(Theo Nghị định số 13/2023/NĐ-CP của chính phủ về Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/07/2023)
Cam kết về bảo vệ dữ liệu cá nhân được thực hiện bởi và giữa CMC Telecom và các Đại lý/Khách hàng/Đối tác cung cấp của CMC Telecom (sau đây gọi chung là Bên Cung cấp).
CMC Telecom và Bên Cung cấp tự nguyện đồng ý tuân thủ các quy định về bảo vệ dữ liệu cá nhân với các điều khoản sau đây:
“Hợp đồng” có nghĩa là Hợp đồng giữa Bên cung cấp và CMC Telecom và/hoặc các biên bản, thỏa thuận, phụ lục liên quan tới các Hợp đồng đó. Đó có thể là hợp đồng mua bán hàng hóa, cung cấp dịch vụ, hợp đồng lao động, hợp đồng khác, vv.
“Dữ liệu cá nhân” có nghĩa là Dữ liệu cá nhân của bất kỳ chủ thể dữ liệu nào mà CMC Telecom có được từ Bên cung cấp, nó có thể là dữ liệu cá nhân của chính Bên cung cấp, hoặc dữ liệu cá nhân của các chủ thể khác mà Bên cung cấp đã thu thập một cách hợp pháp và được phép chuyển giao, cung cấp cho CMC Telecom để CMC Telecom thực hiện các công việc được nêu trong (các) Hợp đồng giữa CMC Telecom và Bên cung cấp.
“Luật bảo vệ dữ liệu” có nghĩa là tất cả các luật và quy định về bảo vệ dữ liệu cá nhân hoặc quyền riêng tư áp dụng cho hoạt động xử lý dữ liệu cá nhân tại Việt Nam, trong đó bao gồm nhưng không giới hạn ở Luật An ninh quốc gia 2004, Luật An ninh mạng 2018; Nghị định Số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân cùng các bản sửa đổi, bổ sung, thay thế các văn bản trên.
“Mạng lưới CMC Telecom” có nghĩa là các trung tâm dữ liệu, hệ thống điện toán đám mây, máy chủ, thiết bị nối mạng, hệ thống phần mềm lưu trữ và các hệ thống khác (nếu có) của CMC Telecom và được sử dụng để thực hiện phạm vi công việc theo (các) Hợp đồng đã ký kết giữa CMC Telecom và Bên cung cấp.
Các thuật ngữ “dữ liệu cá nhân”, “chủ thể dữ liệu”, “xử lý dữ liệu cá nhân”, “bên kiểm soát” và “bên kiểm soát và xử lý” được sử dụng trong Cam kết này có các ý nghĩa như được quy định tại Nghị định Số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
1. Các bên thừa nhận và đồng ý như sau: (i) CMC Telecom là bên xử lý Dữ liệu cá nhân theo Luật bảo vệ dữ liệu; (ii) Bên cung cấp là chủ thể dữ liệu hoặc bên kiểm soát hoặc bên kiểm soát và xử lý, đối với Dữ liệu cá nhân theo Luật bảo vệ dữ liệu; và (iii) mỗi bên sẽ tuân thủ các nghĩa vụ của mình theo Luật bảo vệ dữ liệu hiện hành liên quan đến việc xử lý Dữ liệu cá nhân.
2. Mục đích của việc thu thập, xử lý dữ liệu:
CMC Telecom sẽ thu thập, lưu trữ, xử lý Dữ liệu cá nhân khi cần thiết để: thực hiện Hợp đồng ký kết với Bên cung cấp và các công việc có liên quan đến Hợp đồng.
Bên cung cấp đồng ý cho phép CMC Telecom xử lý dữ liệu của Bên cung cấp và chia sẻ kết quả xử lý dữ liệu cho các mục đích sau:
– Gửi các thông báo về các hoạt động trao đổi thông tin giữa Bên cung cấp và CMC Telecom;
– Ngăn ngừa các hoạt động phá hủy, chiếm đoạt tài khoản người dùng của Bên cung cấp hoặc các hoạt động giả mạo Bên cung cấp;
– Tổ chức giới thiệu và xúc tiến thương mại, nghiên cứu thị trường, thăm dò dư luận, môi giới;
– Nghiên cứu, phát triển các dịch vụ mới và cung cấp các sản phẩm, dịch vụ phù hợp cho Bên Cung cấp;
– CMC Telecom có thể sử dụng thông tin của Bên cung cấp cho mục đích dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo;
– Xác minh danh tính và đảm bảo tính bảo mật thông tin của Bên Cung cấp;
– CMC Telecom thu thập, lưu trữ và sử dụng dữ liệu cá nhân của Bên Cung cấp nhằm mục đích thực hiện dịch vụ như lưu giữ hồ sơ và tuân thủ các nghĩa vụ pháp lý và thuế. CMC Telecom lưu trữ các dữ liệu này trong thời gian theo quy định của pháp luật;
– CMC thực hiện các hành động khác theo quy định của pháp luật từng thời kỳ.
