CHÍNH SÁCH XỬ LÝ THÔNG TIN CÁ NHÂN Xinh+
Điều 1 (Mục đích của Chính sách xử lý thông tin cá nhân)
Công ty Cổ phần Xinh Plus (sau đây gọi là “Công ty”) coi trọng thông tin cá nhân của người dùng trong quá trình vận hành dịch vụ Xinh+ (sau đây gọi là “Dịch vụ”), và nỗ lực tuân thủ các quy định pháp luật liên quan như Luật Bảo vệ dữ liệu cá nhân, Luật Mạng viễn thông, Luật An ninh mạng và các quy định khác của Việt Nam. Thông qua Chính sách xử lý thông tin cá nhân này, Công ty hướng dẫn người dùng về các hạng mục thông tin cá nhân được thu thập, mục đích thu thập và sử dụng, thời gian xử lý và lưu giữ, cung cấp cho bên thứ ba và các vấn đề khác liên quan đến bảo vệ thông tin cá nhân của người dùng.
Điều 2 (Hạng mục thông tin cá nhân thu thập và phương pháp thu thập)
1. Hạng mục thông tin cá nhân thu thập
① Thông tin thu thập khi đăng ký thành viên
- Thông tin bắt buộc: Ngày tháng năm sinh, giới tính, số điện thoại di động, địa chỉ email, mật khẩu, thông tin tài khoản mạng xã hội (khi đăng ký thành viên bằng tài khoản mạng xã hội)
- Thông tin tùy chọn: Phương pháp điều trị quan tâm, phương pháp làm đẹp quan tâm, khu vực
② Thông tin thu thập khi gửi yêu cầu đến cơ sở y tế
- Thông tin người gửi yêu cầu: Tên, địa chỉ email, số điện thoại di động
- Thông tin liên quan đến yêu cầu: Tên cơ sở y tế được yêu cầu, thông tin tư vấn/điều trị mong muốn, hình ảnh, giá dịch vụ, thông tin đặc biệt (tùy chọn)
③ Thông tin được tạo ra trong quá trình sử dụng dịch vụ
Lịch sử sử dụng dịch vụ, nhật ký truy cập, thông tin IP, cookie, thông tin thiết bị di động (giá trị nhận dạng thiết bị, thông tin hệ điều hành, v.v.), thông tin vị trí (tùy chọn)
④ Thông tin thu thập bổ sung đối với thành viên là cơ sở y tế
- Thông tin cơ sở y tế: Tên cơ sở y tế, mã số đăng ký kinh doanh, giấy phép thành lập cơ sở y tế, tên người đại diện, địa chỉ cơ sở kinh doanh, số điện thoại
- Thông tin người phụ trách: Tên, bộ phận, chức vụ, email, số điện thoại di động
2. Phương pháp thu thập thông tin cá nhân
Công ty thu thập thông tin cá nhân bằng các phương pháp sau:
- Thu thập thông qua sự tham gia tích cực của người dùng như đăng ký thành viên, sử dụng dịch vụ, tham gia sự kiện, gửi yêu cầu, v.v.
- Cung cấp từ đối tác liên kết, cơ sở y tế
- Thu thập tự động thông qua công cụ thu thập thông tin được tạo ra (chương trình phân tích nhật ký, cookie, v.v.)
