Chính sách bảo vệ dữ liệu cá nhân - iHOUZZ

Chính sách bảo vệ dữ liệu cá nhân

CHƯƠNG I. QUY ĐỊNH CHUNG

ĐIỀU 1. MỤC ĐÍCH

Nhằm mục đích bảo vệ dữ liệu cá nhân và an toàn thông tin của các khách hàng và đối tác của Công ty Cổ phần Công nghệ iHouzz. Quy định này đặt ra các yêu cầu chung đối với Công ty về việc thu thập và xử lý dữ liệu cá nhân.

ĐIỀU 2. PHẠM VI VÀ ĐỐI TƯỢNG ÁP DỤNG

  • Phạm vi áp dụng: Đối với hoạt động kiểm soát, xử lý, bảo vệ dữ liệu cá nhân tại Công ty Cổ phần Công nghệ iHouzz.
  • Đối tượng áp dụng: Quy định này áp dụng cho tất cả cán bộ nhân viên, khách hàng và các đối tác tại Công ty Cổ phần Công nghệ iHouzz.

ĐIỀU 3. ĐỊNH NGHĨA VÀ GIẢI THÍCH TỪ NGỮ

1.Công ty: Công ty Cổ phần Công nghệ iHouzz.
2.Ban Bảo vệ Dữ liệu cá nhân: Ban là bộ phận có chức năng bảo vệ dữ liệu cá nhân được thành lập theo Quyết định của Công ty tại từng thời điểm, trong đó phải bao gồm các nhân sự là người có chuyên môn trong lĩnh vực nhân sự, kinh doanh, công nghệ thông tin, quan hệ cổ đông.
3.Dữ liệu cá nhân: Được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân mà Công ty có thể thu thập từ nhiều nguồn (Dữ liệu cá nhân của Khách Hàng, của Người Lao Động, Đối tác, Vãng lai).
4.Dữ liệu cá nhân của Khách hàng: Được hiểu là Dữ liệu cá nhân của khách hàng mà Công ty thu thập, xử lý trong quá trình giao dịch, cung cấp hàng hóa, dịch vụ cho Khách hàng.
5.Dữ liệu cá nhân của Người lao động: Được hiểu là các Dữ liệu cá nhân của Người lao động và người thân của Người lao động tại Công ty được thu thập, xử lý trong quá trình Người lao động làm việc tại Công ty.
6.Dữ liệu cá nhân Đối tác: Được hiểu là các Dữ liệu cá nhân của cá nhân mà Công ty có được thông qua (i) hoạt động giao dịch, cung cấp hàng hóa, dịch vụ cho khách hàng của Công ty, (ii) quá trình hợp tác, giao dịch, ký kết và thực hiện hợp đồng với đối tác của Công ty, và (iii) việc ký kết và thực hiện hợp đồng lao động.
7.Dữ liệu cá nhân Vãng lai: Được hiểu là các Dữ liệu cá nhân của cá nhân mà Công ty có được nhưng không thông qua (i) hoạt động giao dịch, cung cấp hàng hóa, dịch vụ cho khách hàng của Công ty, (ii) quá trình hợp tác, giao dịch, ký kết và thực hiện hợp đồng với đối tác của Công ty, và (iii) việc ký kết và thực hiện hợp đồng lao động. Dữ liệu cá nhân Vãng lai thường bao gồm hình ảnh, hoạt động, vị trí thu thập được (VD: qua camera, cảm biến) của người qua lại các dự án, cửa hàng kinh doanh, khu văn phòng… của Công ty và các thông tin tương tự khác.
8.Chủ thể Dữ liệu: Được hiểu là cá nhân được Dữ liệu cá nhân phản ánh.
9.Xử lý Dữ liệu cá nhân: Là một hoặc nhiều hoạt động tác động tới Dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan.
10.Bên Kiểm soát Dữ liệu cá nhân: Được hiểu là cá nhân, tổ chức quyết định mục đích và phương thức xử lý Dữ liệu cá nhân. Để làm rõ, Bên Kiểm soát Dữ liệu cá nhân bao gồm cả đơn vị không sở hữu nguồn Dữ liệu cá nhân nhưng được sử dụng các Dữ liệu cá nhân đó hoặc là bên kiểm soát thông tin, dữ liệu chứa đựng các Dữ liệu cá nhân đó.
11.Bên Xử lý Dữ liệu cá nhân: Được hiểu là cá nhân hoặc tổ chức thực hiện việc xử lý Dữ liệu cá nhân thay mặt cho Bên Kiểm soát Dữ liệu cá nhân, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát Dữ liệu cá nhân.
12.Bên Kiểm soát và Xử lý Dữ liệu cá nhân: Là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý Dữ liệu cá nhân.
13.Bên thứ ba: Là tổ chức, cá nhân ngoài Chủ thể Dữ liệu, Bên Kiểm soát Dữ liệu cá nhân, Bên Xử lý Dữ liệu cá nhân, Bên Kiểm soát và Xử lý Dữ liệu cá nhân được phép xử lý Dữ liệu cá nhân.
14.Sự cố Thông tin: Được hiểu là việc thông tin, hệ thống thông tin bị tấn công hoặc gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng; hoặc sự cố xâm phạm an toàn dẫn tới việc phá hủy, mất, thay đổi trái pháp luật hoặc bất ngờ, tiết lộ trái phép, hoặc truy cập trái phép Dữ liệu cá nhân được thu thập và/hoặc xử lý.
CHƯƠNG II. QUY ĐỊNH KIỂM SOÁT DỮ LIỆU CÁ NHÂN

ĐIỀU 4. NGUYÊN TẮC CHUNG

  1. Nguyên tắc bảo vệ Dữ liệu cá nhân
    • Dữ liệu cá nhân được xử lý hợp pháp, minh bạch và được bảo vệ bởi các biện pháp phù hợp theo quy định của Quy định này và theo quy định của pháp luật hiện hành.
    • Nghiêm cấm mọi hình thức mua, bán Dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
    • Dữ liệu cá nhân được cập nhật, bổ sung phù hợp và chỉ được xử lý cho các mục đích hợp pháp của Công ty, đã được tuyên bố và được sự chấp thuận của chủ thể dữ liệu.
    • Tôn trọng các quyền của Chủ thể dữ liệu liên quan đến thông tin cá nhân của họ.
    • Công ty có trách nhiệm bảo đảm an toàn thông tin mạng đối với Dữ liệu cá nhân do mình xử lý.
  2. Lưu ý áp dụng: Quy định này chỉ đưa ra các quy định mang tính định hướng dựa trên các quy định pháp luật cơ bản và trực diện nhất. Quy định này không bao gồm tất cả các quy định pháp luật trong và ngoài nước có liên quan.

ĐIỀU 5. QUY ĐỊNH TRƯỚC KHI XỬ LÝ DỮ LIỆU CÁ NHÂN

  1. Trước khi thu thập, xử lý Dữ liệu cá nhân của Chủ thể Dữ liệu, Công ty phải xin chấp thuận (sự đồng ý) của người đó:
    • Khi xin chấp thuận, Chủ thể Dữ liệu phải được thông báo về: mục đích, cách thức, thời gian bắt đầu và kết thúc việc xử lý; loại Dữ liệu cá nhân được xử lý, thông tin về bên thứ ba liên quan đến mục đích xử lý và các quyền, nghĩa vụ của Chủ thể dữ liệu.
    • Sự im lặng hoặc không phản hồi của Chủ thể Dữ liệu không được coi là sự đồng ý. Chỉ được xử lý, sử dụng thông tin cho mục đích khác với mục đích ban đầu sau khi được Chủ thể Dữ liệu chấp thuận bổ sung (phải tiến hành các bước xin chấp thuận bổ sung).
    • Sự đồng ý của Chủ thể Dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
  2. Việc xin chấp thuận được hướng dẫn đối với từng chủ thể như sau:
    1. Đối với Dữ liệu cá nhân của Khách Hàng/Đối tác:
      • Việc xin chấp thuận/chấp thuận bổ sung thực hiện theo Phụ lục 01: Chính sách bảo vệ dữ liệu cá nhân đối với Khách hàng/Đối tác được Công ty đăng tải công khai hoặc quy định trong các văn bản thỏa thuận ký kết với Chủ thể Dữ liệu cá nhân.
      • Đối với việc xử lý Dữ liệu cá nhân của Khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo cần phổ biến cho Khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
    2. Đối với Dữ liệu cá nhân của Người Lao Động: Việc xin chấp thuận thực hiện theo Phục lục 02: Chính sách bảo vệ dữ liệu cá nhân dành cho người lao động, ứng viên và người liên quan áp dụng trong nội bộ.
    3. Đối với Dữ liệu cá nhân Vãng lai: Tại các địa điểm mà Công ty có khả năng thu thập và xử lý Dữ liệu cá nhân vãng lai, cần truyền tải rộng rãi bằng phương thức hợp lý, trong đó (i) nêu rõ khu vực có sử dụng camera/sensor đối với khu vực thuộc quyền sử dụng của Công ty, (ii) có link (hoặc mã QR) dẫn chiếu đến chính sách bảo mật của Công ty. Tuy nhiên, kể cả trong trường hợp đã đặt các thông báo này, việc sử dụng Dữ liệu cá nhân vãng lai cho mục đích thương mại cũng cần được cân nhắc, và chỉ sử dụng cho mục đích bảo đảm an toàn an ninh và các mục đích hợp lệ theo quy định của pháp luật tại từng thời kỳ.
  3. Không cần xin chấp thuận của Chủ thể Dữ liệu trong các trường hợp sau:
    • Trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe của Chủ thể Dữ liệu hoặc người khác;
    • Việc công khai Dữ liệu cá nhân theo quy định của luật;
    • Để thực hiện nghĩa vụ theo hợp đồng của Chủ thể Dữ liệu với Công ty;
    • Dữ liệu cá nhân có được từ hoạt động ghi âm, ghi hình nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật tại từng thời kỳ;
    • Trường hợp khó xác định, nên thu thập sự chấp thuận của Chủ thể Dữ liệu.
  4. Trong trường hợp Công ty có thỏa thuận cho phép bên thứ ba được quyền chia sẻ, truy cập hoặc sử dụng Dữ liệu cá nhân của Công ty thì đơn vị liên quan ký kết thỏa thuận với đối tác phải đảm bảo việc cho phép đối tác được sử dụng Dữ liệu cá nhân là phù hợp với mục đích đã được Chủ thể Dữ liệu cho phép và đối tác phải tuyệt đối tuân thủ quy định về bảo vệ Dữ liệu cá nhân cũng như các yêu cầu khác về bảo mật thông tin của Công ty.

