← Quay lại tổng quan

Điều khoản

PHỤ LỤC XỬ LÝ DỮ LIỆU CỦA HEMIDI

Ngày có hiệu lực: 26 tháng 03 năm 2026

1. Điều kiện có hiệu lực

Phụ lục xử lý dữ liệu này ("Phụ lục xử lý dữ liệu") chỉ có hiệu lực khi:

  • được tích hợp rõ ràng vào hợp đồng doanh nghiệp, đơn đặt hàng hoặc thỏa thuận bằng văn bản khác với Hemidi;
  • được đại diện có thẩm quyền của cả hai bên chấp thuận theo quy trình ký kết hợp lệ;
  • áp dụng cho trường hợp Hemidi thực sự xử lý dữ liệu cá nhân thay mặt cho khách hàng như một bên xử lý dữ liệu hoặc vai trò tương đương theo pháp luật áp dụng.

Việc chỉ dẫn chiếu chung trong điều khoản tiêu chuẩn hoặc điều khoản chấp thuận điện tử không mặc nhiên làm phát sinh phụ lục này nếu Hemidi quy định rằng phụ lục phải được ký hoặc chấp thuận riêng.

Phụ lục này chủ yếu được sử dụng cùng với bộ điều khoản thương mại, hợp đồng doanh nghiệp hoặc đơn đặt hàng của Hemidi, thay vì cho luồng người dùng cá nhân tự đăng ký sử dụng mặc định.

2. Phạm vi

Phụ lục này áp dụng trong phạm vi Hemidi xử lý dữ liệu cá nhân thay mặt cho khách hàng khi cung cấp Dịch vụ. Nếu Hemidi xử lý dữ liệu cho mục đích độc lập của riêng mình như bảo mật, chống gian lận, nhật ký vận hành, thống kê tổng hợp, dữ liệu đã được xử lý để giảm khả năng nhận diện cá nhân ở mức hợp lý hoặc nghĩa vụ pháp lý riêng, các hoạt động đó có thể nằm ngoài phạm vi xử lý thay mặt cho khách hàng.

Trừ khi tài liệu giao dịch hoặc phụ lục cụ thể quy định khác, nội dung mô tả xử lý theo Phụ lục này được hiểu như sau:

  • đối tượng xử lý là dữ liệu cá nhân được khách hàng hoặc người dùng được khách hàng ủy quyền gửi vào, lưu trữ trong hoặc tạo ra thông qua Dịch vụ;
  • mục đích xử lý là cung cấp, vận hành, bảo mật, hỗ trợ, lưu trữ, truyền, lập chỉ mục, giám sát, khắc phục lỗi và thực hiện các chức năng theo cấu hình mà khách hàng lựa chọn trong Dịch vụ;
  • loại chủ thể dữ liệu có thể bao gồm người dùng của khách hàng, khách hàng cuối, nhân sự, nhà thầu, cộng tác viên hoặc chủ thể dữ liệu khác mà khách hàng quyết định đưa vào Dịch vụ;
  • loại dữ liệu có thể bao gồm thông tin tài khoản, dữ liệu liên hệ, dữ liệu giao dịch, dữ liệu kỹ thuật, dữ liệu sử dụng, dữ liệu nội dung, dữ liệu đầu vào, dữ liệu đầu ra, siêu dữ liệu và loại dữ liệu khác do khách hàng quyết định tải lên hoặc cấu hình xử lý;
  • thời hạn xử lý kéo dài trong thời hạn cung cấp Dịch vụ và trong thời gian lưu giữ, sao lưu, nhật ký, khôi phục hoặc xóa dữ liệu theo cơ chế chuẩn của Dịch vụ, trừ khi pháp luật áp dụng hoặc thỏa thuận riêng yêu cầu thời hạn khác.

3. Hướng dẫn xử lý

Hemidi sẽ xử lý dữ liệu cá nhân theo:

  • hợp đồng chính giữa các bên;
  • cấu hình và chỉ dẫn hợp pháp được khách hàng thực hiện thông qua Dịch vụ;
  • phụ lục này;
  • nghĩa vụ pháp lý áp dụng.

Khách hàng chịu trách nhiệm về tính hợp pháp của dữ liệu tải lên, căn cứ xử lý, thông báo cho chủ thể dữ liệu và tính chính xác của chỉ dẫn mà khách hàng đưa ra.