Điều 3 (Mục đích thu thập và sử dụng thông tin cá nhân)
Công ty sử dụng thông tin cá nhân đã thu thập cho các mục đích sau:
1. Cung cấp dịch vụ và thực hiện hợp đồng
- Quản lý thành viên và cung cấp dịch vụ
- Cung cấp dịch vụ tiếp nhận yêu cầu gửi đến cơ sở y tế
- Cung cấp nội dung
- Nhận dạng người dùng và xác minh danh tính
2. Cải thiện và phát triển dịch vụ
- Phân tích thống kê sử dụng dịch vụ
- Cải thiện dịch vụ và phát triển dịch vụ mới
- Xác định tần suất truy cập và thống kê về việc sử dụng dịch vụ
3. Tiếp thị và quảng cáo
- Cung cấp thông tin sự kiện và cơ hội tham gia
- Thông báo về dịch vụ mới và dịch vụ được cá nhân hóa
- Cung cấp thông tin quảng cáo (khi đồng ý nhận thông tin tiếp thị)
4. Tuân thủ pháp luật
- Thực hiện nghĩa vụ theo quy định pháp luật liên quan
- Giải quyết tranh chấp và xử lý khiếu nại
Điều 4 (Thời gian lưu giữ và sử dụng thông tin cá nhân)
1. Nguyên tắc chung
Theo nguyên tắc, Công ty sẽ hủy thông tin cá nhân của người dùng ngay khi mục đích thu thập và sử dụng thông tin cá nhân đã đạt được. Tuy nhiên, những thông tin sau đây sẽ được bảo quản trong thời gian quy định vì lý do nêu dưới đây.
① Lưu giữ thông tin theo chính sách nội bộ của Công ty
- Hồ sơ sử dụng bất chính: 1 năm sau khi rút tên thành viên
- Hồ sơ xử lý khiếu nại và giải quyết tranh chấp: 3 năm sau khi rút tên thành viên
② Lưu giữ thông tin theo quy định pháp luật liên quan
- Hồ sơ liên quan đến hợp đồng hoặc rút lại đề nghị giao kết hợp đồng: 5 năm (theo Luật Thương mại điện tử)
- Hồ sơ về khiếu nại của người tiêu dùng hoặc giải quyết tranh chấp: 3 năm (theo Luật Bảo vệ người tiêu dùng)
- Nhật ký đăng nhập: 3 tháng (theo Luật An ninh mạng)
2. Chế độ thời hạn hiệu lực thông tin cá nhân
Theo Luật Mạng viễn thông, Công ty lưu trữ riêng biệt và bảo quản an toàn thông tin cá nhân của thành viên không sử dụng dịch vụ trong vòng 1 năm. Thông tin cá nhân được lưu trữ riêng biệt sẽ bị hủy sau thời gian lưu giữ theo nghĩa vụ bảo quản theo quy định pháp luật. Người dùng sẽ nhận được thông báo qua email và các phương tiện khác trước khi hết thời hạn hiệu lực thông tin cá nhân, và nếu tiếp tục không sử dụng dịch vụ sau khi được thông báo, tài khoản sẽ được chuyển sang trạng thái không hoạt động.
Điều 5 (Quy trình và phương pháp hủy thông tin cá nhân)
1. Quy trình hủy
Công ty sẽ hủy ngay lập tức thông tin cá nhân đã hết thời hạn lưu giữ hoặc đã đạt được mục đích xử lý. Quy trình hủy như sau:
- Thông tin mà người dùng đã nhập để đăng ký thành viên, yêu cầu dịch vụ, v.v. sẽ được chuyển đến cơ sở dữ liệu riêng biệt sau khi đạt được mục đích, được lưu trữ trong một thời gian nhất định theo chính sách nội bộ và quy định pháp luật liên quan, sau đó sẽ bị hủy.
- Thông tin cá nhân đã được chuyển đến cơ sở dữ liệu riêng biệt sẽ không được sử dụng cho mục đích khác ngoài mục đích lưu giữ, trừ khi có quy định của pháp luật.
2. Phương pháp hủy
Công ty sẽ xóa an toàn thông tin cá nhân được ghi lại và lưu trữ dưới dạng tệp điện tử để không thể tái tạo, và thông tin cá nhân được ghi lại và lưu trữ trên tài liệu giấy sẽ bị hủy bằng cách nghiền hoặc đốt.
Điều 6 (Cung cấp thông tin cá nhân cho bên thứ ba)
1. Nguyên tắc chung
Theo nguyên tắc, Công ty không cung cấp thông tin cá nhân của người dùng cho bên ngoài. Tuy nhiên, các trường hợp sau đây là ngoại lệ.
