Điều 1: Mục đích

Chính sách Bảo vệ và Xử lý dữ liệu cá nhân (“Chính sách”) này quy định các điều khoản và điều kiện về Bảo vệ và Xử lý dữ liệu cá nhân của Công ty CP Công nghệ và dịch vụ CodLUCK trên cơ sở tuân thủ Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân và các quy định của pháp luật hiện hành có liên quan.

Điều 2: Phạm vi, đối tượng áp dụng 

2.1. Toàn thể Cán bộ Nhân viên tại Công ty CP Công nghệ và dịch vụ CodLUCK (bao gồm cả các chi  nhánh, văn phòng đại diện, Công ty con nếu có). 

2.2. Bên Cung cấp dữ liệu cá nhân (ứng viên, người lao động, cộng tác viên, thực tập sinh,  người tập nghề, đối tác trong các dự án có nhân sự tham gia thực hiện công việc…).

 2.3. Chủ thể dữ liệu cá nhân. 

2.4. Trong bản Chính sách này, Công ty CP Công nghệ và dịch vụ CodLUCK là Bên Kiểm soát và Xử lý  dữ liệu cá nhân. 

Điều 3: Văn bản pháp luật điều chỉnh 
STT Mã hiệu Tên tài liệu
1. 91/2015/QH13 Bộ Luật Dân sự 2015.
2. 24/2018/QH14 Luật An Ninh Mạng 2018
3. 86/2015/QH13 Luật An toàn thông tin mạng 2015
4. 13/2023/NĐ-CP Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân
Điều 4: Giải thích từ ngữ 

4.1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh  hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc  giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản  và dữ liệu cá nhân nhạy cảm. 

4.2. Dữ liệu cá nhân cơ bản gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);  Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi  đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;  Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định  danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con cái); Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân  phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn  liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải  là dữ liệu cá nhân nhạy cảm.4.3. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân  mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá  nhân gồm: Quan điểm chính trị, quan điểm tôn giáo; Tình trạng sức khỏe và đời tư  được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; Thông tin liên  quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; Thông tin về đặc điểm di truyền  được thừa hưởng hoặc có được của cá nhân; Thông tin về thuộc tính vật lý, đặc điểm  sinh học riêng của cá nhân; Thông tin về đời sống tình dục, xu hướng tình dục của cá  nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan  thực thi pháp luật; Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng  nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép  khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông  tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; Dữ liệu về vị trí của cá nhân được xác  định qua dịch vụ định vị; Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và  cần có biện pháp bảo mật cần thiết. 

4.4. Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi  vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. 

4.5. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như:  thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy  xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao,  xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. 

4.6. Bên Nhận Dữ Liệu Cá Nhân là Công ty CP Công nghệ và dịch vụ CodLUCK và/hoặc bên được  Công ty CP Công nghệ và dịch vụ CodLUCK ủy quyền nhằm mục đích thực hiện các hoạt động về bảo vệ và xử lý dữ liệu cá nhân theo quy định của pháp luật. 

4.7. Bên Cung Cấp Dữ Liệu Cá nhân là cá nhân hoặc tổ chức cung cấp dữ liệu cá nhân  cho Bên nhận dữ liệu cá nhân. 

4.8. Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân là Công ty CP Công nghệ và dịch vụ CodLUCK – đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

4.9. Chủ Thể Dữ Liệu là cá nhân được dữ liệu cá nhân phản ánh. 

4.10. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc  cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. 

4.11. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết  bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân  Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa  Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội  chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: (a)Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã  được chủ thể dữ liệu đồng ý; (b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng  các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt  Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

