CHÍNH SÁCH BẢO MẬT THÔNG TIN
1) Giới thiệu & phạm vi áp dụng
Chính sách này giải thích cách FoodApp (“chúng tôi”) thu thập, sử dụng, chia sẻ, lưu trữ và bảo vệ Dữ liệu cá nhân khi bạn sử dụng website, ứng dụng, sản phẩm và dịch vụ của chúng tôi.
Chính sách áp dụng cho mọi hoạt động xử lý dữ liệu tại Việt Nam và cả khi tổ chức/nhà cung cấp ở nước ngoài nhưng xử lý dữ liệu tại VN hoặc của người dùng tại VN. KPMG
Căn cứ pháp lý chính: Nghị định 13/2023/NĐ-CP (PDPD); Luật An ninh mạng và Nghị định 53/2022 (trong phạm vi liên quan); Nghị định 91/2020/NĐ-CP về chống tin nhắn/email/cuộc gọi rác; các văn bản chuyên ngành khác có liên quan. DLA Piper Data Protection
2) Thuật ngữ chính
Dữ liệu cá nhân: mọi thông tin gắn với một cá nhân xác định.
Dữ liệu cá nhân nhạy cảm: ví dụ tình trạng sức khỏe, sinh trắc học, định vị, quan điểm chính trị/tôn giáo… cần bảo vệ tăng cường. https://secureprivacy.ai/
Bộ phận bảo vệ dữ liệu & DPO: đơn vị/cán bộ chịu trách nhiệm tuân thủ PDPD và liên hệ với A05 – Cục An ninh mạng & Phòng chống tội phạm công nghệ cao (Bộ Công an) khi cần. Multilaw
3) Loại dữ liệu chúng tôi thu thập
Bạn cung cấp: họ tên, số điện thoại, email, địa chỉ giao nhận, thông tin thanh toán (được mã hóa theo tiêu chuẩn), nội dung phản hồi/chăm sóc KH.
Tự động thu thập: địa chỉ IP, loại thiết bị/trình duyệt, log truy cập, sự kiện ứng dụng, cookie/ID thiết bị.
Bên thứ ba: khi đăng nhập/liên kết tài khoản (Google, Facebook…), chúng tôi nhận các thông tin mà bạn cho phép chia sẻ.
4) Mục đích & căn cứ xử lý
Chúng tôi chỉ xử lý dữ liệu khi có một hoặc nhiều căn cứ hợp pháp:
Thực hiện hợp đồng/dịch vụ: tạo và quản lý tài khoản, xử lý đơn hàng, giao nhận, chăm sóc KH.
Đồng thuận của bạn: nhận bản tin/ưu đãi, cá nhân hoá đề xuất; bạn có thể rút lại bất cứ lúc nào. EuroCham Việt Nam
Lợi ích hợp pháp/tuân thủ pháp luật: ngăn chặn gian lận, bảo mật hệ thống, đáp ứng yêu cầu cơ quan nhà nước theo luật định.
Nghĩa vụ thông báo: Trước khi xử lý, chúng tôi thông báo một lần cho bạn với các nội dung theo tiêu chuẩn luật định (mục đích, loại dữ liệu, tổ chức liên quan, quyền của bạn, v.v.). DLA Piper
5) Cookie & công nghệ tương tự
Cookie/pixel/web-beacon dùng để: ghi nhớ đăng nhập, tuỳ chọn ngôn ngữ, đo lường hiệu quả, chống gian lận, cá nhân hoá. Bạn có thể chặn Cookie trong trình duyệt (một số tính năng có thể bị hạn chế).
6) Marketing & chống tin nhắn/email/cuộc gọi rác
Hoạt động tiếp thị tuân thủ cơ chế opt-in/opt-out theo Nghị định 91/2020/NĐ-CP. Mọi email/SMS đều có liên kết “Hủy đăng ký”. DLA Piper Data Protection
7) Chia sẻ dữ liệu
Chúng tôi không bán dữ liệu cá nhân. Dữ liệu có thể được chia sẻ với:
Nhà cung cấp dịch vụ (thanh toán, hạ tầng cloud, vận chuyển, chăm sóc KH, phân tích).
Đối tác được bạn đồng thuận để cung cấp dịch vụ bổ trợ.
Cơ quan nhà nước có thẩm quyền theo quy định.
Tái cấu trúc doanh nghiệp (sáp nhập/mua bán), với điều kiện bên nhận phải tuân thủ bảo mật tương đương.
8) Xử lý dữ liệu nhạy cảm
Khi xử lý dữ liệu nhạy cảm, chúng tôi áp dụng biện pháp tăng cường, chỉ định DPO/bộ phận bảo vệ dữ liệu và thông báo thông tin liên hệ tới A05 theo quy định. Future of Privacy ForumMultilaw
9) Trẻ em
Chúng tôi không cố ý thu thập dữ liệu của trẻ dưới 16; mọi xử lý dữ liệu của trẻ cần sự đồng ý của cha/mẹ hoặc người giám hộ.