① Khi người dùng đã đồng ý trước
- Bên nhận thông tin: Cơ sở y tế mà người dùng đã gửi yêu cầu
- Hạng mục cung cấp: Tên, giới tính, ngày tháng năm sinh, số điện thoại di động, nội dung yêu cầu, v.v.
- Mục đích cung cấp: Tư vấn dịch vụ y tế và cung cấp thông tin
- Thời gian lưu giữ và sử dụng: Theo chính sách xử lý thông tin cá nhân của cơ sở y tế
② Khi có quy định của pháp luật hoặc khi có yêu cầu của cơ quan điều tra cho mục đích điều tra theo quy trình và phương pháp quy định trong pháp luật
2. Rút lại sự đồng ý cung cấp thông tin cá nhân
Người dùng có thể rút lại sự đồng ý cung cấp thông tin cá nhân bất cứ lúc nào. Việc rút lại sự đồng ý có thể thực hiện thông qua menu “Cài đặt” trong dịch vụ hoặc qua tiếp nhận Email. Tuy nhiên, khi rút lại sự đồng ý, việc sử dụng dịch vụ dựa trên sự đồng ý cung cấp có thể bị hạn chế.
Điều 7 (Ủy thác xử lý thông tin cá nhân)
1. Danh sách đơn vị nhận ủy thác
Công ty ủy thác việc xử lý thông tin cá nhân như sau để cung cấp và cải thiện dịch vụ.
| Đơn vị nhận ủy thác | Nội dung công việc ủy thác | Thời gian lưu giữ và sử dụng |
|---|---|---|
| Công ty gửi tin nhắn | Gửi tin nhắn thông báo | Cho đến khi thành viên rút tên hoặc hợp đồng ủy thác kết thúc |
| Công ty gửi email | Gửi email thông báo | Cho đến khi thành viên rút tên hoặc hợp đồng ủy thác kết thúc |
| Nhà cung cấp dịch vụ đám mây | Vận hành máy chủ và cơ sở hạ tầng | Cho đến khi thành viên rút tên hoặc hợp đồng ủy thác kết thúc |
2. Quản lý công việc ủy thác
Khi ký kết hợp đồng ủy thác, Công ty quy định rõ trong hợp đồng hoặc tài liệu về việc cấm xử lý thông tin cá nhân ngoài mục đích thực hiện công việc ủy thác, các biện pháp bảo vệ kỹ thuật và quản lý, hạn chế ủy thác lại, quản lý và giám sát bên nhận ủy thác, trách nhiệm bồi thường thiệt hại, v.v. theo Luật Bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan của Việt Nam, và giám sát để đảm bảo bên nhận ủy thác xử lý thông tin cá nhân một cách an toàn.
3. Thay đổi đơn vị nhận ủy thác
Khi có thay đổi về nội dung công việc ủy thác hoặc bên nhận ủy thác, Công ty sẽ công bố ngay lập tức thông qua Chính sách xử lý thông tin cá nhân này.
Điều 8 (Quyền, nghĩa vụ và phương thức thực hiện của người dùng và người đại diện theo pháp luật)
1. Quyền và phương thức thực hiện của người dùng
Người dùng có thể thực hiện các quyền như xem, chỉnh sửa, xóa, yêu cầu ngừng xử lý thông tin cá nhân bất cứ lúc nào.
- Xem, chỉnh sửa thông tin cá nhân: Có thể thực hiện trong menu ‘Cài đặt’ > ‘Quản lý thông tin cá nhân’ trong dịch vụ
- Xóa, yêu cầu ngừng xử lý thông tin cá nhân: Có thể yêu cầu thông qua trung tâm chăm sóc khách hàng
Tuy nhiên, Công ty có thể từ chối yêu cầu trong trường hợp cần thiết để thực hiện nghĩa vụ theo quy định pháp luật liên quan hoặc khi có khả năng xâm phạm quyền của bên thứ ba.