4.12. Bên Thứ Ba là cá nhân, tổ chức ngoài Bên Nhận Dữ Liệu Cá Nhân và Bên Cung Cấp  Dữ Liệu Cá Nhân được phép Xử Lý Dữ Liệu Cá nhân theo quy định của pháp luật  Việt Nam hiện hành, bao gồm nhưng không giới hạn (a) Các nhà thầu, đại diện của Công ty CP Công nghệ và dịch vụ CodLUCK, (b)  các kiểm toán viên, các nhà tư vấn pháp lý/thuế/kế toán/bảo hiểm/khám sức  khỏe…của Công ty CP Công nghệ và dịch vụ CodLUCKhoặc của các bên đối tác cung cấp dịch  vụ cho Công ty CP Công nghệ và dịch vụ CodLUCK hoặc của Công ty mẹ, (c) nhà cung cấp dịch  vụ phần mềm kế toán và những người thực hiện việc bảo trì, nâng cấp, bảo hành của  phần mềm đó; (d) Các cơ quan Nhà nước có thẩm quyền của Việt Nam; (e ) Bất kỳ đối  tác nào mà hợp tác với Công ty CP Công nghệ và dịch vụ CodLUCK nhằm cung cấp các sản  phẩm/dịch vụ trong phạm vi kinh doanh của Công ty CP Công nghệ và dịch vụ CodLUCK; và (f)  bất kỳ bên thứ ba nào khác hợp pháp hoặc được yêu cầu bởi luật pháp, lệnh của cơ  quan nhà nước có thẩm quyền hoặc bởi tòa án, trung tâm trọng tài quốc tế có đủ thẩm  quyền hoặc yêu cầu của Chính Phủ, hoặc theo yêu cầu từ các chính sách nội bộ phù  hợp với luật pháp Việt Nam hiện hành của Công ty CP Công nghệ và dịch vụ CodLUCK để phục vụ cho mục đích Xử Lý Dữ Liệu Cá Nhân nêu tại bản Chính sách  này. 

4.13. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân (nếu có), Bên Xử lý dữ liệu cá nhân (nếu có), Bên thứ ba (nếu có). 

4.14. Để tránh hiểu lầm, trong Chính sách này, những nội dung được ghi là “theo quy định  của pháp luật”, “theo quy định của pháp luật hiện hành” , “theo quy định của Công ty  CP Công nghệ và dịch vụ CodLUCK” sẽ đều được hiểu là quy định tại từng thời điểm nhất định.  Những quy định đó có thể thay đổi do sự thay đổi của pháp luật hoặc thay đổi theo  quyết định riêng của Công ty CP Công nghệ và dịch vụ CodLUCK. 

4.15. Trong bản Chính sách này khi một khái niệm/định nghĩa được nhắc tới, sẽ được hiệu  là đề cập tới một và/hoặc đồng thời nhiều khái niệm/định nghĩa/hành vi như được mô  tả tại định nghĩa/khái niệm đó. 

Điều 5: Nguyên tắc Bảo vệ và Xử lý dữ liệu cá nhân 

5.1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật. 

5.2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình,  trừ trường hợp luật có quy định khác. 

5.3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo/tuyên bố về xử lý dữ liệu cá nhân. 

5.4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.  Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp pháp luật có  quy định khác. 

5.5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.

5.6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý,  bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân  và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp  kỹ thuật. 

5.7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý  dữ liệu, trừ trường hợp pháp luật có quy định khác. 

5.8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm  tuân thủ các nguyên tắc xử lý dữ liệu được quy định tại các văn bản pháp luật hiện  hành và Chính sách này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý  dữ liệu đó. 

Điều 6: Những hành vi bị nghiêm cấm khi Bảo vệ và Xử lý dữ liệu cá nhân 

6.1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.

6.2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa  xã hội chủ nghĩa Việt Nam. 

6.3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia,  trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. 6.4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.

6.5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.  

Điều 7: Trách nhiệm của Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân

7.1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù  hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của  pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần  thiết. 

7.2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.

7.3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của  pháp luật hiện hành. 

7.4. Bảo đảm các quyền của chủ thể dữ liệu theo quy định của pháp luật hiện hành.

7.5. Chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá  nhân gây ra. 

7.6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá  nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp  luật về bảo vệ dữ liệu cá nhân. 

7.7. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại các văn bản pháp  luật có liên quan. 

7.8. Xây dựng nội dung và tổ chức thực hiện việc tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cá nhân người lao động trong  Công ty. 

7.9. Thực hiện hoạt động báo cáo định kỳ cho cơ quan nhà nước có thẩm quyền về việc  thực hiện bảo vệ và xử lý dữ liệu cá nhân. 

Điều 8: Các biện pháp và điều kiện bảo đảm hoạt động Bảo Vệ Dữ Liệu Cá Nhân

 8.1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá  trình xử lý dữ liệu cá nhân. 

