Chính sách bảo vệ dữ liệu
I. Giới thiệu
Công ty TNHH Công nghệ TLA (sau đây gọi là "TLA" hoặc "chúng tôi") là chủ sở hữu và nhà phát triển nền tảng phần mềm quản lý nhân sự trên nền tảng Cloud/SaaS mang tên GOHR. Chúng tôi hiểu rằng việc bảo vệ quyền riêng tư và dữ liệu cá nhân của Quý Khách hàng và người dùng cuối là vô cùng quan trọng. Chính sách này mô tả cách chúng tôi thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân của bạn, tuân thủ các quy định của pháp luật Việt Nam, đặc biệt là Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
II. Định nghĩa và trách nhiệm
- Dữ liệu cá nhân: Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể.
- Chủ thể dữ liệu: Là cá nhân mà dữ liệu cá nhân đó được gắn liền. Trong chính sách này, chủ thể dữ liệu có thể là Khách hàng Doanh nghiệp (người liên hệ, người quản trị hệ thống) hoặc Người dùng cuối (nhân viên của Khách hàng Doanh nghiệp).
- Bên xử lý dữ liệu: Là Công ty TNHH Công nghệ TLA, chịu trách nhiệm xử lý dữ liệu theo chỉ dẫn của Khách hàng Doanh nghiệp. Chúng tôi thực hiện việc xử lý dữ liệu nhân viên (người dùng cuối) thay mặt cho Khách hàng Doanh nghiệp.
- Bên kiểm soát dữ liệu: Là Khách hàng Doanh nghiệp, người quyết định mục đích và phương tiện xử lý dữ liệu cá nhân của nhân viên của họ. Khách hàng Doanh nghiệp chịu trách nhiệm chính về tính hợp pháp và tính chính xác của dữ liệu cá nhân mà họ cung cấp cho chúng tôi để xử lý.
III. Các loại dữ liệu chúng tôi thu thập
Chúng tôi thu thập các loại dữ liệu cá nhân sau đây để cung cấp và cải thiện các dịch vụ GOHR:
- Thông tin từ Khách hàng Doanh nghiệp:
- Thông tin chung của công ty: Tên công ty, địa chỉ, mã số thuế, lĩnh vực hoạt động, số lượng nhân viên.
- Thông tin liên hệ: Tên người liên hệ, chức danh, địa chỉ email, số điện thoại.
- Thông tin về nhu cầu sử dụng: Các mô-đun và tính năng mà doanh nghiệp quan tâm.
- Dữ liệu khảo sát trước triển khai: Các dữ liệu chi tiết về hồ sơ nhân sự, chấm công, tính lương, và các hệ thống hiện tại đang sử dụng.
- Dữ liệu cá nhân của Người dùng cuối (nhân viên của Khách hàng):
- Thông tin cơ bản: Họ và tên, ngày tháng năm sinh, giới tính, địa chỉ, số CCCD/CMND, quốc tịch.
- Thông tin công việc: Chức danh, phòng ban, mã nhân viên, ngày vào làm.
- Thông tin liên quan đến hợp đồng lao động: Loại hợp đồng, thời hạn hợp đồng.
- Thông tin tài chính và bảo hiểm: Số tài khoản ngân hàng, lương, phụ cấp, thông tin BHXH, mã số thuế cá nhân.
- Dữ liệu liên quan đến chấm công và hiệu suất: Dữ liệu chấm công (thời gian ra/vào), thông tin nghỉ phép, làm thêm giờ, kết quả OKR, đánh giá hiệu suất.
- Dữ liệu sinh trắc học và vị trí: Dữ liệu từ máy chấm công (vân tay, nhận diện khuôn mặt), dữ liệu GPS (đối với tính năng chấm công qua ứng dụng di động) được thu thập và xử lý theo sự đồng ý của chủ thể dữ liệu và chỉ thị của Khách hàng Doanh nghiệp.
IV. Mục đích xử lý dữ liệu cá nhân
Chúng tôi chỉ xử lý dữ liệu cá nhân để phục vụ các mục đích đã được xác định rõ ràng, cụ thể và hợp pháp, bao gồm:
- Thực hiện hợp đồng dịch vụ: Triển khai, vận hành và duy trì nền tảng GOHR, cung cấp các tính năng quản lý nhân sự, chấm công, tính lương và các mô-đun khác theo yêu cầu của Khách hàng Doanh nghiệp.
- Cải thiện và phát triển sản phẩm: Phân tích dữ liệu ẩn danh để hiểu hành vi người dùng, nâng cấp tính năng, đảm bảo hệ thống tuân thủ các quy định pháp luật mới về lao động và thuế.
- Hỗ trợ và chăm sóc khách hàng: Cung cấp tư vấn, giải đáp thắc mắc và hỗ trợ kỹ thuật.
- Tuân thủ pháp luật: Xử lý dữ liệu khi có yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền hoặc để tuân thủ các quy định về kế toán, thuế và bảo hiểm.
V. Quyền và nghĩa vụ của chủ thể dữ liệu và Khách hàng Doanh nghiệp
1. Quyền của Chủ thể dữ liệu (theo Nghị định 13/2023/NĐ-CP):
- Quyền được biết: Chủ thể dữ liệu có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình.
- Quyền đồng ý: Chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ một số trường hợp được quy định bởi pháp luật.
- Quyền truy cập: Chủ thể dữ liệu có quyền yêu cầu truy cập để xem, chỉnh sửa hoặc yêu cầu cung cấp bản sao dữ liệu cá nhân của mình.
- Quyền xóa: Chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
- Quyền hạn chế xử lý: Chủ thể dữ liệu có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác.
- Quyền phản đối xử lý: Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
2. Trách nhiệm của Khách hàng Doanh nghiệp:
- Khách hàng Doanh nghiệp có trách nhiệm chính trong việc thông báo, xin ý kiến và nhận được sự đồng ý của nhân viên (người dùng cuối) về việc thu thập và cung cấp dữ liệu cá nhân của họ cho TLA.
- Khách hàng Doanh nghiệp đảm bảo rằng họ có quyền hợp pháp để cung cấp dữ liệu cá nhân của nhân viên cho chúng tôi theo mục đích đã được thỏa thuận.
3. Trách nhiệm của TLA:
- TLA cam kết tuân thủ các chỉ thị của Khách hàng Doanh nghiệp trong việc xử lý dữ liệu cá nhân của người dùng cuối.
- TLA có trách nhiệm thực hiện các biện pháp an toàn và bảo mật dữ liệu, thông báo cho Khách hàng Doanh nghiệp nếu phát hiện vi phạm liên quan đến dữ liệu cá nhân.
VI. Chia sẻ và tiết lộ thông tin
Chúng tôi cam kết không bán, cho thuê hoặc trao đổi dữ liệu cá nhân của bạn. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp sau, với sự kiểm soát chặt chẽ:
- Với các bên xử lý dữ liệu độc lập: Chúng tôi có thể sử dụng các đối tác cung cấp dịch vụ lưu trữ đám mây như Microsoft Azure, Amazon AWS để lưu trữ dữ liệu. Các đối tác này phải tuân thủ các tiêu chuẩn bảo mật cao và cam kết bảo mật thông tin theo hợp đồng.
- Tích hợp hệ thống bên thứ ba: Chúng tôi cung cấp các API để Khách hàng Doanh nghiệp tự tích hợp với các hệ thống khác (ví dụ: ERP, phần mềm kế toán). Việc chia sẻ dữ liệu trong trường hợp này do Khách hàng Doanh nghiệp chủ động và chịu trách nhiệm.
- Trong trường hợp chuyển giao kinh doanh: Dữ liệu cá nhân có thể được chuyển giao như một phần của giao dịch mua bán, sáp nhập. Trong trường hợp này, chúng tôi sẽ thông báo cho chủ thể dữ liệu và đảm bảo bên nhận dữ liệu cam kết tuân thủ chính sách bảo mật tương tự.
- Theo yêu cầu của pháp luật: Chúng tôi sẽ cung cấp dữ liệu cá nhân khi có yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền.
VII. An toàn và bảo mật dữ liệu
Chúng tôi đã triển khai các biện pháp kỹ thuật và tổ chức mạnh mẽ để bảo vệ dữ liệu cá nhân khỏi sự truy cập trái phép, sử dụng sai mục đích, tiết lộ, thay đổi hoặc phá hủy, bao gồm:
- Mã hóa: Toàn bộ dữ liệu truyền tải giữa trình duyệt của bạn và máy chủ GOHR được mã hóa bằng giao thức SSL/TLS.
- Kiến trúc Multi-tenant: Dữ liệu của mỗi khách hàng được cách ly hoàn toàn để đảm bảo không có sự rò rỉ hoặc nhầm lẫn giữa các doanh nghiệp.
- Kiểm soát truy cập: Phân quyền truy cập chi tiết, chính sách mật khẩu mạnh mẽ và xác thực hai yếu tố (nếu cần) được áp dụng.
- Giám sát và kiểm tra định kỳ: Chúng tôi thường xuyên rà soát và đánh giá các biện pháp bảo mật để đảm bảo hiệu quả.
VIII. Thời gian lưu trữ dữ liệu
Chúng tôi lưu trữ dữ liệu cá nhân của bạn trong khoảng thời gian cần thiết để thực hiện các mục đích đã nêu hoặc theo yêu cầu của Khách hàng Doanh nghiệp. Khi hợp đồng dịch vụ kết thúc hoặc khi Khách hàng Doanh nghiệp yêu cầu, dữ liệu sẽ được xóa một cách an toàn và vĩnh viễn khỏi hệ thống của chúng tôi.
IX. Thay đổi chính sách
Chúng tôi có quyền cập nhật chính sách này bất kỳ lúc nào để phản ánh những thay đổi trong hoạt động xử lý dữ liệu hoặc các quy định pháp luật. Chúng tôi sẽ thông báo cho bạn về những thay đổi quan trọng bằng cách đăng chính sách đã sửa đổi trên trang web của chúng tôi hoặc thông qua các kênh liên lạc phù hợp khác.
X. Liên hệ
Nếu bạn có bất kỳ câu hỏi nào về chính sách này hoặc muốn thực hiện quyền của mình với tư cách là chủ thể dữ liệu, vui lòng liên hệ với chúng tôi:
- Công ty TNHH Công nghệ TLA
- Địa chỉ: Tầng 2, số 1-Lô 1E, KĐT Trung Yên, P. Trung Hòa, Q. Cầu Giấy, TP. Hà Nội
- Email: info@tlavietnam.vn
- Điện thoại: (+84) 904 355 168
- Website: www.gohr.vn