2. Quyền và phương thức thực hiện của người đại diện theo pháp luật
Người đại diện theo pháp luật của trẻ em dưới 14 tuổi có thể thực hiện các quyền như xem, chỉnh sửa, xóa, yêu cầu ngừng xử lý thông tin cá nhân của trẻ em đó. Có thể yêu cầu bằng cách nộp tài liệu chứng minh mình là người đại diện theo pháp luật, và Công ty sẽ xử lý ngay lập tức.
3. Nghĩa vụ của người dùng
Người dùng phải duy trì thông tin cá nhân của mình ở trạng thái cập nhật nhất, và chịu trách nhiệm về các vấn đề phát sinh do nhập thông tin không chính xác. Ngoài ra, người dùng không được xâm phạm hoặc tiết lộ thông tin cá nhân của người dùng khác, và có thể bị xử phạt theo quy định pháp luật liên quan nếu vi phạm.
Điều 9 (Việc cài đặt, vận hành và từ chối thiết bị thu thập thông tin cá nhân tự động)
1. Mục đích sử dụng cookie và các công cụ khác
Công ty sử dụng cookie để tạo thuận lợi cho người dùng. Cookie là một lượng nhỏ thông tin được trang web gửi đến trình duyệt máy tính của người dùng và được lưu trữ trên thiết bị của người dùng. Công ty sử dụng cookie cho các mục đích sau:
- Duy trì trạng thái đăng nhập của người dùng
- Cung cấp dịch vụ cá nhân hóa thông qua phân tích hành vi và sở thích của người dùng
- Cải thiện dịch vụ và phân tích thống kê sử dụng
2. Phương pháp từ chối cài đặt cookie
Người dùng có quyền lựa chọn về việc cài đặt cookie. Có thể từ chối cài đặt cookie thông qua menu cài đặt trong trình duyệt web:
- Chrome: Cài đặt > Quyền riêng tư và bảo mật > Cookie và dữ liệu trang web khác > Chọn chặn cookie
- Internet Explorer: Công cụ > Tùy chọn Internet > Tab Quyền riêng tư > Nâng cao > Chọn chặn cookie
- Safari: Tùy chọn > Bảo vệ quyền riêng tư > Cookie và dữ liệu trang web > Chọn luôn chặn
Tuy nhiên, nếu từ chối cài đặt cookie, có thể có hạn chế trong việc sử dụng dịch vụ cần đăng nhập.
Điều 10 (Biện pháp đảm bảo an toàn thông tin cá nhân)
Công ty thực hiện các biện pháp kỹ thuật/quản lý/vật lý sau để xử lý an toàn thông tin cá nhân của người dùng:
1. Biện pháp kỹ thuật
- Mã hóa thông tin cá nhân: Thông tin quan trọng như mật khẩu được mã hóa để lưu trữ và quản lý
- Cài đặt chương trình bảo mật: Cài đặt và vận hành chương trình bảo mật để đối phó với virus, tấn công mạng, v.v.
- Bảo mật mạng: Kiểm soát truy cập mạng bằng cách sử dụng hệ thống ngăn chặn xâm nhập (tường lửa)
- Kiểm soát truy cập: Quản lý quyền truy cập và kiểm soát truy cập vào hệ thống xử lý thông tin cá nhân
2. Biện pháp quản lý
- Tối thiểu hóa người xử lý thông tin cá nhân: Tối thiểu hóa số lượng nhân viên xử lý thông tin cá nhân và thực hiện đào tạo định kỳ
- Xây dựng và thực hiện kế hoạch quản lý nội bộ: Xây dựng và thực hiện kế hoạch quản lý nội bộ để bảo vệ thông tin cá nhân
- Thực hiện tự kiểm tra định kỳ: Kiểm tra định kỳ để đảm bảo an toàn trong xử lý thông tin cá nhân
3. Biện pháp vật lý
- Hạn chế truy cập vật lý: Kiểm soát ra vào đối với không gian vật lý lưu trữ thông tin cá nhân
- Bảo mật tài liệu: Kiểm soát truy cập đối với tài liệu, phương tiện lưu trữ phụ, v.v. có chứa thông tin cá nhân
Điều 11 (Người chịu trách nhiệm bảo vệ thông tin cá nhân và xử lý khiếu nại)
1. Người chịu trách nhiệm bảo vệ thông tin cá nhân
Công ty chỉ định người chịu trách nhiệm bảo vệ thông tin cá nhân như dưới đây để chịu trách nhiệm tổng thể về công việc liên quan đến xử lý thông tin cá nhân và xử lý khiếu nại, bồi thường thiệt hại liên quan đến xử lý thông tin cá nhân của người dùng.