8.2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: 

8.2.1. Biện pháp quản lý (xây dựng, ban hành các quy định) do Công ty tổ chức thực hiện.

8.2.2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo  vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu  cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. 

8.2.3. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù  hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của  pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần  thiết. 

8.2.4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu  cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. 

8.2.5. Thực hiện các biện pháp bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề của  Công ty. 

8.2.6. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhảy cảm của chủ thể dữ liệu  được xử lý (nếu có xử lý dữ liệu cá nhân nhạy cảm), trừ trường hợp pháp luật có quy  định khác. 

8.2.7. Xây dựng nội dung và tổ chức thực hiện việc tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cá nhân người lao động trong  Công ty. 

8.2.8. Tuân thủ các quy định của pháp luật hiện hành về Bảo vệ và Xử lý dữ liệu cá nhân.

Điều 9: Thông báo xử lý dữ liệu cá nhân 

9.1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.  

9.2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: Mục đích xử lý; Loại  dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; Cách thức xử lý; Thông  tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; Hậu quả, thiệt hại  không mong muốn có khả năng xảy ra; Thời gian bắt đầu, thời gian kết thúc xử lý dữ  liệu. 

9.3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in,  sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng  được. 

9.4. Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 9.1  Điều này trong các trường hợp sau: (i) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với  nội dung quy định tại khoản 9.1 và khoản 9.2 Điều này trước khi đồng ý cho Bên  Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các  quy định của pháp luật hiện hành; Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước  có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định  của pháp luật. 

Điều 10: Quyền của Chủ Thể Dữ Liệu 

10.1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của  mình, trừ trường hợp luật có quy định khác. 

10.2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp được xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu theo quy định của pháp luật. 

10.3. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh  sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 

10.4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. 

10.5. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của  mình, trừ trường hợp luật có quy định khác. 

10.6. Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá  nhân của mình, trừ trường hợp luật có quy định khác; Việc hạn chế xử lý dữ liệu được  thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá  nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. 

10.7. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có  quy định khác. 

10.8. Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu được phản đối Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có  quy định khác; Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. 

10.9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc  khởi kiện theo quy định của pháp luật. 

10.10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường  thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá  nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. 

10.11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân  sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự. 

Điều 11: Nghĩa vụ của chủ thể dữ liệu 

11.1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan  bảo vệ dữ liệu cá nhân của mình. 

11.2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác. 

11.3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá  nhân. 

11.4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. 11.5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống  các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. 

11.6. Thông báo ngay cho Công ty CP Công nghệ và dịch vụ CodLUCK nếu phát hiện hoặc nghi ngờ Dữ  liệu cá nhân của mình hoặc của người khác bị lộ, có nguy cơ bị lộ, có thể dẫn tới rủi ro  trong quá trình làm việc/giao dịch/hợp tác…với Công ty CP Công nghệ và dịch vụ CodLUCK,  hoặc bất kỳ vi phạm nào về Bảo vệ và Xử lý dữ liệu cá nhân theo Chính sách này hoặc  theo quy định của pháp luật mà Chủ thể Dữ liệu cá nhân có thể biết được/nhận thấy  được. 

11.7. Các nghĩa vụ khác theo từng trường hợp thỏa thuận, hợp đồng, giao dịch…cụ thể tại  từng thời điểm và các nghĩa vụ theo quy định của pháp luật. 

Điều 12: Sự đồng ý của chủ thể dữ liệu 

12.1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy  trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. 

12.2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ  các nội dung sau: Loại dữ liệu cá nhân được xử lý; Mục đích xử lý dữ liệu cá nhân; Tổ chức, cá nhân được xử lý dữ liệu cá nhân; Các quyền, nghĩa vụ của chủ thể dữ liệu. 

12.3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng  nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật  đồng ý hoặc qua một hành động khác thể hiện được điều này. 

12.4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên  Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục  đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. 

12.5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao  chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 12.6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.  12.7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.  12.8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. 

12.9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định  khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. 

12.10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.  12.11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của  chủ thể dữ liệu với Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 12.3 Điều này, trừ trường hợp luật  có quy định khác. 

Điều 13: Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu 

13.1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính  mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát và xử lý dữ liệu  cá nhân có trách nhiệm chứng minh trường hợp này. 

