CHÍNH SÁCH BẢO MẬT & BẢO VỆ DỮ LIỆU CÁ NHÂN
1. Lời giới thiệu & Cam kết
Công ty Cổ phần Vận tải và Giải pháp Công nghệ QT Việt Nam (sau đây gọi là "QT Việt Nam", "Công ty" hoặc "Chúng tôi") tôn trọng và bảo vệ quyền riêng tư của Quý khách. Chính sách này giải thích chúng tôi thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của Quý khách như thế nào.
Việc Quý khách sử dụng website, ứng dụng hoặc dịch vụ của Công ty đồng nghĩa với việc Quý khách đã đọc, hiểu và đồng ý với toàn bộ nội dung Chính sách này.
2. Định nghĩa & Giải thích thuật ngữ
Các thuật ngữ sau được hiểu theo Nghị định 13/2023/NĐ-CP:
- Dữ liệu cá nhân (DLCN): thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
- DLCN cơ bản: họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, email, số CCCD/CMND, hình ảnh, v.v. (Điều 2.3 NĐ 13/2023).
- DLCN nhạy cảm: dữ liệu về sức khỏe, tài chính, vị trí địa lý chính xác, thông tin sinh trắc học, xu hướng giới tính, v.v. (Điều 2.4 NĐ 13/2023).
- Chủ thể dữ liệu: cá nhân được DLCN phản ánh.
- Bên Kiểm soát DLCN: tổ chức/cá nhân quyết định mục đích và phương tiện xử lý DLCN — trong phạm vi Chính sách này là QT Việt Nam.
- Bên Xử lý DLCN: tổ chức/cá nhân xử lý DLCN theo ủy quyền của Bên Kiểm soát.
- Xử lý DLCN: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chuyển giao, xóa, hủy.
- Sự đồng ý: được thể hiện bằng văn bản, giọng nói, đánh dấu chọn, cú pháp đồng ý qua tin nhắn, chọn cài đặt kỹ thuật đồng ý hoặc hành vi khác thể hiện rõ ràng.
3. Phạm vi áp dụng
Chính sách này áp dụng cho:
- Mọi khách truy cập website qtsoftvn.com và các tên miền con.
- Khách hàng đặt dịch vụ vận chuyển qua website, ứng dụng, hotline, email hoặc kênh khác.
- Đối tác, nhà cung cấp, ứng viên tuyển dụng có DLCN được Công ty thu thập, lưu trữ.
- Nhân viên, cộng tác viên trong phạm vi xử lý DLCN nội bộ.
Chính sách này không áp dụng đối với website, dịch vụ của bên thứ ba mà Quý khách có thể truy cập qua đường liên kết trên website của chúng tôi. Quý khách vui lòng đọc chính sách bảo mật riêng của các bên đó.
4. Dữ liệu cá nhân chúng tôi thu thập
| Loại dữ liệu | Thông tin cụ thể | Phân loại |
|---|---|---|
| Thông tin định danh | Họ tên, ngày sinh, giới tính, số CCCD/CMND, ảnh đại diện | Cơ bản |
| Thông tin liên hệ | Số điện thoại, email, địa chỉ giao – nhận hàng, địa chỉ thường trú | Cơ bản |
| Thông tin đơn hàng | Loại hàng, khối lượng, kích thước, giá trị khai báo, lịch sử đặt dịch vụ | Cơ bản |
| Thông tin thanh toán | Tên ngân hàng, số tài khoản, mã giao dịch, lịch sử thanh toán (không lưu mật khẩu / mã PIN / CVV) | Cơ bản |
| Thông tin tài chính | Hạn mức công nợ (khách hàng doanh nghiệp), MST | Nhạy cảm |
| Dữ liệu vị trí | Tọa độ GPS tại thời điểm đặt / theo dõi đơn hàng (chỉ khi Quý khách cho phép) | Nhạy cảm |
| Dữ liệu kỹ thuật | Địa chỉ IP, loại trình duyệt, hệ điều hành, thiết bị, cookies, hành vi duyệt web | Cơ bản |
| Dữ liệu tương tác | Nội dung khiếu nại, đánh giá, tin nhắn chat hỗ trợ, ghi âm cuộc gọi (có thông báo trước) | Cơ bản |
5. Mục đích xử lý dữ liệu
Chúng tôi xử lý DLCN cho các mục đích sau:
- Thực hiện hợp đồng vận chuyển: tiếp nhận đơn, điều phối xe, giao – nhận hàng, theo dõi tiến độ, ký Biên bản giao hàng.