Với trẻ từ đủ 7 tuổi, yêu cầu đồng thuận kép (trẻ + cha/mẹ). Vietnam BriefingEnPress Journals
10) Lưu trữ, vị trí máy chủ & chuyển dữ liệu ra nước ngoài
Dữ liệu được lưu trữ an toàn tại Việt Nam và/hoặc trung tâm dữ liệu ở nước ngoài (nếu cần).
Chuyển dữ liệu xuyên biên giới: trước khi chuyển, chúng tôi lập Hồ sơ đánh giá tác động chuyển dữ liệu (Transfer-DPIA) và gửi A05 trong vòng 60 ngày kể từ thời điểm bắt đầu xử lý; cập nhật khi có thay đổi. EuroCham Việt NamCloudinary
Nội địa hoá dữ liệu (nếu thuộc diện): trường hợp rơi vào các ngành/dịch vụ và điều kiện do Nghị định 53/2022 điều chỉnh, và khi có yêu cầu bằng văn bản của A05, chúng tôi sẽ thực hiện lưu trữ dữ liệu tại Việt Nam theo quy định. Allen & GledhillThương mại quốc tế | Trade.gov
11) Bảo mật
Mã hoá khi truyền tải (HTTPS/TLS), phân quyền nội bộ, nguyên tắc tối thiểu hoá dữ liệu, kiểm tra an ninh định kỳ.
Không hệ thống nào an toàn tuyệt đối; bạn vui lòng bảo vệ mật khẩu và bật xác thực 2 lớp (nếu có).
12) Quyền của bạn (Data Subject Rights) & thời hạn xử lý
Bạn có các quyền theo PDPD, gồm: quyền được biết; quyền đồng ý; quyền truy cập/sửa; quyền rút lại đồng ý; quyền xóa; quyền hạn chế xử lý; quyền yêu cầu cung cấp dữ liệu; quyền phản đối xử lý (kể cả marketing trực tiếp); quyền khiếu nại/khởi kiện; quyền yêu cầu bồi thường; quyền tự bảo vệ. Tilleke & Gibbins
Thời hạn chuẩn (SLA) theo PDPD:
Xóa dữ liệu: thực hiện trong 72 giờ (trừ khi pháp luật yêu cầu lưu). Future of Privacy Forum
Hạn chế/Phản đối xử lý: thực hiện trong 72 giờ kể từ khi nhận yêu cầu. EuroCham Việt Nam
Sửa dữ liệu: thực hiện sớm nhất có thể, nếu chưa thể sửa phải thông báo trong 72 giờ. Multilaw
Cách gửi yêu cầu: qua trang tài khoản, hoặc email tannyton@gmail.com. Chúng tôi có thể xác minh danh tính trước khi xử lý.
13) Nghĩa vụ đánh giá tác động & hồ sơ tuân thủ
Lập và lưu Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và Hồ sơ hoạt động xử lý; sẵn sàng cho cơ quan nhà nước kiểm tra; nộp trong vòng 60 ngày khi bắt đầu xử lý hoặc khi thay đổi nội dung. KPMG
14) Sự cố rò rỉ dữ liệu (Data Breach)
Processor phải thông báo ngay cho Controller khi phát hiện sự cố.
Controller (hoặc Controller-cum-Processor) phải thông báo A05 trong vòng 72 giờ kể từ khi phát hiện; nếu chậm phải nêu rõ lý do. Vietnam BriefingKPMG
Chúng tôi sẽ áp dụng biện pháp khắc phục/giảm thiểu ngay khi sự cố xảy ra.
15) Thời hạn lưu giữ
Chỉ lưu giữ trong thời gian cần thiết để đạt mục đích đã thông báo hoặc theo thời hạn lưu trữ tối thiểu do pháp luật yêu cầu; sau đó xóa/ẩn danh.
16) Liên kết bên ngoài
Khi truy cập liên kết của bên thứ ba, bạn vui lòng tham khảo chính sách riêng của họ; chúng tôi không chịu trách nhiệm đối với thực tiễn bảo mật của bên thứ ba.
17) Thay đổi chính sách
Khi có cập nhật quan trọng, chúng tôi sẽ thông báo nổi bật trên website/app hoặc qua email trước khi hiệu lực; luôn hiển thị “Cập nhật lần cuối” ở đầu trang.
18) Thông tin liên hệ & cơ quan giám sát
Bộ phận bảo vệ dữ liệu (DPD) / DPO: tannyton@gmail.com, +84-973-474-103
Khiếu nại – Quyền riêng tư: tannyton@gmail.com
