CHÍNH SÁCH BẢO MẬT

Lời nói đầu

Chính sách bảo mật này (Sau đây gọi tắt là “chính sách”) quy định về những thông tin mà Công ty Cổ phần Base Enterprise thu thập trên hoặc thông qua website của Base tại: https://www.base.vn và các website liên kết liên quan, các ứng dụng tải về, các ứng dụng điện thoại (bao gồm các ứng dụng trên máy tính bảng), các dịch vụ được cung cấp bởi chúng tôi và toàn bộ việc giao tiếp, trao đổi thông tin với các cá nhân bằng lời nói, văn bản, email, điện thoại hoặc bất kỳ phương thức nào khác.

Chính sách này tuân thủ và là một phần không tách rời của Điều khoản sử dụng dịch vụ của Base.

1. Định nghĩa

Trong chính sách này, các thuật ngữ dưới đây được định nghĩa như sau:

Base hoặc chúng tôi là Công ty Cổ phần Base Enterprise, có mã số thuế là: 0107526719.

Khách hàng Base là người (bao gồm cá nhân, tổ chức và các chủ thể khác) sử dụng phần mềm Base thông qua Hợp đồng được ký kết hợp pháp giữa Khách hàng Base và Base.

Người dùng là các cá nhân trực tiếp truy cập, sử dụng, thao tác trên hệ thống phần mềm Base, Khu vực giới hạn thông qua việc đăng nhập theo sự phân công, uỷ thác và/hoặc cho phép của Khách hàng Base.

Khách là các cá nhân không phải Người dùng, có quyền truy cập các Khu vực chung của Site Base nhưng không có quyền truy cập vào Khu vực giới hạn.

Hợp đồng bao gồm Hợp đồng cung cấp dịch vụ phần mềm thông tin, các Phụ lục và các văn bản khác liên quan (nếu có), được ký kết giữa Base và Khách hàng Base. Căn cứ theo Hợp đồng, Base cung cấp Dịch vụ cho Khách hàng Base và đóng vai trò là Bên xử lý dữ liệu cá nhân theo yêu cầu của Bên kiểm soát dữ liệu.

Dịch vụ là dịch vụ do Base cung cấp cho Khách hàng Base để hỗ trợ Khách hàng Base tổ chức vận hành, quản trị nội bộ thông qua các website, ứng dụng và các dịch vụ liên quan khác do Base cung cấp. Cụ thể, tại chính sách này, Dịch vụ bao gồm:

• Website của Base tại: https://www.base.vn và các website liên kết liên quan;
• Các ứng dụng tải về, các ứng dụng điện thoại (bao gồm các ứng dụng trên máy tính bảng);
• Các dịch vụ khác được cung cấp bởi Base.

Site Base là website của Base có địa chỉ tại: https://www.base.vn.

Dữ liệu Khách hàng Base bao gồm dữ liệu, báo cáo, các địa chỉ và các thư mục, tài liệu khác được lưu trữ dưới dạng điện tử bởi Khách hàng Base hoặc Người dùng trên Dịch vụ do Base cung cấp.

Dữ liệu cá nhân là bất kỳ thông tin nào gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm bao gồm các thông tin, dữ liệu quy định tại khoản 3, khoản 4 Điều 2 Nghị định số 13/2023/NĐ-CP ngày 17/04/2023 về bảo vệ dữ liệu cá nhân (Sau đây gọi tắt là “Nghị định 13”).

Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Trong chính sách, chủ thể dữ liệu bao gồm: Khách hàng Base (trong trường hợp là khách hàng cá nhân), Người dùng và/hoặc Khách. Tuỳ từng trường hợp cụ thể, chủ thể dữ liệu có thể là một hoặc các chủ thể như đã nêu trên.

Khu vực chung là khu vực của Site Base, có thể được truy cập bởi cả Người dùng và Khách mà không cần đăng nhập.

Khu vực giới hạn là khu vực của Site Base mà chỉ có thể được truy cập bởi Người dùng thông qua việc đăng nhập vào hệ thống.

Thời hạn sử dụng dịch vụ Khách hàng Base là thời gian sử dụng Dịch vụ theo Hợp đồng và các Phụ lục (nếu có) đã ký kết giữa Base và Khách hàng Base.

2. Những thông tin, dữ liệu mà chúng tôi thu thập

Chúng tôi thu thập các loại thông tin khác nhau từ hoặc thông qua Dịch vụ. Ngoài những thông tin, dữ liệu mà Base công khai thu thập dưới đây, chúng tôi cũng có thể thu thập và xử lý dữ liệu của Người dùng và Khách, khi xét thấy thích hợp và được sự đồng ý của chủ thể dữ liệu.

2.1 Dữ liệu được cung cấp bởi Khách hàng Base

Khi Khách hàng Base ký kết Hợp đồng với Base, tuỳ thuộc vào chủ thể ký kết (cá nhân, pháp nhân, tổ chức,...), Base có thể yêu cầu cung cấp các thông tin bao gồm: tên, địa chỉ email, thông tin về số điện thoại, tài khoản ngân hàng và các dữ liệu cơ bản khác để xác nhận thông tin và thực hiện việc soạn thảo, ký kết các văn bản liên quan.

2.2 Dữ liệu được cung cấp bởi Người dùng

Người dùng hiểu rằng, Người dùng chỉ có thể đăng nhập và sử dụng Dịch vụ khi được Khách hàng Base cấp quyền truy cập tài khoản vào hệ thống của Khách hàng Base trong Thời hạn sử dụng dịch vụ của Khách hàng Base.

