Chợ eSIM - Multi-Network eSIM for Global Connectivity

HOẠT ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

I. Mục đích xử lý dữ liệu cá nhân

(nêu rõ mục đích/tại sao thu thập, xử lý dữ liệu cá nhân, bảo đảm nguyên tắc mục đích, phù hợp với ngành nghề đăng ký kinh doanh)

1. Cung cấp Sản phẩm, hàng hóa, dịch vụ cho Khách hàng theo Hợp đồng và thực hiện quyền, nghĩa vụ của Chợ eSIM theo quy định pháp luật, bao gồm nhưng không giới hạn:

Phục vụ hoạt động quản lý nghiệp vụ; vận hành, khai thác, tối ưu chất lượng mạng, dịch vụ di động, truyền hình, Internet và các dịch vụ khác do Chợ eSIM cung cấp; xử lý sự cố mạng lưới; cung cấp, nâng cao chất lượng dịch vụ viễn thông, truyền hình, công nghệ thông tin của Chợ eSIM;
Xác thực và thực hiện các giao dịch thanh toán; đối soát cước, thanh toán cước; trao đổi cung cấp thông tin liên quan đến người sử dụng dịch vụ viễn thông với các doanh nghiệp viễn thông khác để phục vụ cho việc tính giá cước, lập hóa đơn và ngăn chặn hành vi trốn tránh thực hiện nghĩa vụ theo hợp đồng trong phạm vi pháp luật cho phép; đối soát với các đối tác hợp tác của Chợ eSIM nhằm mục đích cung cấp Sản phẩm, hàng hóa, dịch vụ cho Khách hàng;
Cung cấp, kích hoạt hoặc xác minh Sản phẩm, hàng hóa, dịch vụ mà Khách hàng yêu cầu theo Phiếu yêu cầu/Hợp đồng hoặc qua Kênh giao dịch của Chợ eSIM hoặc các yêu cầu khác của Khách hàng phát sinh trong quá trình tìm kiếm, tiếp cận, mua đăng ký sử dụng, sử dụng Sản phẩm, hàng hóa, dịch vụ;
Phục vụ cho mục đích liên hệ, thông báo với Khách hàng;
Thực hiện các quyền của Khách hàng liên quan đến Dữ liệu cá nhân theo quy định pháp luật, thỏa thuận giữa Khách hàng và Chợ eSIM;
Thực hiện nghĩa vụ theo hợp đồng của Khách hàng và nghĩa vụ của Chợ eSIM với cơ quan, tổ chức, cá nhân có liên quan theo quy định pháp luật;
Công khai Dữ liệu cá nhân của Khách hàng theo quy định pháp luật;
Thực hiện các nghĩa vụ của Chợ eSIM về thanh tra, kiểm tra, thống kê, báo cáo, tài chính, kế toán và thuế;
Thực hiện các nghiệp vụ bảo đảm an toàn dữ liệu; bảo đảm an toàn hệ thống thông tin của Chợ eSIM như sao lưu, dự phòng, giám sát, tối ưu tài nguyên và bảo vệ Dữ liệu cá nhân khách hàng;
Nhắn tin thông báo, truyền thông, vận động, ủng hộ liên quan đến Cổng thông tin nhân đạo quốc gia và theo yêu cầu của cơ quan quản lý nhà nước;
Phát hiện, ngăn chặn các hành vi vi phạm pháp luật trên không gian mạng theo yêu cầu của cơ quan nhà nước có thẩm quyền và quy định pháp luật, bao gồm nhưng không giới hạn: tin nhắn rác, thư điện tử rác, cuộc gọi rác, tin nhắn có mục đích lừa đảo, thư điện tử có mục đích lừa đảo, cuộc gọi có mục đích lừa đảo;
Phát hiện, ngăn chặn các hành vi gian lận, lừa đảo, tấn công, xâm nhập, chiếm đoạt trái phép, hành vi mang tính chất tội phạm và các hành vi bất hợp pháp khác;
Thực hiện các hoạt động có mục đích kiểm toán, quản lý rủi ro, phòng chống rửa tiền, tài trợ khủng bố và tuân thủ cấm vận;
Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định pháp luật;
Phục vụ hoạt động của cơ quan nhà nước theo quy định pháp luật chuyên ngành.