ĐIỀU 6. QUY ĐỊNH TRONG QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN

Trong quá trình xử lý dữ liệu, Chủ thể Dữ liệu có quyền yêu cầu cung cấp, truy cập, sửa đổi, rút lại sự đồng ý, xóa, hạn chế xử lý, phản đối xử lý dữ liệu. Khi nhận được các yêu cầu thực hiện quyền của Chủ thể Dữ liệu, bộ phận phụ trách tại từng Công ty cần lưu ý:

  • Thực hiện yêu cầu, hoặc cung cấp cho Chủ thể Dữ liệu quyền tiếp cận để tự cập nhật, sửa đổi thông tin, trừ trường hợp có quy định khác;
  • Sau khi nhận được các yêu cầu về: cung cấp dữ liệu; hạn chế xử lý dữ liệu; yêu cầu phản đối xử lý dữ liệu; hoặc xóa dữ liệu, bộ phận phụ trách cần thực hiện trong 72 giờ;
  • Khi rút lại sự đồng ý, cần thực hiện thông báo cho Chủ thể Dữ liệu về hậu quả, thiệt hại có thể xảy ra;
  • Đối với yêu cầu chỉnh sửa dữ liệu, nếu không thể thực hiện thì cần thông báo tới Chủ thể Dữ liệu sau 72 giờ kể từ khi nhận được yêu cầu;
  • Nếu phát sinh hoạt động thu thập và xử lý Dữ liệu cá nhân cần chỉ định bộ phận/nhân sự phụ trách bảo vệ Dữ liệu cá nhân.

ĐIỀU 7. BÁO CÁO ĐÁNH GIÁ TÁC ĐỘNG KHI XỬ LÝ DỮ LIỆU CÁ NHÂN

  1. Kể từ thời điểm bắt đầu xử lý Dữ liệu cá nhân, cần lập và lưu giữ hồ sơ đánh giá tác động xử lý Dữ liệu cá nhân hoặc việc chuyển Dữ liệu cá nhân ra nước ngoài sẵn sàng để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an theo quy định của pháp luật tại từng thời kỳ.
  2. Hồ sơ đánh giá tác động được thực hiện theo hướng dẫn tại Nghị định 13/2023/NĐ- CP hoặc các quy định khác theo từng thời kỳ.

ĐIỀU 8. QUY ĐỊNH KHI THUÊ NGOÀI XỬ LÝ DỮ LIỆU

Trong trường hợp Công ty thuê ngoài xử lý dữ liệu, cần có hợp đồng hoặc thỏa thuận với Bên Xử Lý Dữ liệu cá nhân.

ĐIỀU 9. NHẬT KÝ XỬ LÝ DỮ LIỆU

Công ty phải ghi lại và lưu trữ nhật ký hệ thống quá trình hoạt động xử lý Dữ liệu cá nhân.

Ví dụ, nhật ký hệ thống thông tin gồm: Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị hệ thống; Sử dụng máy chủ thời gian để đồng bộ thời gian giữa các thiết bị mạng, thiết bị đầu cuối và các thành phần khác trong hệ thống tham gia hoạt động giám sát.

ĐIỀU 10. BIỆN PHÁP BẢO VỆ DỮ LIỆU

  1. Biện pháp quản lý để bảo đảm thông tin không bị mất, đánh cắp, tiết lộ bao gồm:
    • Quy định bảo mật thông tin (NSĐT/QĐ-03);
    • Quy chế quản trị hệ thống công nghệ thông tin (CNTT/QC-02);
    • Quy chế ứng dụng phần mềm CRM (389/2016/QĐ-DXS/PIT);
    • Quy chế quản trị rủi ro (TTKS/QC-03).
  2. Biện pháp kỹ thuật để bảo đảm thông tin không bị thay đổi hoặc phá huỷ bao gồm:
    • Quy trình vận hành hệ thống công nghệ thông tin (CNTT/QT-01);
    • Quy trình ứng phó sự cố công nghệ thông tin (CNTT/QT-03).

ĐIỀU 11. XỬ LÝ SỰ CỐ/THÔNG BÁO VI PHẠM

  1. Trách nhiệm thông báo: Khi phát hiện Sự cố thông tin, cán bộ nhân viên phải thông báo cho Ban Bảo vệ Dữ liệu cá nhân để phối hợp xử lý.
  2. Thông báo vi phạm: Chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm, Công ty phải thông báo cho Bộ Công an – Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao khi phát hiện các trường hợp sau:
    • Phát hiện hành vi vi phạm pháp luật đối với Dữ liệu cá nhân;
    • Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát Dữ liệu cá nhân, Bên Kiểm soát và xử lý Dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
    • Không bảo đảm quyền của Chủ thể dữ liệu hoặc không được thực hiện đúng; Trường hợp khác theo quy định của pháp luật.
    • Báo cáo được thực hiện theo quy định tại Nghị định 13/2023/NĐ-CP hoặc các quy định khác của pháp luật theo từng thời kỳ.
CHƯƠNG III. ĐIỀU KHOẢN THI HÀNH

ĐIỀU 12. TRÁCH NHIỆM THI HÀNH

  1. Ban Bảo vệ Dữ liệu cá nhân, Phòng Nhân sự – Hành chính, Ban Kiểm soát nội bộ của Công ty chịu trách nhiệm làm đầu mối triển khai, hướng dẫn các Cán bộ nhân viên tuân thủ theo Quy định này và các quy chế, quy định liên quan đã được ban hành của Công ty.
  2. Các Công ty liên quan có trách nhiệm giám sát việc tuân thủ. Nếu phát hiện vi phạm, Đơn vị này tham mưu hình thức xử lý phù hợp theo quy định tại Nội quy lao động và/hoặc Thỏa ước lao động tập thể.

ĐIỀU 13. THẨM QUYỀN SỬA ĐỔI, BỔ SUNG, THAY THẾ, HỦY BỎ QUY CHẾ

Việc sửa đổi, bổ sung, thay thế, hủy bỏ Quy định này thuộc thẩm quyền của Tổng giám đốc/Cấp được phân quyền.

PHỤ LỤC 01
CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI KHÁCH HÀNG/ĐỐI TÁC

LỜI NÓI ĐẦU

Chính sách bảo vệ dữ liệu cá nhân đối với Khách hàng/Đối tác của Công ty Cổ phần Công nghệ iHouzz (sau đây gọi tắt là “Chính sách”) nhằm mục đích thông báo với Khách hàng và Đối tác những Dữ liệu cá nhân của Khách hàng/Đối tác do Công ty Cổ phần Công nghệ iHouzz (“iHouzz”) xử lý, mục đích xử lý, cách thức xử lý, thời gian lưu trữ, quyền, nghĩa vụ của Khách hàng/Đối tác đối với Dữ liệu cá nhân của mình theo quy định của Pháp luật Việt Nam về Bảo vệ Dữ liệu cá nhân. Chính sách này đồng thời đưa ra các khuyến nghị để giúp Khách hàng/ Đối tác nâng cao nhận thức về bảo vệ Dữ liệu cá nhân.

Chính sách này là một phần không thể tách rời của các bản Hợp đồng, Điều khoản chung, Điều khoản sử dụng sản phẩm, dịch vụ của iHouzz. Chính sách này được áp dụng cho toàn bộ hoạt động cung cấp sản phẩm, dịch vụ của iHouzz và áp dụng trên toàn bộ các nền tảng có tương tác với Khách hàng/Đối tác cá nhân trên môi trường số.

iHouzz có trách nhiệm thông báo và lấy chấp thuận của Khách hàng/Đối tác đối với Chính sách này trước khi thực hiện hoạt động xử lý dữ liệu cá nhân theo quy định của pháp luật. Bằng việc tích vào ô “Tôi đã đọc và chấp thuận” hoặc “Tôi đồng ý với Chính sách, Điều khoản sử dụng của iHouzz” hoặc bằng việc ký kết hợp đồng với iHouzz có dẫn chiếu tới Chính sách này, hoặc bằng việc ký kết, tiếp tục thực hiện hợp đồng, giao dịch đã ký với iHouzz hoặc bằng việc tiếp tục đăng ký, đăng nhập, sử dụng website/wapsite/ứng dụng của iHouzz hoặc sử dụng sản phẩm, dịch vụ của iHouzz mà không có bất kì khiếu nại nào đối với Chính sách này, Khách hàng/Đối tác xác nhận rằng đã đọc kỹ, hiểu rõ và chấp thuận toàn bộ nội dung Chính sách bảo vệ Dữ liệu cá nhân của iHouzz được ban hành tại từng thời điểm.