Người chịu trách nhiệm bảo vệ thông tin cá nhân
- - Tên: [Tên người chịu trách nhiệm bảo vệ thông tin cá nhân]
- - Chức vụ: [Chức vụ]
- - Thông tin liên hệ: [Số điện thoại], [Email]
2. Bộ phận phụ trách bảo vệ thông tin cá nhân
- - Tên bộ phận: [Bộ phận phụ trách bảo vệ thông tin cá nhân]
- - Người phụ trách: [Tên người phụ trách]
- - Thông tin liên hệ: [Số điện thoại], [Email]
3. Xử lý khiếu nại và bồi thường thiệt hại
Người dùng có thể liên hệ với các cơ quan dưới đây nếu cần báo cáo hoặc tư vấn về vi phạm thông tin cá nhân:
- Ủy ban Bảo vệ dữ liệu cá nhân Việt Nam (Personal Data Protection Commission): [Thông tin liên hệ]
- Cục An ninh mạng, Bộ Công an Việt Nam (Cybersecurity Department of the Ministry of Public Security): [Thông tin liên hệ]
Điều 12 (Thay đổi Chính sách xử lý thông tin cá nhân)
1. Hiệu lực
Chính sách xử lý thông tin cá nhân này có hiệu lực từ ngày 1 tháng 4 năm 2025.
2. Quy trình thay đổi Chính sách xử lý thông tin cá nhân
Công ty có thể thay đổi Chính sách xử lý thông tin cá nhân theo sự thay đổi của pháp luật, chính sách, công nghệ bảo mật liên quan. Khi Chính sách xử lý thông tin cá nhân thay đổi, Công ty sẽ thông báo thông qua thông báo trên trang chủ (hoặc cửa sổ riêng biệt) ít nhất 7 ngày trước ngày thay đổi có hiệu lực. Tuy nhiên, đối với những thay đổi quan trọng về quyền của người dùng, Công ty sẽ thông báo ít nhất 30 ngày trước và thông báo riêng cho từng cá nhân thông qua email, SMS, v.v. nếu cần thiết.
Điều 13 (Gửi thông tin quảng cáo)
1. Thông tin về việc gửi thông tin quảng cáo
Công ty chỉ gửi thông tin quảng cáo khi đã nhận được sự đồng ý trước từ người dùng. Thông tin quảng cáo do Công ty gửi có thể bao gồm các nội dung sau:
- Thông tin về dịch vụ, sự kiện, khuyến mãi của Công ty và đối tác liên kết
- Thông tin về sự kiện, khuyến mãi, giảm giá đặc biệt của cơ sở y tế
- Thông tin về sức khỏe, làm đẹp được cá nhân hóa
2. Rút lại sự đồng ý nhận thông tin quảng cáo
Người dùng có thể rút lại sự đồng ý nhận thông tin quảng cáo bất cứ lúc nào. Có thể rút lại sự đồng ý nhận thông tin quảng cáo bằng các phương pháp sau:
- Hủy đồng ý nhận trong dịch vụ
- Rút lại thông qua phương pháp từ chối nhận được hiển thị trong thông tin quảng cáo
- Yêu cầu rút lại thông qua tiếp nhận E-mail
Phụ lục
Chính sách xử lý thông tin cá nhân này có hiệu lực từ ngày 1 tháng 4 năm 2025.
Công ty Cổ phần Xinh Plus