CMC Telecom sẽ không: (a) xử lý, lưu giữ, sử dụng, hay tiết lộ Dữ liệu cá nhân trừ khi cần thiết để thực hiện các nghĩa vụ của Hợp đồng, hay theo pháp luật yêu cầu; (b) bán Dữ liệu cá nhân cho bất kỳ bên thứ ba nào; (c) lưu giữ, sử dụng hay tiết lộ Dữ liệu cá nhân đó ra bên ngoài mối quan hệ kinh doanh trực tiếp giữa CMC Telecom với Bên cung cấp, trừ khi đó là tuân theo yêu cầu của chủ thể dữ liệu hoặc quy định của pháp luật.
Để làm rõ, các hướng dẫn của Bên cung cấp về việc xử lý Dữ liệu cá nhân sẽ phù hợp với nội dung Hợp đồng và tuân theo tất cả các Luật về bảo vệ dữ liệu. Bên cung cấp chịu trách nhiệm về sự chính xác, chất lượng và tính hợp pháp của Dữ liệu cá nhân và phương thức mà Bên cung cấp nhận được Dữ liệu cá nhân. Nếu Bên cung cấp không phải là chủ thể dữ liệu cá nhân, Bên cung cấp thừa nhận và đồng ý như sau: (i) Bên cung cấp đã nhận được sự đồng ý rõ ràng (theo quy định Luật bảo vệ dữ liệu) của chủ thể dữ liệu đối với mọi hoạt động thu thập, chia sẻ và sử dụng dữ liệu như các nội dung đã thỏa thuận theo Hợp đồng; và (ii) Bên cung cấp đã thông báo và nhận được sự đồng ý rõ ràng (theo quy định Luật bảo vệ dữ liệu) của chủ thể dữ liệu về việc Dữ liệu cá nhân có thể được xử lý bên ngoài quốc gia ban đầu của họ. Nếu Bên cung cấp là bên kiểm soát và xử lý Dữ liệu cá nhân, Bên cung cấp đảm bảo rằng các hướng dẫn và hành động của Bên cung cấp đối với Dữ liệu cá nhân, bao gồm cả việc chỉ định CMC Telecom làm bên xử lý khác, đã được ủy quyền bởi bên kiểm soát có liên quan. CMC Telecom sẽ không bắt buộc phải tuân thủ hoặc tuân theo hướng dẫn của Bên cung cấp nếu những hướng dẫn đó vi phạm Luật bảo vệ dữ liệu.
3. Các loại Dữ liệu cá nhân được bảo vệ: Dữ liệu cá nhân được bảo vệ theo Cam kết này là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, có thể là các dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm bao gồm: tên; địa chỉ, số điện thoại; ngày sinh, địa chỉ email, thông tin về nghề nghiệp, tình trạng sức khỏe, thu nhập hoặc bất kỳ thông tin nào mà theo quy định pháp luật tại từng thời điểm được định nghĩa là dữ liệu cá nhân.
4. Cách thức bảo vệ dữ liệu cá nhân: CMC Telecom sẽ thu thập, phân tích, đánh giá, sử dụng, lưu trữ, chuyển giao, xử lý, cung cấp Dữ liệu cá nhân cho các bên có liên quan hoặc cơ quan nhà nước có thẩm quyền và các hoạt động khác phục vụ cho mục đích đã nêu tại khoản 2 Điều này.
5. Các bên liên quan đến việc bảo vệ Dữ liệu cá nhân: Bên cung cấp đồng ý rằng, để phục vụ cho các mục đích đã nêu tại khoản 2 Điều này, CMC Telecom có thể tiết lộ Dữ liệu cá nhân cho công ty con và/hoặc liên kết ở mức độ cần thiết để áp dụng và thực hiện các mục
đích hoặc bất kỳ phần nào, tùy thuộc vào các công ty con và/hoặc liên kết cam kết thực hiện đúng các nghĩa vụ tương đương theo quy định tại Cam kết này.
6. Thời gian bảo vệ dữ liệu cá nhân: Việc bảo vệ Dữ liệu cá nhân sẽ được bắt đầu kể từ thời điểm CMC Telecom nhận được thông tin/dữ liệu cá nhân cũng như sự đồng ý của Bên cung cấp cho việc xử lý thông tin/dữ liệu cá nhân đó. CMC Telecom sẽ duy trì việc xử lý Dữ liêu cá nhân trong khoảng thời gian Hợp đồng còn hiệu lực và theo quy định của pháp luật.
