QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ DỮ LIỆU NHẠY CẢM

PERSONAL DATA AND SENSITIVE DATA PROTECTION POLICY

Mã tài liệu (Document No.): VA-ISMS-POL-004
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt

Quy định này được ban hành nhằm bảo đảm việc thu thập, lưu trữ, sử dụng, xử lý, chia sẻ, truyền tải và hủy bỏ dữ liệu cá nhân và dữ liệu nhạy cảm tại Công ty TNHH Vina Aspire được thực hiện an toàn, đúng mục đích, tuân thủ quy định pháp luật Việt Nam và các tiêu chuẩn quốc tế về an toàn thông tin.

English

This Policy establishes requirements for the collection, storage, use, processing, sharing, transmission, and disposal of personal and sensitive data within Vina Aspire in a secure manner and in compliance with applicable laws and international information security standards.

---

2. Phạm vi áp dụng | Scope

Tiếng Việt

Quy định này áp dụng đối với:

• Tất cả nhân viên, người lao động, cộng tác viên, thực tập sinh;
• Đối tác, nhà cung cấp và bên thứ ba có liên quan đến việc xử lý dữ liệu;
• Tất cả hệ thống thông tin, ứng dụng, cơ sở dữ liệu, dịch vụ Cloud và tài sản thông tin của Công ty.

English

This Policy applies to:

• All employees, contractors, interns, and temporary personnel;
• Partners, vendors, and third parties involved in data processing activities;
• All information systems, applications, databases, cloud services, and information assets of the Company.

---

3. Căn cứ áp dụng | References

Quy định này được xây dựng trên cơ sở:

• ISO/IEC 27001:2022 – Information Security Management Systems;
• ISO/IEC 27002:2022 – Information Security Controls;
• ISO/IEC 27701:2019 – Privacy Information Management Systems;
• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân;
• Các quy định pháp luật có liên quan của Việt Nam và các cam kết với khách hàng.

This Policy is based on:

• ISO/IEC 27001:2022;
• ISO/IEC 27002:2022;
• ISO/IEC 27701:2019;
• Decree No. 13/2023/ND-CP on Personal Data Protection;
• Applicable laws and contractual obligations.

---

4. Định nghĩa | Definitions

Dữ liệu cá nhân | Personal Data

Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một cá nhân hoặc giúp xác định một cá nhân cụ thể.

Information in the form of symbols, letters, numbers, images, sounds, or similar forms that is associated with an individual or can identify a specific individual.

---

Dữ liệu cá nhân nhạy cảm | Sensitive Personal Data

Bao gồm nhưng không giới hạn:

• Thông tin tài chính, tài khoản ngân hàng;
• Dữ liệu định danh điện tử;
• Dữ liệu vị trí;
• Thông tin sức khỏe;
• Dữ liệu sinh trắc học;
• Dữ liệu xác thực, mật khẩu;
• Thông tin riêng tư theo quy định pháp luật.

Including but not limited to:

• Financial and banking information;
• Electronic identification information;
• Location data;
• Health information;
• Biometric data;
• Authentication information and passwords;
• Other legally protected private information.

---

5. Nguyên tắc bảo vệ dữ liệu | Data Protection Principles

Vina Aspire cam kết:

Hợp pháp, minh bạch và công bằng

Lawfulness, Fairness and Transparency

Dữ liệu chỉ được thu thập và xử lý trên cơ sở hợp pháp, minh bạch và đúng mục đích.

Personal data shall be collected and processed lawfully, fairly, and transparently.

---

Giới hạn mục đích

Purpose Limitation

Chỉ thu thập và sử dụng dữ liệu cho các mục đích kinh doanh hợp pháp đã được xác định.

Data shall only be collected and processed for specified and legitimate business purposes.

---

Tối thiểu hóa dữ liệu

Data Minimization

Chỉ thu thập những dữ liệu thực sự cần thiết.

Only data that is necessary for the intended purpose shall be collected.

---

Chính xác

Accuracy

Dữ liệu phải được duy trì đầy đủ, chính xác và được cập nhật khi cần thiết.

Data shall be maintained accurately and updated where necessary.

---

Giới hạn lưu giữ

Storage Limitation

Dữ liệu chỉ được lưu giữ trong khoảng thời gian cần thiết hoặc theo quy định pháp luật.

Personal data shall be retained only for as long as necessary or legally required.

---

Bảo mật và toàn vẹn

Integrity and Confidentiality

Dữ liệu phải được bảo vệ chống truy cập trái phép, mất mát, tiết lộ hoặc thay đổi ngoài ý muốn.

Personal data shall be protected against unauthorized access, disclosure, alteration, loss, or destruction.

---

6. Phân loại dữ liệu | Data Classification

Mức độ	Tiếng Việt	English
Public	Công khai	Public
Internal	Nội bộ	Internal
Confidential	Mật	Confidential
Restricted	Tối mật/Dữ liệu nhạy cảm	Restricted/Sensitive

Dữ liệu cá nhân và dữ liệu nhạy cảm tối thiểu phải được phân loại ở mức Confidential hoặc Restricted.

