Thông báo Xử lý Dữ liệu Cá nhân

Tài liệu này thông báo cách Công ty Cổ phần Công nghệ Dược Số (DuocSo Technology JSC, "Dược Số") xử lý dữ liệu cá nhân theo quy định pháp luật Việt Nam, đặc biệt là Nghị định 13/2023/NĐ-CP.

Tài liệu là phụ lục bắt buộc đính kèm Hợp đồng Dịch vụ (MSA) đối với mọi Doanh nghiệp khách hàng. Đối với người dùng cuối, tài liệu này bổ sung cho Chính sách Bảo mật.

Bên Kiểm Soát Dữ Liệu (Data Controller — quyết định mục đích và cách thức xử lý):

• Đối với dữ liệu của Doanh nghiệp khách hàng (nhân viên, khách hàng cuối, đơn hàng, ...) — Doanh nghiệp khách hàng là Bên Kiểm Soát.
• Đối với dữ liệu của khách hàng pilot/lead trên website https://duocso.vn — Dược Số là Bên Kiểm Soát.

Bên Xử Lý Dữ Liệu (Data Processor — xử lý theo chỉ thị của Bên Kiểm Soát):

• Công ty Cổ phần Công nghệ Dược Số là Bên Xử Lý đối với dữ liệu Doanh nghiệp khách hàng.
• Mã số doanh nghiệp: đang đăng ký (sẽ cập nhật ngay khi có)
• Địa chỉ trụ sở: Hà Nội, Việt Nam
• Đại diện pháp luật: Giám đốc

3.1. Dữ liệu cá nhân cơ bản (Điều 2.3 NĐ 13)

• Họ tên, ngày sinh, giới tính, nơi sinh, nơi đăng ký khai sinh
• CCCD/CMND/Hộ chiếu (chỉ với nhân viên — cho payroll, BHXH, hợp đồng lao động)
• Quốc tịch, ảnh chân dung (chỉ avatar)
• Số điện thoại, email, địa chỉ thường trú
• Tình trạng hôn nhân (chỉ với nhân viên — cho payroll giảm trừ gia cảnh)

3.2. Dữ liệu cá nhân nhạy cảm (Điều 2.4 NĐ 13)

Chỉ xử lý khi cần thiết cho dịch vụ và có sự đồng ý rõ ràng:

• Dữ liệu vị trí cá nhân hiện tại (chỉ tại thời điểm check-in chủ động)
• Dữ liệu sinh trắc học (Touch ID / Face ID — xử lý trên thiết bị, không truyền server)
• Dữ liệu tài chính ngân hàng (chỉ số tài khoản, không số thẻ — cho payroll)

KHÔNG xử lý: dân tộc, nguồn gốc chủng tộc, quan điểm chính trị, tôn giáo, niềm tin triết học, tình trạng đoàn viên công đoàn, dữ liệu di truyền, dữ liệu sức khoẻ, đời sống tình dục, tội phạm.

Mỗi mục đích xử lý đều có cơ sở pháp lý cụ thể (xem Mục 5):

1. Xác thực và uỷ quyền người dùng đăng nhập
2. Cung cấp dịch vụ ERP/CRM/HR theo Hợp đồng dịch vụ với Doanh nghiệp khách hàng
3. Tính lương, BHXH, BHYT, BHTN, TNCN theo quy định pháp luật
4. Xuất hoá đơn điện tử, kê khai thuế
5. Bảo mật hệ thống, phát hiện gian lận, đáp ứng yêu cầu của cơ quan có thẩm quyền
6. Hỗ trợ khách hàng (giải đáp, khắc phục sự cố)
7. Cải thiện chất lượng dịch vụ (phân tích ẩn danh)

Mỗi hoạt động xử lý được dựa trên một hoặc nhiều cơ sở (Điều 17 NĐ 13):

• Sự đồng ý của Chủ thể dữ liệu — tự nguyện, cụ thể, có thông tin đầy đủ, rõ ràng.
• Thực hiện hợp đồng — Hợp đồng lao động, MSA, đơn hàng.
• Thực hiện nghĩa vụ pháp lý — Luật Kế toán, Luật BHXH, Luật Lao động, Luật Thuế.
• Bảo vệ lợi ích sống còn — không áp dụng thường xuyên.
• Thực hiện nhiệm vụ vì lợi ích công — không áp dụng.
• Lợi ích hợp pháp — bảo mật, phòng chống gian lận.

