A. Chính sách bảo mật thông tin

1. Mục đích và phạm vi áp dụng

Chính sách này quy định việc thu thập, xử lý, lưu trữ, sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân của Khách hàng khi sử dụng các sản phẩm, dịch vụ do NTO cung cấp.

Chính sách này áp dụng cho:

• Khách hàng cá nhân;
• Đại diện của Khách hàng tổ chức;
• Người dùng truy cập và sử dụng hệ thống, website, ứng dụng của NTO.

2. Định nghĩa

• Dữ liệu cá nhân: là thông tin gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân, theo quy định của pháp luật Việt Nam.
• Xử lý dữ liệu cá nhân: là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân như thu thập, ghi, phân tích, lưu trữ, sử dụng, chia sẻ, xóa.
• Chủ thể dữ liệu: là cá nhân mà dữ liệu cá nhân phản ánh.

Phân loại và phạm vi cụ thể của Dữ liệu cá nhân được quy định chi tiết tại Mục 4.1 của Chính sách này.

3. Nguyên tắc xử lý dữ liệu cá nhân

NTO cam kết:

• Thu thập và xử lý dữ liệu cá nhân đúng mục đích, trong phạm vi cần thiết;
• Minh bạch về loại dữ liệu, mục đích xử lý và quyền của Khách hàng;
• Áp dụng các biện pháp kỹ thuật (bao gồm việc mã hóa dữ liệu trước khi lưu trữ và truyền tải) và tổ chức phù hợp để bảo vệ dữ liệu cá nhân;
• Tuân thủ đầy đủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.

4. Thu thập và sử dụng thông tin

Việc chúng tôi thu thập dữ liệu cá nhân của khách hàng đều tuân thủ theo các quy định của Luật An toàn thông tin mạng 86/2015/QH13 ngày 19/11/2015; Nghị định 85/2021/NĐ-CP Nghị định sửa đổi, bổ sung một số điều của Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm 2013 của Chính phủ về thương mại điện tử; Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân ngày 01 tháng 07 năm 2023 và Luật Bảo vệ dữ liệu cá nhân sô 91/2025/QH15 ngày 26/06/2025.

4.1, Các loại thông tin và dữ liệu được thu thập

Khi Khách hàng truy cập và sử dụng sản phẩm, dịch vụ do NTO cung cấp, chúng tôi có thể thu thập và xử lý các loại thông tin và dữ liệu sau đây:

4.1.1, Dữ liệu cá nhân

“Dữ liệu cá nhân” là mọi thông tin dưới dạng chữ viết, chữ số, hình ảnh, âm thanh hoặc hình thức tương tự, liên quan đến một cá nhân cụ thể hoặc giúp xác định cá nhân đó. Gồm có:

• Dữ liệu cá nhân cơ bản: họ tên, ngày sinh, giới tính, số điện thoại, địa chỉ cư trú/liên hệ, địa chỉ email, ảnh cá nhân, giấy tờ định danh (CCCD/CMND/Hộ chiếu), tài khoản đăng nhập, nhật ký truy cập, cookie, thông tin thiết bị và các thông tin tương tự.
• Dữ liệu cá nhân nhạy cảm: vị trí địa lý, dữ liệu hành vi, dữ liệu thanh toán và tài chính, dữ liệu sinh trắc học, thông tin sức khỏe (nếu có), tôn giáo, dân tộc hoặc các dữ liệu khác được pháp luật xác định là dữ liệu cá nhân nhạy cảm tại từng thời điểm.

4.1.2, Thông tin khác không cấu thành dữ liệu cá nhân

Là các thông tin không trực tiếp gắn liền hoặc chưa đủ cơ sở để xác định danh tính cá nhân, được thu thập chủ yếu nhằm phục vụ vận hành hệ thống, bảo mật, thống kê và cải thiện trải nghiệm người dùng, bao gồm:

• Thông tin kỹ thuật: loại thiết bị, hệ điều hành, trình duyệt, ngôn ngữ cài đặt, nhà mạng, địa chỉ IP, địa chỉ MAC và các thông số kỹ thuật tương tự;
• Thông tin truy cập và tương tác: thời gian, tần suất truy cập, trang đã xem, truy vấn tìm kiếm, thao tác trên giao diện;
• Thông tin vị trí ở mức kỹ thuật (GPS, WiFi, trạm phát sóng) khi người dùng cho phép;
• Thông tin hành vi và phản hồi sử dụng dịch vụ; nội dung trao đổi qua biểu mẫu, tổng đài, email, chatbot hoặc hệ thống hỗ trợ;
• Thông tin từ cookie và các công nghệ lưu trữ cục bộ tương tự, phục vụ ghi nhớ trạng thái sử dụng và thống kê truy cập.

