Chính sách quyền riêng tư

1. Dữ liệu, thông tin được tiết lộ:

SMART HR cam kết không tiết lộ Dữ liệu Khách hàng, dữ liệu cá nhân được thu thập hoặc lưu trữ trên SMART HR cho bên thứ ba nếu không có sự đồng ý của Khách hàng, Người dùng hoặc Khách – trừ những trường hợp pháp luật cho phép không cần sự đồng ý.

1.1. Những thông tin không bị giới hạn tiết lộ:

Thông tin do Người dùng hoặc Khách tự nguyện cung cấp tại các khu vực công khai (như ảnh đại diện hiển thị công khai) có thể được truy cập bởi các Người dùng và Khách khác trong cùng hệ thống.

1.2. Người dùng trong cùng hệ thống doanh nghiệp:

Thông tin hoạt động của Người dùng có thể được chia sẻ với Quản trị viên hoặc những người dùng khác trong cùng tổ chức, tùy theo cấu hình quyền truy cập được thiết lập bởi Khách hàng.

1.3. Đối tác cung cấp dịch vụ:

SMART HR có thể chia sẻ dữ liệu với các nhà cung cấp dịch vụ liên quan như lưu trữ, bảo trì hệ thống, phát triển phần mềm,… Các đối tác này chỉ được truy cập dữ liệu trong phạm vi cần thiết để thực hiện dịch vụ và phải tuân thủ nghiêm ngặt các cam kết bảo mật.

1.4. Dữ liệu không định danh:

Chúng tôi có thể chia sẻ dữ liệu đã được tổng hợp hoặc ẩn danh (không thể nhận dạng cá nhân) cho mục đích phân tích, nghiên cứu thị trường hoặc báo cáo tuân thủ.

1.5. Cơ quan nhà nước và yêu cầu pháp lý:

SMART HR có thể tiết lộ thông tin theo yêu cầu của cơ quan có thẩm quyền hoặc để tuân thủ nghĩa vụ pháp lý. Việc tiết lộ cũng có thể thực hiện nhằm bảo vệ quyền và lợi ích hợp pháp của SMART HR hoặc các bên liên quan trong các trường hợp khẩn cấp, khi có hành vi gian lận, vi phạm pháp luật hoặc yêu cầu tố tụng.

1.6. Thay đổi quyền sở hữu:

Trong trường hợp SMART HR tiến hành sáp nhập, chia tách, chuyển nhượng hoặc có sự thay đổi về cơ cấu tổ chức, dữ liệu cá nhân và thông tin của Người dùng, Khách có thể được chuyển giao cho bên nhận kế thừa.

SMART HR cam kết đảm bảo bên nhận dữ liệu có trách nhiệm tuân thủ các nguyên tắc bảo mật và bảo vệ dữ liệu cá nhân với tiêu chuẩn không thấp hơn quy định tại Chính sách này. Việc chuyển giao chỉ được thực hiện khi bên tiếp nhận đã cam kết đáp ứng đầy đủ các điều kiện bảo vệ dữ liệu theo yêu cầu.

2. Quyền và nghĩa vụ của chủ thể dữ liệu:

2.1. Quyền của chủ thể dữ liệu:

SMART HR tôn trọng quyền riêng tư và đảm bảo lợi ích hợp pháp của chủ thể dữ liệu theo quy định pháp luật hiện hành, bao gồm các quyền: được biết, đồng ý, truy cập, rút lại sự đồng ý, xoá dữ liệu, hạn chế xử lý, cung cấp, phản đối xử lý, khiếu nại, yêu cầu bồi thường thiệt hại và tự bảo vệ.

  • Trong trường hợp SMART HR là Bên kiểm soát dữ liệu:

Chủ thể dữ liệu có thể thực hiện quyền của mình thông qua các tính năng có sẵn trên Dịch vụ hoặc gửi yêu cầu trực tiếp qua email: lienhe.smarthr@gmail.com.