Điều 1. Định nghĩa và giải thích từ ngữ
Trong phạm vi Chính sách này, các thuật ngữ dưới đây được hiểu và giải thích như sau:
1.iHouzz/Công ty: Công ty Cổ phần Công nghệ iHouzz.
2.Khách hàng/Đối tác: (i) Cá nhân hoặc người đại diện hợp pháp của cá nhân sử dụng và/hoặc quan tâm tới các sản phẩm, dịch vụ của iHouzz; (ii) Cá nhân hoặc người đại diện hợp pháp của cá nhân đã truy cập và/hoặc đăng ký tài khoản tại các website/wapsite/ứng dụng thuộc quyền sở hữu của iHouzz; (iii) Cá nhân hoặc người đại diện hợp pháp của cá nhân ký kết, thực hiện hợp đồng, giao dịch với iHouzz, bao gồm nhưng không giới hạn các công việc liên quan đến đầu tư, góp vốn, xây dựng, kinh doanh, thương mại, quảng cáo hoặc các để thực hiện các công việc phù hợp với quy định pháp luật, nhưng không bao gồm các cá nhân là ứng viên, người lao động của iHouzz theo Chính sách bảo vệ dữ liệu cá nhân dành cho người lao động, ứng viên và người liên quan do iHouzz ban hành tùy từng thời điểm.
3.Sản phẩm, dịch vụ của iHouzz: (i) Sản phẩm, dịch vụ do iHouzz trực tiếp kinh doanh, phát triển và cung cấp cho Khách hàng/Đối tác. (ii) Sản phẩm, dịch vụ do iHouzz hợp tác với đối tác để cung cấp cho Khách hàng/Đối tác.
Điều 2. Xử lý Dữ liệu cá nhân
  1. iHouzz tiến hành xử lý Dữ liệu cá nhân trong những trường hợp dưới đây:
    1. Khi Khách hàng/Đối tác hoặc người đại diện hợp pháp của Khách hàng/Đối tác liên hệ với iHouzz để yêu cầu tư vấn sản phẩm, dịch vụ của iHouzz hoặc bày tỏ sự quan tâm tới các sản phẩm, dịch vụ của iHouzz;
    2. Khi Khách hàng/Đối tác dùng thử, ký kết hợp đồng, đăng ký, sử dụng sản phẩm, dịch vụ của iHouzz;
    3. Khi Khách hàng/Đối tác truy cập và/hoặc đăng ký tài khoản tại các website/wapsite/ứng dụng sản phẩm, dịch vụ của iHouzz;
    4. Khi Khách hàng/Đối tác đồng thuận cung cấp Dữ liệu cá nhân cho iHouzz qua các nguồn công khai như: website/wapsite/ứng dụng sản phẩm, dịch vụ của iHouzz; cuộc họp, sự kiện, hội thảo, hội nghị, các mạng xã hội, hay chương trình đối thoại, thảo luận do iHouzz tổ chức, tài trợ hoặc tham dự và/hoặc từ các tệp lưu trữ (cookies) ghi nhận được trên website của iHouzz;
    5. Khi khách hàng/Đối tác của một tổ chức, doanh nghiệp cho phép tổ chức, doanh nghiệp đó chia sẻ dữ liệu cá nhân của khách hàng với iHouzz;
    6. Là khách hàng của một tổ chức, doanh nghiệp được iHouzz thực hiện góp vốn, mua cổ phần; hoặc là khách hàng của một tổ chức, doanh nghiệp có hoạt động hợp tác cung cấp sản phẩm, dịch vụ với iHouzz.
    7. Khi có yêu cầu của các cơ quan nhà nước có thẩm quyền.
    8. Khi iHouzz tiến hành các công việc theo mục đích xử lý Dữ liệu cá nhân được quy định tại Điều 3 Chính sách này.
    9. Các trường hợp khác theo quy định của pháp luật.
  2. Dữ liệu cá nhân của Khách hàng/Đối tác được iHouzz tiến hành xử lý (sau đây gọi tắt là “Dữ liệu cá nhân”) bao gồm những thông tin dưới đây và có thể thay đổi tùy thuộc vào loại sản phẩm hoặc dịch vụ, cách thức tương tác của Khách hàng/Đối tác với iHouzz:
    1. Dữ liệu cá nhân cơ bản:
      • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
      • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
      • Giới tính;
      • Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
      • Quốc tịch;
      • Hình ảnh của cá nhân;
      • Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
      • Tình trạng hôn nhân;
      • Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
      • Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
      • Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại điểm b khoản 2 Điều này.
    2. Dữ liệu cá nhân nhạy cảm:
      • Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
      • Thông tin Khách hàng/Đối tác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh Khách hàng/Đối tác theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
      • Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
      • Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
    3. iHouzz sẽ thông báo cho Khách hàng/Đối tác các Dữ liệu cá nhân bắt buộc phải cung cấp và/hoặc tùy chọn cung cấp tại thời điểm Khách hàng/Đối tác liên hệ, trao đổi hoặc đăng ký, ký kết hợp đồng với iHouzz. Dữ liệu cá nhân bắt buộc phải cung cấp được hiểu là các Dữ liệu cá nhân mà iHouzz cần phải thu thập từ Khách hàng/Đối tác theo quy định của pháp luật hoặc các Dữ liệu cá nhân thiết yếu để phục vụ việc triển khai cung cấp một phần hoặc toàn bộ sản phẩm, dịch vụ của iHouzz cho Khách hàng/Đối tác.
    4. Nếu các Dữ liệu cá nhân bắt buộc không được cung cấp theo yêu cầu của iHouzz, Khách hàng/Đối tác sẽ không thể sử dụng một số sản phẩm, dịch vụ của iHouzz. Trong trường hợp này, iHouzz có thể từ chối cung cấp sản phẩm, dịch vụ cho Khách hàng/Đối tác mà không phải chịu bất kì một khoản bồi thường và/hoặc phạt vi phạm nào (trừ trường hợp do lỗi của iHouzz).
    5. Tại từng thời điểm, Khách hàng/Đối tác có thể tự nguyện cung cấp cho iHouzz các Dữ liệu cá nhân nằm ngoài yêu cầu của iHouzz. Khi Khách hàng/Đối tác cung cấp Dữ liệu cá nhân nằm ngoài yêu cầu của iHouzz đồng nghĩa với việc Khách hàng/Đối tác cho phép iHouzz xử lý Dữ liệu cá nhân của Khách hàng/Đối tác với mục đích được nêu trong Chính sách này hoặc với mục đích được nêu tại thời điểm Khách hàng/Đối tác cung cấp những Dữ liệu cá nhân đó. Ngoài ra, khi Khách hàng/Đối tác chủ động cung cấp thông tin nằm ngoài yêu cầu của iHouzz, Khách hàng/Đối tác vui lòng không cung cấp Dữ liệu cá nhân nhạy cảm theo quy định của pháp luật tại từng thời điểm. iHouzz sẽ không thực hiện xử lý và không chịu bất kì trách nhiệm pháp lý nào đối với các Dữ liệu cá nhân nhạy cảm do Khách hàng/Đối tác tự nguyện cung cấp nằm ngoài yêu cầu của iHouzz.
Điều 3. Mục đích xử lý Dữ liệu cá nhân

Trừ trường hợp quy định tại Điều 13 Chính sách này, iHouzz phải thực hiện thông báo và lấy chấp thuận của Khách hàng/Đối tác trước khi xử lý Dữ liệu cá nhân của Khách hàng/Đối tác. Dữ liệu cá nhân thu thập, cập nhật, bổ sung phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý theo quy định tại Chính sách này. Dữ liệu cá nhân của Khách hàng/Đối tác chỉ được xử lý cho một hoặc một số mục đích được liệt kê sau đây (“Mục Đích”):

  • Xác minh tính chính xác, đầy đủ của các thông tin được Khách hàng/Đối tác cung cấp; xác định hoặc xác thực danh tính của Khách hàng/Đối tác và thực hiện quy trình xác thực Khách hàng/Đối tác; Xử lý việc đăng ký sử dụng sản phẩm, dịch vụ của iHouzz.
  • Thẩm định hồ sơ và khả năng đủ điều kiện của Khách hàng/Đối tác đối với việc sử dụng sản phẩm, dịch vụ của iHouzz. iHouzz có thể sử dụng các phương pháp chấm điểm, gán ngưỡng cước nóng, kiểm tra lịch sử Khách hàng/Đối tác sử dụng sản phẩm, dịch vụ của iHouzz để đánh giá và quản trị rủi ro tín dụng, đảm bảo khả năng thanh toán đối với các nghĩa vụ thanh toán và các nghĩa vụ khác có liên quan trong suốt quá trình cung cấp sản phẩm, dịch vụ của iHouzz cho Khách hàng/Đối tác.
  • Quản lý và đánh giá các hoạt động kinh doanh bao gồm thiết kế, cải tiến và nâng cao chất lượng các sản phẩm, dịch vụ của iHouzz hoặc thực hiện các hoạt động truyền thông tiếp thị; Thực hiện nghiên cứu thị trường, khảo sát và phân tích dữ liệu liên quan đến sản phẩm, dịch vụ của iHouzz; nghiên cứu, phát triển các sản phẩm, dịch vụ mới, mô hình cung cấp mới đáp ứng nhu cầu của Khách hàng/Đối tác.
  • Cung cấp dịch vụ cho Khách hàng/Đối tác liên hệ với Khách hàng/Đối tác nhằm tư vấn, trao đổi thông tin, giải quyết yêu cầu, khiếu nại, giao các hóa đơn, các sao kê, các báo cáo hoặc các tài liệu khác liên quan tới sản phẩm, dịch vụ của iHouzz thông qua các kênh khác nhau (ví dụ: email, chat) và để trả lời yêu cầu của Khách hàng/Đối tác. Liên hệ với Khách hàng/Đối tác (hoặc các bên do Khách hàng/Đối tác chỉ định hoặc yêu cầu) để thông báo cho Khách hàng/Đối tác về thông tin liên quan đến việc sử dụng sản phẩm, dịch vụ của iHouzz.
  • Quảng cáo, tiếp thị dựa trên sở thích, thói quen sử dụng dịch vụ của Khách hàng/Đối tác: iHouzz có thể sử dụng Dữ liệu cá nhân để quảng cáo, tiếp thị với Khách hàng/Đối tác về các sản phẩm, dịch vụ của iHouzz, chương trình khuyến mại, nghiên cứu, khảo sát, tin tức, thông tin cập nhật, các sự kiện, cuộc thi có thưởng, trao các phần thưởng có liên quan, các quảng cáo và nội dung có liên quan về sản phẩm, dịch vụ của iHouzz hoặc của các đối tác hợp tác với iHouzz.
  • Trường hợp Khách hàng/Đối tác không muốn nhận email, tin nhắn và/hoặc bản tin định kỳ với mục đích quảng cáo, tiếp thị của iHouzz với tần suất tùy thuộc vào Chính sách của iHouzz theo từng thời kỳ và phù hợp với quy định pháp luật, Khách hàng/Đối tác có thể từ chối theo cách thức đã được iHouzz hướng dẫn trên các kênh, phương tiện như tin nhắn SMS, cuộc gọi, dấu tích trên website/wapsite/ứng dụng hoặc liên hệ với tổng đài chăm sóc Khách hàng của iHouzz.
  • Lập các báo cáo tài chính, báo cáo hoạt động hoặc các loại báo cáo liên quan khác mà pháp luật quy định.
  • Tuân thủ các nghĩa vụ pháp lý theo quy định của pháp luật.
  • Ngăn chặn gian lận hoặc giảm thiểu mối đe doạ đối với tính mạng, sức khỏe của người khác và lợi ích công cộng: iHouzz có thể sử dụng thông tin cá nhân của Khách hàng/Đối tác để ngăn chặn và phát hiện gian lận, lạm dụng nhằm bảo vệ Khách hàng/Đối tác, iHouzz và các chủ thể liên quan.
  • Quản trị nội bộ.
  • iHouzz không thực hiện hoạt động mua bán Dữ liệu cá nhân dưới bất kỳ hình thức nào.
Điều 4. Cách thức xử lý Dữ liệu cá nhân

iHouzz áp dụng một hoặc nhiều hoạt động tác động tới Dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan

Điều 5. Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu
  1. Thời gian bắt đầu xử lý dữ liệu: Kể từ thời điểm phát sinh các Mục Đích quy định tại Điều 3 của Chính sách này.
  2. Thời gian kết thúc xử lý dữ liệu: iHouzz chấm dứt việc xử lý Dữ liệu cá nhân khi đã hoàn thành Mục Đích quy định tại Điều 3 của Chính sách này, trừ trường hợp pháp luật có quy định khác hoặc Khách hàng/Đối tác rút lại sự đồng ý việc xử lý Dữ liệu cá nhân hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
Điều 6. Chia sẻ Dữ liệu cá nhân
  • Trừ trường hợp quy định tại Điều 13 Chính sách này, iHouzz phải lấy sự chấp thuận của Khách hàng/Đối tác khi chia sẻ Dữ liệu cá nhân của Khách hàng/Đối tác cho các tổ chức, cá nhân dưới đây để thực hiện các Mục Đích quy định tại Điều 3 của Chính sách này, cụ thể:
    • iHouzz.
    • Bên thứ ba cung cấp dịch vụ hoặc các đối tác trong các hợp đồng hợp tác kinh doanh (có phân chia lợi nhuận hoặc không phân chia lợi nhuận): iHouzz sử dụng và/hoặc hợp tác với các Công ty và cá nhân khác để thực hiện một số công việc và chương trình như chương trình quảng cáo, khuyến mại dành cho Khách hàng/Đối tác, nghiên cứu thị trường, phân tích và phát triển sản phẩm, tư vấn chiến lược, cung cấp dịch vụ thu cước. Các Bên thứ ba cung cấp dịch vụ và/hoặc các đối tác này có quyền truy cập, thu thập, sử dụng và xử lý Dữ liệu cá nhân của Khách hàng/Đối tác trong phạm vi iHouzz cho phép để thực hiện các chức năng của họ và phải tuân thủ quy định của pháp luật về bảo vệ Dữ liệu cá nhân với tư cách là Bên Xử lý Dữ Liệu;
    • Tái cấu trúc doanh nghiệp: Trong quá trình phát triển kinh doanh, iHouzz có thể bán hoặc mua các doanh nghiệp hoặc tái cấu trúc doanh nghiệp phù hợp với quy định của pháp luật và nhu cầu sản xuất kinh doanh. Trong các giao dịch như vậy, Dữ liệu cá nhân sẽ được chuyển nhượng và bên nhận chuyển nhượng vẫn phải tuân theo các quy định của Chính sách này;
    • iHouzz được phép tiết lộ Dữ liệu cá nhân theo yêu cầu của pháp luật, yêu cầu của cơ quan quản lý nhà nước có thẩm quyền;
    • iHouzz được phép tiết lộ Dữ liệu cá nhân cho các doanh nghiệp viễn thông khác để phục vụ cho việc tính giá cước, lập hoá đơn và ngăn chặn hành vi trốn tránh thực hiện nghĩa vụ theo hợp đồng của Khách hàng/Đối tác.
Điều 7. Quyền của Khách hàng/Đối tác
  1. Quyền được biết và Quyền đồng ý: Bằng Chính sách này, iHouzz thông báo cho Khách hàng/Đối tác được biết về hoạt động xử lý Dữ liệu cá nhân trước khi thực hiện xử lý Dữ liệu cá nhân. Đồng thời, Khách hàng/Đối tác có quyền đồng ý hoặc không đồng ý với các điều khoản và điều kiện của Chính sách này theo cách thức đã được iHouzz hướng dẫn trên các kênh, phương tiện như tin nhắn SMS, cuộc gọi, dấu tích trên website/wapsite/ứng dụng hoặc liên hệ với tổng đài chăm sóc khách hàng của iHouzz. iHouzz chỉ thực hiện xử lý Dữ liệu cá nhân khi đã có chấp thuận của Khách hàng/Đối tác.
  2. Quyền truy cập và yêu cầu cung cấp Dữ liệu cá nhân: Khách hàng/Đối tác có quyền truy cập vào các website/wapsite/ứng dụng của iHouzz và/hoặc liên hệ trực tiếp với iHouzz để xem, trích xuất các Dữ liệu cá nhân mà Khách hàng/Đối tác đã cung cấp cho iHouzz phục vụ các Mục Đích quy định tại Điều 3 của Chính sách này. Trường hợp Khách hàng/Đối tác không thể tự truy cập, trích xuất hoặc gặp khó khăn trong việc truy cập, trích xuất các Dữ liệu cá nhân, Khách hàng/Đối tác có thể liên hệ với iHouzz để được hỗ trợ.
  3. Quyền chỉnh sửa: Khách hàng/Đối tác có quyền chỉnh sửa các Dữ liệu cá nhân của mình với điều kiện việc chỉnh sửa này không vi phạm các quy định của pháp luật. Trường hợp Khách hàng/Đối tác không thể tự chỉnh sửa hoặc gặp khó khăn trong việc chỉnh sửa các Dữ liệu cá nhân, Khách hàng/Đối tác có thể liên hệ với iHouzz để được hỗ trợ.
  4. Quyền phản đối, hạn chế, rút lại sự đồng ý xử lý dữ liệu:
    1. Khách hàng/Đối tác có quyền phản đối, yêu cầu hạn chế xử lý Dữ liệu cá nhân hoặc rút lại sự đồng ý xử lý Dữ liệu cá nhân của Khách hàng/Đối tác. Tuy nhiên, việc phản đối, hạn chế hoặc rút lại sự đồng ý xử lý Dữ liệu cá nhân của Khách hàng/Đối tác có thể dẫn tới việc iHouzz không thể cung cấp Sản phẩm, dịch vụ cho Khách hàng/Đối tác điều này đồng nghĩa với việc iHouzz có thể đơn phương chấm dứt hợp đồng mà không cần phải bồi thường cho Khách hàng/Đối tác do các điều kiện để thực hiện hợp đồng đã thay đổi (trừ trường hợp do lỗi của iHouzz). Do đó, iHouzz khuyến nghị Khách hàng/Đối tác cân nhắc kĩ lưỡng trước khi phản đối, hạn chế hoặc rút lại sự đồng ý xử lý Dữ liệu cá nhân của Khách hàng/Đối tác.
    2. Trường hợp Khách hàng/Đối tác muốn hạn chế nhận nội dung tiếp thị quảng cáo, khuyến mại từ iHouzz và muốn rút lại sự chấp thuận trước đó (nếu có) và/hoặc phản đối việc tiếp tục sử dụng thông tin cá nhân của mình cho mục đích quy định tại Điều 3 của Chính sách này, Khách hàng/Đối tác vui lòng thực hiện theo hướng dẫn của iHouzz tại thời điểm iHouzz thu thập Dữ liệu cá nhân hoặc liên hệ với iHouzz theo các thông tin được cung cấp tại Chính sách này. Nếu Khách hàng/Đối tác không muốn nhận thông báo từ ứng dụng của iHouzz, vui lòng điều chỉnh cài đặt thông báo trong ứng dụng hoặc thiết bị của mình.
  5. Quyền xóa Dữ liệu cá nhân: Khách hàng/Đối tác có quyền yêu cầu iHouzz thực hiện xóa Dữ liệu cá nhân của Khách hàng/Đối tác với điều kiện là yêu cầu của Khách hàng/Đối tác phải phù hợp với quy định của pháp luật. Tuy nhiên, yêu cầu xóa Dữ liệu cá nhân của Khách hàng/Đối tác có thể dẫn tới việc iHouzz không thể cung cấp Sản phẩm, dịch vụ cho Khách hàng/Đối tác điều này đồng nghĩa với việc iHouzz có thể đơn phương chấm dứt hợp đồng mà không cần phải bồi thường cho Khách hàng/Đối tác do các điều kiện để thực hiện hợp đồng đã thay đổi (trừ trường hợp do lỗi của iHouzz). Do đó, iHouzz khuyến nghị Khách hàng/Đối tác cân nhắc kĩ lưỡng trước khi yêu cầu iHouzz thực hiện xóa Dữ liệu cá nhân.
  6. Quyền khiếu nại, tố cáo, khởi kiện: Khách hàng/Đối tác có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
  7. Quyền yêu cầu bồi thường thiệt hại: Khách hàng/Đối tác có quyền yêu cầu iHouzz bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ Dữ liệu cá nhân khi thỏa mãn đồng thời các điều kiện sau:
    • Có hành vi vi phạm quy định pháp luật về bảo vệ Dữ liệu cá nhân của iHouzz;
    • Hành vi vi phạm nêu trên dẫn tới thiệt hại thực tế phát sinh cho Khách hàng/Đối tác;
    • Khách hàng đã thực hiện đầy đủ các nghĩa vụ về bảo vệ Dữ liệu cá nhân của mình theo quy định của pháp luật, Chính sách này và theo thỏa thuận khác giữa iHouzz và Khách hàng/Đối tác.
  8. Quyền tự bảo vệ: Khách hàng/Đối tác có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13/2023/NĐ-CP về bảo vệ Dữ liệu cá nhân (và các bản sửa đổi kèm theo), hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
Điều 8. Nghĩa vụ của Khách hàng/Đối tác
Khách hàng có trách nhiệm bảo vệ Dữ liệu cá nhân của mình như sau:
  1. Chủ động thực hiện các biện pháp bảo vệ, quản lý và sử dụng an toàn tài khoản, thiết bị công nghệ cá nhân (bao gồm các thiết bị như điện thoại thông minh, máy tính, máy tính bảng, laptop) bằng cách đăng xuất tài khoản sau khi sử dụng, đặt một mật khẩu mạnh, khó đoán và giữ bí mật thông tin đăng nhập cũng như mật khẩu của mình. Các biện pháp bảo vệ và quản lý sử dụng an toàn tài khoản, thiết bị di động nói trên giúp ngăn chặn việc truy cập trái phép vào tài khoản của Khách hàng/Đối tác. iHouzz được loại trừ trách nhiệm với các thiệt hại của Khách hàng/Đối tác trong trường hợp Khách hàng/Đối tác bị lộ/mất, bị đánh cắp mật khẩu, dẫn tới việc bị truy cập trái phép vào tài khoản, hoặc bất kỳ hoạt động nào trên tài khoản của Khách hàng/Đối tác sử dụng trên thiết bị di động bị mất, thất lạc dẫn đến người không có thẩm quyền tự ý sử dụng dịch vụ, hoặc hệ thống của iHouzz bị xâm phạm bất hợp pháp bởi bên thứ ba mặc dù iHouzz đã thực hiện đầy đủ các biện pháp để bảo vệ hệ thống;
  2. Khi đã chấp thuận toàn bộ điều khoản và điều kiện của của Chính sách này, Khách hàng/Đối tác có trách nhiệm cung cấp Dữ liệu cá nhân đầy đủ, chính xác theo yêu cầu của iHouzz và có trách nhiệm thông báo cho iHouzz ngay khi phát hiện hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân. Khách hàng/Đối tác có thể chủ động cung cấp Dữ liệu cá nhân nằm ngoài yêu cầu của iHouzz với điều kiện Khách hàng/Đối tác phải tuân thủ quy định tại khoản 2 Điều 2 của Chính sách này;
  3. Khách hàng/Đối tác có trách nhiệm tôn trọng Dữ liệu cá nhân của chủ thể khác và thực hiện quy định của pháp luật về bảo vệ Dữ liệu cá nhân, tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
Điều 9. Lưu trữ Dữ liệu cá nhân
  1. Dữ liệu cá nhân của Khách hàng/Đối tác do iHouzz lưu trữ sẽ được bảo mật. iHouzz trong khả năng của mình, sẽ nỗ lực thực hiện các biện pháp bảo vệ Dữ liệu cá nhân của Khách hàng/Đối tác.
  2. Địa điểm lưu trữ Dữ liệu cá nhân: Trong phạm vi pháp luật cho phép, iHouzz có thể lưu trữ Dữ liệu cá nhân của Khách hàng/Đối tác tại Việt Nam và ở nước ngoài, kể cả trên giải pháp lưu trữ điện toán đám mây. iHouzz áp dụng các tiêu chuẩn về bảo mật dữ liệu phù hợp với quy định pháp luật hiện hành.
  3. Thời gian lưu trữ Dữ liệu cá nhân: iHouzz chỉ thực hiện lưu trữ Dữ liệu cá nhân của Khách hàng/Đối tác trong khoảng thời gian phù hợp để hoàn thành các Mục Đích được quy định tại Điều 3 của Chính sách này. Tuy nhiên, trường hợp pháp luật hiện hành có quy định khác về thời hạn lưu trữ Dữ liệu cá nhân, iHouzz có nghĩa vụ tuân thủ quy định của pháp luật.
Điều 10. Nghĩa vụ của iHouzz
  1. Dữ liệu cá nhân của Khách hàng/Đối tác được cam kết bảo mật theo quy định của pháp luật, Chính sách bảo vệ Dữ liệu cá nhân của iHouzz.
  2. iHouzz nỗ lực đảm bảo Dữ liệu cá nhân của Khách hàng/Đối tác được bảo vệ khỏi các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. iHouzz duy trì cam kết bảo mật Dữ liệu cá nhân bằng cách áp dụng những biện pháp vật lý, điện tử và quản lý để bảo vệ Dữ liệu cá nhân, bao gồm:
    1. Các máy chủ trang thông tin điện tử chính thức của iHouzz và các hệ thống thông tin chứa dữ liệu cá nhân của iHouzz đều được bảo vệ bởi các biện pháp, công nghệ bảo mật như tường lửa, mã hóa, chống xâm nhập trái phép; ban hành các biện pháp kiểm soát về con người, xây dựng quy trình kiểm tra, đánh giá, rà soát để phòng tránh các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
    2. iHouzz sẽ thực hiện tất cả các biện pháp phù hợp để đảm bảo rằng Dữ liệu cá nhân của Khách hàng/Đối tác được xử lý đúng với Mục Đích đã thông báo. iHouzz sẽ luôn tuân thủ những yêu cầu của pháp luật liên quan đến việc lưu trữ Dữ liệu cá nhân.
  3. Thực hiện các yêu cầu của Khách hàng/Đối tác liên quan đến dữ liệu cá nhân của Khách hàng/Đối tác với điều kiện các yêu cầu của Khách hàng/Đối tác phải phù hợp với quy định của pháp luật.
  4. Các nghĩa vụ khác theo quy định của pháp luật và của Chính sách này.
Điều 11. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra
  1. iHouzz sử dụng nhiều biện pháp, công nghệ bảo mật thông tin khác nhau nhằm bảo vệ Dữ liệu cá nhân của Khách hàng/Đối tác không bị sử dụng hoặc chia sẻ ngoài ý muốn. iHouzz cam kết sẽ bảo mật một cách tối đa Dữ liệu cá nhân của Khách hàng/Đối tác. Một số hậu quả, thiệt hại không mong muốn có thể xảy ra bao gồm:
    1. Lỗi phần cứng, phần mềm trong quá trình xử lý Dữ liệu cá nhân gây ảnh hưởng không mong muốn (lỗi, hỏng, mất) Dữ liệu cá nhân của Khách hàng/Đối tác;
    2. Lỗ hổng bảo mật nằm ngoài khả năng kiểm soát của iHouzz, hệ thống bị hacker tấn công gây lộ lọt Dữ liệu cá nhân của Khách hàng/Đối tác;
    3. Khách hàng/Đối tác tự làm lộ lọt Dữ liệu cá nhân của Khách hàng/Đối tác do: bất cẩn hoặc bị lừa đảo; truy cập các website/tải các ứng dụng có chứa phần mềm độc hại; tự ý chia sẻ thông tin với người khác.
  2. iHouzz khuyến cáo Khách hàng/Đối tác thực hiện nghiêm ngặt các trách nhiệm bảo vệ Dữ liệu cá nhân theo quy định tại Điều 8 của Chính sách này và theo quy định của pháp luật.
  3. Trong trường hợp xảy ra lỗi phần cứng, phần mềm trong quá trình xử lý Dữ liệu cá nhân theo quy định tại Điểm a Khoản 1 Điều này, iHouzz có trách nhiệm bồi thường thiệt hại trực tiếp cho Khách hàng/Đối tác theo quy định tại Hợp đồng, Điều khoản chung và pháp luật. Trong trường hợp máy chủ lưu trữ dữ liệu bị hacker tấn công dẫn đến mất mát Dữ liệu cá nhân của Khách hàng/Đối tác hoặc Khách hàng/Đối tác tự làm lột lọt Dữ liệu cá nhân theo quy định tại Điểm b và c Khoản 1 Điều này, iHouzz có trách nhiệm thông báo vụ việc cho cơ quan có thẩm quyền để điều tra xử lý kịp thời và thông báo cho Khách hàng/Đối tác được biết.
Điều 12. Quảng cáo trên internet và bên thứ ba
  1. Các website/wapsite/ứng dụng của iHouzz có thể bao gồm quảng cáo của bên thứ ba và liên kết tới các website/wapsite/ứng dụng khác. Các đối tác quảng cáo bên thứ ba có thể thu thập thông tin về Khách hàng/Đối tác khi Khách hàng/Đối tác tương tác với nội dung, quảng cáo hoặc dịch vụ của họ. Mọi quyền truy cập và sử dụng các liên kết hoặc trang website của bên thứ ba không bị điều chỉnh bởi Chính sách này, mà thay vào đó được điều chỉnh bởi Chính sách quyền riêng tư của các bên thứ ba đó. iHouzz không chịu trách nhiệm về các quy định về thông tin của các bên thứ ba.
Điều 13. Xử lý Dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu
  1. iHouzz có thể tiến hành xử lý Dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu trong các trường hợp sau:
    1. Trong trường hợp khẩn cấp, cần xử lý ngay Dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
    2. Việc công khai Dữ liệu cá nhân theo quy định của pháp luật;
    3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của pháp luật;
    4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật;
    5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Điều 14. Thông tin liên lạc