13.2. Việc công khai dữ liệu cá nhân theo quy định của luật. 

13.3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng  khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch  bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban  bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi  phạm pháp luật theo quy định của luật. 

13.4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân  có liên quan theo quy định của luật. 

13.5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. 

Điều 14: Chủ thể dữ liệu rút lại sự đồng ý 

14.1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã  được đồng ý trước khi rút lại sự đồng ý. 

14.2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép  bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 14.3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát và xử lý dữ liệu  cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý. 

14.4. Sau khi thực hiện quy định tại khoản 14.2 Điều này, Bên Kiểm soát và xử lý dữ liệu  phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan (nếu có) ngừng xử lý dữ liệu  của chủ thể dữ liệu đã rút lại sự đồng ý. 

Điều 15: Lưu trữ và cung cấp dữ liệu cá nhân 

15.1. Lưu trữ dữ liệu cá nhân: Dữ liệu cá nhân sẽ được Bên nhận dữ liệu cá nhân, Bên  Kiểm soát và xử lý dữ liệu cá nhân lưu trữ và áp dụng các biện pháp thích hợp để bảo  mật. Trong phạm vi pháp luật cho phép, Bên nhận dữ liệu cá nhân có thể lưu trữ Dữ liệu cá nhân tại Việt Nam hoặc tại nước ngoài, kể cả giải pháp lưu trữ trên điện toán  đám mây. Việc lưu trữ Dữ liệu cá nhân được thực hiện trong khoảng thời gian cần  thiết để hoàn thành các mục đích như thỏa thuận với Chủ thể dữ liệu cá nhân tại các  bản cam kết, các hợp đồng, thỏa thuận, văn kiện khác được xác lập với Chủ thể dữ liệu cá nhân và/hoặc Bên Cung cấp dữ liệu cá nhân, trừ trường hợp được hoặc phải  lưu trữ lâu hơn theo yêu cầu của quy định pháp luật từng thời kỳ. 

15.2. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho  bản thân mình dữ liệu cá nhân của mình.  

15.3. Hình thức yêu cầu cung cấp dữ liệu cá nhân như sau: 

15.3.1. Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác (sau đây gọi là bên yêu cầu)  đến trụ sở Bên Kiểm soát và xử lý dữ liệu cá nhân yêu cầu cung cấp dữ liệu cá nhân.  

Người tiếp nhận yêu cầu có trách nhiệm hướng dẫn bên yêu cầu điền các nội dung  vào Phiếu yêu cầu cung cấp dữ liệu cá nhân hoặc kiểm tra tính chính xác, đầy đủ của  phiếu yêu cầu do bên yêu cầu đã điền trước và mang tới. 

Trường hợp bên yêu cầu không biết chữ hoặc bị khuyết tật không thể viết yêu cầu thì  người tiếp nhận có trách nhiệm giúp điền các nội dung vào Phiếu yêu cầu cung cấp  dữ liệu cá nhân; 

15.3.2. Gửi Phiếu yêu cầu cung cấp dữ liệu cá nhân qua mạng điện tử, dịch vụ bưu chính, fax  đến Bên Kiểm soát và xử lý dữ liệu cá nhân.

15.3.3. Mẫu phiếu yêu cầu cung cấp dữ liệu cá nhân phải thể hiện bằng tiếng Việt và gồm  những nội dung chính sau đây: a) Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân  dân, thẻ căn cước công dân hoặc số hộ chiếu của người yêu cầu. Trường hợp ủy  quyền cho cá nhân, tổ chức khác thì phải kèm theo giấy ủy quyền hợp pháp theo quy  định của pháp luật và phần thông tin bên yêu cầu sẽ điền thông tin của người được ủy  quyền; số fax, điện thoại, địa chỉ thư điện tử (nếu có); b) Dữ liệu cá nhân được yêu  cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu; c) Hình thức cung cấp dữ liệu cá nhân; d) Lý do, mục đích yêu cầu cung cấp dữ liệu cá nhân. Có mẫu phiếu  đính kèm với Chính sách này. 

15.4. Bên Kiểm soát và xử lý dữ liệu cá nhân: 

15.4.1. Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có  sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.

15.4.2. Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức  hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác. 