2. Hỗ trợ Khách hàng khi mua, sử dụng Sản phẩm, hàng hóa, dịch vụ do Chợ eSIM cung cấp theo hợp đồng và quy định pháp luật, bao gồm:

Cập nhật, xử lý thông tin khi Khách hàng mua, sử dụng Sản phẩm, hàng hóa, dịch vụ;
Chăm sóc Khách hàng, tiếp nhận và giải quyết thắc mắc, khiếu nại của Khách hàng đối với các Sản phẩm, hàng hóa, dịch vụ của Chợ eSIM;
Sử dụng, chuyển giao cho đối tác các Dữ liệu cá nhân, thông tin vướng mắc, sự cố, báo cáo lỗi do Khách hàng phản ánh để xác định và khắc phục sự cố của Sản phẩm, hàng hóa, dịch vụ; sửa chữa thiết bị của Khách hàng; thực hiện hoạt động khác về chăm sóc và hỗ trợ Khách hàng.

3. Nâng cao chất lượng Sản phẩm, hàng hóa, dịch vụ mà Chợ eSIM cung cấp cho Khách hàng:

Cung cấp thông tin mà Khách hàng đã yêu cầu hoặc Chợ eSIM cho rằng Khách hàng có thể thấy hữu ích, bao gồm thông tin về các Sản phẩm, hàng hóa, dịch vụ của Chợ eSIM theo quy định pháp luật;
Cải tiến công nghệ, giao diện Trang thông tin điện tử, wapsite, mạng xã hội, Ứng dụng đảm bảo tiện lợi cho Khách hàng;
Quản lý tài khoản Khách hàng và các chương trình Khách hàng thân thiết;
Lưu trữ thông tin, nghiên cứu thị trường, phân tích, thống kê và các hoạt động quản lý nội bộ khác nhằm nâng cao trải nghiệm Khách hàng;
Báo cáo, thống kê, phân tích dữ liệu nội bộ để nghiên cứu, xây dựng, phát triển, quản lý, đo lường, cung cấp và cải tiến Sản phẩm, hàng hóa, dịch vụ cũng như điều hành hoạt động kinh doanh của Chợ eSIM;
Xây dựng chiến dịch tiếp thị Sản phẩm, hàng hóa, dịch vụ và xác định cách Chợ eSIM có thể cá nhân hóa các sản phẩm, hàng hóa dịch vụ đó;
Phát triển, cung cấp Sản phẩm, hàng hóa, dịch vụ mới được cá nhân hóa theo nhu cầu, điều kiện thực tế của Khách hàng với phương pháp đo lường hiệu quả;
Giới thiệu, cung cấp các chương trình khuyến mại cho Sản phẩm, hàng hóa, dịch vụ, ưu đãi, khuyến mại của Chợ eSIM và của Chợ eSIM hợp tác với đối tác;
Đánh giá khả năng mua, sử dụng Sản phẩm, hàng hóa, dịch vụ của Chợ eSIM thông qua điểm xếp hạng viễn thông của Khách hàng nhằm hỗ trợ tốt nhất trong việc cung cấp các sản phẩm, hàng hóa, dịch vụ cho Khách hàng.

4. Kinh doanh dịch vụ tiếp thị, quảng cáo, giới thiệu sản phẩm phù hợp với nhu cầu của Khách hàng hoặc Chợ eSIM cho rằng Khách hàng quan tâm theo nội dung, hình thức, tần suất như sau:

Nội dung: Giới thiệu thông tin các sản phẩm, hàng hóa, dịch vụ, ưu đãi do Chợ eSIM và đối tác của Chợ eSIM cung cấp;
Phương thức: Qua tin nhắn quảng cáo (SMS, USSD, MMS…), cuộc gọi IVR, thông báo trên Kênh giao dịch của Chợ eSIM hoặc các phương thức khác theo quy định pháp luật;
Hình thức: Gửi trực tiếp cho Khách hàng qua thiết bị, phương tiện điện tử hoặc các hình thức khác trên không gian mạng theo quy định pháp luật;
Tần suất: Theo quy định pháp luật về quảng cáo.