SMART HR cam kết xử lý các yêu cầu hợp lệ trong thời hạn tối đa 30 ngày làm việc và sẽ thông báo kết quả đến chủ thể dữ liệu. Trong một số trường hợp do hạn chế kỹ thuật, SMART HR có thể không thể đáp ứng yêu cầu một cách hoàn toàn, nhưng sẽ đảm bảo dữ liệu còn lại không bị truy cập, sử dụng hoặc tiết lộ dưới bất kỳ hình thức nào nếu không có sự đồng ý của chủ thể dữ liệu.

  • Trường hợp SMART HR là Bên xử lý dữ liệu:

Đối với Dữ liệu Khách hàng SMART HR, SMART HR chỉ đóng vai trò xử lý theo yêu cầu từ Khách hàng (là Bên kiểm soát dữ liệu). Việc thực hiện quyền của chủ thể dữ liệu trong trường hợp này sẽ do Khách hàng SMART HR chịu trách nhiệm.

Nếu chủ thể dữ liệu gửi yêu cầu tới SMART HR, SMART HR sẽ hỗ trợ chuyển tiếp yêu cầu đến Khách hàng SMART HR tương ứng để xử lý trong thời gian hợp lý.

2.2. Nghĩa vụ của chủ thể dữ liệu:

Bên cạnh các nghĩa vụ được quy định tại Điều 10 Nghị định 13/2023/NĐ-CP, trong quá trình sử dụng Dịch vụ, Người dùng có trách nhiệm thực hiện các nghĩa vụ sau:

  • Đảm bảo tính chính xác và hợp pháp: Tự chịu trách nhiệm về tính đúng đắn, hợp pháp của mọi thông tin, dữ liệu cá nhân do mình tạo lập, cung cấp và sử dụng trên Dịch vụ.
  • Tuân thủ quy định bảo vệ dữ liệu: Tôn trọng và chấp hành các quy định liên quan đến bảo vệ dữ liệu cá nhân của Bên kiểm soát dữ liệu hoặc Bên xử lý dữ liệu mà mình đã đồng ý chia sẻ thông tin.
  • Tự bảo vệ dữ liệu cá nhân: Chủ động thực hiện các biện pháp bảo vệ và chịu trách nhiệm pháp lý nếu để xảy ra việc khai thác, sử dụng trái phép dữ liệu cá nhân của mình hoặc của bên thứ ba do lỗi của bản thân.
  • Hợp tác xử lý vi phạm: Kịp thời thông báo và phối hợp với SMART HR trong việc phát hiện, ngăn chặn và xử lý các hành vi có dấu hiệu vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

3. Dịch vụ cung cấp bởi bên thứ ba:

Trong quá trình cung cấp Dịch vụ, SMART HR có thể tích hợp các tính năng hoặc liên kết tới các website, nền tảng và dịch vụ do bên thứ ba cung cấp. Việc truy cập và sử dụng các dịch vụ bên thứ ba này là hoàn toàn độc lập với SMART HR.

Mọi thông tin mà Khách hàng SMART HR, Người dùng hoặc Khách cung cấp trực tiếp trên các nền tảng của bên thứ ba sẽ được xử lý và lưu trữ theo chính sách bảo mật và điều khoản sử dụng riêng của bên thứ ba đó. SMART HR không kiểm soát, không chịu trách nhiệm đối với nội dung, chính sách hoặc hành vi xử lý dữ liệu của các bên thứ ba liên quan.

Do đó, trước khi sử dụng hoặc cung cấp dữ liệu cá nhân trên bất kỳ dịch vụ nào của bên thứ ba, Người dùng và Khách được khuyến nghị đọc kỹ các điều khoản và chính sách bảo mật của bên thứ ba tương ứng.

4. Bảo vệ dữ liệu:

SMART HR áp dụng các biện pháp tổ chức và kỹ thuật cần thiết nhằm bảo vệ dữ liệu cá nhân và Dữ liệu Khách hàng đang được xử lý trên SMART HR khỏi những sự cố, thiệt hại, rủi ro thất thoát cũng như các hành vi truy cập, thay đổi, điều chỉnh hoặc tiết lộ trái với quy định pháp luật. Tuy nhiên, do đặc thù của công nghệ truyền tải và lưu trữ điện tử, không biện pháp nào có thể đảm bảo an toàn tuyệt đối.