7. Cam kết của CMC Telecom:
CMC Telecom cam kết, bằng mọi nỗ lực cần thiết và hợp lý bảo mật và bảo vệ Dữ liệu cá nhân quy định tại cam kết này theo những yêu cầu, tiêu chuẩn về bảo mật thông tin, bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam và theo quy định tại Cam kết này. Trong quá trình xử lý Dữ liệu cá nhân có thể xảy ra sự gián đoạn, trì hoãn, ngắt kết nối hoặc bất cứ sự cố nào do các nguyên nhân nằm ngoài khả năng kiểm soát hợp lý của CMC Telecom, bao gồm nhưng không giới hạn tình trạng gián đoạn do nâng cấp, sửa chữa, lỗi đường truyền, lỗi gián đoạn kỹ thuật do nhà cung cấp/nhà thầu của CMC Telecom gây ra. Trong những trường hợp như vậy, CMC Telecom sẽ nỗ lực tối đa kịp thời thông báo cho Bên cung cấp về sự cố xảy ra và Bên cung cấp đồng ý miễn trừ cho CMC Telecom khỏi trách nhiệm trong những trường hợp đó.
Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, CMC Telecom sẽ thông báo cho Bên cung cấp một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. Ngoài ra, Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân sẽ thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.
a. Quyền của chủ thể dữ liệu
1. Được biết về hoạt động xử lý Dữ liệu cá nhân; đồng ý hoặc không đồng ý cho phép xử lý Dữ liệu cá nhân theo Cam kết này, trừ trường hợp luật có quy định khác.
2. Truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
3. Rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
4. Xóa hoặc yêu cầu xóa Dữ liệu cá nhân theo quy định tại Điều 4 Cam kết này.
5. Yêu cầu hạn chế xử lý Dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
6. Chủ thể dữ liệu cá nhân được yêu cầu cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
7. Phản đối xử lý dữ liệu nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác. CMC Telecom thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
8. Tự bảo vệ, khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật.
b. Nghĩa vụ của chủ thể dữ liệu
1. Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
1. Tùy thuộc vào nội dung của Hợp đồng, Bên cung cấp có thể được cung cấp quyền kiểm soát để truy xuất hoặc xóa Dữ liệu cá nhân. Nếu không có yêu cầu xóa Dữ liệu từ Bên cung cấp, việc xóa Dữ liệu cá nhân sẽ diễn ra trong ba mươi (30) ngày sau ngày chấm dứt Hợp đồng hoặc thời gian ngắn hơn theo quy định cụ thể của Hợp đồng. Nếu không có quy định nào tại Hợp đồng về thời gian xóa dữ liệu cá nhân, thì thời gian này sẽ được CMC Telecom áp dụng theo quy định nội bộ của CMC Telecom từng thời kỳ, và trong mọi trường hợp, Bên cung cấp thừa nhận rằng trước ngày chấm dứt Hợp đồng, Bên cung cấp có trách nhiệm xuất bất kỳ Dữ liệu các nhân nào muốn giữ lại hoặc xóa toàn bộ các dữ liệu cá nhân không cần thiết sau ngày chấm dứt Hợp đồng với điều kiện việc xuất hoặc xóa đó phải tuân thủ theo đúng quy định của pháp luật.
2. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của Bên cung cấp trong các trường hợp:
a) Pháp luật quy định không cho phép xóa dữ liệu;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
3. Việc trả lại hoặc xóa Dữ liêu cá nhân theo yêu cầu của Bên cung cấp hoặc khi chấm dứt một phần Hợp đồng sẽ được thực hiện với điều kiện không ảnh hưởng bất lợi đến khả năng cung cấp các dịch vụ còn lại của CMC Telecom theo Hợp Đồng và việc trả lại hoặc xóa này không vi phạm các quy định pháp luật về bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan khác.
1. Bên cung cấp tự nguyện đồng ý và hiểu rõ các nội dung quy định tại từng Điều khoản của Cam kết này.
2. Trường hợp Bên cung cấp là Bên kiểm soát hoặc Bên kiểm soát và xử lý dữ liệu cá nhân, Bên cung cấp đảm bảo:
– Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung về việc thông báo xử lý dữ liệu cá nhân được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân; và nội dung quy định tại Điều 2 Cam kết này trước khi đồng ý cho Bên cung cấp tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Cam kết này và Luật bảo vệ dữ liệu.
– Đã lập hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân đối với Dữ liệu cá nhân
3. Bên cung cấp đảm bảo và bồi thường cho CMC Telecom các thiệt hại do Bên cung cấp không thực hiện theo đúng cam kết theo quy định tại Điều này.
Cam kết này là một phần không thể tách rời với Hợp đồng đã ký giữa Bên cung cấp và CMC Telecom mà Cam kết này được dẫn chiếu trong đó. Trong trường hợp CMC Telecom có cung cấp các dữ liệu cá nhân mà CMC Telecom thu thập/nắm giữ cho Bên cung cấp, thì Bên cung cấp cam kết sẽ tuân thủ mức độ bảo vệ dữ liệu cá nhân không thấp hơn mức độ bảo vệ mà CMC Telecom đã cam kết tại văn bản này.