Giới thiệu và phạm vi áp dụng

• Chủ thể áp dụng: Red Orange (“chúng tôi”) tại Việt Nam.
• Quan hệ với tài liệu khác: Phụ lục của Tuyên bố về quyền riêng tư; được đọc thống nhất với các chính sách, thông báo, hợp đồng và điều khoản giữa bạn và Red Orange.
• Vai trò xử lý: Áp dụng khi Red Orange là Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân, Bên Kiểm Soát Dữ Liệu Cá Nhân hoặc Bên Xử Lý Dữ Liệu Cá Nhân.

Loại dữ liệu thu thập

• Dữ liệu cá nhân cơ bản:
• Họ tên; ngày sinh; giới tính
• Địa chỉ cư trú, liên hệ; quốc tịch
• Hình ảnh; dữ liệu từ camera an ninh tại văn phòng Red Orange
• Số điện thoại, CCCD/CMND, hộ chiếu, GPLX, mã số thuế, BHXH, thẻ BHYT
• Nghề nghiệp, nơi làm việc; tình trạng hôn nhân; quan hệ gia đình
• Thông tin tài khoản số; lịch sử hoạt động trực tuyến
• Dữ liệu cá nhân nhạy cảm:
• Quan điểm chính trị, tôn giáo; sức khỏe và đời tư trong hồ sơ bệnh án
• Chủng tộc, dân tộc; đặc điểm di truyền, sinh trắc học
• Đời sống tình dục, xu hướng tình dục
• Dữ liệu tội phạm do cơ quan thực thi pháp luật lưu trữ
• Thông tin ngân hàng, thanh toán; vị trí định vị
• Dữ liệu khác được pháp luật quy định là đặc thù
• Nguồn dữ liệu từ bên liên quan: Khi bạn cung cấp dữ liệu của người khác (gia đình, người liên hệ khẩn cấp…), bạn đóng vai trò Bên Kiểm Soát Dữ Liệu Cá Nhân và cần thông báo, có sự đồng ý của họ trước khi cung cấp cho Red Orange.

Mục đích xử lý dữ liệu của Red Orange

• Tuân thủ pháp luật và nghĩa vụ hợp đồng: Thực hiện quyền, nghĩa vụ với bạn và theo quy định pháp luật.
• Vận hành dịch vụ và tương tác số:
• Người truy cập website: vận hành, bảo mật, phân tích sử dụng.
• Khách hàng và liên quan khách hàng: cung cấp dịch vụ, hỗ trợ, quản lý hồ sơ.
• Hệ thống CRM và tiếp thị: quản lý liên hệ, gửi thông tin tiếp thị khi có sự đồng ý.
• Sự kiện/hội thảo/họp trực tuyến: đăng ký, tổ chức, quản lý tham dự.
• Ứng dụng và mạng xã hội: đăng nhập, tính năng, tương tác.
• Trao đổi qua email/điện thoại/thư thoại: phản hồi, hỗ trợ.
• Ứng viên, cựu nhân viên, nhà cung cấp, khách đến văn phòng: tuyển dụng, quan hệ lao động, quản trị nhà cung cấp, an ninh ra vào.
• Xử lý không cần sự đồng ý trong trường hợp luật cho phép: Tình huống khẩn cấp bảo vệ tính mạng/sức khỏe; công khai theo luật; nghĩa vụ cơ quan nhà nước; thực hiện nghĩa vụ hợp đồng theo luật; hoạt động theo luật chuyên ngành.

Chia sẻ, chuyển giao và lưu trữ dữ liệu

Chia sẻ trong tổ chức và với bên thứ ba

• Trong mạng lưới Red Orange (nếu có): Hệ thống CNTT tập trung, nhóm cung cấp dịch vụ cần quyền truy cập dữ liệu để thực hiện công việc.
• Nhà cung cấp dịch vụ hỗ trợ:
• Văn phòng chung: in ấn, quản lý tài liệu, lưu trữ, dịch thuật
• Kế toán – tài chính – thanh toán
• CNTT: quản trị hệ thống, an ninh, lưu trữ dữ liệu, phân tích, ứng dụng, sao lưu – khôi phục
• Quản lý rủi ro – kiểm tra xung đột – đánh giá chất lượng
• Cam kết bảo mật, tuân thủ cơ chế chuyển dữ liệu phù hợp theo luật hiện hành.
• Các trường hợp tiết lộ khác:
• Phù hợp mục đích xử lý; theo yêu cầu pháp luật; tổ chức lại/hợp nhất; bảo vệ quyền, tài sản, an toàn của Red Orange; tuân thủ tố tụng/cơ quan quản lý; có sự đồng ý của bạn.
• Nghĩa vụ báo cáo giao dịch đáng ngờ theo luật phòng chống rửa tiền, tài trợ khủng bố, giao dịch nội gián; báo cáo cho cơ quan công an khi cần theo luật.

Chuyển dữ liệu qua biên giới

• Thiết bị/hệ thống đặt ngoài Việt Nam: Có thể xử lý dữ liệu thay mặt Red Orange.
• Biện pháp bảo vệ: Thỏa thuận bảo mật, lựa chọn đối tác phù hợp, cơ chế chuyển dữ liệu theo luật; áp dụng chuẩn bảo vệ thống nhất trong nội bộ (nếu có chính sách tương đương BCR).

Thời gian lưu trữ

• Nguyên tắc: Lưu trữ chỉ trong thời gian cần thiết cho mục đích đã nêu.
• Nghĩa vụ pháp lý/nghề nghiệp: Có thể lưu lâu hơn để tuân thủ luật, bảo vệ quyền lợi hợp pháp, lưu trữ lịch sử.