15.4.3. Cung cấp dữ liệu cá nhân trong 72 giờ sau khi có yêu cầu hợp lệ của chủ thể dữ liệu,  trừ trường hợp luật có quy định khác. 

15.4.4. Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường  hợp sau: a) Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; b)  Việc cung cấp dữ liệu cá nhân có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất  hoặc tinh thần của người khác; c) Chủ thể dữ liệu không đồng ý cung cấp, cho phép  đại diện hoặc ủy quyền nhận dữ liệu cá nhân. 

15.5. Trường hợp yêu cầu cung cấp dữ liệu cá nhân quy định tại khoản 15.3.1 và 15.3.2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan. 

Điều 16: Tiếp nhận và giải quyết yêu cầu cung cấp dữ liệu cá nhân 

16.1. Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tiếp nhận yêu cầu cung cấp  dữ liệu cá nhân và theo dõi quá trình, danh sách cung cấp dữ liệu cá nhân theo yêu  cầu; Trường hợp dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền thì Bên  Kiểm soát và xử lý dữ liệu cá nhân phải thông báo và hướng dẫn bên yêu cầu đến cơ  quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân. 

16.2. Khi nhận được yêu cầu cung cấp dữ liệu cá nhân hợp lệ, Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm cung cấp dữ liệu cá nhân thông báo về thời hạn, địa điểm,  hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua  dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc  cung cấp dữ liệu cá nhân theo trình tự, thủ tục quy định tại Điều này. 

Điều 17: Chỉnh sửa dữ liệu cá nhân 

17.1. Chủ thể dữ liệu cá nhân: Được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình  sau khi đã được Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác; Trường hợp không thể chỉnh sửa trực tiếp vì lý do  kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát và xử lý dữ liệu  cá nhân chỉnh sửa dữ liệu cá nhân của mình. 

17.2. Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định  của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.

Điều 18: Xóa, hủy dữ liệu cá nhân 

18.1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau: a) Nhận thấy không còn cần thiết  cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu  xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát và  xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân  được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi  phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp  luật. 

18.2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các  trường hợp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân  được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của  cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai  theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu  pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường  hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm  họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng  chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng,  chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa  đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác. 

18.3. Trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất, giải thể thì dữ liệu cá nhân  được chuyển giao theo quy định của pháp luật. 

18.4. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu  với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập  được, trừ trường hợp pháp luật có quy định khác. 

18.5. Bên Kiểm soát và xử lý dữ liệu cá nhân xóa không thể khôi phục trong trường  hợp: a) Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý; b) Việc lưu trữ dữ liệu cá nhân không còn  cần thiết với hoạt động của Bên Kiểm soát và xử lý dữ liệu cá nhân; c) Bên Kiểm soát  và xử lý dữ liệu cá nhân bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản  hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật. 

Điều 19: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân 

19.1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm  soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và  phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành  vi vi phạm (mẫu báo cáo tuân theo mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐCP ngày 17/4/2023). Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông  báo chậm, muộn. 

19.2. Bên Xử lý dữ liệu cá nhân (nếu thuê ngoài) phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. 

19.3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: a) Mô tả tính chất  của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành  vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; b) Chi tiết  liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu  trách nhiệm bảo vệ dữ liệu cá nhân; c) Mô tả các hậu quả, thiệt hại có thể xảy ra của  việc vi phạm quy định bảo vệ dữ liệu cá nhân; d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân. 

19.4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 19.3 Điều  này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.

19.5. Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra  hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An  ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm. 

19.6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội  phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau: a) Phát hiện hành vi  vi phạm pháp luật đối với dữ liệu cá nhân; b) Dữ liệu cá nhân bị xử lý sai mục đích,  không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật; c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng; d) Trường hợp khác theo quy định của  pháp luật. 

Điều 20: Đánh giá tác động xử lý dữ liệu cá nhân 

20.1. Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý  dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. 

20.2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân,  Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm: a) Thông tin và chi tiết liên lạc của  Bên Kiểm soát và xử lý dữ liệu cá nhân; b) Họ tên, chi tiết liên lạc của tổ chức được  phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá  nhân của Bên Kiểm soát và xử lý dữ liệu cá nhân; c) Mục đích xử lý dữ liệu cá nhân;  d) Các loại dữ liệu cá nhân được xử lý; đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao  gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam; e) Trường hợp chuyển dữ liệu cá  nhân ra nước ngoài; g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy  dữ liệu cá nhân (nếu có); h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp  dụng; i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt  hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. 