Personal and sensitive data shall be classified at least as Confidential or Restricted.

---

7. Thu thập và xử lý dữ liệu | Data Collection and Processing

Tiếng Việt

Việc thu thập và xử lý dữ liệu phải:

• Có mục đích rõ ràng;
• Có cơ sở pháp lý hoặc sự đồng ý của chủ thể dữ liệu khi pháp luật yêu cầu;
• Chỉ sử dụng trong phạm vi được cho phép;
• Có khả năng truy vết và ghi nhận.

English

Personal data processing shall:

• Have a clearly defined purpose;
• Be supported by legal grounds or consent where required;
• Be limited to authorized purposes;
• Be traceable and properly recorded.

---

8. Kiểm soát truy cập | Access Control

Dữ liệu cá nhân và dữ liệu nhạy cảm phải được:

• Phân quyền theo vai trò (RBAC);
• Áp dụng nguyên tắc quyền tối thiểu (Least Privilege);
• Bảo vệ bằng xác thực đa yếu tố (MFA) đối với hệ thống quan trọng;
• Ghi nhật ký truy cập và theo dõi hoạt động.

Personal and sensitive data shall be protected through:

• Role-Based Access Control (RBAC);
• Least Privilege Principle;
• Multi-Factor Authentication (MFA) for critical systems;
• Access logging and monitoring.

---

9. Bảo vệ dữ liệu | Data Protection Measures

Vina Aspire áp dụng các biện pháp:

• Mã hóa dữ liệu khi lưu trữ và truyền tải;
• Mã hóa bản sao lưu chứa dữ liệu nhạy cảm;
• Phân vùng hệ thống và giới hạn quyền truy cập;
• Phòng chống mất dữ liệu (Data Loss Prevention);
• Sao lưu và phục hồi theo Chính sách Sao lưu và Phục hồi Dữ liệu;
• Đánh giá rủi ro định kỳ.

Vina Aspire implements:

• Encryption for data at rest and in transit;
• Encryption of backups containing sensitive data;
• System segmentation and restricted access;
• Data Loss Prevention (DLP);
• Backup and recovery controls;
• Periodic risk assessments.

---

10. Chia sẻ và chuyển giao dữ liệu | Data Sharing and Transfer

Dữ liệu cá nhân và dữ liệu nhạy cảm chỉ được chia sẻ hoặc chuyển giao khi:

• Có cơ sở pháp lý hoặc được phép theo hợp đồng;
• Đáp ứng yêu cầu bảo mật của Công ty;
• Được phê duyệt bởi cấp có thẩm quyền;
• Có biện pháp bảo vệ thích hợp.

Personal and sensitive data shall only be shared or transferred when:

• Supported by legal or contractual grounds;
• Meeting Company security requirements;
• Approved by authorized personnel;
• Appropriate safeguards are implemented.

---

11. Vi phạm dữ liệu cá nhân | Personal Data Breach

Mọi sự cố liên quan đến mất mát, tiết lộ hoặc truy cập trái phép dữ liệu cá nhân phải được:

• Báo cáo ngay cho Bộ phận CNTT hoặc An toàn thông tin;
• Đánh giá mức độ ảnh hưởng;
• Thực hiện biện pháp khắc phục và giảm thiểu;
• Lưu hồ sơ và báo cáo theo quy định.

Any incident involving personal data loss, disclosure, or unauthorized access shall be:

• Immediately reported to IT or Information Security;
• Assessed for impact;
• Subject to remediation and mitigation;
• Documented and reported as required.

---

12. Vai trò và trách nhiệm | Roles and Responsibilities

Ban Lãnh đạo | Management

Phê duyệt chính sách và bảo đảm nguồn lực cần thiết.

Approve this Policy and ensure adequate resources.

Bộ phận CNTT và An toàn thông tin | IT and Information Security

Triển khai, giám sát và xử lý các vấn đề liên quan đến bảo vệ dữ liệu.

Implement, monitor, and manage data protection activities.

Chủ sở hữu dữ liệu | Data Owners

Xác định mức độ nhạy cảm và yêu cầu bảo vệ dữ liệu.

Determine data sensitivity and protection requirements.

Người sử dụng | Users

Tuân thủ quy định, bảo mật thông tin và báo cáo sự cố.

Comply with this Policy, safeguard information, and report incidents.

---

13. Xử lý vi phạm | Violations and Enforcement

Mọi hành vi:

• Thu thập hoặc sử dụng dữ liệu trái phép;
• Tiết lộ dữ liệu không được phép;
• Chia sẻ thông tin đăng nhập;
• Truy cập vượt quá thẩm quyền;
• Cố ý làm mất hoặc thay đổi dữ liệu;

đều có thể bị xử lý kỷ luật, bồi thường thiệt hại hoặc xử lý theo quy định của pháp luật.

Unauthorized collection, use, disclosure, excessive access, or intentional destruction of data may result in disciplinary action, compensation for damages, and/or legal action.

---

14. Hiệu lực thi hành | Effective Date

Quy định này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.

This Policy becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) of Vina Aspire Company Limited.

Vina Aspire