5. Kinh doanh dịch vụ nghiên cứu thị trường, thăm dò dư luận, môi giới;

6. Tổ chức giới thiệu và xúc tiến thương mại.

II. Hoạt động xử lý dữ liệu cá nhân

(nêu cụ thể các hoạt động xử lý dữ liệu cá nhân phù hợp với mục đích xử lý dữ liệu cá nhân)

1. Cách thức thu thập

Dữ liệu cá nhân được thu thập trực tiếp từ Quý khách trong các trường hợp sau:

Từ các Trang thông tin điện tử của Chợ eSIM: Chúng tôi có thể thu thập Dữ liệu cá nhân khi Quý khách truy cập bất kỳ trang thông tin điện tử nào của Chợ eSIM (gọi chung là "Trang thông tin điện tử" ) hoặc sử dụng bất kỳ tính năng, tài nguyên nào có sẵn trên hoặc thông qua Trang thông tin điện tử. Khi Quý khách truy cập Trang thông tin điện tử, Chợ eSIM thu thập thông tin về thiết bị và trình duyệt của Khách hàng (chẳng hạn như loại thiết bị, hệ điều hành, loại trình duyệt, cài đặt trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với Trang thông tin điện tử và các thông tin liên lạc kỹ thuật khác);
Từ Ứng dụng: Chúng tôi có thể thu thập Dữ liệu cá nhân khi Quý khách tải xuống hoặc sử dụng ứng dụng của Chợ eSIM dành cho thiết bị di động (gọi chung là "Ứng dụng"). Các Ứng dụng này có thể ghi lại một số thông tin nhất định (bao gồm thống kê khi sử dụng Ứng dụng, loại thiết bị, hệ điều hành, cài đặt Ứng dụng, địa chỉ IP, cài đặt ngôn ngữ, ngày giờ kết nối với Ứng dụng và các thông tin liên lạc kỹ thuật khác);
Từ các Sản phẩm, hàng hóa, dịch vụ: Chúng tôi có thể thu thập Dữ liệu cá nhân khi Quý khách tìm kiếm, tiếp cận, mua, đăng ký sử dụng, sử dụng bất kỳ Sản phẩm, hàng hóa, dịch vụ nào thông qua bất kỳ hình thức nào (SMS, USSD, IVR, website, wapsite, ứng dụng…); Kênh giao dịch của Chợ eSIM, không gian mạng; và/hoặc các phương thức khác theo quy định pháp luật;
Từ các trao đổi, liên lạc với Khách hàng: Chúng tôi có thể thu thập Dữ liệu cá nhân thông qua tương tác giữa Chúng tôi và Quý khách (gặp trực tiếp, qua thư, điện thoại, trực tuyến, hệ thống tổng đài, liên lạc điện tử hoặc bất kỳ phương tiện nào khác) bao gồm cả các cuộc khảo sát Khách hàng;
Từ mạng xã hội: Là các mạng xã hội của Chợ eSIM và/hoặc các mạng xã hội do chúng tôi hợp tác với các đối tác;
Từ các thiết bị ghi âm, ghi hình được đặt tại các cửa hàng, điểm kinh doanh hoặc nơi thực hiện một phần hoặc toàn bộ hoạt động kinh doanh của Chợ eSIM mà Quý khách gặp, xuất hiện hoặc tương tác với chúng tôi. Việc đặt các thiết bị ghi âm, ghi hình nhằm mục đích góp phần bảo vệ trật tự an toàn xã hội, bảo vệ quyền và lợi ích hợp pháp của Khách hàng và của Chợ eSIM theo quy định pháp luật;
Từ các tương tác hoặc các công nghệ thu thập dữ liệu tự động: Chúng tôi có thể thu thập thông tin bao gồm địa chỉ IP, URL giới thiệu, hệ điều hành, trình duyệt tin điện tử và bất kỳ thông tin nào khác được ghi tự động từ kết nối:
- Cookie, flash cookie, plug-in, thẻ pixel, tin điện tử beacons, trình kết nối mạng xã hội của bên thứ ba hoặc các công nghệ theo dõi khác;
- Bất kỳ công nghệ nào có khả năng theo dõi hoạt động cá nhân trên các thiết bị hoặc Trang thông tin điện tử;
- Thông tin dữ liệu khác được cung cấp bởi một thiết bị.
Các phương tiện khác: Chúng tôi có thể thu thập Dữ liệu cá nhân khi Quý khách tương tác với Chợ eSIM thông qua bất kỳ phương tiện nào khác.