Quyền và nghĩa vụ của bạn

Quyền của bạn

• Quyền được biết: Về hoạt động xử lý dữ liệu của mình.
• Quyền đồng ý/không đồng ý: Trừ trường hợp luật cho phép xử lý không cần đồng ý.
• Quyền truy cập/chỉnh sửa: Xem, sửa hoặc yêu cầu sửa dữ liệu.
• Quyền rút lại đồng ý: Bất cứ lúc nào.
• Quyền xóa dữ liệu: Yêu cầu xóa khi phù hợp.
• Quyền hạn chế xử lý: Red Orange thực hiện trong 72 giờ sau yêu cầu hợp lệ.
• Quyền nhận dữ liệu: Yêu cầu cung cấp cho bản thân.
• Quyền phản đối xử lý cho quảng cáo/tiếp thị: Thực hiện trong 72 giờ sau yêu cầu hợp lệ.
• Quyền khiếu nại/khởi kiện và yêu cầu bồi thường: Theo luật áp dụng.
• Quyền tự bảo vệ: Theo Bộ luật Dân sự và pháp luật hiện hành.
• Lưu ý hệ quả: Việc thực hiện một số quyền có thể khiến Red Orange không thể thực hiện hợp đồng/nghĩa vụ với bạn; Red Orange không chịu trách nhiệm về tổn thất phát sinh từ hệ quả đó.
• Xác minh yêu cầu: Xác minh hai yếu tố (danh tính/thẩm quyền và nội dung yêu cầu). Có thể từ chối nếu không đúng thủ tục, thiếu giấy tờ, có dấu hiệu gian lận, hoặc pháp luật không cho phép.

Nghĩa vụ của bạn

• Tự bảo vệ dữ liệu cá nhân; chấp nhận rủi ro nếu để lộ do bất cẩn của bản thân.
• Tôn trọng dữ liệu người khác.
• Cung cấp dữ liệu đầy đủ, chính xác khi đồng ý cho phép xử lý.
• Cập nhật thay đổi kịp thời.
• Chứng minh đã có sự đồng ý của bên thứ ba trước khi cung cấp dữ liệu của họ (khi bạn là Bên Kiểm Soát Dữ Liệu Cá Nhân).
• Tuân thủ pháp luật về bảo vệ dữ liệu và tham gia phòng chống vi phạm.

An ninh, rủi ro và liên hệ

Biện pháp bảo vệ

• Quản trị – kỹ thuật – tổ chức: Bảo vệ tính bảo mật, toàn vẹn; chống phá hủy, mất mát, thay đổi, truy cập trái phép, sử dụng sai mục đích.
• Đào tạo nhân viên: Chỉ nhân sự được ủy quyền mới có quyền truy cập khi cần thiết.

Rủi ro không mong muốn

• Rủi ro truyền thông tin: Internet/CNTT có thể gặp tấn công mạng, gián đoạn, rò rỉ trong trường hợp bất khả kháng.
• Ứng phó: Red Orange sẽ ngăn chặn, khắc phục, giảm thiểu thiệt hại; phối hợp cơ quan có thẩm quyền. Không chịu trách nhiệm bồi thường nếu đã áp dụng biện pháp hợp lý và thiệt hại do bên thứ ba gây ra không phải lỗi của Red Orange.

Thông tin liên hệ

• Bộ phận Bảo vệ dữ liệu cá nhân Red Orange
• Email: [info@redorange.com.vn]
• Website: [www.redorange.com.vn]
• Điện thoại: [+84 888222736]

Hiệu lực và cập nhật

• Ngày hiệu lực: Từ [01/01/2026].
• Cập nhật: Có thể sửa đổi/bổ sung; công bố trên website chính thức và/hoặc thông báo qua kênh liên hệ phù hợp.

Phụ lục 1 – Định nghĩa và giải thích từ ngữ

• Bên Kiểm Soát Dữ Liệu Cá Nhân: Tổ chức quyết định mục đích/phương tiện xử lý dữ liệu cá nhân.
• Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân: Tổ chức vừa quyết định mục đích/phương tiện vừa trực tiếp xử lý.
• Bên Xử Lý Dữ Liệu Cá Nhân: Tổ chức xử lý thay mặt Bên Kiểm Soát theo hợp đồng/thỏa thuận.
• Chủ Thể Dữ Liệu: Cá nhân mà dữ liệu phản ánh.
• Dữ Liệu Cá Nhân: Thông tin ở dạng ký hiệu/chữ viết/chữ số/hình ảnh/âm thanh… gắn với hoặc giúp xác định một người cụ thể; gồm dữ liệu cơ bản và dữ liệu nhạy cảm.
• Mục Đích Xử Lý: Các mục tiêu xử lý được liệt kê trong phần “Mục đích xử lý dữ liệu”.
• Nhà Cung Cấp Dịch Vụ Hỗ Trợ: Bên cung cấp dịch vụ nội bộ/hậu cần nêu tại mục chia sẻ dữ liệu.
• Sự Đồng Ý: Sự thể hiện rõ ràng, tự nguyện, có thể kiểm chứng, cho phép xử lý dữ liệu.
• Sự Kiện: Sự kiện Red Orange tổ chức/đồng tổ chức (hội thảo, khóa học, thể thao, giải trí…).
• Trẻ Em: Người dưới 16 tuổi.
• Ứng Viên: Cá nhân nộp hồ sơ tuyển dụng vào Red Orange.
• Xử Lý: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa/giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy.
• Dịch vụ Hỗ trợ Nội bộ: Hành chính, tài chính – kế toán, điều phối mạng lưới, CNTT, lưu trữ – khôi phục, rủi ro – xung đột – chất lượng, nghĩa vụ nghề nghiệp.