- Liên lạc & Chăm sóc khách hàng: thông báo trạng thái đơn, xác minh thông tin, giải đáp thắc mắc, xử lý khiếu nại.
- Thanh toán & Kế toán: xử lý giao dịch, phát hành hóa đơn GTGT, đối soát công nợ, lưu trữ chứng từ kế toán theo Luật Kế toán.
- Cải thiện dịch vụ: phân tích hành vi, tối ưu trải nghiệm website, nâng cấp sản phẩm (dữ liệu được ẩn danh khi có thể).
- Tiếp thị & Khuyến mãi: gửi email/SMS thông báo chương trình ưu đãi — chỉ thực hiện khi Quý khách đã đồng ý và có thể từ chối bất kỳ lúc nào.
- An toàn & Phòng chống gian lận: phát hiện tài khoản giả mạo, gian lận thanh toán, hành vi vi phạm Điều khoản dịch vụ.
- Tuân thủ pháp luật: cung cấp thông tin cho cơ quan nhà nước có thẩm quyền theo yêu cầu hợp pháp, lưu trữ hóa đơn theo Luật Kế toán, Luật Quản lý thuế.
6. Cơ sở pháp lý của việc xử lý
Theo Điều 11 và Điều 17 NĐ 13/2023, chúng tôi xử lý DLCN dựa trên một trong các cơ sở sau:
- Sự đồng ý của chủ thể dữ liệu (đối với phần lớn hoạt động marketing, cookies không thiết yếu).
- Để thực hiện hợp đồng mà chủ thể dữ liệu là một bên (đặt dịch vụ vận chuyển).
- Tuân thủ nghĩa vụ pháp lý của Bên Kiểm soát (kế toán, thuế, an ninh mạng).
- Bảo vệ lợi ích sống còn của chủ thể dữ liệu trong tình huống khẩn cấp (sự cố giao thông).
- Bảo vệ quyền và lợi ích hợp pháp của Công ty và bên thứ ba (phòng chống gian lận, bảo vệ pháp lý).
7. Cách thức thu thập
7.1. Thu thập trực tiếp từ Quý khách
- Khi Quý khách đăng ký tài khoản, đặt dịch vụ qua website / ứng dụng / hotline / email.
- Khi Quý khách điền form liên hệ, đánh giá, khảo sát.
- Khi Quý khách trò chuyện với nhân viên hỗ trợ (chat, gọi điện — có ghi âm sau khi thông báo).
7.2. Thu thập tự động
- Cookies, công nghệ tracking khi Quý khách truy cập website (chi tiết tại Điều 14).
- Log truy cập máy chủ, dữ liệu thiết bị.
7.3. Thu thập từ bên thứ ba hợp pháp
- Đối tác cung cấp dịch vụ thanh toán (xác minh giao dịch).
- Cơ quan đăng ký kinh doanh (xác minh thông tin khách hàng doanh nghiệp).
- Đối tác giới thiệu (có sự đồng ý của Quý khách).