Chúng tôi cũng có thể thu thập Dữ liệu cá nhân gián tiếp từ Quý khách thông qua các nguồn thông tin công khai, chính thống; hoặc thông qua việc nhận chia sẻ dữ liệu cần thiết từ các công ty con, đối tác mà họ thu thập được trong quá trình hợp tác với Chợ eSIM cung cấp Sản phẩm, hàng hóa, dịch vụ cho Quý khách và được Quý khách cho phép chia sẻ.

2. Cách thức lưu trữ

Dữ liệu cá nhân được lưu trữ tại Việt Nam tại hệ thống cơ sở dữ liệu Khách hàng của Chợ eSIM hoặc tại bất cứ đâu mà chúng tôi hoặc các chi nhánh, công ty con, công ty liên kết, đối tác hoặc nhà cung cấp dịch vụ của chúng tôi có cơ sở và tạo bản sao lưu trữ cho trung tâm dữ liệu ở một khu vực khác.

Trong quá trình Quý khách truy cập Trang thông tin điện tử, wapsite, Ứng dụng, mạng xã hội của Chợ eSIM, chúng tôi cũng có thể lưu trữ thông tin tạm thời qua cookie, clickstream hoặc các công cụ lưu trữ dữ liệu duyệt website tương tự để lưu trữ những dữ liệu mà máy chủ web trong miền có thể truy lại.

3. Cách thức chuyển giao/chia sẻ dữ liệu

Chúng tôi sẽ sử dụng các biện pháp bảo mật cần thiết để đảm bảo việc chuyển giao/chia sẻ Dữ liệu cá nhân của Quý khách đến (i) các doanh nghiệp viễn thông khác; (ii) cá nhân/tổ chức tham gia quá trình Xử lý Dữ liệu cá nhân quy định tại Điều 8 Chính sách này); hoặc (iii) cơ quan nhà nước có thẩm quyền, đảm bảo an toàn thông tin, không bị lộ, lọt dữ liệu và yêu cầu các bên tiếp nhận Dữ liệu cá nhân sẽ có biện pháp bảo mật dữ liệu.

4. Cách thức phân tích

Việc phân tích Dữ liệu cá nhân được thực hiện theo các quy trình nội bộ của Chợ eSIM. Chúng tôi luôn có cơ chế giám sát nghiêm ngặt từng quy trình phân tích dữ liệu, trong đó yêu cầu kiểm tra việc đáp ứng các yêu cầu của pháp luật về bảo mật dữ liệu, bảo đảm an toàn thông tin đối với hệ thống công nghệ thông tin trước khi tiến hành phân tích. Chúng tôi cũng có các quy tắc nghiêm ngặt đảm bảo rằng thông tin cá nh phân tích. Chúng tôi cũng có các quy tắc nghiêm ngặt đảm bảo rằng thông tin cá nhân được ẩn danh hoặc hủy nhận dạng ở giai đoạn thích hợp trong quá trình xử lý.

5. Cách thức mã hóa

Dữ liệu cá nhân thu thập được mã hóa theo các tiêu chuẩn mã hóa phù hợp khi cần thiết trong quá trình lưu trữ hoặc chuyển giao dữ liệu, để đảm bảo các dữ liệu được bảo vệ, xác thực, toàn vẹn và không thể bị thay đổi sau khi đã được gửi đi.

6. Cách thức xóa dữ liệu

Khi Quý khách chấm dứt sử dụng Sản phẩm, hàng hóa, dịch vụ của Chợ eSIM và có yêu cầu hợp lệ, chúng tôi sẽ tiến hành xóa Dữ liệu cá nhân với toàn bộ Dữ liệu cá nhân mà Quý khách đã cung cấp và/hoặc chúng tôi thu thập được trong quá trình Quý khách sử dụng Sản phẩm, hàng hóa, dịch vụ, trừ trường hợp pháp luật có quy định khác và một số trường hợp không thể thực hiện được như sau:

Pháp luật quy định không cho phép xóa dữ liệu hoặc yêu cầu bắt buộc phải lưu trữ dữ liệu;
Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định pháp luật;
Dữ liệu cá nhân đã được công khai theo quy định pháp luật;
Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định pháp luật;
Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của Khách hàng hoặc cá nhân khác.