Dịch vụ và hệ thống Base có các tính năng cho phép Người dùng chủ động trong việc đăng tải, chia sẻ thêm các thông tin dữ liệu cá nhân của mình và việc quy định, quyết định dữ liệu nào được chia sẻ trên Dịch vụ sẽ tuỳ thuộc vào quy định sử dụng Dịch vụ Base của Khách hàng Base đối với Người dùng và/hoặc tùy thuộc vào chủ đích của Người dùng. Base cung cấp các tính năng cho phép Người dùng có thể chỉnh sửa và/hoặc thay đổi các dữ liệu cá nhân này tại bất kỳ thời điểm nào trong Thời hạn sử dụng dịch vụ của Khách hàng Base.

Xin lưu ý, những dữ liệu, thông tin cá nhân do Người dùng này chia sẻ cho Người dùng khác trong cùng hệ thống Dịch vụ (thông qua các ứng dụng trong Dịch vụ như Base Message, Base Drive,...) không được Base thu thập và sẽ không thuộc phạm vi quy định tại điều khoản này. Những dữ liệu nêu trên sẽ do Người dùng quản lý và có thể được chia sẻ với một số đối tượng như quy định tại Điều 4.2 chính sách này.

2.3 Dữ liệu được tự động thu thập

Khi Người dùng hoặc Khách sử dụng Dịch vụ, chúng tôi sẽ tự động thu thập và lưu trữ một số thông tin từ thiết bị của Người dùng và Khách thông qua việc sử dụng một số công nghệ như: cookies, clear gifs hoặc web beacons. Những thông tin được tự động thu thập theo hình thức này có thể bao gồm địa chỉ IP hoặc ID, địa chỉ thiết bị khác, trình duyệt web, trang mạng hoặc website mà Người dùng hoặc Khách vừa truy cập ngay trước khi hoặc ngay sau khi sử dụng Dịch vụ, các trang hoặc nội dung mà Người dùng hoặc Khách xem hoặc tương tác khi dùng Dịch vụ, và ngày, giờ, thời gian mà Người dùng hoặc Khách truy cập hoặc sử dụng Dịch vụ.

Chúng tôi cũng có thể sử dụng những công nghệ nêu trên để thu thập thông tin liên quan đến sự tương tác của Người dùng hoặc Khách với email khi Người dùng hoặc Khách mở, ấn vào hoặc chuyển tiếp một email. Những thông tin, dữ liệu này được chúng tôi thu thập từ tất cả Người dùng hoặc Khách.

2.4 Dịch vụ tích hợp

Người dùng có quyền lựa chọn đăng nhập hoặc đăng ký sử dụng Dịch vụ bằng việc sử dụng tên đăng nhập, mật khẩu của dịch vụ được cung cấp bởi bên thứ ba (Sau đây gọi là “Dịch vụ tích hợp”), như việc đăng nhập Dịch vụ bằng tài khoản Google, AppleID; hoặc, Người dùng cho phép một (hoặc các) Dịch vụ tích hợp cung cấp dữ liệu cá nhân hoặc các thông tin khác cho Base. Trong trường hợp này, Người dùng được khuyến nghị nên kiểm tra, rà soát các tùy chọn bảo mật của từng Dịch vụ tích hợp để biết và hiểu Dịch vụ tích hợp sẽ cung cấp cho Base các loại thông tin, dữ liệu nào để đưa ra những điều chỉnh, thay đổi phù hợp.

Bằng việc cho phép Base kết nối với Dịch vụ tích hợp, Người dùng chấp thuận việc Base có quyền truy cập và lưu trữ tên, địa chỉ email, ngày sinh, giới tính, nơi sinh sống, URL dẫn đến hình ảnh cá nhân, và các thông tin, dữ liệu khác mà Dịch vụ tích hợp và/hoặc Người dùng cho phép Base truy cập, sử dụng và/hoặc công bố theo quy định tại chính sách này.

Vui lòng cẩn trọng đọc kỹ từng điều khoản dịch vụ và chính sách bảo mật của từng Dịch vụ tích hợp trước khi sử dụng và kết nối Dịch vụ tích hợp với Dịch vụ do Base cung cấp.

2.5 Dữ liệu, thông tin thu thập từ các nguồn khác

Chúng tôi có thể thu thập các thông tin, bao gồm dữ liệu cá nhân, từ các bên thứ ba và các nguồn khác bên ngoài Dịch vụ, cụ thể như sau:

• Base có thể thu thập dữ liệu cá nhân được cung cấp bởi các nhà cung cấp, đối tác, cộng tác viên marketing của Base thông qua các thoả thuận hợp tác, hợp đồng ký kết với các bên này và dựa trên cam kết về việc các bên này đã được chủ thể dữ liệu chấp thuận cung cấp dữ liệu cá nhân.
• Chúng tôi cũng có thể thu thập dữ liệu cá nhân của (i) các khách mời, diễn giả tham gia các sự kiện, buổi họp báo, diễn đàn do Base tổ chức hoặc liên kết tổ chức; hoặc (ii) của các cá nhân đến tham quan văn phòng Base. Ví dụ: Base có thể yêu cầu các khách mời, cung cấp thông tin cá nhân vào các biểu mẫu khi đăng ký tham dự các buổi họp, webinars, seminars và các khoá học.
• Nếu Khách hoặc Người dùng đăng ký nhận các thông tin marketing hoặc nếu Khách là khách hàng tiềm năng, thông qua đề xuất từ chúng tôi, bạn có thể cung cấp các thông tin cá nhân (như email, số điện thoại, tên) để Base gửi các thông báo, bản tin marketing liên quan.