Trường hợp Khách hàng/Đối tác có bất kỳ câu hỏi nào về Chính sách này hoặc muốn thực hiện các quyền của Khách hàng/Đối tác liên quan tới Dữ liệu cá nhân, vui lòng liên hệ với iHouzz theo các phương thức và thông tin dưới đây:

  1. Liên hệ tới tổng đài theo thông tin tại các website/wapsite/ứng dụng chính thức của iHouzz tại từng thời điểm.
  2. Gửi công văn tới địa chỉ sau đây: Công ty Cổ phần Công nghệ iHouzz –
    VP 02, Tầng 8, Tòa nhà Pearl Plaza, Số 561A Điện Biên Phủ, Phường 25, Quận Bình Thạnh, TP. Hồ Chí Minh.
  3. Liên hệ trực tiếp tại các điểm giao dịch của iHouzz trên phạm vi toàn quốc.
  4. Các cách thức liên hệ khác như Livechat, liên hệ qua fanpage chính thức của iHouzz, email chăm sóc Khách hàng được cung cấp cho Khách hàng/Đối tác tại mọi thời điểm.

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN DÀNH CHO NGƯỜI LAO ĐỘNG, ỨNG VIÊN VÀ NGƯỜI LIÊN QUAN

LỜI NÓI ĐẦU

Công ty Cổ phần Dịch vụ Công nghệ iHouzz (sau đây gọi là “iHouzz” hoặc “chúng tôi”) cam kết tôn trọng và nỗ lực để đảm bảo tính bảo mật và các quyền của Chủ thể dữ liệu đối với Dữ liệu cá nhân của Người lao động, Ứng viên và Người liên quan. Trong quá trình xử lý Dữ liệu cá nhân của Chủ thể dữ liệu, chúng tôi sẽ thực hiện và tuân thủ các nội dung tại Chính sách xử lý Dữ liệu cá nhân dành cho Người lao động, Ứng viên và Người liên quan (sau đây gọi là “Chính sách”).

Chính sách này áp dụng cho chúng tôi với tư cách là Bên Kiểm soát và xử lý Dữ liệu cá nhân, và theo đó, iHouzz sẽ quyết định mục đích, phương tiện và trực tiếp Xử lý dữ liệu cá nhân. Chính sách này được công bố công khai trên trang điện tử chính thức của iHouzz.

iHouzz bảo lưu quyền sửa đổi, bổ sung đối với Chính sách này vào bất kỳ thời điểm nào. iHouzz sẽ công bố công khai bản sửa đổi, bổ sung của Chính sách trên trang điện tử chính thức của iHouzz. iHouzz khuyến khích Chủ thể dữ liệu thường xuyên xem lại Chính sách để có được những cập nhật mới nhất về cách chúng tôi bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu.