Việc bảo mật và đảm bảo tính toàn vẹn của dữ liệu Khách hàng được thực hiện dựa trên các Hợp đồng đã ký kết giữa SMART HR và Khách hàng cùng với Điều khoản dịch vụ của SMART HR. Hiện nay, SMART HR triển khai các biện pháp bảo mật và cung cấp các tính năng hỗ trợ Người dùng, Khách hàng chủ động bảo đảm an toàn cho dữ liệu của mình như sau:

4.1. Biện pháp bảo mật của SMART HR:

  • Hạ tầng an toàn:
     Các máy chủ và Dịch vụ của SMART HR được vận hành trên nền tảng điện toán đám mây của các nhà cung cấp uy tín, bao gồm cả Google Cloud Platform, tuân thủ các tiêu chuẩn bảo mật nghiêm ngặt của Google đối với việc lưu trữ dữ liệu.
  • Mã hóa dữ liệu:
     Dữ liệu được mã hóa cả khi lưu trữ (encrypt-at-rest) và khi truyền tải (encrypt-in-transit). Toàn bộ giao tiếp với SMART HR được bảo vệ thông qua giao thức HTTPS (SSL/TLS). Đối với mật khẩu đăng nhập, một lớp bảo vệ bổ sung thông qua cơ chế mã hóa end-to-end được áp dụng nhằm tăng cường bảo mật.

4.2. Tính năng bảo mật do SMART HR cung cấp:

Xác thực đa yếu tố (2FA): Ngoài việc yêu cầu nhập mật khẩu chính xác, Người dùng cần cung cấp thêm mã xác thực được tạo tự động từ điện thoại thông minh hoặc thiết bị điện tử đã đăng ký trước đó, nhằm tăng cường bảo mật truy cập.

Giới hạn truy cập theo IP: Khách hàng có thể thiết lập các dải IP được phép hoặc cấm truy cập vào dịch vụ, giúp kiểm soát và bảo vệ dữ liệu theo yêu cầu của tổ chức.

Tích hợp Single – Sign – On (SSO): Tích hợp đăng nhập một lần qua các tài khoản Google, Microsoft hoặc thông qua giao thức SAML 2.0, giúp quản trị viên dễ dàng quản lý và kiểm soát quyền truy cập của thành viên trong tổ chức.

Trong trường hợp phát hiện có dấu hiệu xâm phạm an toàn dữ liệu cá nhân, người dùng hoặc chủ thể dữ liệu vui lòng liên hệ theo thông tin được cung cấp tại mục “Liên hệ SMART HR”. Nếu SMART HR  phát hiện hành vi vi phạm bảo mật, chúng tôi cam kết thông báo kịp thời đến Chủ thể dữ liệu và trình báo vụ việc cho cơ quan chức năng có thẩm quyền theo quy định pháp luật.

4.3. Hậu quả, thiệt hại không mong muốn xảy ra:

Mặc dù SMART HR đã áp dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp nhằm bảo vệ dữ liệu cá nhân và dữ liệu Khách hàng, các rủi ro về mất an toàn thông tin vẫn có thể phát sinh do những yếu tố nằm ngoài khả năng kiểm soát của SMART HR.

Các rủi ro và hậu quả tiềm ẩn bao gồm nhưng không giới hạn:

  • (i) Lỗi kỹ thuật phát sinh trong quá trình lưu trữ, truyền tải hoặc xử lý dữ liệu;
  • (ii) Lỗ hổng bảo mật hoặc hành vi tấn công trái phép từ các đối tượng xấu;
  • (iii) Sự kiện bất khả kháng như thiên tai, hỏa hoạn, sự cố hạ tầng;
  • (iv) Các rủi ro chưa thể lường trước tại thời điểm dữ liệu được xử lý.

Trong những trường hợp trên, SMART HR cam kết:

  • Chủ động phát hiện và xử lý sự cố trong thời gian sớm nhất;
  • Thông báo kịp thời tới các bên liên quan, bao gồm Khách hàng SMART HR, Người dùng và Cơ quan có thẩm quyền theo quy định pháp luật;
  • Triển khai các biện pháp khắc phục và ngăn ngừa nhằm hạn chế tối đa thiệt hại có thể xảy ra;
  • Bảo vệ quyền và lợi ích hợp pháp của Chủ thể dữ liệu trong phạm vi trách nhiệm của mình.

5. Lưu trữ dữ liệu:

SMART HR chỉ lưu trữ dữ liệu cá nhân được thu thập từ Người dùng trong thời gian tài khoản của Người dùng trên Dịch vụ vẫn còn hoạt động, hoặc trong thời hạn cần thiết để thực hiện các mục đích thu thập dữ liệu như đã thông báo, trừ khi có quy định khác trong Điều khoản dịch vụ của SMART HR hoặc theo yêu cầu của pháp luật.

SMART HR  không sở hữu bất kỳ dữ liệu hay nội dung nào do Người dùng, Khách hàng SMART HR hoặc Khách đăng tải, nhập liệu hoặc chia sẻ thông qua Dịch vụ. Việc lưu trữ và xử lý các dữ liệu này chỉ được thực hiện nhằm mục đích cung cấp, duy trì và cải tiến Dịch vụ theo đúng thỏa thuận giữa SMART HR và Khách hàng.

6. Chuyển dữ liệu:

SMART HR có thể tiến hành chuyển, xử lý và lưu trữ dữ liệu cá nhân thu thập được thông qua Dịch vụ tại các cơ sở dữ liệu tập trung hoặc máy chủ do bên thứ ba cung cấp, hiện đang đặt tại Việt Nam.

Trong trường hợp dữ liệu cá nhân được chuyển ra nước ngoài hoặc từ nước ngoài về Việt Nam, SMART HR cam kết tuân thủ đầy đủ các quy định pháp luật hiện hành liên quan đến hoạt động chuyển dữ liệu xuyên biên giới, đồng thời đảm bảo rằng dữ liệu tiếp tục được bảo vệ theo đúng nội dung của Chính sách bảo mật này.

Hiện tại, dữ liệu của Khách hàng SMART HR – bao gồm cả dữ liệu cá nhân – đang được lưu trữ tại nền tảng Google Cloud Platform (GCP) đặt tại Singapore và các máy chủ tại Việt Nam.

7. Cập nhật và điều chỉnh Chính sách:

SMART HR có thể tiến hành cập nhật, điều chỉnh nội dung của Chính sách bảo mật này tùy từng thời điểm, dựa trên tình hình thực tế triển khai, yêu cầu kỹ thuật, yêu cầu pháp lý và các yếu tố liên quan khác.

Trong trường hợp việc cập nhật dẫn đến thay đổi đáng kể hoặc ảnh hưởng đến các điều khoản quan trọng của Chính sách, SMART HR sẽ gửi thông báo đến toàn bộ Khách hàng SMART HR, Người dùng và Khách trước khi chính thức áp dụng. Các hình thức thông báo có thể bao gồm: đăng tải trên website chính thức của SMART HR, thông báo trực tiếp qua Dịch vụ, email hoặc các phương thức liên hệ phù hợp khác. Đồng thời, SMART HR sẽ nêu rõ thời điểm có hiệu lực của từng phiên bản chính sách.

Việc tiếp tục sử dụng Dịch vụ sau khi Chính sách được cập nhật đồng nghĩa với việc Khách hàng SMART HR, Người dùng và Khách đã đọc, hiểu rõ và đồng ý với các nội dung, điều khoản tại phiên bản chính sách mới nhất.

SMART HR khuyến nghị Khách hàng SMART HR, Người dùng và Khách thường xuyên kiểm tra, theo dõi các cập nhật mới của Chính sách để đảm bảo hiểu rõ quyền lợi và nghĩa vụ liên quan đến việc thu thập, xử lý thông tin, dữ liệu cá nhân.