8. Chia sẻ với bên thứ ba
Chúng tôi có thể chia sẻ DLCN của Quý khách trong các trường hợp sau, với cam kết bên nhận tuân thủ tiêu chuẩn bảo mật tương đương:
| Đối tượng nhận | Mục đích | Phạm vi DLCN |
|---|---|---|
| Lái xe, đội bốc xếp, kho bãi | Thực hiện giao – nhận hàng | Tên, SĐT, địa chỉ giao/nhận |
| Đối tác thanh toán (ngân hàng, ví điện tử) | Xử lý giao dịch | Tên, mã giao dịch, số tiền |
| Đơn vị bảo hiểm | Cấp đơn & xử lý bồi thường | Tên, thông tin hàng hóa, giá trị |
| Nhà cung cấp hạ tầng CNTT (hosting, cloud, CDN) | Lưu trữ, vận hành hệ thống | Toàn bộ dữ liệu được mã hóa |
| Đơn vị kiểm toán, tư vấn pháp lý | Tuân thủ pháp luật, kiểm toán định kỳ | Theo phạm vi yêu cầu |
| Cơ quan nhà nước có thẩm quyền | Theo yêu cầu hợp pháp bằng văn bản | Theo phạm vi yêu cầu |
9. Chuyển dữ liệu xuyên biên giới
Một số nhà cung cấp dịch vụ kỹ thuật của chúng tôi (cloud storage, email marketing, analytics) có thể đặt máy chủ ngoài lãnh thổ Việt Nam. Trong trường hợp này:
- Chúng tôi tuân thủ Chương V Nghị định 13/2023 về chuyển DLCN ra nước ngoài.
- Lập Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài và gửi Bộ Công an (Cục An ninh mạng & PCTP CN cao) trong vòng 60 ngày kể từ ngày bắt đầu xử lý.
- Bảo đảm bên tiếp nhận có biện pháp bảo vệ DLCN tương đương hoặc cao hơn pháp luật Việt Nam.
- Có cơ chế giải quyết khiếu nại, tranh chấp đối với bên tiếp nhận.
10. Thời gian lưu trữ
DLCN được lưu trữ trong khoảng thời gian cần thiết để đạt được mục đích xử lý, hoặc theo quy định pháp luật:
- Dữ liệu tài khoản & đơn hàng: trong suốt thời gian tài khoản hoạt động + 02 năm sau khi đóng tài khoản.
- Chứng từ kế toán, hóa đơn: tối thiểu 10 năm theo Điều 41 Luật Kế toán 2015.
- Hồ sơ thuế: theo Luật Quản lý thuế (tối thiểu 5–10 năm).
- Log truy cập, dữ liệu kỹ thuật: tối đa 12 tháng.
- Ghi âm cuộc gọi: tối đa 06 tháng, trừ trường hợp cần làm bằng chứng giải quyết tranh chấp.
- DLCN cho mục đích marketing: đến khi Quý khách rút lại sự đồng ý.
Sau thời hạn lưu trữ, chúng tôi sẽ xóa hoặc ẩn danh hóa dữ liệu theo quy trình bảo mật.
11. Quyền của chủ thể dữ liệu
Theo Điều 9 Nghị định 13/2023/NĐ-CP, Quý khách có 11 quyền sau đối với DLCN của mình:
12. Thủ tục thực hiện quyền
- Quý khách gửi yêu cầu bằng văn bản (qua email tới [email protected] hoặc văn bản gửi trụ sở Công ty) kèm thông tin xác minh nhân thân.
- Chúng tôi xác minh danh tính trong vòng 03 ngày làm việc.
- Phản hồi & xử lý yêu cầu trong vòng 72 giờ kể từ khi xác minh, theo Điều 14 NĐ 13/2023.
13. Biện pháp bảo mật & An toàn
Chúng tôi áp dụng các biện pháp kỹ thuật, quản lý và vật lý phù hợp để bảo vệ DLCN:
13.1. Biện pháp kỹ thuật
- Mã hóa dữ liệu khi truyền tải (TLS/SSL) và khi lưu trữ (AES-256 hoặc tương đương).
- Mật khẩu được băm (hash) với thuật toán mạnh, không lưu mật khẩu dạng rõ.
- Xác thực 2 lớp (2FA) cho tài khoản quản trị nội bộ.
- Firewall, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS).
- Sao lưu định kỳ và kiểm tra khả năng phục hồi.
- Phân quyền truy cập theo nguyên tắc tối thiểu (Least Privilege).
- Ghi nhật ký truy cập (audit log) và giám sát bất thường.