Điều 1. Định nghĩa và giải thích từ ngữ
Trong phạm vi Chính sách này, các thuật ngữ dưới đây được hiểu và giải thích như sau:
1.iHouzz/Công ty: Công ty Cổ phần Công nghệ iHouzz.
2.Bên Xử lý Dữ liệu cá nhân: là tổ chức thực hiện việc xử lý dữ liệu thay mặt cho iHouzz, thông qua một hợp đồng hoặc thỏa thuận với iHouzz.
3.Chủ thể Dữ liệu: là cá nhân được Dữ liệu cá nhân phản ánh và sẽ dẫn chiếu đến Người lao động và/hoặc Ứng viên và/hoặc Người liên quan
4.Dữ liệu cá nhân: Được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
5.Xử lý Dữ liệu cá nhân: Là một hoặc nhiều hoạt động tác động tới Dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan.
6.Người lao động: Là bất kỳ cá nhân nào có quan hệ lao động hoặc quan hệ việc làm với iHouzz theo hợp đồng thử việc, hợp đồng lao động, hợp đồng đào tạo nghề, thỏa thuận thực tập và các thỏa thuận khác theo quy định pháp luật.
7.Ứng viên: Là cá nhân đã nộp hồ sơ ứng tuyển để trở thành người lao động, thực tập sinh, hoặc các vị trí việc làm khác tại iHouzz.
8.Người liên quan: Là những cá nhân có liên quan của Chủ thể dữ liệu, bao gồm nhưng không giới hạn bởi người phụ thuộc, vợ/chồng, con cái, cha mẹ ruột, cha mẹ nuôi, bạn bè, người tham chiếu, người liên hệ trong các trường hợp khẩn cấp và/hoặc cá nhân khác có mối quan hệ khác với Chủ thể dữ liệu đó.
9.Chấp thuận: Là thư được gửi từ Chủ thể dữ liệu đến iHouzz, hoặc các biểu mẫu/hợp đồng giao kết giữa iHouzz và Chủ thể dữ liệu hoặc các hình thức khác phù hợp với quy định pháp luật để thể hiện sự đồng ý về việc Xử lý Dữ liệu cá nhân của Chủ thể dữ liệu. Đối với trường hợp Chủ thể dữ liệu là Ứng viên ứng tuyển bằng hình thức trực tuyến, Chấp thuận được thể hiện thông qua hình thức: đánh dấu vào ô tuyên bố “Tôi đã đọc, hiểu rõ và đồng ý Chính sách xử lý dữ liệu cá nhân của iHouzz” hoặc các tuyên bố tương tự được hiển thị tại các tài liệu giấy hoặc nền tảng của iHouzz tương đương với các mục đích xử lý dữ liệu cá nhân tại iHouzz.
Điều 2. Các quy định chung
  1. Chính sách này sẽ quy định cụ thể các vấn đề sau đây:
    1. Phạm vi và mục đích Xử lý dữ liệu cá nhân của Chủ thể dữ liệu;
    2. Các bên sẽ tham gia vào quá trình Xử lý dữ liệu cá nhân;
    3. Các quyền và nghĩa vụ liên quan đến Dữ liệu cá nhân của Chủ thể dữ liệu;
    4. Thời gian bắt đầu và thời gian kết thúc Xử lý dữ liệu cá nhân;
    5. Cách thức Xử lý dữ liệu cá nhân;
    6. Hậu quả, thiệt hại không mong muốn có thể xảy ra; và
    7. Các vấn đề khác liên quan đến Xử lý dữ liệu cá nhân.
  2. Bằng việc nộp đơn ứng tuyển cho iHouzz và/hoặc bằng việc cho phép iHouzz sử dụng Dữ liệu cá nhân của mình và/hoặc của Người liên quan, Chủ thể dữ liệu chấp nhận tất cả các điều khoản và điều kiện được quy định chi tiết trong Chính sách này (sau đây gọi tắt chung là “Điều Khoản và Điều Kiện Xử lý dữ liệu cá nhân”.
  3. Bằng việc cung cấp Dữ liệu cá nhân của Người liên quan cho iHouzz, Chủ thể dữ liệu cam đoan và bảo đảm với iHouzz rằng Người liên quan đã được thông báo đầy đủ về Chính sách này và Chủ thể dữ liệu đã có được sự đồng ý và sự ủy quyền hợp pháp của Người liên quan cho việc Xử lý dữ liệu cá nhân theo các Điều Khoản Và Điều Kiện Xử lý dữ liệu cá nhân trong Chính sách này.
  4. Điều Khoản Và Điều Kiện Xử lý dữ liệu cá nhân trong Chính sách này là một phần không thể tách rời của các thỏa thuận, hợp đồng, điều khoản và điều kiện chi phối mối quan hệ giữa Chủ thể dữ liệu với iHouzz. Trong trường hợp có bất kỳ sự khác biệt và/hoặc mâu thuẫn nào giữa Điều Khoản Và Điều Kiện Xử lý dữ liệu cá nhân và các điều khoản và điều kiện cho cùng các mục đích được quy định tại các thỏa thuận và/hoặc hợp đồng giữa Chủ thể dữ liệu và iHouzz (nếu có) được giao kết trước, vào cùng ngày hoặc sau ngày của Chính sách này, Điều Khoản Và Điều Kiện Xử lý dữ liệu cá nhân sẽ được ưu tiên áp dụng và sẽ mặc nhiên thay thế những điều khoản và điều kiện của các thỏa thuận và/hoặc hợp đồng đó.
Điều 3. Phạm vi và mục đích xử lý Dữ liệu cá nhân của Chủ thể dữ liệu
  1. Phạm vi xử lý: Tùy từng trường hợp, iHouzz sẽ xử lý toàn bộ hoặc một phần Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm của Chủ thể dữ liệu bao gồm:
    1. Dữ liệu cá nhân cơ bản
      • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
      • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
      • Giới tính;
      • Quốc tịch;
      • Nơi sinh, nơi thường trú, tạm trú, quê quán, địa chỉ liên hệ;
      • Số điện thoại, email, số CMND, CCCD, số hộ chiếu, số giấy phép lái xe, số biển số xe, mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế, số giấy phép lao động và các thông tin trên giấy phép lao động, thị thực;
      • Tình trạng hôn nhân, thông tin về mối quan hệ gia đình (cha mẹ, vợ chồng, con cái,…),
      • Thông tin về Người liên quan;
      • Sơ yếu lý lịch hoặc CV, thư xin việc, kinh nghiệm làm việc liên quan hoặc trước đây; trình độ học vấn, bảng điểm, hoặc thông tin khác mà Chủ thể dữ liệu cung cấp cho iHouzz để đăng ký, hay đơn ứng tuyển cũng như quy trình tuyển dụng;
      • Thông tin tham khảo và thông tin nhận được từ việc kiểm tra lý lịch (nếu có), bao gồm thông tin do bên thứ ba cung cấp;
      • Dữ liệu cá nhân phản ánh quá trình làm việc, quá trình học tập & đào tạo, khen thưởng & kỷ luật;
      • Hình ảnh, video và bản thu âm của cá nhân (bao gồm không giới hạn hình ảnh trên hồ sơ ứng tuyển hoặc hình ảnh, giọng nói của Chủ thể dữ liệu được ghi nhận lại bởi các nền tảng hội nghị trực tuyến, hoặc hình ảnh được thu thập thông qua thiết bị giám sát an ninh tại văn phòng/tòa nhà);
      • Thông tin địa điểm làm việc, lịch sử đi công tác;
      • Thông tin về kỹ năng cá nhân, năng khiếu khác và sở thích của Chủ thể dữ liệu (nếu có);
      • Kết quả từ bất kỳ bài kiểm tra năng khiếu, tính cách nào mà Chủ thể dữ liệu hoàn thành và cung cấp cho iHouzz;
      • Thông tin nhận việc của Chủ thể dữ liệu, cấp bậc, chức vụ;
      • Bất kỳ thông tin nào khác theo yêu cầu của pháp luật hoặc do Chủ thể dữ liệu tự nguyện cung cấp cho iHouzz trong suốt quá trình tuyển dụng và/hoặc trong quá trình làm việc tại iHouzz và không thuộc loại Dữ liệu cá nhân nhạy cảm;
      • Thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc loại Dữ liệu cá nhân nhạy cảm.
    2. Dữ liệu cá nhân nhạy cảm:
      • Số tài khoản ngân hàng;
      • Quan điểm chính trị, tôn giáo;
      • Thông tin dữ liệu về tội phạm, hành vi phạm tội trong lý lịch tư pháp;
      • Thông tin tài chính như lương, trợ cấp; phụ cấp, thưởng và các phúc lợi khác (như được thay đổi, điều chỉnh tùy từng thời điểm);
      • Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án;
      • Nguồn gốc chủng tộc, nguồn gốc dân tộc;
      • Hình ảnh, dấu vân tay;
      • Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
      • Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
  2.  
Điều 4. Mục đích xử lý Dữ liệu cá nhân
iHouzz xử lý Dữ liệu cá nhân của Chủ thể dữ liệu cho các mục đích dưới đây (sau đây gọi là “Mục đích xử lý”):
  • Xác minh danh tính của Chủ thể dữ liệu và tính chính xác của thông tin được cung cấp, kiểm tra tham chiếu và điều tra lý lịch (nếu cần thiết).
  • Đánh giá, thẩm định tính đủ điều kiện và sự phù hợp của Ứng viên đối với công việc đang ứng tuyển hoặc các cơ hội việc làm tương tự trong tương lai hoặc nhận diện các xung đột lợi ích tiềm ẩn.
  • Thực hiện các bước chuẩn bị cho việc ký kết hợp đồng thử việc, hợp đồng lao động, hợp đồng đào tạo nghề, thỏa thuận thực tập và các thỏa thuận khác theo quy định pháp luật; ký kết và thực hiện các nghĩa vụ theo hợp đồng, thỏa thuận đó.
  • Thực hiện các thủ tục, quy trình liên quan đến tuyển dụng Chủ thể dữ liệu bao gồm các trường hợp đánh giá chưa đạt hoặc đạt yêu cầu; đề xuất nhận việc.
  • Thực hiện các nghĩa vụ về thuế, bảo hiểm xã hội, lao động, công đoàn, tổ chức khám sức khỏe cho Người lao động theo quy định pháp luật; cung cấp thông tin, Dữ liệu cá nhân của Người lao động của iHouzz theo yêu cầu của cơ quan nhà nước có thẩm quyền, bao gồm nhưng không giới hạn cơ quan lao động, bảo hiểm, thống kê, công đoàn, ngân hàng nhà nước và thuế.
  • Thanh toán lương, thưởng và thực hiện các chính sách, chế độ, chính sách phúc lợi cho Người lao động theo nội quy, thỏa ước lao động và các quy định nội bộ khác của iHouzz, bao gồm việc quản lý bảo hiểm và các lợi ích khác cho Người lao động và người phụ thuộc của Người lao động.
  • Thực hiện các khóa học, huấn luyện nâng cao kĩ năng mềm hoặc các kĩ năng, nhận thức cần thiết cho quy trình tuyển dụng, quy hoạch nhân tài, đào tạo đáp ứng nhu cầu công việc hoặc để thực hiện hợp đồng thử việc, hợp đồng lao động với iHouzz.
  • Sắp xếp các chuyến công tác, các sự kiện và hoạt động, chương trình đào tạo, huấn luyện, dạy nghề hoặc luân chuyển lao động nội bộ.
  • Đánh giá năng lực và sự phù hợp của Người lao động đối với vị trí công việc mới (áp dụng cho trường hợp thăng tiến).
  • Quản lý nội bộ về nguồn nhân lực, lưu trữ cơ sở dữ liệu để phục vụ nhu cầu của iHouzz; tổng hợp và cập nhật thông tin Người lao động. Truyền thông nội bộ các hình thức xử lý kỷ luật nhằm xây dựng môi trường văn hóa làm việc hiệu quả, kỷ luật;
  • Thực hiện việc kiểm soát, quản lý rủi ro, điều tra nội bộ và xử lý kỷ luật nếu có hành vi vi phạm xảy ra và giải quyết các tranh chấp lao động.
  • Kiểm toán, quyết toán, báo cáo, thống kê, khảo sát, phân tích dữ liệu nhân sự, lao động, tiền lương, thuế, bảo hiểm xã hội, bảo hiểm sức khỏe.
  • Nhằm giao kết, thực hiện và tuân thủ với các thoả thuận, hợp đồng giữa iHouzz với các bên khác.
  • Trao đổi thông tin liên hệ của Người lao động với khách hàng và/hoặc nhà cung cấp, đối tác có liên quan đến vị trí công việc của Người lao động.
  • Tìm kiếm bất kỳ sự tư vấn chuyên nghiệp nào (bao gồm nhưng không giới hạn ở tư vấn pháp lý) liên quan đến bất kỳ vấn đề nào của iHouzz và/hoặc của Chủ thể dữ liệu.
  • Nhằm thống kê, xếp loại các cán bộ, nhân viên được hưởng khoản vay ưu đãi trong năm từ iHouzz.
  • Cung cấp cho Chủ thể dữ liệu các thông tin về iHouzz, dịch vụ, sản phẩm của iHouzz;
  • Cung cấp cho các đơn vị và chi nhánh (nếu có), các bên cung cấp dịch vụ, hoặc các bên thứ ba khác có liên quan để tiến hành các hoạt động xử lý Dữ liệu cá nhân trên cơ sở thay mặt hoặc được ủy quyền bởi iHouzz và phục vụ cho các Mục đích xử lý.
  • Hỗ trợ Người lao động có được thị thực nhập cư hoặc giấy phép làm việc khi cần thiết; thiết lập liên lạc trong trường hợp khẩn cấp.
  • Quản lý và đảm bảo an ninh, an toàn tại nơi làm việc.
  • Thực hiện các hoạt động khác liên quan đến quan hệ lao động hoặc cho bất kỳ mục đích nào khác được yêu cầu hoặc cho phép bởi bất kỳ luật, quy định, hướng dẫn của các Cơ quan nhà nước có thẩm quyền.
  • Cho bất kỳ mục đích nào khác mà pháp luật Việt Nam cho phép.