• Trong thời hạn hợp đồng dịch vụ + thời gian lưu trữ theo luật (Kế toán 10 năm, Lao động 5 năm, HĐ thương mại 2-3 năm)
• Sau khi đạt mục đích xử lý hoặc khi Chủ thể rút lại đồng ý: xoá trong vòng 30-90 ngày
• Lưu trữ kéo dài nếu có nghĩa vụ pháp lý hoặc tranh chấp đang giải quyết

Dữ liệu được xử lý bằng các phương thức:

• Thu thập tự động qua giao diện web/mobile khi người dùng nhập
• Thu thập gián tiếp từ hệ thống của Doanh nghiệp khách hàng (đồng bộ qua API)
• Lưu trữ trên máy chủ PostgreSQL được mã hoá at-rest
• Truyền tải qua HTTPS/TLS 1.3
• Sao lưu hàng ngày tại 2 nguồn (Vultr snapshot + Google Drive offsite)
• Phân tích thống kê ẩn danh (không có dữ liệu định danh)

Danh sách Bên Xử Lý Phụ (Sub-processors) được công khai chi tiết tại Chính sách Bảo mật mục 5.

Khi danh sách thay đổi, chúng tôi thông báo cho Bên Kiểm Soát ít nhất 30 ngày trước, để có thời gian phản đối nếu cần.

Theo Điều 25 NĐ 13/2023, chúng tôi chuyển dữ liệu ra nước ngoài (Singapore, Hoa Kỳ) trong các trường hợp:

• Hạ tầng cloud (Vultr Singapore)
• Push notification (Apple / Google US)
• Email service (Resend US)
• CDN (Cloudflare US)

Đối với mỗi chuyển dữ liệu, chúng tôi:

• Đánh giá tác động bảo vệ dữ liệu (Hồ sơ đánh giá theo Mẫu số 02 NĐ 13).
• Lập Hợp đồng SCC (Standard Contractual Clauses) với Bên xử lý phụ quốc tế.
• Báo cáo Bộ Công an (Cục An ninh mạng và phòng chống tội phạm công nghệ cao) khi pháp luật yêu cầu.
• Cho phép Doanh nghiệp khách hàng yêu cầu data residency 100% Việt Nam (phụ phí ~30%).

Theo Điều 9-19 NĐ 13, bạn có 11 quyền:

1. Quyền được biết
2. Quyền đồng ý
3. Quyền truy cập
4. Quyền rút lại sự đồng ý
5. Quyền xoá dữ liệu
6. Quyền hạn chế xử lý
7. Quyền cung cấp dữ liệu (data portability)
8. Quyền phản đối xử lý
9. Quyền khiếu nại, tố cáo, khởi kiện
10. Quyền yêu cầu bồi thường thiệt hại
11. Quyền tự bảo vệ

Để thực hiện quyền, gửi yêu cầu tới privacy@duocso.vn. Chúng tôi phản hồi trong vòng 30 ngày làm việc.

Nếu không đồng ý cách chúng tôi xử lý, bạn có quyền khiếu nại trực tiếp tới Cục An ninh mạng và phòng chống tội phạm công nghệ cao — Bộ Công an (số 47 Phạm Văn Đồng, Cầu Giấy, Hà Nội).

Chi tiết tại Chính sách Bảo mật mục 6. Tóm tắt:

• Mã hoá đường truyền HTTPS/TLS 1.3 + at-rest cho dữ liệu nhạy cảm
• Mật khẩu hash PBKDF2 + salt
• RBAC 169 permission catalog, MFA bắt buộc cho admin
• Audit log immutable 12 tháng
• Backup 2 nguồn daily 30-day retention
• Penetration test ≥1 lần/năm

Khi phát hiện sự cố vi phạm dữ liệu (data breach), chúng tôi:

• Trong vòng 72 giờ: thông báo cho Bộ Công an theo Điều 23 NĐ 13.
• Trong vòng 72 giờ: thông báo cho Doanh nghiệp khách hàng (nếu là Bên Xử Lý).
• Trong vòng 72 giờ: thông báo cho Chủ thể dữ liệu nếu rủi ro cao.
• Thực hiện biện pháp khắc phục, ngăn chặn lặp lại.
• Lưu hồ sơ vi phạm theo mẫu của NĐ 13.

Công ty Cổ phần Công nghệ Dược Số
Người phụ trách Bảo vệ Dữ liệu (DPO): Giám đốc — kiêm Người đại diện pháp luật
Email DPO: dpo@duocso.vn
Email bảo mật: privacy@duocso.vn
Email pháp lý: legal@duocso.vn
Hotline: +84 24 ...
Địa chỉ: Hà Nội, Việt Nam