13.2. Biện pháp quản lý
- Ký NDA với toàn bộ nhân viên có quyền tiếp cận DLCN.
- Đào tạo định kỳ về bảo vệ DLCN cho nhân viên.
- Đánh giá tác động xử lý DLCN (DPIA) đối với hoạt động xử lý nhạy cảm.
- Rà soát chính sách định kỳ, ít nhất 1 lần/năm.
14. Cookies & Công nghệ theo dõi
Website của chúng tôi sử dụng cookies và công nghệ tương tự để cải thiện trải nghiệm. Có 3 nhóm cookies:
- Cookies thiết yếu (Strictly necessary): không thể tắt — phục vụ đăng nhập, giỏ hàng, bảo mật phiên.
- Cookies hiệu năng & phân tích: Google Analytics, log lỗi — chỉ kích hoạt khi Quý khách đồng ý.
- Cookies tiếp thị: retargeting quảng cáo — chỉ kích hoạt khi Quý khách đồng ý.
Quý khách có thể quản lý cookies trong cài đặt trình duyệt (Chrome, Firefox, Safari, Edge), hoặc xóa cookies đã lưu. Việc tắt cookies thiết yếu có thể ảnh hưởng tới chức năng website.
15. Dữ liệu trẻ em
Theo Điều 20 NĐ 13/2023, dịch vụ của chúng tôi không hướng tới người dưới 16 tuổi. Chúng tôi không cố ý thu thập DLCN của trẻ em mà không có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp.
Trường hợp phát hiện đã thu thập DLCN của trẻ em mà không có sự đồng ý hợp pháp, chúng tôi sẽ xóa ngay khi nhận được thông báo. Cha mẹ/người giám hộ có thể liên hệ qua email tại Điều 18 để yêu cầu rà soát hoặc xóa.
16. Xử lý vi phạm & Thông báo sự cố
Trong trường hợp xảy ra sự cố vi phạm dữ liệu cá nhân:
- Chúng tôi sẽ thông báo cho Bộ Công an (Cục A05) trong vòng 72 giờ kể từ khi phát hiện, theo Điều 23 NĐ 13/2023.
- Thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời gian sớm nhất qua email/SMS, nêu rõ phạm vi vi phạm, hậu quả có thể, biện pháp khắc phục.
- Triển khai biện pháp khẩn cấp để hạn chế thiệt hại.
- Hợp tác với cơ quan chức năng để điều tra và xử lý theo quy định pháp luật.
17. Sửa đổi chính sách
Chính sách này có thể được sửa đổi để phù hợp với pháp luật và hoạt động kinh doanh. Phiên bản mới sẽ được đăng tải trên website kèm ngày hiệu lực.
Đối với thay đổi có ảnh hưởng đáng kể đến quyền của chủ thể dữ liệu (mở rộng mục đích xử lý, bổ sung loại DLCN…), chúng tôi sẽ thông báo trước ít nhất 15 ngày qua email/SMS và xin lại sự đồng ý nếu cần.
Việc Quý khách tiếp tục sử dụng dịch vụ sau ngày hiệu lực của phiên bản mới được coi là đã chấp nhận chính sách mới.
18. Liên hệ DPO & Khiếu nại
Mọi câu hỏi, yêu cầu thực hiện quyền hoặc khiếu nại liên quan đến dữ liệu cá nhân, vui lòng liên hệ Bộ phận Bảo vệ Dữ liệu (DPO):
CÔNG TY CỔ PHẦN VẬN TẢI VÀ GIẢI PHÁP CÔNG NGHỆ QT VIỆT NAMMã số thuế: 0110471594
Địa chỉ: Số 46 đường Phú Đô, Phường Từ Liêm, Hà Nội
Email DPO: [email protected]
Hotline khiếu nại: 0396 222 879 (Mr. Linh)
Website: qtsoftvn.com
Thời gian phản hồi yêu cầu: tối đa 72 giờ kể từ khi xác minh danh tính (theo Điều 14 NĐ 13/2023). Thời gian giải quyết khiếu nại: tối đa 03 ngày làm việc.