Các mục đích trên có thể tiếp tục được áp dụng, ngay cả trong trường hợp Chủ thể dữ liệu rút hồ sơ ứng tuyển tại iHouzz (đối với Chủ thể dữ liệu là Ứng viên), chấm dứt hoặc thay đổi quan hệ lao động với iHouzz (đối với Chủ thể dữ liệu là Người lao động), trong một khoảng thời gian hợp lý sau đó (bao gồm trong giai đoạn cho phép iHouzz thực thi các quyền của mình theo bất kỳ hợp đồng nào với Người lao động hoặc theo quy định pháp luật). Nếu iHouzz xử lý Dữ Liệu Cá Nhân của Chủ thể dữ liệu cho các mục đích khác ngoài Mục đích xử lý tại đây, iHouzz sẽ thông báo cho Chủ thể dữ liệu cách chúng tôi Xử lý Dữ liệu cá nhân này và thu thập bổ sung sự đồng ý trước khi Xử lý Dữ liệu cá nhân của Chủ thể dữ liệu cho các mục đích đó theo các luật và quy định hiện hành.
Điều 5. Các bên tham gia vào quá trình Xử lý Dữ liệu cá nhân
  1. Trên cơ sở tuân thủ đầy đủ các quy định của pháp luật Việt Nam, iHouzz có thể chia sẻ một phần hoặc toàn bộ Dữ liệu cá nhân của Chủ thể dữ liệu cho các bên dưới đây:
    1. Các đơn vị kinh doanh, chi nhánh/phòng giao dịch, các Công ty con, Công ty liên kết (nếu có);
    2. Các tổ chức, cá nhân đóng vai trò là Bên Xử lý dữ liệu, bao gồm, nhưng không giới hạn bởi:
      • Bên cung cấp hàng hóa, dịch vụ bao gồm nhưng không giới hạn đơn vị chuyển phát nhanh, đơn vị cung cấp dịch vụ nhân sự, làm giấy phép lao động, thị thực;
      • Đối tác tuyển dụng, tìm kiếm ứng viên, giới thiệu việc làm;
      • Đối tác đào tạo, huấn luyện;
      • Đối tác chăm sóc, khám sức khỏe, bệnh viện;
      • Đối tác dịch vụ du lịch, vận tải;
      • Đối tác cung cấp dịch vụ lưu trữ đám mây, công nghệ thông tin;
      • Đối tác cung cấp các dịch vụ phân tích, định hướng;
      • Các đơn vị tư vấn chuyên nghiệp (bao gồm, nhưng không giới hạn bởi, luật sư, tư vấn pháp lý, tư vấn tài chính, kế toán viên, kiểm toán viên và/hoặc các đơn vị tư vấn chuyên nghiệp) khác;
      • Đơn vị công chứng, thừa phát lại;
      • Công ty bảo hiểm hoặc môi giới bảo hiểm.
    3. Bất kỳ bên thứ ba nào mà Chủ thể dữ liệu cho phép iHouzz chia sẻ Dữ liệu cá nhân, bao gồm, nhưng không giới hạn bởi Người liên quan của Chủ thể dữ liệu;
    4. Bất kỳ cơ quan nhà nước có thẩm quyền nào và/hoặc các đơn vị trực thuộc các cơ quan Nhà nước đó theo các quy định của pháp luật Việt Nam.
    5. Chuyển giao kinh doanh: iHouzz có quyền chia sẻ Dữ liệu cá nhân của Người lao động với các bên khác, liên quan đến mọi thương vụ hợp nhất, mua lại, sáp nhập, hợp tác, tái cơ cấu, cấp vốn hoặc bất kỳ giao dịch kinh doanh nào khác.
    6. Các bên thứ ba khác mà iHouzz xét thấy là cần thiết vì Mục đích xử lý hoặc theo quy định pháp luật.
  2. Mặt khác, iHouzz sẽ coi Dữ liệu cá nhân của Chủ thể dữ liệu là riêng tư và bí mật, và ngoài các bên đã nêu ở trên, iHouzz sẽ không tiết lộ Dữ liệu cá nhân cho bất kỳ bên nào khác ngoại trừ:
    1. Khi có sự đồng ý của Chủ thể dữ liệu;
    2. Khi iHouzz được yêu cầu hoặc được phép tiết lộ theo quy định pháp luật;
    3. Khi iHouzz được yêu cầu hoặc cho phép theo quyết định của cơ quan Nhà nước có thẩm quyền;
    4. Khi iHouzz chuyển giao quyền và nghĩa vụ theo (các) thỏa thuận giữa Chủ thể dữ liệu và iHouzz; và/hoặc
    5. Khi iHouzz buộc phải đáp ứng nghĩa vụ của mình với bất kỳ cơ quan Nhà nước có thẩm quyền nào.
Điều 6. Quyền của Chủ thể dữ liệu
  • Chủ thể dữ liệu có các quyền sau đây đối với Dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác:
    1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý Dữ liệu cá nhân của mình;
    2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý Dữ liệu cá nhân của mình, trừ trường hợp pháp luật cho phép xử lý Dữ liệu cá nhân mà không cần sự đồng ý của Chủ thể dữ liệu;
    3. Quyền truy cập: Chủ thể dữ liệu được quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân của mình.
    4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình.
    5. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa Dữ liệu cá nhân của mình.
    6. Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu được yêu cầu hạn chế xử lý Dữ liệu cá nhân của mình.
    7. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu cung cấp cho bản thân Dữ liệu cá nhân của mình.
    8. Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu được phản đối việc xử lý Dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ Dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
    9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu được khiếu nại, tố cáo, khởi kiện theo quy định của pháp luật.
    10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu được yêu cầu bồi thường thiệt hại khi xảy ra vi phạm quy định về bảo vệ Dữ liệu cá nhân của mình.
    11. Quyền tự bảo vệ: Chủ thể dữ liệu được tự bảo vệ mình theo quy định của Bộ luật Dân sự, các luật khác có liên quan và Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu cá nhân, yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự.
  • Khi Chủ thể dữ liệu mong muốn thực hiện bất kỳ quyền nào của mình đối với Dữ liệu cá nhân của mình mà iHouzz đang kiểm soát và Xử lý dữ liệu cá nhân, Chủ thể dữ liệu phải thông báo cho iHouzz bằng một trong các phương thức được quy định trong Chính sách này. Sau khi tiếp nhận được yêu cầu đầy đủ và hợp lệ, iHouzz sẽ nỗ lực thực hiện yêu cầu đó trong khoảng thời gian mà pháp luật yêu cầu và, nếu không thể thực hiện được vì bất kỳ lý do gì, iHouzz thông báo cho Chủ thể dữ liệu, trừ trường hợp pháp luật Việt Nam không cho phép iHouzz thông báo cho Chủ thể dữ liệu.
  • Trường hợp Chủ thể dữ liệu là Ứng viên thực hiện quyền rút lại sự đồng ý của mình đối với Dữ liệu cá nhân của Chủ thể dữ liệu hoặc yêu cầu chỉnh sửa, xóa và/hoặc hủy Dữ liệu cá nhân, từ đó dẫn đến việc iHouzz không thể tiếp tục quá trình phỏng vấn, iHouzz sẽ xem yêu cầu thực hiện quyền đó là hành động của Ứng viên về việc không tiếp tục ứng tuyển vào vị trí tại iHouzz.
  • Trường hợp Chủ thể dữ liệu là Người lao động thực hiện quyền rút lại sự đồng ý của mình đối với Dữ liệu cá nhân của Chủ thể dữ liệu hoặc yêu cầu chỉnh sửa, xóa và/hoặc hủy Dữ liệu cá nhân, từ đó dẫn đến việc iHouzz không thể ký kết hợp đồng với Người lao động, iHouzz sẽ xem yêu cầu thực hiện quyền đó là hành động của Người lao động về việc từ chối ký kết hợp đồng lao động. Trường hợp việc thực hiện quyền nói trên của Chủ thể dữ liệu làm iHouzz không thể thực hiện các nghĩa vụ của mình đối với Người lao động theo hợp đồng hoặc thỏa thuận với Người lao động. iHouzz sẽ không chịu trách nhiệm đối với Người lao động cho bất kỳ tổn thất nào phát sinh do thực hiện các quyền này với Người lao động.
  • Để tránh nhầm lẫn, khi Chủ thể dữ liệu thực hiện quyền rút lại sự đồng ý của mình:
    1. Việc rút lại sự đồng ý đó sẽ chỉ có hiệu lực pháp lý đối với iHouzz từ thời điểm Chủ thể dữ liệu gửi yêu cầu đó đến iHouzz và iHouzz đã hoàn thành việc định danh để xác định quyền của Chủ thể dữ liệu và sẽ không có hiệu lực hồi tố đối với sự đồng ý của Chủ thể dữ liệu trước thời điểm đó; và
    2. Việc rút lại sự đồng ý đó sẽ chỉ áp dụng đối với (các) mục đích Xử lý dữ liệu cá nhân cụ thể và không áp dụng đối với tất cả các mục đích Xử lý dữ liệu cá nhân được quy định tại Chính sách này, trừ khi Chủ thể dữ liệu xác định một cách cụ thể.
Điều 7. Nghĩa vụ của Chủ thể dữ liệu
Chủ thể dữ liệu có các nghĩa vụ sau đây đối với Dữ liệu cá nhân của mình:
  1. Tự bảo vệ Dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ Dữ liệu cá nhân của mình. Nếu Dữ liệu cá nhân bị tiết lộ do sự bất cẩn hay bất kỳ lỗi nào của Chủ thể dữ liệu, thì Chủ thể dữ liệu phải chấp nhận những rủi ro và thiệt hại có thể xảy ra.
  2. Tôn trọng, bảo vệ Dữ liệu cá nhân của người khác.
  3. Cung cấp đầy đủ, chính xác Dữ liệu cá nhân cho iHouzz khi đồng ý cho phép xử lý Dữ liệu cá nhân.
  4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ Dữ liệu cá nhân được tổ chức bởi iHouzz hoặc các đối tác, bên cung cấp dịch vụ cho iHouzz và biết rõ rằng bất kỳ trường hợp không tuân thủ nào đều có thể dẫn đến rủi ro đối với Dữ liệu cá nhân của Chủ thể dữ liệu.
  5. Kịp thời cập nhật cho iHouzz nếu có bất kỳ sự thay đổi vào đối với Dữ liệu cá nhân mà Chủ thể dữ liệu đã cung cấp.
  6. Cung cấp tài liệu có giá trị pháp lý khi iHouzz yêu cầu để chứng minh rằng Chủ thể dữ liệu đã thu thập được sự đồng ý và sự cho phép cần thiết từ Người liên quan để cung cấp dữ liệu cá nhân của họ.
  7. Thực hiện quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
Điều 8. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân
iHouzz thực hiện xử lý Dữ liệu cá nhân của Chủ thể dữ liệu từ thời điểm nhận được Chấp thuận của Chủ thể dữ liệu về việc xử lý Dữ liệu cá nhân. Dữ liệu cá nhân của Chủ thể dữ liệu sẽ được xử lý trong khoảng thời gian cần thiết để đạt được các Mục đích xử lý và/hoặc để thực hiện các nghĩa vụ mà iHouzz đã thông báo cho Chủ thể dữ liệu và/hoặc thực hiện các thỏa thuận và/hoặc hợp đồng mà iHouzz giao kết với Chủ thể dữ liệu, trừ khi thời gian lưu trữ Dữ liệu cá nhân lâu hơn được yêu cầu hoặc cho phép bởi quy định pháp luật có liên quan (ví dụ, cho mục đích về thanh tra, thuế, lao động và kiểm toán). Một số loại Dữ liệu cá nhân có thể được lưu trữ lâu hơn các Dữ liệu cá nhân còn lại.
Điều 9. Cách thức xử lý Dữ liệu cá nhân
  1. Thu thập Dữ liệu cá nhân: iHouzz và/hoặc (các) Bên Xử lý dữ liệu cá nhân có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu từ các nguồn hợp pháp khác nhau, bao gồm nhưng không giới hạn bởi:
    1. Do Ứng viên cung cấp trực tiếp cho iHouzz trong quá trình phỏng vấn;
    2. Do Người lao động cung cấp trực tiếp cho iHouzz khi giao kết hợp đồng với iHouzz và trong quá trình làm việc tại iHouzz;
    3. Từ các trao đổi, liên lạc, tương tác với Chủ thể dữ liệu;
    4. Từ các thiết bị ghi âm, ghi hình gắn với hệ thống an ninh được đặt tại đơn vị kinh doanh/chi nhánh/phòng giao dịch và tại iHouzz;
    5. Do Chủ thể dữ liệu cung cấp cho các bên thứ ba (là tổ chức, cá nhân ngoài iHouzz và Bên Xử lý dữ liệu cá nhân nhưng được phép Xử lý dữ liệu cá nhân) và đồng ý cho bên thứ ba đó cung cấp cho iHouzz. Vì mục đích của quy định này, bên thứ ba có thể bao gồm, nhưng không giới hạn bởi các nhà cung cấp dịch vụ về truyền thông, tuyển dụng, khảo sát thị trường, tiếp thị, ngăn ngừa gian lận, tập hợp dữ liệu và/hoặc bên thứ ba khác có liên quan đến các hoạt động của iHouzz;
    6. Từ các Bên Xử lý Dữ liệu cá nhân của iHouzz (bao gồm các đối tác kinh doanh), các Ngân hàng Liên kết, các nguồn dữ liệu công khai có sẵn hay các nguồn dữ liệu của cơ quan nhà nước có thẩm quyền và từ các nguồn khác;
    7. Từ bất kỳ nguồn và/hoặc bên thứ ba nào khác chưa được đề cập phía trên mà các nguồn và/hoặc bên thứ ba đó thực hiện việc Xử lý dữ liệu cá nhân theo đúng các quy định của pháp luật Việt Nam và đã được Chủ thể dữ liệu đồng ý cho phép cung cấp cho các bên khác, bao gồm iHouzz.