Hemidi sẽ không:

  • bán dữ liệu cá nhân được xử lý thay mặt cho khách hàng như một loại hàng hóa độc lập;
  • xử lý dữ liệu cá nhân ngoài phạm vi chỉ dẫn hợp pháp của khách hàng, trừ khi pháp luật áp dụng yêu cầu hoặc cho phép Hemidi thực hiện theo nghĩa vụ riêng của mình;
  • tiết lộ dữ liệu cá nhân cho bên thứ ba ngoài phạm vi cần thiết để cung cấp Dịch vụ, sử dụng đơn vị xử lý phụ hoặc tuân thủ nghĩa vụ pháp luật áp dụng.

4. Bảo mật

Hemidi sẽ áp dụng các biện pháp kỹ thuật và tổ chức hợp lý, phù hợp với tính chất của Dịch vụ và rủi ro xử lý, nhằm bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, mất mát, tiết lộ trái phép hoặc phá hủy.

Các biện pháp này có thể bao gồm kiểm soát truy cập, ghi nhật ký, phân quyền nội bộ, mã hóa phù hợp, sao lưu, giám sát an ninh và quy trình ứng phó sự cố.

Hemidi sẽ bảo đảm rằng nhân sự, nhà thầu và cá nhân được Hemidi cho phép truy cập dữ liệu cá nhân thay mặt cho khách hàng chỉ được truy cập trong phạm vi cần thiết để cung cấp Dịch vụ và bị ràng buộc bởi nghĩa vụ bảo mật phù hợp.

Nếu Hemidi xác định có sự cố an ninh dẫn đến việc truy cập trái phép, mất mát, phá hủy hoặc tiết lộ trái phép dữ liệu cá nhân thuộc phạm vi Phụ lục này, Hemidi sẽ thông báo cho khách hàng mà không chậm trễ bất hợp lý sau khi xác định được sự cố ở mức đủ tin cậy để phát đi thông báo ban đầu, trong phạm vi pháp luật áp dụng và khả năng vận hành hợp lý cho phép.

5. Đơn vị xử lý phụ

Hemidi có thể sử dụng nhà cung cấp hạ tầng, nhà cung cấp AI, nhà cung cấp lưu trữ, nhà cung cấp hỗ trợ hoặc nhà thầu phụ khác làm đơn vị xử lý phụ hoặc đơn vị hỗ trợ xử lý, với điều kiện Hemidi thực hiện kiểm soát hợp lý phù hợp theo bối cảnh dịch vụ.

Hemidi sẽ bảo đảm rằng mỗi đơn vị xử lý phụ được quyền truy cập dữ liệu cá nhân chỉ trong phạm vi cần thiết để cung cấp phần việc liên quan và chịu nghĩa vụ bảo mật, bảo vệ dữ liệu và hạn chế sử dụng không thấp hơn mức bảo vệ trọng yếu mà Hemidi cam kết theo Phụ lục này.

Danh sách đơn vị xử lý phụ trọng yếu và cơ chế thông báo thay đổi có thể được Hemidi công bố riêng, cung cấp qua đầu mối hỗ trợ doanh nghiệp, trust center, tài liệu sản phẩm, PHỤ LỤC VỀ ĐƠN VỊ XỬ LÝ PHỤ VÀ CHUYỂN DỮ LIỆU CỦA HEMIDI hoặc quy định trong tài liệu thương mại. Trừ khi tài liệu giao dịch quy định khác, Hemidi có thể thay đổi đơn vị xử lý phụ khi cần thiết để vận hành Dịch vụ, với điều kiện Hemidi áp dụng thông báo trước hợp lý khi pháp luật áp dụng hoặc tài liệu giao dịch yêu cầu.

6. Chuyển dữ liệu xuyên biên giới

Nếu Dịch vụ liên quan đến việc lưu trữ, xử lý hoặc truy cập dữ liệu ở ngoài Việt Nam hoặc ngoài khu vực pháp lý của khách hàng, các bên đồng ý rằng việc chuyển dữ liệu sẽ được thực hiện trong phạm vi cần thiết để cung cấp Dịch vụ và tuân theo các yêu cầu pháp luật áp dụng trong khả năng hợp lý.