Trường hợp các thông tin nêu trên được kết hợp với dữ liệu khác để xác định hoặc có khả năng xác định cá nhân, các thông tin đó sẽ được xử lý như dữ liệu cá nhân theo Chính sách này và pháp luật hiện hành.

4.1.3, Thông tin mật và dữ liệu doanh nghiệp

Là các thông tin không phải dữ liệu cá nhân mà Khách hàng tổ chức hoặc Khách hàng cá nhân (với tư cách đại diện tổ chức) lưu trữ, truyền tải hoặc xử lý trên hệ thống của NTO, bao gồm:

• Bí mật kinh doanh, kế hoạch và chiến lược kinh doanh;
• Mã nguồn phần mềm, tài liệu kỹ thuật;
• Cơ sở dữ liệu khách hàng, dữ liệu nghiệp vụ;
• Thông tin tài chính, kế toán và các tài liệu nội bộ khác.

NTO xử lý các thông tin này với vai trò là đơn vị cung cấp hạ tầng và dịch vụ, không sử dụng cho mục đích riêng và áp dụng các biện pháp bảo mật phù hợp theo thỏa thuận dịch vụ và quy định pháp luật liên quan.

4.2, Mục đích sử dụng dữ liệu

4.2.1, Cung cấp và vận hành sản phẩm – dịch vụ

NTO xử lý dữ liệu cá nhân của Khách hàng nhằm cung cấp, vận hành và duy trì dịch vụ, bao gồm:

• Xác minh và thẩm định thông tin Khách hàng: xác minh danh tính, thẩm định thông tin, hồ sơ pháp lý và điều kiện sử dụng dịch vụ theo quy định pháp luật và yêu cầu của từng loại dịch vụ;
• Thiết lập và quản lý tài khoản: tạo lập, duy trì tài khoản; xác thực Khách hàng khi đăng nhập, truy cập hoặc sử dụng dịch vụ; quản lý quyền truy cập và trạng thái sử dụng dịch vụ;
• Thực hiện hợp đồng và cung cấp dịch vụ: khởi tạo, cung cấp, quản lý, gia hạn, thay đổi, tạm ngưng hoặc chấm dứt dịch vụ theo yêu cầu của Khách hàng hoặc theo quy định áp dụng; quản lý thông tin đăng ký, quyền sở hữu và trạng thái dịch vụ (bao gồm tên miền, tài khoản, hợp đồng, chứng thư số và các dịch vụ số khác);
• Xử lý giao dịch và thanh toán: thực hiện các giao dịch liên quan đến dịch vụ; xử lý thanh toán; gửi thông báo xác nhận, hóa đơn, chứng từ và các tài liệu liên quan;
• Thông báo vận hành và liên lạc cần thiết: sử dụng thông tin liên hệ do Khách hàng cung cấp để gửi các thông báo phục vụ vận hành dịch vụ, bao gồm: thông báo khởi tạo dịch vụ, nhắc gia hạn, xác thực giao dịch (OTP), thông báo tiến trình xử lý hồ sơ, kết quả kiểm duyệt, bảo trì hệ thống, gián đoạn dịch vụ (có kế hoạch hoặc khẩn cấp), cập nhật chính sách và các yêu cầu tuân thủ pháp luật;
• Chăm sóc và hỗ trợ Khách hàng: tiếp nhận, xác minh và xử lý các yêu cầu hỗ trợ, phản hồi, khiếu nại hoặc tranh chấp; liên hệ làm rõ thông tin liên quan đến hồ sơ, dịch vụ hoặc sự cố kỹ thuật; ghi nhận và quản lý lịch sử tương tác; cung cấp hỗ trợ kỹ thuật và khắc phục sự cố;
• Đảm bảo an toàn và an ninh hệ thống: giám sát hoạt động hệ thống; phòng ngừa, phát hiện và xử lý các hành vi gian lận, tấn công mạng, truy cập trái phép hoặc các rủi ro ảnh hưởng đến quyền và lợi ích hợp pháp của Khách hàng và của NTO;
• Tuân thủ nghĩa vụ pháp lý: thực hiện các nghĩa vụ theo quy định của pháp luật Việt Nam, yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền hoặc quy định pháp luật chuyên ngành áp dụng đối với từng loại dịch vụ.