III. Loại dữ liệu cá nhân được xử lý

(dữ liệu cá nhân nào được thu thập, xử lý)

3.1. Dữ liệu cá nhân cơ bản

(căn cứ khoản 3 Điều 2 Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân; tích √ vào loại dữ liệu quy định)

Họ, chữ đệm và tên khai sinh	✓	Quốc tịch	✓
Tên gọi khác (nếu có)		Hình ảnh của cá nhân	✓
Ngày, tháng, năm sinh	✓	Số điện thoại	✓
Ngày, tháng, năm chết hoặc mất tích		Số chứng minh nhân dân	✓
Giới tính	✓	Số định danh cá nhân
Nơi sinh		Số hộ chiếu	✓
Nơi thường trú	✓	Dữ liệu cá nhân phản ánh hoạt động trên không gian mạng	✓
Quê quán	✓	Lịch sử hoạt động trên không gian mạng	✓
Địa chỉ liên hệ	✓	Các thông tin khác gắn liền với một con người cụ thể	✓

3.2. Dữ liệu cá nhân nhạy cảm

(theo quy định tại khoản 4 Điều 2; là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân; tích √ vào loại dữ liệu quy định)

Chúng tôi không thu thập dữ liệu cá nhân nhạy cảm.

IV. Sự đồng ý của chủ thể dữ liệu

(mô tả cụ thể chủ thể dữ liệu đã đồng ý theo quy định tại Điều 11 Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh)

Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân.
Chủ thể dữ liệu biết rõ các nội dung sau: Loại dữ liệu cá nhân được xử lý; Mục đích xử lý dữ liệu cá nhân; Tổ chức, cá nhân được xử lý dữ liệu cá nhân; Các quyền, nghĩa vụ của chủ thể dữ liệu.
Sự đồng ý được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên kiểm soát dữ liệu phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
Sự đồng ý của chủ thể dữ liệu được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

V. Hình thức lấy ý kiến về sự đồng ý của chủ thể dữ liệu

(mô tả cụ thể các hình thức lấy ý kiến về sự đồng ý của chủ thể dữ liệu, nếu là hợp đồng sử dụng dịch vụ thì kèm theo biểu mẫu hợp đồng)

Sự đồng ý của chủ thể dữ liệu được Bên Kiểm soát dữ liệu cá nhân thu thập, đảm bảo sự đồng ý được thể hiện rõ ràng, cụ thể bằng một trong các hình thức sau: bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

VI. Khối lượng dữ liệu cá nhân dự kiến xử lý

(nêu rõ khối lượng dữ liệu cá nhân bằng Byte, Megabyte, Gigabyte, Terabitye…)

2 Terabyte

VII. Số lượng chủ thể dữ liệu dự kiến xử lý

(nêu rõ cụ thể con số về chủ thể dữ liệu, ví dụ 100 chủ thể dữ liệu…)

Dự kiến trong năm 2024 là 1.000.000 chủ thể (Tương ứng với dự kiến số lượng thuê bao kích hoạt)

VIII. Thời gian xử lý dữ liệu cá nhân

(nêu rõ thời gian dự kiến xử lý dữ liệu cá nhân đối với từng hoạt động xử lý dữ liệu cá nhân; trường hợp có nhiều mốc thời gian xử lý dữ liệu cá nhân khác nhau thì nêu rõ từng mốc thời gian xử lý)

Tùy thuộc với từng loại dữ liệu cá nhân khác nhau, phù hợp với mục đích xử lý dữ liệu cá nhân đã được chủ thể dữ liệu đồng ý, hoặc tuân thủ theo quy định của pháp luật

IX. Thời gian lưu trữ dữ liệu cá nhân

(nêu rõ khoảng thời gian dự kiến lưu trữ dữ liệu cá nhân đối với từng hoạt động xử lý dữ liệu cá nhân; trường hợp theo quy định của pháp luật thì nêu rõ theo quy định nào; nếu thời gian lưu trữ đối với các loại dữ liệu cá nhân khác nhau thì nêu cụ thể từng loại dữ liệu cá nhân)

Vô thời hạn. Căn cứ Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân thì việc xóa dữ liệu cá nhân sẽ không thực hiện trừ trường hợp chủ thể yêu cầu xóa và đáp ứng các điều kiện có thể xóa.