2.6 Dữ liệu Base không thu thập

Base cung cấp Dịch vụ nhằm mục đích hỗ trợ Khách hàng Base trong việc vận hành, quản trị nội bộ trong tổ chức, doanh nghiệp, do đó, Base không chủ động và không cố ý thu thập (i) dữ liệu cá nhân nhạy cảm và (ii) dữ liệu cá nhân của trẻ em. Base đề xuất Người dùng và Khách không đăng tải các loại dữ liệu này lên Dịch vụ. Trường hợp Người dùng, Khách hoặc Khách hàng Base hoặc bất kỳ người nào khác (bao gồm cha, mẹ, người giám hộ của trẻ có dữ liệu cá nhân được phản ánh) nhận thấy Base đang xử lý những dữ liệu này, vui lòng liên hệ, thông báo với Base qua email: contact@base.vn để chúng tôi kịp thời xóa những dữ liệu cá nhân này và có những biện pháp xử lý đảm bảo đúng quy định pháp luật hiện hành liên quan.

Nếu có bất kỳ thắc mắc, câu hỏi nào liên quan đến nội dung quy định tại mục này, vui lòng liên hệ với chúng tôi theo thông tin tại phần “Liên hệ” dưới đây. Xin lưu ý rằng, mặc dù Base cam kết sẽ xoá bỏ những dữ liệu không thu thập tại mục này, tùy từng tình huống cụ thể, do lỗi hệ thống hoặc các vấn đề kỹ thuật khác phát sinh, chúng tôi có thể sẽ không thể xóa bỏ hoàn toàn những dữ liệu đó. Trong trường hợp đó, chúng tôi sẽ đảm bảo những dữ liệu này không thể được truy cập, sử dụng hoặc tiếp cận trong khả năng tối đa của mình.

3. Mục đích thu thập dữ liệu, thông tin

Base sử dụng dữ liệu thu thập được vào nhiều mục đích khác nhau trong quá trình cung ứng và vận hành Dịch vụ, bao gồm những mục đích như sau:

3.1 Vận hành

Base sử dụng các thông tin thu thập được để vận hành, duy trì, và cung cấp các tính năng của Dịch vụ, để cung cấp các thông tin và dịch vụ theo yêu cầu của Người dùng và để hỗ trợ, phản hồi đối với các bình luận, câu hỏi của Người dùng.

Bên cạnh đó, Base cũng tiến hành xử lý dữ liệu theo các yêu cầu, thao tác, hành động của Khách hàng Base và Người dùng. Trong trường hợp này, Base đóng vai trò là bên xử lý dữ liệu, tiến hành hoạt động xử lý dữ liệu thay mặt hoặc theo uỷ quyền của Người dùng và Khách hàng Base, với vai trò là Bên kiểm soát dữ liệu. Theo đó, nếu dữ liệu cá nhân của chủ thể dữ liệu được đăng tải, xử lý trên Dịch vụ và chủ thể dữ liệu muốn thực hiện các quyền đối với dữ liệu theo quy định pháp luật hiện hành, chủ thể dữ liệu nên liên hệ trực tiếp với Bên kiểm soát dữ liệu (Khách hàng Base, Người dùng) để xử lý.

*Đối với Người dùng, Khách hàng của Base

Người dùng và Khách hàng của Base, với vai trò là Bên kiểm soát dữ liệu, có trách nhiệm đảm bảo các dữ liệu cá nhân do mình đăng tải trên Dịch vụ của Base là hợp pháp và đã được sự chấp thuận của chủ thể dữ liệu. Trường hợp Người dùng và Khách hàng Base không đảm bảo quy định nêu trên, Người dùng và Khách hàng Base có nghĩa vụ, bằng chi phí của mình, xử lý mọi vấn đề phát sinh liên quan và đảm bảo Base được miễn trừ mọi trách nhiệm phát sinh do hành vi không tuân thủ chính sách, quy định pháp luật của Bên kiểm soát dữ liệu.

*Đối với chủ thể dữ liệu có dữ liệu cá nhân được đăng tải

Khách hàng Base và Người dùng là Bên kiểm soát dữ liệu, Base đóng vai trò là Bên xử lý dữ liệu theo Hợp đồng được ký kết giữa các Bên, do đó, trường hợp chủ thể dữ liệu cần sự hỗ trợ, trợ giúp của Base để thực thi các quyền của mình theo quy định pháp luật, chủ thể dữ liệu cần cung cấp thông tin về Khách hàng Base và/hoặc Người dùng đã đăng tải dữ liệu cá nhân của mình lên Dịch vụ của Base. Chúng tôi sẽ chuyển các yêu cầu của chủ thể dữ liệu tới Khách hàng Base và Người dùng tương ứng, và sẽ hỗ trợ họ phản hồi các yêu cầu của chủ thể dữ liệu trong thời hạn hợp lý.

