cô lập nguy cơ, đánh giá phạm vi ảnh hưởng, khắc phục và tăng cường biện pháp phòng ngừa tái diễn trong phạm vi hợp lý. Trường hợp pháp luật yêu cầu thông báo cho cơ quan nhà nước có thẩm quyền hoặc cho chủ thể dữ liệu, Trạm’Ơi sẽ thực hiện theo quy định hiện hành, đồng thời cung cấp thông tin ở mức phù hợp để chủ thể dữ liệu có thể áp dụng biện pháp tự bảo vệ cần thiết.
12. QUYỀN CỦA CHỦ THỂ DỮ LIỆU
Chủ thể dữ liệu có quyền yêu cầu truy cập, xem xét, chỉnh sửa, hạn chế xử lý hoặc xóa dữ liệu cá nhân do Trạm’Ơi lưu trữ theo quy định pháp luật, trừ trường hợp dữ liệu cần được giữ lại để thực hiện nghĩa vụ pháp lý hoặc phục vụ giải quyết khiếu nại, tranh chấp đang tồn tại. Yêu cầu thực hiện quyền phải được gửi qua kênh liên hệ chính thức. Trạm’Ơi có quyền yêu cầu thông tin bổ sung để xác minh danh tính và tư cách đại diện trước khi thực hiện nhằm bảo đảm an toàn thông tin và phòng ngừa việc lạm dụng yêu cầu. Trong các trường hợp yêu cầu không có cơ sở, lặp lại bất hợp lý hoặc ảnh hưởng đến tính toàn vẹn của hồ sơ pháp lý, Trạm’Ơi có thể từ chối hoặc đề xuất phương án xử lý phù hợp. Việc rút lại sự đồng ý, trong phạm vi áp dụng, có thể dẫn đến việc Trạm’Ơi không thể tiếp tục xử lý hoặc duy trì nội dung niêm yết liên quan do thiếu cơ sở xác minh hoặc thiếu kênh liên hệ cần thiết.
13. TRÁCH NHIỆM CỦA CHỦ THỂ DỮ LIỆU VÀ NGƯỜI GỬI THÔNG TIN
Chủ thể dữ liệu và người gửi thông tin có trách nhiệm cung cấp dữ liệu chính xác, hợp pháp và bảo đảm có quyền đại diện khi cung cấp thay mặt tổ chức hoặc cá nhân khác. Trường hợp cung cấp dữ liệu của bên thứ ba, người cung cấp phải bảo đảm việc cung cấp đó có căn cứ hợp pháp phù hợp với quy định về bảo vệ dữ liệu cá nhân. Chủ thể dữ liệu có trách nhiệm bảo mật thông tin liên hệ và thông tin xác thực, nếu có, đồng thời tránh tự nguyện công khai dữ liệu cá nhân trên các kênh nằm ngoài phạm vi kiểm soát của Trạm’Ơi.
14. GIỚI HẠN TRÁCH NHIỆM
Trách nhiệm của Trạm’Ơi đối với dữ liệu cá nhân giới hạn trong phạm vi dữ liệu do nền tảng trực tiếp thu thập và quản lý và trong phạm vi kiểm soát hợp lý của Trạm’Ơi. Trạm’Ơi không chịu trách nhiệm đối với thiệt hại phát sinh từ việc thiết bị của người dùng bị nhiễm mã độc, đường truyền bị can thiệp, người dùng tự ý chia sẻ thông tin, hoặc các sự kiện bất khả kháng vượt ngoài kiểm soát hợp lý của nền tảng.
15. CẬP NHẬT CHÍNH SÁCH
Trạm’Ơi có quyền sửa đổi, bổ sung Chính sách này khi cần thiết nhằm phản ánh thay đổi trong mô hình vận hành, cấu trúc kỹ thuật hoặc yêu cầu pháp lý. Phiên bản cập nhật có hiệu lực kể từ thời điểm được đăng tải công khai trên website.
16. THÔNG TIN LIÊN HỆ
Mọi yêu cầu liên quan đến dữ liệu cá nhân, thực hiện quyền của chủ thể dữ liệu hoặc báo cáo sự cố bảo mật, vui lòng liên hệ qua kênh chính thức sau:
Email: oi@tramoi.com
Hotline: 0972957095
Địa chỉ: 188A Marina, Ecopark Hưng Yên, Việt Nam