Dữ liệu cá nhân được xử lý cho mục đích cung cấp và vận hành dịch vụ bao gồm nhưng không giới hạn:

• Thông tin định danh và liên hệ của Khách hàng;
• Thông tin đăng ký, quản lý và sử dụng dịch vụ;
• Thông tin hợp đồng, giao dịch, hóa đơn, chứng từ;
• Dữ liệu kỹ thuật, nhật ký truy cập, thông tin thiết bị;
• Thông tin xác thực danh tính (eKYC, chứng thư chữ ký số – nếu có).

Dữ liệu cá nhân nhạy cảm và dữ liệu đặc thù (như giấy tờ định danh, dữ liệu sinh trắc học, thông tin chứng thư số và khóa bí mật) chỉ được thu thập và xử lý khi thực sự cần thiết để cung cấp dịch vụ hoặc theo yêu cầu của pháp luật chuyên ngành, và được bảo vệ theo các tiêu chuẩn an toàn phù hợp.

Các mục đích quy định tại Mục này được xem là cần thiết để cung cấp và duy trì dịch vụ, và không phụ thuộc vào sự đồng ý đối với các mục đích tiếp thị tại Mục 4.2.2.

Trường hợp Khách hàng không cung cấp dữ liệu hoặc rút lại sự đồng ý đối với các dữ liệu bắt buộc, NTO có quyền tạm ngừng hoặc chấm dứt việc cung cấp dịch vụ theo quy định pháp luật và điều khoản dịch vụ đã thỏa thuận.

4.2.2, Tiếp thị, khảo sát và truyền thông

• Gửi thông tin về sản phẩm, dịch vụ mới, chương trình khuyến mại, sự kiện, khảo sát, ưu đãi đặc biệt;
• Giới thiệu các dịch vụ tương tự hoặc có liên quan từ NTO và/hoặc đối tác hợp tác;
• Thực hiện chiến dịch tiếp thị, quảng cáo (trong phạm vi cho phép của Nghị định 91/2020/NĐ-CP);
• Nghiên cứu thị trường, khảo sát hành vi người dùng, đánh giá hiệu quả hoạt động kinh doanh và chiến lược phát triển sản phẩm.

Việc xử lý dữ liệu cho các mục đích này chỉ được thực hiện khi Khách hàng đồng ý rõ ràng, riêng biệt và tự nguyện, và Khách hàng có quyền từ chối hoặc rút lại sự đồng ý bất kỳ lúc nào mà không ảnh hưởng đến việc cung cấp và duy trì các dịch vụ chính quy định tại Mục 4.2.1.

4.2.3, Tối ưu hóa trải nghiệm người dùng và cải tiến dịch vụ

NTO có thể xử lý dữ liệu để phân tích hành vi sử dụng, tương tác, lịch sử truy cập và phản hồi của Khách hàng nhằm nâng cấp giao diện, tính năng, hiệu năng hệ thống, duy trì trạng thái sử dụng và khắc phục lỗi kỹ thuật.

Việc xử lý dữ liệu tại Mục này chỉ nhằm cải thiện chất lượng dịch vụ và trải nghiệm người dùng, không bao gồm hoạt động tiếp thị, quảng cáo nếu không có sự đồng ý riêng biệt của Khách hàng..

4.2.4, Quản trị nội bộ và tuân thủ pháp luật

NTO xử lý dữ liệu cá nhân để phục vụ quản lý vận hành nội bộ và tuân thủ nghĩa vụ pháp lý, bao gồm: thực hiện nghĩa vụ kế toán, thuế, kiểm toán; quản lý và xác thực tài khoản định danh; bảo đảm an ninh hệ thống; phòng chống gian lận; đáp ứng yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền; và bảo vệ quyền, lợi ích hợp pháp của NTO trong các trường hợp tranh chấp, khiếu nại hoặc tố tụng.

4.2.5, Chia sẻ với bên thứ ba được ủy quyền

NTO có thể chia sẻ dữ liệu cá nhân trong phạm vi cần thiết với các đối tác, đơn vị cung cấp dịch vụ hỗ trợ nhằm hoàn tất yêu cầu của Khách hàng, với điều kiện các bên này tuân thủ nghiêm ngặt nghĩa vụ bảo mật và chỉ xử lý dữ liệu theo phạm vi được NTO ủy quyền.