3.2 Cải thiện, nâng cấp

Base sử dụng các dữ liệu, thông tin thu thập được để hiểu và phân tích sở thích, xu hướng sử dụng của Người dùng và Khách, để cải thiện Dịch vụ và phát triển các sản phẩm, tính năng, tiện ích mới. Trường hợp Base sử dụng dữ liệu thu thập được để xử lý dữ liệu theo mục đích này, chúng tôi đảm bảo dữ liệu được xử lý sẽ chỉ được sử dụng dưới hình thức dữ liệu đã được khử định danh hoặc dữ liệu dạng thông tin chung.

3.3 Giao tiếp

Base có thể sử dụng địa chỉ email hoặc các thông tin khác của Khách hoặc Người dùng, ngoài Dữ liệu Khách hàng Base để (i) liên hệ, thông báo với Khách hoặc Người dùng về những mục đích có tính chất hành chính như chăm sóc khách hàng, thông tin về tính năng mới, sản phẩm mới, hỗ trợ kỹ thuật, thông tin về sự cố, thông báo về các vi phạm liên quan đến Dữ liệu Khách hàng Base hoặc dữ liệu cá nhân được đăng tải trên Dịch vụ hoặc (ii) cập nhật, gửi các tin quảng cáo, thông tin về các sự kiện liên quan đến Dịch vụ của Base và các dịch vụ khác do đối tác của Base cung cấp. Người dùng, Khách hoặc Khách hàng Base có thể lựa chọn từ chối tiếp nhận những thông tin, thông báo nêu trên tại bất cứ thời điểm nào.

3.4 Cookies và theo dõi hành vi

Base sử dụng các thông tin, dữ liệu được thu thập tự động trên Dịch vụ thông qua cookies và các công nghệ tương tự để (i) cá nhân hoá Dịch vụ, ví dụ: việc ghi nhớ một số thông tin, dữ liệu của Khách hoặc Người dùng để hạn chế việc phải nhập thông tin lại nhiều lần cho những lần truy cập Dịch vụ tiếp theo khi Khách, Người dùng truy cập Dịch vụ của Base, (ii) cung cấp các quảng cáo, nội dung và thông tin đã được tùy chỉnh, thiết lập riêng cho từng Người dùng, Khách, (iii) theo dõi và đánh giá tính hiệu quả của Dịch vụ và các dịch vụ marketing được cung cấp bởi các bên thứ ba, (iv) theo dõi, giám sát số liệu tổng hợp về việc sử dụng trang web như: số lượng người truy cập trang web và số lượng trang đã được xem; và (v) theo dõi các thông tin đầu vào, nội dung đăng tải và trạng thái của Người dùng, Khách trong các chương trình khuyến mãi hoặc hoạt động khác trên Dịch vụ của Base.

Người dùng và Khách có thể tìm hiểu thêm thông tin về cookies tại website: http://www.allaboutcookies.org

3.5 Phân tích

Base sử dụng Google Analytics để đánh giá quyền truy cập và lưu lượng truy cập trên Khu vực chung của Site Base và tạo báo cáo người dùng cho quản trị viên Site Base. Google vận hành độc lập và tách biệt với Base và có những quy định, chính sách bảo mật riêng; do đó, chúng tôi đề xuất Người dùng và Khách đọc kỹ các điều khoản, chính sách này trước khi sử dụng Dịch vụ của Base. Google có thể sử dụng các thông tin thu thập được từ Google Analytics để đánh giá hoạt động của Người dùng và Khách trên Site Base. Để biết thêm thông tin chi tiết, vui lòng xem Google Analytics Privacy and Data Sharing

4. Dữ liệu, thông tin được tiết lộ như thế nào

Base không tiết lộ Dữ liệu Khách hàng Base, dữ liệu cá nhân mà chúng tôi thu thập được hoặc lưu trữ trên Dịch vụ cho bất kỳ bên thứ ba nào mà không có sự chấp thuận của Khách hàng Base, Người dùng hoặc Khách, trừ những trường hợp được phép tiết lộ không cần chấp thuận theo quy định pháp luật. Theo đó, dữ liệu cá nhân của chủ thể dữ liệu sẽ được tiết lộ trong phạm vi của các trường hợp sau:

4.1 Những thông tin không bị giới hạn tiết lộ

Bất kỳ thông tin nào mà Người dùng hoặc Khách tự nguyện cung cấp trên Khu vực chung hoặc Khu vực giới hạn của Dịch vụ, ví dụ: ảnh hồ sơ cá nhân của chủ thể dữ liệu được đặt chế độ công khai, sẽ được tiết lộ với tất cả Người dùng và Khách có quyền truy cập để xem những nội dung đó.

4.2 Những Người dùng khác trong cùng một hệ thống của Khách hàng Base

Một số thông tin nhất định về việc sử dụng Dịch vụ của Người dùng sẽ có thể được tiếp cận bởi Quản trị viên của Người dùng trong cùng một hệ thống của Khách hàng Base và, tuỳ theo những tùy chỉnh do Người dùng thiết lập, những thông tin này cũng sẽ có thể được tiếp cận bởi những Người dùng khác trong cùng một hệ thống của Khách hàng Base.

4.3 Các nhà cung cấp dịch vụ khác

Base hợp tác với các nhà cung cấp dịch vụ trong việc cung cấp các dịch vụ website, phát triển ứng dụng, hosting, bảo trì và các dịch vụ khác liên quan đến Dịch vụ Base. Những nhà cung cấp này có thể truy cập, hoặc xử lý dữ liệu cá nhân hoặc Dữ liệu Khách hàng Base như một phần của các dịch vụ mà các nhà cung cấp cung ứng cho Base.