iHouzz sẽ sử dụng tất cả các hình thức mà pháp luật Việt Nam cho phép để thực hiện việc thu thập Dữ liệu cá nhân từ các nguồn nêu trên, bao gồm, nhưng không giới hạn bởi, hệ thống điện thoại cố định, tổng đài điện thoại, điện thoại di động, thư điện tử, máy tính xách tay, các máy quay giám sát (CCTV) và các hệ thống giao dịch điện tử khác.

  1. Xử lý Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng:
    1. iHouzz có thể thu thập và xử lý dữ liệu về hình ảnh của các cá nhân và thông tin có được từ hệ thống an ninh (ví dụ đoạn ghi âm, ghi hình tại các khu vực có lắp máy quay giám sát – CCTV, bao gồm nhưng không giới hạn ở các chi nhánh, đơn vị kinh doanh và hội sở, bao gồm khu vực quầy giao dịch, hành lang, lối ra vào,… và bãi đỗ xe) cho mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của Chủ thể dữ liệu.
    2. Tại iHouzz, hệ thống an ninh và CCTV hoạt động 24/7 để đảm bảo trật tự an toàn cho Chủ thể dữ liệu, phòng chống tội phạm, bảo vệ cơ sở và phòng cháy chữa cháy. iHouzz cam kết chỉ xử lý Dữ liệu cá nhân của Chủ thể dữ liệu theo các nội dung của Chính sách này và quy định của pháp luật.
  2. Xử lý Dữ liệu cá nhân của trẻ em
    1. iHouzz xử lý Dữ liệu cá nhân của trẻ em theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. Trước khi xử lý Dữ liệu cá nhân của trẻ em, iHouzz sẽ có các biện pháp thích hợp để xác minh tuổi của trẻ em.
    2. iHouzz có thể tiếp nhận Dữ liệu cá nhân của trẻ em là con cái, nhân thân, người phụ thuộc,… của Người lao động và xử lý Dữ liệu cá nhân cho các Mục đích xử lý tại Điều 4 của Chính sách này. iHouzz chỉ xử lý Dữ liệu cá nhân của trẻ em trên cơ sở thỏa thuận với Người lao động cho các Mục đích xử lý. Người lao động có trách nhiệm đảm bảo rằng trẻ em đã được thông báo đầy đủ về các Mục đích xử lý có liên quan và có được sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 trước khi cung cấp thông tin đó cho iHouzz.
  3. Chuyển Dữ liệu cá nhân ra nước ngoài
    1. iHouzz có thể chuyển hoặc cấp quyền truy cập vào Dữ liệu cá nhân của Chủ thể dữ liệu các đối tác, nhà cung cấp dịch vụ ở nước ngoài để xử lý phù hợp với Mục đích xử lý đã được Chủ thể dữ liệu đồng ý. Trong một số trường hợp khác, các đối tác, nhà cung cấp dịch vụ của iHouzz có trụ sở tại Việt Nam có thể sử dụng thiết bị, hệ thống xử lý dữ liệu nằm ngoài lãnh thổ của Việt Nam để thay mặt iHouzz xử lý Dữ liệu Cá nhân. Các trường hợp này đều xem là chuyển Dữ liệu cá nhân của Chủ thể dữ liệu ra nước ngoài.
    2. Cần lưu ý rằng một số quốc gia có thể có mức độ hoặc thực tiễn về việc bảo vệ Dữ liệu cá nhân thấp hơn hoặc cao hơn Việt Nam. Trong mọi trường hợp có hoạt động chuyển Dữ liệu cá nhân ra nước ngoài, iHouzz sẽ nỗ lực đưa ra các biện pháp thích hợp để đảm bảo bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu, bao gồm việc ký kết các thỏa thuận, cam kết về bảo mật dữ liệu, lựa chọn đối tác là Bên Xử lý Dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc khi các đối tác này có các biện pháp bảo vệ phù hợp.
Điều 10. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra
Vui lòng lưu ý rằng, mặc dù iHouzz luôn nỗ lực để đảm bảo rằng Dữ liệu cá nhân của Chủ thể dữ liệu được bảo vệ tốt nhất theo quy định pháp luật, iHouzz không thể loại trừ hoàn toàn và tuyệt đối mọi rủi ro đối với Dữ liệu cá nhân trong quá trình xử lý. Việc truyền đưa thông tin qua Internet hoặc hệ thống thông tin nội bộ của iHouzz vẫn có một số rủi ro nhất định xuất phát từ trường hợp bất khả kháng hoặc các sự cố, tội phạm về an ninh mạng như hành vi tấn công mạng, khủng bố mạng, gián điệp mạng trái phép, gây gián đoạn quá trình xử lý dữ liệu hoặc rò rỉ Dữ liệu cá nhân. Trong trường hợp này, iHouzz sẽ ngay lập tức thực hiện các hành vi cần thiết nhằm ngăn chặn, khắc phục, giảm thiểu các thiệt hại không mong muốn có khả năng xảy ra đối với Dữ liệu cá nhân, đồng thời phối hợp với cơ quan nhà nước có thẩm quyền để xử lý hành vi vi phạm. Chủ thể dữ liệu cũng đồng ý rằng trong chừng mực đã áp dụng các biện pháp hợp lý để ngăn ngừa các mối nguy hại này, iHouzz sẽ không phải chịu trách nhiệm bồi thường đối với các thiệt hại gây ra bởi hành vi của bất kỳ bên thứ ba nào gây tác động bất lợi đến Dữ liệu cá nhân của Người lao động mà không phải do lỗi của iHouzz.
Điều 11. Quảng cáo trên internet và bên thứ ba

Các website/wapsite/ứng dụng của iHouzz có thể bao gồm quảng cáo của bên thứ ba và liên kết tới các website/wapsite/ứng dụng khác. Các đối tác quảng cáo bên thứ ba có thể thu thập thông tin về Khách hàng/Đối tác khi Khách hàng/Đối tác tương tác với nội dung, quảng cáo hoặc dịch vụ của họ. Mọi quyền truy cập và sử dụng các liên kết hoặc trang website của bên thứ ba không bị điều chỉnh bởi Chính sách này, mà thay vào đó được điều chỉnh bởi Chính sách quyền riêng tư của các bên thứ ba đó. iHouzz không chịu trách nhiệm về các quy định về thông tin của các bên thứ ba

Điều 12. Thông tin liên lạc
  1. Trường hợp Khách hàng/Đối tác có bất kỳ câu hỏi nào về Chính sách này hoặc muốn thực hiện các quyền của Khách hàng/Đối tác liên quan tới Dữ liệu cá nhân, vui lòng liên hệ với iHouzz theo các phương thức và thông tin dưới đây:

    1. Liên hệ tới tổng đài theo thông tin tại các website/wapsite/ứng dụng chính thức của iHouzz tại từng thời điểm.
    2. Gửi công văn tới địa chỉ sau đây: Công ty Cổ phần Công nghệ iHouzz –
      VP 02, Tầng 8, Tòa nhà Pearl Plaza, Số 561A Điện Biên Phủ, Phường 25, Quận Bình Thạnh, TP. Hồ Chí Minh.
    3. Liên hệ trực tiếp tại các điểm giao dịch của iHouzz trên phạm vi toàn quốc.
    4. Các cách thức liên hệ khác như Livechat, liên hệ qua fanpage chính thức của iHouzz, email chăm sóc Khách hàng được cung cấp cho Khách hàng/Đối tác tại mọi thời điểm.