4.2.6, Mục đích khác

Ngoài các mục đích nêu trên, NTO chỉ xử lý dữ liệu cá nhân khi được pháp luật cho phép hoặc đã thông báo rõ ràng và có sự đồng ý hợp pháp của Khách hàng, trừ các trường hợp pháp luật cho phép xử lý dữ liệu cá nhân không cần sự đồng ý.

5. Cách thức xử lý Dữ liệu cá nhân

5.1, Thu thập Dữ liệu cá nhân

Chúng tôi có thể thu thập trực tiếp hoặc gián tiếp Dữ liệu cá nhân của Khách hàng trong quá trình cung cấp sản phẩm, dịch vụ, từ các nguồn bao gồm nhưng không giới hạn:

• Trang thông tin điện tử, ứng dụng và hệ thống dịch vụ của NTO, bao gồm thông tin thiết bị, nhật ký truy cập, cookie và dữ liệu vị trí ở mức kỹ thuật (khi người dùng cho phép);
• Quá trình Khách hàng tìm kiếm, đăng ký, mua và sử dụng sản phẩm, dịch vụ;
• Các trao đổi, liên hệ giữa NTO và Khách hàng qua gặp trực tiếp, điện thoại, email, tổng đài, biểu mẫu, khảo sát hoặc các phương tiện điện tử khác;
• Các công nghệ thu thập dữ liệu tự động như cookie, plug-in hoặc công nghệ tương tự;
• Cơ quan nhà nước có thẩm quyền, nguồn thông tin công khai hợp pháp;
• Đối tác, nhà cung cấp dịch vụ, bên liên kết hoặc các nguồn khác mà Khách hàng đã đồng ý, hoặc pháp luật cho phép.

5.2, Chia sẻ/tiết lộ Dữ liệu cá nhân

NTO không bán, trao đổi hoặc cho thuê Dữ liệu cá nhân của Khách hàng trái với quy định pháp luật.

Trong phạm vi cần thiết để thực hiện các mục đích nêu tại Chính sách này, NTO có thể chia sẻ Dữ liệu cá nhân với:

• Nhân viên, bộ phận nội bộ của NTO;
• Đối tác, nhà cung cấp dịch vụ hỗ trợ công nghệ, vận hành, thanh toán hoặc phát triển sản phẩm, dịch vụ;
• Đối tác, đại lý liên quan đến việc thực hiện hợp đồng với Khách hàng;
• Cơ quan nhà nước có thẩm quyền theo yêu cầu hợp pháp;
• Các bên thứ ba khác theo sự đồng ý hoặc chỉ định của Khách hàng;
• Trường hợp sáp nhập, chia tách, chuyển nhượng quyền và nghĩa vụ theo quy định pháp luật.

Ngoài ra, NTO có thể xử lý hoặc chia sẻ Dữ liệu cá nhân mà không cần sự đồng ý của Chủ thể dữ liệu trong các trường hợp sau đây theo quy định tại Điều 17 Nghị định 13/2023/NĐ-CP và Điều 19 Luật bảo vệ dữ liệu cá nhân 2025:

• Trong tình huống khẩn cấp nhằm bảo vệ tính mạng, sức khỏe của Khách hàng hoặc người khác;
• Khi Dữ liệu cá nhân được yêu cầu công khai theo quy định pháp luật;
• Phục vụ hoạt động của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật;
• Trong trường hợp đặc biệt về quốc phòng, an ninh, trật tự xã hội, thảm họa, dịch bệnh, hoặc phòng chống khủng bố, tội phạm theo quy định pháp luật;
• Khi cần thiết để thực hiện nghĩa vụ trong hợp đồng mà Khách hàng là bên liên quan, bao gồm các hoạt động như đăng ký tên miền, giải quyết tranh chấp, xử lý yêu cầu kỹ thuật, …
• Để bảo vệ quyền lợi hợp pháp, tài sản, hoặc ngăn ngừa hành vi vi phạm pháp luật của NTO, Khách hàng hoặc bên thứ ba.

NTO đảm bảo an toàn thông tin, không bị lộ dữ liệu trong quá trình cung cấp/chia sẻ Dữ liệu cá nhân và yêu cầu các bên tiếp nhận Dữ liệu cá nhân sẽ có biện pháp bảo mật dữ liệu phù hợp và kịp thời. NTO đảm bảo tuân thủ các nghĩa vụ pháp lý và quy định liên quan đến việc chuyển giao Dữ liệu cá nhân của Khách hàng.