Base sẽ hạn chế quyền truy cập của các nhà cung cấp này chỉ ở những gì thực sự cần thiết để thực hiện các công việc, nhiệm vụ của mình theo yêu cầu từ Base.

Trong trường hợp này, Base sẽ yêu cầu các nhà cung cấp duy trì tính bảo mật, cam kết không tiết lộ các dữ liệu cá nhân và Dữ liệu Khách hàng Base và không xử lý cho bất kỳ mục đích nào khác.

4.4 Thông tin không thể dùng để nhận dạng cá nhân cụ thể

Base có thể cho phép các bên thứ ba tiếp cận các thông tin đã được tổng hợp, thu thập tự động và không thể dùng để định dạng cá nhân cụ thể dưới bất kỳ hình thức nào cho một số mục đích, bao gồm: (i) đảm bảo việc tuân thủ nghĩa vụ báo cáo; hoặc (ii) mục đích hỗ trợ các bên thứ ba hiểu về sở thích, thói quen sử dụng của Người dùng, Khách hàng Base và Khách đối với một số trình duyệt, nội dung, dịch vụ và/hoặc tính năng nhất định thông qua Dịch vụ.

4.5 Cơ quan nhà nước, các thủ tục pháp lý và tuân thủ pháp luật

Base có thể tiết lộ dữ liệu cá nhân và các thông tin khác trong các trường hợp: theo quy định pháp luật, theo quyết định/yêu cầu của các cơ quan tố tụng, cơ quan nhà nước có thẩm quyền.

Base bảo lưu quyền tiết lộ dữ liệu cá nhân hoặc các thông tin khác mà chúng tôi tin rằng, trên tinh thần thiện chí, là phù hợp hoặc cần thiết để (i) đề phòng các rủi ro, trách nhiệm pháp lý, (ii) bảo vệ Base khỏi các hành vi lừa đảo, lạm dụng hoặc các hành vi trái pháp luật khác, (iii) điều tra và bảo vệ Base trước các cáo buộc hoặc yêu cầu khởi kiện của bất kỳ bên thứ ba nào, (iv) bảo vệ tính bảo mật, thống nhất của Dịch vụ và bất kỳ cơ sở vật chất, trang thiết bị nào được sử dụng để thực hiện Dịch vụ, hoặc (v) bảo vệ các quyền và lợi ích hợp pháp của Base, các tài sản thuộc sở hữu của Base, hiệu lực của các thoả thuận, Hợp đồng hoặc để bảo vệ quyền, lợi ích hợp pháp, tài sản và sự an toàn của các bên khác.

4.6 Thay đổi quyền sở hữu

Thông tin, dữ liệu của Người dùng và Khách, bao gồm cả dữ liệu cá nhân, có thể được tiết lộ và chuyển giao cho một bên khác như một phần kết quả của việc tổ chức lại doanh nghiệp của Base (bao gồm mua, bán, sáp nhập, chia, tách hoặc thay đổi loại hình doanh nghiệp).

Trong những trường hợp này, Base cam kết và đảm bảo (i) người nhận dữ liệu, thông tin của Người dùng và Khách có nghĩa vụ đáp ứng, tuân thủ các quy định bảo vệ dữ liệu cá nhân với các điều kiện không kém hơn quy định tại chính sách bảo mật này của Base và (ii) chỉ chuyển giao dữ liệu, thông tin cho bên thứ ba sau khi bên đó đã đảm bảo các điều kiện nêu trên.

5. Quyền và nghĩa vụ của chủ thể dữ liệu

5.1 Quyền của chủ thể dữ liệu

Base tôn trọng quyền riêng tư và dữ liệu cá nhân của chủ thể dữ liệu, đảm bảo lợi ích chính đáng của các chủ thể này theo đúng quy định pháp luật hiện hành liên quan. Chủ thể dữ liệu có các quyền với dữ liệu cá nhân của mình như sau: (i) Quyền được biết, (ii) Quyền đồng ý, (iii) Quyền truy cập, (iv) Quyền rút lại sự đồng ý, (v) Quyền xoá dữ liệu, (vi) Quyền hạn chế xử lý dữ liệu, (vii) Quyền cung cấp dữ liệu, (viii) Quyền phản đối xử lý dữ liệu, (ix) Quyền khiếu nại, tố cáo, khởi kiện, (x) Quyền yêu cầu bồi thường thiệt hại, (xi) Quyền tự bảo vệ.

Để thực thi các quyền của mình theo đúng quy định pháp luật, chủ thể dữ liệu vui lòng tham khảo quy định tại Nghị định 13 và đọc kỹ những quy định dưới đây trước khi cung cấp dữ liệu cá nhân của mình cho Bên kiểm soát dữ liệu cá nhân.

❖ Dữ liệu cá nhân được thu thập và xử lý trong trường hợp Base là Bên kiểm soát dữ liệu cá nhân

Đối với những dữ liệu cá nhân do Base thu thập và xử lý với vai trò là Bên kiểm soát dữ liệu cá nhân, chủ thể dữ liệu có thể yêu cầu Base thực hiện các quyền hợp pháp của mình thông qua các tính năng, tuỳ chọn sẵn có được cung cấp trên Dịch vụ hoặc gửi yêu cầu trực tiếp bằng văn bản tới Base hoặc liên hệ Base qua email: contact@base.vn.