Trong phạm vi luật áp dụng yêu cầu, Hemidi sẽ áp dụng hoặc hỗ trợ áp dụng cơ chế chuyển dữ liệu phù hợp, bao gồm nhưng không giới hạn điều khoản hợp đồng, thông báo, cam kết bảo vệ dữ liệu, biện pháp kỹ thuật hoặc thủ tục hành chính cần thiết đối với việc chuyển dữ liệu cá nhân ra nước ngoài.

7. Hỗ trợ quyền của chủ thể dữ liệu

Trong phạm vi hợp lý và phù hợp với tính chất của Dịch vụ, Hemidi có thể hỗ trợ khách hàng đáp ứng yêu cầu liên quan đến quyền của chủ thể dữ liệu, đánh giá tác động, hồ sơ đánh giá chuyển dữ liệu ra nước ngoài hoặc yêu cầu của cơ quan quản lý, với điều kiện khách hàng chịu chi phí hợp lý phát sinh nếu vượt quá mức hỗ trợ tiêu chuẩn.

Khách hàng chịu trách nhiệm trả lời trực tiếp chủ thể dữ liệu hoặc cơ quan quản lý, trừ khi pháp luật áp dụng yêu cầu Hemidi trực tiếp phản hồi.

8. Xóa hoặc hoàn trả dữ liệu

Khi hợp đồng chính chấm dứt, Hemidi có thể xóa, vô hiệu hóa hoặc hoàn trả dữ liệu theo cơ chế chuẩn của Dịch vụ, lịch lưu trữ nội bộ, yêu cầu pháp luật, nghĩa vụ sao lưu, nhật ký bảo mật hoặc thỏa thuận riêng bằng văn bản. Trừ khi pháp luật áp dụng hoặc thỏa thuận riêng quy định khác, khách hàng có thể yêu cầu hoàn trả dữ liệu còn khả dụng trong một khoảng thời gian hợp lý sau ngày chấm dứt trước khi Hemidi thực hiện xóa hoặc vô hiệu hóa theo cơ chế chuẩn của Dịch vụ.

Việc xóa hoặc hoàn trả dữ liệu không hạn chế quyền của Hemidi trong việc tiếp tục lưu giữ:

  • dữ liệu phải lưu theo nghĩa vụ pháp luật;
  • bản sao lưu theo chu kỳ tiêu chuẩn trong thời gian lưu giữ nội bộ hợp lý;
  • nhật ký bảo mật, nhật ký hệ thống hoặc dữ liệu cần thiết để chứng minh giao dịch, thực thi quyền hoặc giải quyết tranh chấp.

9. Kiểm toán và thông tin hỗ trợ

Trong phạm vi hợp lý, Hemidi có thể cung cấp cho khách hàng thông tin ở mức phù hợp về biện pháp bảo mật, đơn vị xử lý phụ và thực tiễn xử lý dữ liệu liên quan đến Dịch vụ để hỗ trợ khách hàng đánh giá việc tuân thủ nghĩa vụ pháp luật hoặc nghĩa vụ hợp đồng của mình.

Trừ khi tài liệu giao dịch quy định khác, mọi quyền kiểm tra, đánh giá hoặc xác minh tại chỗ của khách hàng phải:

  • được thông báo trước hợp lý;
  • diễn ra trong giờ làm việc thông thường;
  • không gây rủi ro bảo mật, ảnh hưởng bất hợp lý đến khách hàng khác hoặc làm lộ thông tin mật của Hemidi hoặc của bên thứ ba;
  • được giới hạn trong phạm vi cần thiết hợp lý;
  • ưu tiên sử dụng tài liệu, chứng chỉ, báo cáo kiểm toán độc lập hoặc câu trả lời bằng văn bản của Hemidi trước khi yêu cầu biện pháp xâm nhập sâu hơn.

10. Thứ tự ưu tiên

Trong trường hợp có xung đột giữa Phụ lục này và hợp đồng chính về việc Hemidi xử lý dữ liệu cá nhân thay mặt cho khách hàng, Phụ lục này được ưu tiên áp dụng trong phạm vi xung đột đó, trừ khi hợp đồng chính hoặc tài liệu giao dịch quy định rõ bằng văn bản rằng điều khoản khác sẽ được ưu tiên.