5.3, Chuyển dữ liệu cá nhân ra nước ngoài

Để cung cấp dịch vụ tiêu chuẩn quốc tế, NTO có thể chuyển Dữ liệu cá nhân của Khách hàng ra nước ngoài theo đúng quy định pháp luật và yêu cầu về Đánh giá tác động chuyển dữ liệu ra nước ngoài (TIA).

Việc chuyển dữ liệu có thể bao gồm:

• ICANN và các Registry quốc tế (đối với dịch vụ tên miền);
• Microsoft, Google và các nhà cung cấp dịch vụ quốc tế khác (đối với dịch vụ Cloud, Workspace);
• Đối tác hạ tầng và trung tâm dữ liệu đặt tại nước ngoài theo lựa chọn của Khách hàng.

NTO cam kết chỉ hợp tác với các đối tác có biện pháp bảo vệ dữ liệu tương đương hoặc cao hơn tiêu chuẩn của pháp luật Việt Nam.

5.4, Xóa Dữ liệu cá nhân

Khi khách hàng chấm dứt sử dụng sản phẩm, dịch vụ ở NTO có yêu cầu xóa Dữ liệu cá nhân hợp lệ, đồng thời yêu cầu này phù hợp với quy trình cung cấp tương ứng với từng loại sản phẩm, dịch vụ của NTO và Chính sách của Nhà cung cấp sản phẩm, dịch vụ đó cho NTO, chúng tôi sẽ tiến hành xóa Dữ liệu cá nhân mà Khách hàng đã cung cấp và/hoặc Chúng tôi thu thập được trong quá trình Khách hàng sử dụng sản phẩm, dịch vụ, trừ trường hợp pháp luật có quy định khác và một số trường hợp không thể thực hiện được như sau:

• Pháp luật quy định không cho phép xóa dữ liệu hoặc yêu cầu bắt buộc phải lưu trữ dữ liệu;
• Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định pháp luật;
• Dữ liệu cá nhân đã được công khai theo quy định pháp luật;
• Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định pháp luật;
• Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
• Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của Khách hàng hoặc cá nhân khác.

5.5, Lưu trữ và bảo mật Dữ liệu cá nhân

Dữ liệu cá nhân của Khách hàng được NTO lưu trữ tại các máy chủ và hệ thống sao lưu phù hợp trong và/hoặc ngoài lãnh thổ Việt Nam theo quy định pháp luật.

NTO lưu trữ Dữ liệu cá nhân trong thời gian cần thiết để thực hiện các mục đích đã thỏa thuận với Khách hàng hoặc theo yêu cầu pháp luật, và áp dụng các biện pháp kỹ thuật, tổ chức phù hợp để bảo vệ Dữ liệu cá nhân trong suốt quá trình lưu trữ.

6. Nguyên tắc bảo vệ và cơ sở pháp lý xử lý Dữ liệu cá nhân

6.1 Việc xử lý Dữ liệu cá nhân được thực hiện một cách hợp pháp, công bằng, công khai, minh bạch, đúng mục đích, trong phạm vi cần thiết và phù hợp với quy định pháp luật áp dụng.

6.2 Dữ liệu cá nhân chỉ được thu thập và xử lý cho các mục đích cụ thể, rõ ràng, hợp pháp đã được thông báo tại Chính sách này hoặc theo thỏa thuận với Khách hàng, và không được xử lý ngoài các mục đích đó, trừ trường hợp pháp luật có quy định khác.

6.3 Dữ liệu cá nhân được lưu trữ trong phạm vi và thời hạn cần thiết để phục vụ cho mục đích xử lý, thực hiện nghĩa vụ pháp lý hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định pháp luật.

6.4 NTO áp dụng các biện pháp kỹ thuật và tổ chức phù hợp nhằm bảo đảm an toàn, bảo mật Dữ liệu cá nhân ở mức độ cần thiết, bao gồm việc phòng ngừa truy cập trái phép hoặc bất hợp pháp, cũng như các rủi ro mất mát, phá hủy hoặc thiệt hại ngoài ý muốn.

6.5 NTO bảo đảm Dữ liệu cá nhân được xử lý chính xác, đầy đủ và được cập nhật khi cần thiết; các Dữ liệu cá nhân không chính xác, không đầy đủ hoặc không còn cần thiết cho mục đích xử lý sẽ được sửa đổi, bổ sung hoặc xóa theo quy định pháp luật.

6.6 NTO chịu trách nhiệm trong phạm vi pháp luật đối với việc lựa chọn, quản lý và yêu cầu các đối tác, nhà cung cấp, bên xử lý dữ liệu có liên quan tuân thủ các quy định về bảo vệ Dữ liệu cá nhân theo pháp luật Việt Nam.