Ngay khi nhận được yêu cầu hợp pháp từ phía chủ thể dữ liệu cá nhân, Base sẽ thực hiện yêu cầu của chủ thể trong khả năng và thời hạn hợp lý (tối đa 30 ngày làm việc kể từ ngày nhận được yêu cầu) và thông báo cho chủ thể dữ liệu về kết quả thực hiện sau khi xử lý yêu cầu.

Vui lòng lưu ý rằng, tùy từng trường hợp cụ thể, do các vấn đề về mặt kỹ thuật và hệ thống, Base có thể sẽ không thể thực hiện chính xác tuyệt đối các yêu cầu của chủ thể dữ liệu; tuy nhiên, trong các trường hợp này, Base cam kết sẽ thực hiện các yêu cầu với nỗ lực và thiện chí tối đa để đảm bảo quyền và lợi ích hợp pháp của chủ thể dữ liệu, ví dụ: chủ thể dữ liệu yêu cầu Base xóa bỏ hoàn toàn những dữ liệu của mình trên Dịch vụ, do một số vấn đề kỹ thuật, Base không thể xóa hết toàn bộ các tài liệu, thư mục liên quan đến dữ liệu cá nhân của chủ thể dữ liệu. Trong trường hợp này, Base đảm bảo phần dữ liệu còn lại chưa thể xoá bỏ của chủ thể dữ liệu sẽ không thể được truy cập, tiết lộ và/hoặc xử lý dưới bất kỳ hình thức nào khác mà không có sự chấp thuận của chủ thể dữ liệu.

Các quy định tại phần này không áp dụng đối với dữ liệu cá nhân là một phần của Dữ liệu Khách hàng Base. Trong trường hợp này, vui lòng tham khảo quy định dưới đây về Quyền của chủ thể dữ liệu trong trường hợp Base là Bên xử lý dữ liệu cá nhân.

❖ Dữ liệu cá nhân trong Dữ liệu Khách hàng Base và được Base xử lý trong trường hợp Base là Bên xử lý dữ liệu cá nhân

Như đã nêu tại chính sách này, ngoài vai trò là Bên kiểm soát dữ liệu cá nhân, Base còn đóng vai trò là Bên xử lý dữ liệu cá nhân theo yêu cầu của Khách hàng Base (là Bên kiểm soát dữ liệu cá nhân) thông qua các Hợp đồng được ký kết liên quan đến việc cung cấp phần mềm hệ thống Base. Base, với vai trò là Bên xử lý dữ liệu cá nhân, không sở hữu, kiểm soát hoặc sử dụng trực tiếp bất kỳ Dữ liệu Khách hàng Base nào thông qua Dịch vụ.

Trong trường hợp này, việc đáp ứng, đảm bảo các quyền của chủ thể dữ liệu sẽ thuộc về Khách hàng Base và Khách hàng Base có nghĩa vụ đảm bảo tuân thủ các quy định, chính sách bảo mật do Khách hàng Base tự công bố với Người dùng và các quy định pháp luật liên quan.

Do đó, trường hợp chủ thể dữ liệu (có dữ liệu cá nhân được phản ánh trên Dịch vụ do Khách hàng Base đăng ký, sử dụng) muốn thực thi các quyền của mình, vui lòng liên hệ với Khách hàng Base tương ứng để được hỗ trợ xử lý. Mọi yêu cầu, phản hồi của chủ thể dữ liệu trong trường hợp này, nếu được gửi trực tiếp tới Base, sẽ được Base chuyển lại cho Khách hàng Base đang quản lý, sử dụng Dịch vụ có cùng hệ thống với chủ thể dữ liệu.

5.2 Nghĩa vụ của chủ thể dữ liệu

Ngoài các nghĩa vụ theo quy định tại Điều 10 Nghị định 13, trong quá trình sử dụng Dịch vụ, Người dùng còn có các nghĩa vụ sau:

• Tự chịu trách nhiệm về tính đúng đắn, hợp pháp đối với những thông tin, dữ liệu do mình tạo lập, cung cấp trên Dịch vụ;
• Tôn trọng và tuân thủ các quy định về bảo vệ dữ liệu cá nhân của Bên kiểm soát dữ liệu và/hoặc Bên xử lý dữ liệu cá nhân liên quan, sau khi đồng ý cho phép các Bên này xử lý dữ liệu cá nhân do mình cung cấp;
• Tự bảo vệ và chịu các trách nhiệm liên quan trong trường hợp dữ liệu cá nhân của mình hoặc của chủ thể dữ liệu khác bị khai thác, xử lý trái phép do lỗi của mình;
• Kịp thời thông báo và phối hợp với Base để giải quyết, xử lý các trường hợp có dấu hiệu vi phạm bảo vệ dữ liệu cá nhân theo quy định pháp luật.

6. Dịch vụ cung cấp bởi bên thứ ba

Dịch vụ do Base cung cấp có thể bao gồm các tính năng hoặc đường dẫn tới các website và dịch vụ được cung cấp bởi các bên thứ ba. Bất kỳ thông tin nào do Khách hàng Base, Người dùng hoặc Khách cung cấp trên các website hoặc dịch vụ của bên thứ ba sẽ trực tiếp được gửi tới và tuân thủ theo các chính sách, quy định của bên thứ ba đó.