X. Thời gian dự kiến để xóa, hủy dữ liệu cá nhân

(nêu rõ khoảng thời gian dự kiến đối với từng hoạt động xử lý dữ liệu cá nhân)

Không tự thực hiện xóa, hủy dữ liệu cá nhân.

Việc thực hiện xóa, hủy dữ liệu thực hiện theo căn cứ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Cụ thể:

Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau:

Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
Rút lại sự đồng ý;
Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.

Yêu cầu xóa sẽ không thực hiện trong các trường hợp:

Pháp luật quy định không cho phép xóa dữ liệu;
Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.

XI. Cách thức xóa, hủy dữ liệu cá nhân

(có thể khôi phục, không thể khôi phục): không thể khôi phục.

Không xóa dữ liệu cá nhân

(Dữ liệu log text có thể xóa định kỳ trong 3-6 tháng, nhưng vẫn sẽ được lưu trữ trên Cơ sở dữ liệu, trong các bản backup...)

XII. Trường hợp chuyển dữ liệu cá nhân ra nước ngoài

(theo quy định tại Điều 25 Nghị định số 13/2023/NĐ-CP của Chính phủ quy định về bảo vệ dữ liệu cá nhân)

Không

XIII. Thông tin về Bên Chuyển dữ liệu cá nhân ra nước ngoài

(nếu có, Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba)

Hiện tại Trung tâm di động Chợ eSIM – chi nhánh công ty TNHH dịch vụ số DIGILIFE Việt Nam không chuyển dữ liệu cá nhân ra nước ngoài

XIV. Biện pháp bảo vệ dữ liệu cá nhân

14.1. Biện pháp quản lý

(nêu rõ tên biện pháp, trường hợp đã ban hành thì nêu rõ tên, số hiệu, trích yếu, văn bản)

Trung tâm di động Chợ eSIM đã ban hành:

Quyết định 24/QĐTL/2023-Chợ eSIMvề việc thành lập Tổ Bảo vệ dữ liệu cá nhân theo Nghị đinh 13/2023/NĐ-CP.
Quy định nội bộ về bảo vệ dữ liệu cá nhân.
Chính sách bảo vệ dữ liệu cá nhân dành cho khách hàng (đăng tải công khai tại website: https://vnsky.vn và Ứng dụng Chợ eSIM).

14.2. Biện pháp kỹ thuật

(nêu rõ biện pháp đã áp dụng (phần cứng, phần mềm, hệ thống, thiết bị và mục đích của việc áp dụng)

Dữ liệu cá nhân được mã hóa khi gửi tới các đối tác xử lý (mã hóa Base64, AES)
Sử dụng máy trung gian (máy Jump) để tác động hệ thống, giúp theo dõi và giám sát hành vi người dùng
Giải pháp Firewall/WAF để phân vùng, ngăn chặn tấn công, bảo vệ hệ thống

14.3. Áp dụng tiêu chuẩn bảo vệ dữ liệu cá nhân

(nêu cụ thể tên tiêu chuẩn đã áp dụng nội dung áp dụng)

Dựa trên tiêu chuẩn ISO 27001 để xây dựng các biện pháp bảo vệ dữ liệu cá nhân

14.4. Kiểm tra an ninh mạng đối với hệ thống thông tin, phương tiện, thiết bị nhằm bảo vệ dữ liệu cá nhân

(nêu cụ thể nội dung, đối tượng, tần suất, mục đích)

Hệ thống Tường lửa bảo vệ hệ thống, phân chia các Zone tách biệt nhau (WEB/APP/DB/Monitor/Management…)
Phân tách các môi trường độc lập (DEV/TEST/PRODUCT…)
Phân quyền truy cập vào server, CSDL (qua IP/User/VPN); thực hiện tác động vào hệ thống qua máy trung gian (máy Jump) để giám sát tác động
Hệ thống giám sát ATTT tập trung để giám sát liên tục các sự kiện ATTT toàn hệ thống
Phân quyền đăng nhập vào các hệ thống nghiệp vụ, tiếp cận được thông tin dữ liệu cá nhân của KH (CRM, BSS…)
Có hệ thống phòng chống tấn công DDOS, hệ thống Tường lửa ứng dụng (WAF)

14.5. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân

(nêu cụ thể tên bộ phận, tên nhân sự, thông tin liên hệ về tên bộ phận, nhân sự phụ trách)

Vui lòng xem Mục I.15 và I.16 trên đây.