20.3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 20.1 và khoản 20.2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát và xử lý dữ liệu cá nhân. 

20.4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động  kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng,  chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của  Nghị định 13/2023/NĐ-CP ngày 17/4/2023 trong thời gian 60 ngày kể từ ngày tiến  hành xử lý dữ liệu cá nhân. 

20.5. Bên Kiểm soát và xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. 

20.6. Bên Kiểm soát và xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục  An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại  Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023.  

Điều 21: Chuyển dữ liệu cá nhân ra nước ngoài 

21.1. Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp  Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá  nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 21.3, 21.4 và  21.5 Điều này.  

21.2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm: a) Thông tin và  chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công  dân Việt Nam; b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên  chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công  dân Việt Nam; c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; d) Mô tả và làm rõ loại  dữ liệu cá nhân chuyển ra nước ngoài; đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP ngày 17/4/2023, chi tiết các biện pháp  bảo vệ dữ liệu cá nhân được áp dụng; e) Đánh giá mức độ ảnh hưởng của việc xử lý  dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện  pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; g) Sự đồng ý của chủ thể dữ liệu  theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP ngày 17/4/2023 trên cơ sở biết  rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; h) Có văn bản thể 

hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá  nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân. 

21.3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. 

Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An  ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. 

21.4. Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống  tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc  của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra  thành công. 

21.5. Trong trường hợp hồ sơ chưa đầy đủ và đúng quy định và được cơ quan có thẩm  quyền yêu cầu, Bên chuyển dữ liệu cá nhân ra nước ngoài có trách nhiệm hoàn thiện  lại hồ sơ và nộp lại cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo quy định.  

21.6. Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển  dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo  Mẫu số 05 tại Phụ lục của Nghị định 13/2023/NĐ-CP ngày 17/4/2023. Thời gian  hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày  yêu cầu. 

21.7. Bộ Công an là cơ quan quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài  01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo  vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP ngày 17/4/2023 hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. 

21.8. Trường hợp có yêu cầu/quyết định của Bộ Công an, Bên chuyển dữ liệu cá nhân ra  nước ngoài phải ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp sau: a) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm  lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam; b) Bên  chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 21.5, khoản 21.6  Điều này; c) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. 

Điều 22: Cơ chế thực hiện quyền phản hồi, khiếu nại của Chủ thể dữ liệu

 22.1. Chủ thể dữ liệu nếu có bất kỳ phản hồi nào hoặc khiếu nại nào liên quan đến quyền,  nghĩa vụ của mình về bảo vệ và xử lý dữ liệu cá nhân như quy định tại Chính sách  này, Chủ thể dữ liệu cần liên hệ/phản hồi ngay cho Công ty CP Công nghệ và dịch vụ CodLUCK  qua số điện thoại (+84) 904 001 098 hoặc email info@codluck.com, hoặc liên hệ trực  tiếp tại văn phòng công ty tại địa chỉ: Tầng 16,Tòa nhà HL tower, số 6/82 phố Duy Tân, phường Dịch  Vọng Hậu, quận Cầu Giấy, thành phố Hà Nội, Việt Nam. 

22.2. Trường hợp chủ thể khiếu nại cần có đơn khiếu nại theo đúng quy định của pháp luật  và gửi tới Công ty CP Công nghệ và dịch vụ CodLUCK trong thời hiệu khiếu nại. Đơn khiếu nại  phải nêu rõ họ và tên người khiếu nại, thông tin loại, số, ngày cấp giấy tờ chứng thực cá nhân, địa chỉ thường trú, nơi ở hiện tại, điện thoại/email liên lạc, bên bị khiếu khại,  nội dung việc khiếu nại, tài liệu, chứng cứ kèm theo (nếu có). 

Điều 23: Hiệu lực thi hành 

23.1. Chính sách này có hiệu lực thi hành từ ngày 01 tháng 02 năm 2024.

23.2. Mọi sửa đổi/bổ sung/thay thế Chính sách này sẽ được Công ty CP Công nghệ và dịch vụ CodLUCK ban hành bằng văn bản.