Ví dụ:

Base có thể tích hợp một số dịch vụ của bên dịch vụ cung cấp quà tặng vào danh sách các ứng dụng hiển thị trên Dịch vụ (trong trường hợp Khách hàng Base là bên sử dụng Dịch vụ của Base và đồng thời, sử dụng dịch vụ cung cấp quà tặng của bên thứ ba đó), theo sự chấp thuận của Khách hàng Base, để nâng cao trải nghiệm, tiện ích cho Người dùng. Trong trường hợp này, nếu Người dùng cung cấp thông tin, dữ liệu cá nhân của mình cho bên thứ ba thông qua việc tích hợp đó, những dữ liệu của Người dùng sẽ trực tiếp được gửi tới bên thứ ba và sẽ tuân thủ, áp dụng các quy định, chính sách của bên thứ ba đó. Base sẽ không có bất kỳ quyền, nghĩa vụ liên quan và không chịu trách nhiệm đối với bất kỳ rủi ro nào phát sinh từ việc Người dùng cung cấp dữ liệu cho bên thứ ba.

7. Bảo vệ dữ liệu

Base áp dụng các biện pháp bảo vệ cần thiết, mang tính chất tổ chức và kỹ thuật để bảo vệ dữ liệu cá nhân, Dữ liệu Khách hàng Base đang được xử lý tại Base khỏi những sự cố, phá huỷ, rủi ro thất thoát, những hành động truy cập, thay đổi, điều chỉnh hoặc tiết lộ trái quy định pháp luật.

Tuy nhiên, không có bất kỳ biện pháp truyền tải hoặc lưu trữ điện tử nào là an toàn tuyệt đối. Base không thể đảm bảo rằng những dữ liệu, thông tin cá nhân của Người dùng, Khách hàng sẽ không bao giờ có thể bị tác động bởi những hành vi vi phạm như đã nêu trên.

Việc bảo mật và đảm bảo tính toàn vẹn đối với dữ liệu Khách hàng được thực hiện theo các Hợp đồng kí kết giữa Base và Khách hàng Base và/hoặc tuân theo các Điều khoản dịch vụ của Base. Tại thời điểm hiện tại, chúng tôi đang sử dụng các biện pháp bảo mật và/hoặc cung cấp các tính năng sau đây để Người dùng/Khách hàng Base chủ động trong việc bảo đảm an toàn trên các dữ liệu của mình.

7.1 Các biện pháp Base sử dụng để bảo mật và bảo vệ an toàn dữ liệu trên các Dịch vụ, hệ thống của Base

• Base vận hành và đảm bảo đáp ứng theo các tiêu chuẩn ISO/IEC 27001:2013 về quản lý an toàn thông tin và tiêu chuẩn ISO 9001:2015 về quản lý chất lượng. Thông tin về các chứng chỉ của Base được công khai tại đây.
  Chứng chỉ ISO 27001:2013
  Chứng chỉ ISO 9001:2015
  Chứng chỉ cấp bởi VSEC (2024)
• Các máy chủ và Dịch vụ của Base vận hành trên hạ tầng điện toán đám mây của các nhà cung cấp uy tín hàng đầu trên thế giới và tại Việt Nam. Các thành phần chính của hệ thống được triển khai thông qua các dịch vụ của Google Cloud Platform, tuân theo các quy định bảo mật của Google đối với việc lưu trữ dữ liệu trên các dịch vụ của mình. Quy định bảo mật của Google được thể hiện tại https://cloud.google.com/trust-center/security
• Hệ thống máy chủ lưu trữ các dữ liệu cá nhân theo Quy định của pháp luật Việt Nam được cung cấp bởi FPT Smart Cloud. Chính sách bảo mật của FPT Smart Cloud được đăng tải tại https://fptcloud.com/chinh-sach-bao-mat/.
• Base thực hiện việc mã hóa dữ liệu tại tầng vật lý (encrypt-at-rest) và tầng giao nhận (encrypt-in-transit). Mọi Dịch vụ của Base đều được truy cập an toàn thông qua giao thức HTTPS (SSL/TLS) đảm bảo các thông tin truyền tải sẽ được mã hóa trước khi chuyển đến Site Base và các Dịch vụ. Riêng với mật khẩu đăng nhập hệ thống của Người dùng, dữ liệu được gia tăng thêm một tầng bảo vệ bằng mã hóa end-to-end encryption.

7.2 Base cung cấp các tính năng gì để Người dùng/Khách hàng Base chủ động trong việc bảo đảm an toàn cho Dữ liệu của mình

• Bảo mật qua tính năng xác thực người dùng: Base cung cấp tính năng bảo mật 2 lớp (2FA - 2-factor authentication), theo đó, Người dùng, ngoài việc cung cấp chính xác mật khẩu, còn phải nhập thêm một chuỗi ký tự được sinh ra ngẫu nhiên từ điện thoại thông minh hoặc thiết bị điện tử tin cậy đã được đăng ký trước đó.
• Tính năng giới hạn truy cập theo IP: Khách hàng có thêm tùy chọn kiểm soát, quản lý truy cập bằng cách giới hạn người dùng trong hệ thống của mình được phép/không được phép truy cập vào dịch vụ của Base từ các dải IP được chỉ định.
• Tính năng Single-Sign-On bằng tài khoản Google, MS hoặc thông qua tích hợp sử dụng giao thức SAML 2.0. Tính năng này cho phép quản trị viên hệ thống của người dùng có thể kiểm soát tài khoản của thành viên sử dụng trên Base một cách tập trung và chủ động hơn.

Nếu chủ thể dữ liệu có căn cứ về việc dữ liệu cá nhân của mình đã bị xâm phạm, vui lòng liên hệ với chúng tôi theo quy định tại mục “Liên hệ với Base” dưới đây.