6.7 Việc xử lý Dữ liệu cá nhân của Khách hàng được thực hiện trên một hoặc nhiều cơ sở pháp lý sau đây:

1. Có sự đồng ý của Khách hàng, trừ trường hợp pháp luật cho phép xử lý mà không cần sự đồng ý;
2. Thực hiện nghĩa vụ pháp lý của NTO theo quy định của pháp luật;
3. Thực hiện hợp đồng cung cấp sản phẩm, dịch vụ giữa NTO và Khách hàng;
4. Bảo vệ quyền và lợi ích hợp pháp của Khách hàng, của NTO hoặc của bên thứ ba theo quy định pháp luật.

NTO cam kết tuân thủ đầy đủ các quy định pháp luật về bảo vệ Dữ liệu cá nhân, đặc biệt là các quy định liên quan đến quyền của chủ thể dữ liệu và nghĩa vụ trong trường hợp chuyển Dữ liệu cá nhân ra nước ngoài.

7. Quyền và nghĩa vụ của chủ thể Dữ liệu cá nhân

7.1, Các quyền của Khách hàng đối với dữ liệu cá nhân

NTO tôn trọng và bảo đảm các quyền của Khách hàng đối với dữ liệu cá nhân của mình. Dưới đây là chi tiết các quyền và cách thức thực hiện:

• Quyền được biết và Quyền đồng ý đối với việc xử lý Dữ liệu cá nhân như mô tả tại Chính sách này; Khách hàng có thể đồng ý toàn bộ hoặc một phần đối với các mục đích không bắt buộc;
• Quyền truy cập và Chỉnh sửa dữ liệu thông qua tài khoản ID NTO hoặc gửi yêu cầu hỗ trợ đối với các dữ liệu không thể tự chỉnh sửa;
• Quyền rút lại sự đồng ý đối với các mục đích không bắt buộc (như tiếp thị, quảng cáo). Việc rút lại sự đồng ý đối với dữ liệu bắt buộc có thể dẫn đến việc tạm ngừng hoặc chấm dứt cung cấp dịch vụ;
• Quyền hạn chế xử lý và Phản đối xử lý dữ liệu khi có căn cứ cho rằng dữ liệu bị xử lý không chính xác hoặc sai mục đích;
• Quyền khiếu nại và Khởi kiện theo quy định của pháp luật nếu cho rằng quyền bảo vệ dữ liệu cá nhân bị xâm phạm.

NTO sẽ tiếp nhận và xử lý các yêu cầu hợp lệ của Khách hàng trong thời hạn phù hợp theo quy định pháp luật.

7.2, Nghĩa vụ và Trách nhiệm của Khách hàng

Khách hàng có trách nhiệm tuân thủ nghiêm ngặt các nghĩa vụ sau để bảo vệ dữ liệu của chính mình và an toàn chung cho hệ thống của NTO:

•  Nghĩa vụ cung cấp thông tin Chính xác và Kịp thời, chủ động cập nhật khi có thay đổi. NTO không chịu trách nhiệm đối với rủi ro phát sinh do Khách hàng không cập nhật thông tin;
• Nghĩa vụ Bảo mật Tài khoản và Thiết bị: Tự bảo mật tài khoản, mật khẩu, khóa bí mật, mã OTP và thiết bị đăng nhập; thông báo ngay cho NTO khi phát hiện rủi ro hoặc dấu hiệu xâm nhập trái phép;
• Trách nhiệm đối với Dữ liệu do Khách hàng tải lên (User Generated Content) lưu trữ hoặc xử lý trên hệ thống của NTO; bảo đảm đã có sự đồng ý hợp pháp của các chủ thể dữ liệu liên quan;
• Nghĩa vụ Tôn trọng quyền riêng tư và Không xâm phạm: Không sử dụng dịch vụ của NTO để thực hiện các hành vi xâm phạm quyền riêng tư, thu thập trái phép dữ liệu cá nhân, gửi thư rác, phát tán mã độc hoặc tấn công mạng;
• Phối hợp xử lý sự cố: Phối hợp kịp thời với NTO và cơ quan nhà nước có thẩm quyền khi xảy ra sự cố an toàn thông tin hoặc theo yêu cầu điều tra, xác minh hợp pháp;
• Cập nhật và Tuân thủ Chính sách: Theo dõi, cập nhật và tuân thủ Chính sách Bảo mật thông tin của NTO trong suốt quá trình sử dụng dịch vụ.