14.6. Thông báo khi xử lý dữ liệu cá nhân nhạy cảm

(chọn trường hợp)

Có ✓

XV. ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

15.1 Đánh giá tổng quan tình hình, hoạt động kinh doanh có liên quan tới việc thu thập, xử lý dữ liệu cá nhân

(nêu rõ bối cảnh, tình hình, mô tả các vấn đề cần thiết phải thu thập, xử lý dữ liệu cá nhân)

Trung tâm di động Chợ eSIM hoạt động kinh doanh chính trong lĩnh vực dịch vụ viễn thông, dịch vụ công nghệ thông tin – cung cấp nền tảng, chịu sự chi phối của các quy định của pháp luật chuyên ngành như: Luật Viễn thông, Nghị định 25/2011/NĐ-CP về Quy định chi tiết và hướng dẫn thi hành một số điều của Luật Viễn thông. Nghị định 49/2017/NĐ-CP về Sửa đổi, bổ sung Điều 15 của Nghị định số 25/2011/NĐ-CP ngày 06 tháng 4 năm 2011 của Chính phủ quy định chi tiết và hướng dẫn thi hành một số điều của Luật viễn thông và Điều 30 của Nghị định số 174/2013/NĐ-CP ngày 13 tháng 11 năm 2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện. Trong quá trình bán hàng, cung cấp dịch vụ Chợ eSIM phải thu thập, xử lý dữ liệu cá nhân liên quan đến việc đăng ký thông tin thuê bao di động theo quy định pháp luật.

15.2 Đánh giá tác động việc xử lý dữ liệu cá nhân

(đánh giá theo từng nội dung cụ thể, phân tích mỗi vấn đề, bao gồm mô tả thực trạng, phân tích yêu cầu, dự kiến tình huống phát sinh, nguyên nhân, giải pháp; đánh giá tác động các giải pháp đề xuất (tích cực, tiêu cực) của từng giải pháp; kiến nghị trên cơ sở so sánh tác động tích cực, tiêu cực. Tác động được đánh giá theo phương pháp định lượng, phương pháp định tính, nêu rõ hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó. Trong trường hợp không thể áp dụng phương pháp định lượng thì trong báo cáo đánh giá tác động phải nêu rõ lý do)

15.2.1. Tác động về quyền của chủ thể dữ liệu

được đánh giá trên cơ sở phân tích khả năng tác động tới các quyền của chủ thể dữ liệu

Tác động tích cực: Việc xử lý dữ liệu cá nhân để đảm bảo thực hiện các quyền của chủ thể dữ liệu theo quy định của pháp luật, đảm bảo quyền và lợi ích của khách hàng khi đăng ký, sử dụng dịch vụ.

Tác động tiêu cực: Theo đánh giá của Chợ eSIM, việc xử lý dữ liệu cá nhân chưa có tác động tiêu cực về quyền của chủ thể dữ liệu.

15.2.2. Tác động về kinh tế

được đánh giá trên cơ sở phân tích chi phí và lợi ích đối với một hoặc một số nội dung về sản xuất, kinh doanh, tiêu dùng, môi trường đầu tư và kinh doanh, khả năng cạnh tranh của doanh nghiệp, tổ chức và cá nhân, cơ cấu phát triển kinh tế của quốc gia hoặc địa phương, chi tiêu công, đầu tư công và các vấn đề khác có liên quan đến kinh tế

Tác động tích cực: Việc đảm bảo an toàn thông tin của chủ thể dữ liệu giúp nâng cao uy tín của doanh nghiệp với chủ thể dữ liệu từ đó dẫn đến việc tăng lợi ích và lợi thế cạnh tranh;

Tác động tiêu cực: Theo đánh giá của Chợ eSIM, việc xử lý dữ liệu cá nhân chưa có tác động tiêu cực về kinh tế.