Trường hợp Base biết được về hành vi vi phạm bảo mật dữ liệu, thông tin, chúng tôi sẽ thông báo cho chủ thể dữ liệu trong thời gian sớm nhất có thể và trình báo sự việc tới các cơ quan chức năng có thẩm quyền theo quy định pháp luật.

7.3 Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Mặc dù áp dụng các biện pháp bảo vệ dữ liệu như đã nêu trên, Base không cam kết hệ thống của Base hoặc việc xử lý dữ liệu của các Khách hàng Base, Người dùng và/hoặc Khách sẽ không bao giờ gặp phải các sự cố, rủi ro hoặc tổn thất ngoài mong muốn.

Một số hậu quả, thiệt hại không mong muốn có thể xảy ra bao gồm: (i) Lỗi phần cứng, phần mềm trong quá trình xử lý dữ liệu; (ii) Lỗ hổng bảo mật nằm ngoài khả năng kiểm soát của Base dẫn đến việc hệ thống, Dịch vụ bị hacker, tin tặc khai thác, tấn công; (iii) hệ thống máy chủ bị hư hỏng do thảm hoạ thiên nhiên như: động đất, cháy, sét, v.v... và các hậu quả, thiệt hại không mong muốn khác chưa thể lường trước tại thời điểm Base xử lý dữ liệu.

Khi xảy ra các sự cố không mong muốn như nêu trên, Base sẽ thông báo tới toàn bộ Khách hàng Base, Người dùng và Khách của Base trong thời gian nhanh nhất có thể và cam kết nỗ lực thực hiện các biện pháp khắc phục, ngăn chặn hậu quả để giảm thiểu tối đa các thiệt hại có thể xảy ra, đồng thời, phối hợp với các cơ quan nhà nước có thẩm quyền và các tổ chức, cá nhân liên quan để giải quyết, xử lý, đảm bảo quyền và lợi ích hợp pháp cho các Khách hàng Base, Người dùng và Khách của Base.

8. Lưu trữ dữ liệu

Base chỉ lưu trữ các dữ liệu cá nhân thu thập được từ Người dùng khi tài khoản của Người dùng trên Dịch vụ vẫn đang ở trạng thái hoạt động (active) hoặc lưu trữ trong một khoảng thời gian giới hạn cần thiết để đáp ứng mục đích thu thập dữ liệu ban đầu, trừ trường hợp điều khoản dịch vụ của Base có quy định khác hoặc pháp luật có quy định khác. Base không sở hữu bất kỳ dữ liệu, nội dung nào do Người dùng, Khách hàng Base hoặc Khách đăng tải lên Dịch vụ.

9. Chuyển dữ liệu

Base có thể sẽ chuyển, xử lý và lưu trữ dữ liệu cá nhân thu thập được thông qua Dịch vụ tại các cơ sở dữ liệu tập trung và tại các máy chủ, được cung cấp bởi các bên thứ ba, đặt tại Việt Nam. Khi Base chuyển dữ liệu cá nhân từ nước ngoài tới Việt Nam và ngược lại, chúng tôi sẽ đảm bảo dữ liệu được bảo vệ theo các quy định tại chính sách này và đảm bảo tuân thủ các quy định pháp luật hiện hành liên quan. Tại thời điểm hiện tại, Base lưu trữ Dữ liệu Khách hàng Base (trong đó có dữ liệu cá nhân) tại GCP Singapore và các máy chủ đặt tại Việt Nam.

10. Cập nhật, điều chỉnh chính sách

Base sẽ cập nhật, điều chỉnh chính sách này theo từng thời điểm, căn cứ vào thực tế thực hiện, các yêu cầu, vấn đề về mặt kỹ thuật, yêu cầu mang tính pháp lý và các yếu tố khác liên quan. Trường hợp việc cập nhật làm thay đổi những nội dung, điều khoản quan trọng của chính sách này, chúng tôi sẽ thông báo tới toàn bộ Khách hàng Base, Người dùng và Khách trước khi thực hiện việc cập nhật thông qua các kênh thông tin, liên lạc sẵn có, ví dụ: đăng thông báo, bài viết trên website của Base hoặc liên hệ trực tiếp tới Khách hàng Base, Người dùng và Khách qua Dịch vụ, email hoặc các phương thức phù hợp khác và Base sẽ thông báo ngày có hiệu lực của từng phiên bản chính sách.

Việc Khách hàng Base, Người dùng và Khách tiếp tục sử dụng Dịch vụ sau khi bản chính sách được cập nhật, sửa đổi, bổ sung có hiệu lực đồng nghĩa với việc Khách hàng Base, Người dùng và Khách đã đọc, hiểu rõ và chấp thuận các điều khoản, nội dung của phiên bản chính sách đã sửa đổi.

Base khuyến nghị Khách hàng Base, Người dùng và Khách nên thường xuyên theo dõi, cập nhật các nội dung của chính sách này để nắm được thông tin đúng nhất về việc thu thập, xử lý dữ liệu, thông tin của Base.

11. Liên hệ Baser

Nếu Khách hàng Base, Người dùng và Khách có bất kỳ thắc mắc, câu hỏi, trao đổi hoặc có bất kỳ vấn đề phát sinh nào liên quan đến dữ liệu, quy định tại chính sách này, vui lòng liên hệ với chúng tôi qua email contact@base.vn để được hỗ trợ xử lý.