8. Tổ chức, cá nhân tham gia quá trình xử lý Dữ liệu cá nhân

• Tùy từng trường hợp, Chúng tôi có thể là Bên Kiểm soát Dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân.
• Trong phạm vi pháp luật cho phép và nhằm thực hiện các mục đích xử lý dữ liệu đã nêu tại Chính sách này, NTO có thể chia sẻ Dữ liệu cá nhân của Khách hàng với các tổ chức, cá nhân sau:
  • Doanh nghiệp thành viên, công ty liên kết của NTO;
  • Tổ chức, cá nhân cung cấp dịch vụ và/hoặc hợp tác với NTO, bao gồm nhưng không giới hạn: đại lý, các đơn vị tư vấn, kiểm toán và các đối tác hợp tác kinh doanh, cung cấp giải pháp công nghệ thông tin, phần mềm, ứng dụng, các dịch vụ vận hành, quản lý, xử lý sự cố, phát triển hạ tầng;
  • Bất kỳ cá nhân, tổ chức nào là bên đại diện, bên được ủy quyền của Khách hàng, hành động thay mặt Khách hàng;
  • Các nhà cung cấp dịch vụ thanh toán dựa trên ủy quyền hoặc chấp thuận của Khách hàng;
• Việc chia sẻ dữ liệu sẽ được thực hiện theo đúng trình tự, cách thức và quy định pháp luật hiện hành. Các bên tiếp nhận Dữ liệu cá nhân có nghĩa vụ bảo mật Dữ liệu cá nhân của Khách hàng phù hợp với Chính sách này; các quy định, quy trình, tiêu chuẩn về Bảo vệ Dữ liệu cá nhân của Chúng tôi và quy định pháp luật hiện hành.

9. Các tùy chọn kiểm soát thông tin người dùng

9.1, Cookie và công nghệ tương tự

NTO có thể sử dụng cookie và các công nghệ tương tự để ghi nhận thông tin truy cập, giúp cải thiện trải nghiệm người dùng và chất lượng dịch vụ. Khách hàng có thể cấu hình trình duyệt để từ chối hoặc cảnh báo việc sử dụng cookie; tuy nhiên, việc này có thể ảnh hưởng đến một số tính năng của website hoặc dịch vụ.

9.2, Điều chỉnh và cập nhật thông tin cá nhân

Khách hàng có quyền truy cập, cập nhật hoặc yêu cầu xóa dữ liệu cá nhân của mình thông qua hệ thống của NTO hoặc gửi yêu cầu hỗ trợ. Trong một số trường hợp, NTO có thể yêu cầu xác minh danh tính trước khi xử lý yêu cầu theo quy định pháp luật.

9.3, Đối tượng trẻ vị thành niên

NTO không cung cấp dịch vụ cho trẻ vị thành niên theo quy định pháp luật, trừ trường hợp có sự chấp thuận hợp pháp của cha, mẹ hoặc người giám hộ theo quy định của pháp luật áp dụng.

9.4, Liên kết đến trang web bên thứ ba

Website và dịch vụ của NTO có thể chứa liên kết đến trang web hoặc dịch vụ của bên thứ ba. NTO không chịu trách nhiệm về nội dung, chính sách bảo mật hoặc biện pháp bảo vệ dữ liệu của các bên thứ ba này. Khách hàng cần tự xem xét và tuân thủ chính sách bảo mật của các trang web liên quan.

10. Bảo đảm an ninh thông tin cá nhân

NTO áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu cá nhân của Khách hàng, bao gồm nhưng không giới hạn: mã hóa dữ liệu, tường lửa, kiểm soát truy cập và các tiêu chuẩn an toàn thông tin phổ biến trong ngành.

Mặc dù áp dụng các biện pháp bảo mật hợp lý, chúng tôi không thể đảm bảo an ninh tuyệt đối trước mọi rủi ro trên môi trường mạng. Khách hàng có trách nhiệm bảo mật thông tin đăng nhập và không chia sẻ mật khẩu hoặc thông tin xác thực cho bên thứ ba.

Trong trường hợp phát hiện vi phạm quy định về bảo vệ Dữ liệu cá nhân hoặc sự cố rò rỉ dữ liệu có nguy cơ gây ảnh hưởng đến quyền và lợi ích hợp pháp của Khách hàng, NTO cam kết thực hiện nghĩa vụ thông báo cho cơ quan chuyên trách và Khách hàng trong thời hạn pháp luật quy định (chậm nhất 72 giờ) để phối hợp xử lý.

11. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân

• Dữ liệu cá nhân được xử lý kể từ thời điểm Chúng tôi có được Dữ liệu cá nhân của Khách hàng và Chúng tôi đã có cơ sở pháp lý phù hợp để xử lý dữ liệu theo quy định pháp luật.
• Trong phạm vi pháp luật cho phép, Dữ liệu cá nhân sẽ được xử lý cho đến khi các mục đích xử lý dữ liệu đã được hoàn thành.
• Chúng tôi có thể phải lưu trữ Dữ liệu cá nhân của Khách hàng ngay cả khi hợp đồng giữa Khách hàng và NTO đã chấm dứt để thực hiện các nghĩa vụ pháp lý của Chúng tôi theo quy định pháp luật và/hoặc yêu cầu của cơ quan nhà nước có thẩm quyền.

12. Cam kết bảo mật thông tin chung

Ngoài các quy định về bảo vệ Dữ liệu cá nhân nêu trên, đối với các “Thông tin mật và Dữ liệu doanh nghiệp” của Khách hàng, NTO cam kết thực hiện nghĩa vụ bảo mật theo nguyên tắc sau:

12.1, Liên kết đến trang web bên thứ ba

NTO cam kết giữ bí mật tuyệt đối và không tiết lộ, cung cấp hoặc chia sẻ Thông tin mật của Khách hàng cho bất kỳ bên thứ ba nào, trừ khi:

• Được sự đồng ý hoặc ủy quyền bằng văn bản (hoặc hình thức điện tử có giá trị tương đương) của Khách hàng;
• Theo yêu cầu bắt buộc của cơ quan Nhà nước có thẩm quyền hoặc quy định của pháp luật;
• Cung cấp cho các đối tác hạ tầng/kỹ thuật (như Microsoft, Google, Data Center) trong phạm vi cần thiết tối thiểu để duy trì hoạt động của dịch vụ, với điều kiện các đối tác này cũng phải chịu ràng buộc nghĩa vụ bảo mật tương đương.

12.2, Giới hạn sử dụng

NTO cam kết chỉ truy cập và sử dụng Thông tin mật của Khách hàng cho mục đích duy nhất là cung cấp, vận hành, bảo trì dịch vụ và hỗ trợ kỹ thuật theo yêu cầu của Khách hàng. Chúng tôi tuyệt đối không sử dụng các dữ liệu này cho mục đích thương mại riêng, cạnh tranh không lành mạnh hoặc xâm phạm quyền sở hữu trí tuệ của Khách hàng.

12.2, Loại trừ trách nhiệm bảo mật

Nghĩa vụ bảo mật này sẽ không áp dụng đối với các thông tin:

• Đã trở nên công khai mà không do lỗi của NTO;
• Đã được NTO sở hữu hợp pháp trước khi Khách hàng cung cấp;

Được phát triển độc lập bởi NTO mà không dựa trên Thông tin mật của Khách hàng.

13. Thay đổi chính sách bảo mật thông tin

Chúng tôi có thể cập nhật, bổ sung hoặc sửa đổi Chính sách bảo mật thông tin này nhằm phản ánh sự thay đổi của pháp luật, yêu cầu quản lý nhà nước, hoặc điều chỉnh trong hoạt động cung cấp dịch vụ.

Trong trường hợp Chính sách được thay đổi theo hướng ảnh hưởng đến quyền và lợi ích hợp pháp của Khách hàng, NTO sẽ thông báo trước hoặc đồng thời cho Khách hàng thông qua một hoặc nhiều hình thức phù hợp, bao gồm nhưng không giới hạn: thông báo email mà Khách hàng đã đăng ký, hoặc thông báo công khai trên website https://ngocthien.one/.

Phiên bản Chính sách bảo mật được cập nhật sẽ có hiệu lực kể từ thời điểm được đăng tải công khai, trừ trường hợp nội dung thay đổi yêu cầu phải có sự đồng ý rõ ràng, riêng biệt của Khách hàng theo quy định pháp luật, khi đó NTO sẽ thực hiện việc thu thập sự đồng ý theo hình thức phù hợp.

Việc Khách hàng tiếp tục sử dụng dịch vụ của NTO sau thời điểm Chính sách được cập nhật được hiểu là Khách hàng đã đọc, hiểu và chấp thuận nội dung Chính sách bảo mật mới nhất đối với các nội dung không thuộc trường hợp phải có sự đồng ý riêng theo quy định pháp luật.