← Quay lại tổng quan

Điều khoản

PHỤ LỤC VỀ ĐƠN VỊ XỬ LÝ PHỤ VÀ CHUYỂN DỮ LIỆU CỦA HEMIDI

Ngày có hiệu lực: 26 tháng 03 năm 2026

1. Phạm vi áp dụng

Phụ lục này mô tả khung công bố và nguyên tắc áp dụng đối với đơn vị xử lý phụ, nhà cung cấp trọng yếu, vị trí xử lý dữ liệu và cơ chế chuyển dữ liệu liên quan đến Dịch vụ của HEMIDI JOINT STOCK COMPANY ("Hemidi").

Phụ lục này được đọc cùng với Chính sách quyền riêng tư, Phụ lục xử lý dữ liệu, Điều khoản dịch vụ áp dụng, tài liệu thương mại và tài liệu sản phẩm liên quan. Nếu có xung đột, tài liệu giao dịch, DPA hoặc tài liệu áp dụng riêng cho Dịch vụ liên quan được ưu tiên áp dụng trong phạm vi xung đột đó.

2. Nhóm đơn vị xử lý phụ và nhà cung cấp trọng yếu

Tùy theo loại Dịch vụ, phân khúc khách hàng, cấu hình kỹ thuật và khu vực triển khai, Hemidi có thể sử dụng một hoặc nhiều nhóm nhà cung cấp sau đây:

  • nhà cung cấp hạ tầng điện toán đám mây, lưu trữ, mạng, CDN hoặc sao lưu;
  • nhà cung cấp xác thực, quản lý định danh, chống gian lận hoặc giám sát an ninh;
  • nhà cung cấp thanh toán, lập hóa đơn, kế toán hoặc chống gian lận thanh toán;
  • nhà cung cấp hỗ trợ khách hàng, ticketing, giao tiếp hoặc gửi thư điện tử;
  • nhà cung cấp phân tích, giám sát hiệu năng, ghi nhật ký hoặc chẩn đoán;
  • nhà cung cấp mô hình trí tuệ nhân tạo, công cụ xử lý nội dung, công cụ an toàn hoặc công cụ đánh giá đầu ra;
  • nhà thầu phụ hoặc đơn vị hỗ trợ triển khai, bảo trì hoặc vận hành khác trong phạm vi cần thiết để cung cấp Dịch vụ.

3. Nguyên tắc sử dụng đơn vị xử lý phụ

Hemidi chỉ cho phép đơn vị xử lý phụ hoặc nhà cung cấp trọng yếu truy cập dữ liệu trong phạm vi cần thiết hợp lý để cung cấp phần việc liên quan.

Hemidi sẽ cố gắng bảo đảm rằng mỗi đơn vị xử lý phụ:

  • bị ràng buộc bởi nghĩa vụ bảo mật phù hợp;
  • chỉ xử lý dữ liệu theo chỉ dẫn hoặc phạm vi công việc mà Hemidi cho phép;
  • áp dụng biện pháp bảo vệ dữ liệu và an ninh không thấp hơn mức bảo vệ trọng yếu mà Hemidi cam kết theo tài liệu áp dụng;
  • không được sử dụng dữ liệu cho mục đích vượt ra ngoài phạm vi cần thiết để cung cấp phần việc liên quan.

4. Product-specific disclosure

Do các Dịch vụ của Hemidi có thể sử dụng hạ tầng, mô hình, vùng triển khai hoặc nhà cung cấp khác nhau, Hemidi có thể công bố thông tin về đơn vị xử lý phụ hoặc nhà cung cấp trọng yếu ở một hoặc nhiều lớp khác nhau, bao gồm:

  • trust center;
  • tài liệu sản phẩm;
  • phụ lục thương mại;
  • phụ lục xử lý dữ liệu;
  • dashboard hoặc thông báo riêng cho khách hàng doanh nghiệp;
  • tài liệu áp dụng riêng cho gói dịch vụ hoặc khu vực triển khai.

Trừ khi tài liệu áp dụng quy định khác, việc một nhà cung cấp được dùng cho Dịch vụ này không mặc nhiên có nghĩa nhà cung cấp đó được dùng cho mọi Dịch vụ khác của Hemidi.

5. Thông báo thay đổi

Trong phạm vi pháp luật áp dụng, DPA, hợp đồng hoặc tài liệu giao dịch yêu cầu, Hemidi có thể cung cấp thông báo trước hợp lý về việc bổ sung, thay thế hoặc thay đổi đơn vị xử lý phụ trọng yếu đối với Dịch vụ liên quan.

Trừ khi tài liệu giao dịch quy định khác, Hemidi có quyền thay đổi đơn vị xử lý phụ hoặc nhà cung cấp khi cần thiết để duy trì, bảo mật, cải thiện hoặc vận hành Dịch vụ, với điều kiện Hemidi áp dụng biện pháp kiểm soát phù hợp theo tài liệu áp dụng.

6. Vị trí xử lý dữ liệu và chuyển dữ liệu

Dữ liệu có thể được lưu trữ, truy cập hoặc xử lý tại Việt Nam hoặc tại quốc gia, khu vực khác nơi Hemidi, công ty liên kết hoặc nhà cung cấp của Hemidi vận hành hệ thống, hỗ trợ kỹ thuật hoặc năng lực xử lý liên quan đến Dịch vụ.

Nếu dữ liệu cá nhân được chuyển ra ngoài Việt Nam hoặc ra ngoài khu vực pháp lý ban đầu của khách hàng hoặc chủ thể dữ liệu, Hemidi sẽ áp dụng hoặc hỗ trợ áp dụng cơ chế chuyển dữ liệu phù hợp trong phạm vi pháp luật áp dụng yêu cầu, bao gồm nhưng không giới hạn:

  • cam kết hợp đồng;
  • điều khoản bảo vệ dữ liệu;
  • biện pháp kỹ thuật bổ sung;
  • biện pháp tổ chức bổ sung;
  • hồ sơ, thủ tục hành chính hoặc cam kết bảo vệ dữ liệu khác theo pháp luật áp dụng.

7. Data residency và cấu hình riêng

Nếu một Dịch vụ hoặc gói dịch vụ có hỗ trợ:

  • data residency;
  • vùng dữ liệu riêng;
  • môi trường chuyên biệt;
  • cơ chế cô lập dữ liệu;
  • danh sách nhà cung cấp giới hạn;

thì các tính năng, điều kiện, giới hạn và ngoại lệ áp dụng cho cấu hình đó sẽ được xác định theo tài liệu áp dụng riêng, tài liệu thương mại hoặc cấu hình quản trị được Hemidi công bố cho Dịch vụ tương ứng.

8. Yêu cầu thông tin bổ sung

Trong phạm vi hợp lý và phù hợp với pháp luật áp dụng, Hemidi có thể cung cấp thêm thông tin về nhóm nhà cung cấp, chức năng xử lý, khu vực xử lý chính hoặc nguyên tắc chuyển dữ liệu cho khách hàng doanh nghiệp thông qua trust center, quy trình diligence, DPA, tài liệu thương mại hoặc tài liệu bảo mật riêng.

Hemidi có quyền giới hạn mức độ chi tiết của thông tin công bố nếu việc công bố đầy đủ có thể làm lộ thông tin mật, thông tin an ninh hệ thống hoặc thông tin của bên thứ ba ngoài phạm vi pháp luật áp dụng yêu cầu phải công bố.