15.2.3. Tác động về xã hội

được đánh giá trên cơ sở phân tích, dự báo tác động đối với một hoặc một số nội dung về dân số, việc làm, tài sản, sức khỏe, môi trường, y tế, giáo dục, đi lại, giảm nghèo, giá trị văn hóa truyền thống, gắn kết cộng đồng, xã hội và các vấn đề khác có liên quan đến xã hội.

Tác động tích cực: Việc xử lý dữ liệu cá nhân có tác động tới đời sống xã hội của chủ thể dữ liệu nói riêng, mang lại lợi ích dân sinh, nâng cao nhận thức công nghệ, góp phần đảm bảo an toàn, an ninh mạng, trật tự xã hội.

Tác động tiêu cực: Theo đánh giá của Chợ eSIM, việc xử lý dữ liệu cá nhân chưa có tác động tiêu cực về xã hội

15.2.4. Tác động về thủ tục hành chính

được đánh giá trên cơ sở phân tích, dự báo về sự cần thiết, tính hợp pháp, tính hợp lý và chi phí tuân thủ của thủ tục hành chính để thực hiện giải pháp.

Theo đánh giá của Chợ eSIM, việc xử lý dữ liệu cá nhân chưa có tác động về thủ tục hành chính

15.2.5. Tác động đối với hệ thống pháp luật

được đánh giá trên cơ sở phân tích, dự báo khả năng về thi hành và tuân thủ của các cơ quan, tổ chức, cá nhân, khả năng thi hành và tuân thủ.

Theo đánh giá của Chợ eSIM, việc xử lý dữ liệu cá nhân chưa có tác động đối với hệ thống pháp luật.

15.2.6. Tác động đối với lợi ích của chủ thể dữ liệu

được đánh giá trên cơ sở phân tích, dự báo khả năng về tác động tới lợi ích của chủ thể dữ liệu.

Tác động tích cực: Việc xử lý dữ liệu cá nhân mang đến nhiều lợi ích cho chủ thể dữ liệu cá nhân như giúp khách hàng có thể đăng ký và sử dụng dịch vụ, nâng cao trải nghiệm của chủ thể dữ liệu khi sử dụng dịch vụ của Chợ eSIM. Ngoài ra, việc xử lý dữ liệu cá nhân mang đến cho chủ thể dữ liệu sự tiện lợi và an toàn, tiết kiệm thời gian.

Tác động tiêu cực: Theo đánh giá của Chợ eSIM, việc xử lý dữ liệu cá nhân chưa có tác động tiêu cực về lợi ích của chủ thể dữ liệu.

XVI. LIỆT KÊ CÁC VĂN BẢN PHÁP LUẬT PHẢI CHẤP HÀNH

(bao gồm ở trong nước và ngoài nước, trích dẫn cụ thể tên luật, điều khoản, nội dung quy định có liên quan)

Luật Viễn Thông số 41/2009/QH12.
Luật Bưu Chính số 49/2010/QH12.
Luật Thương Mại số 36/2005/QH11.
Luật An Ninh Mạng số 24/2018/QH14.
Luật An toàn thông tin mạng số 86/2015/QH13.
Nghị định 25/2011/NĐ-CP về Quy định chi tiết và hướng dẫn thi hành một số điều của Luật Viễn thông.
Nghị định 49/2017/NĐ-CP về Sửa đổi, bổ sung Điều 15 của Nghị định số 25/2011/NĐ-CP ngày 06 tháng 4 năm 2011 của Chính phủ quy định chi tiết và hướng dẫn thi hành một số điều của Luật viễn thông và Điều 30 của Nghị định số 174/2013/NĐ-CP ngày 13 tháng 11 năm 2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện.
Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.
Nghị định 91/2020/NĐ-CP về Chống tin nhắn rác, thư rác điện tử, cuộc gọi rác.
Nghị định 72/2013/NĐ-CP về Quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng.
Nghị định 81/2018/NĐ-CP về Quy định chi tiết luật thương mại về hoạt động xúc tiến thương mại.

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN