QUY TRÌNH XỬ LÝ YÊU CẦU CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

DATA SUBJECT REQUEST (DSR) HANDLING PROCEDURE

Mã tài liệu (Document No.): VA-PIMS-PR-010
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt

Quy trình này quy định việc tiếp nhận, xác minh, xử lý, phản hồi và lưu hồ sơ đối với các yêu cầu của Chủ thể dữ liệu cá nhân nhằm bảo đảm quyền của chủ thể dữ liệu được thực hiện đầy đủ, minh bạch và phù hợp với quy định của pháp luật Việt Nam.

English

This Procedure establishes the process for receiving, verifying, processing, responding to, and recording Data Subject Requests (DSRs) to ensure that data subjects’ rights are respected in a transparent and lawful manner.

---

2. Phạm vi áp dụng | Scope

Quy trình này áp dụng đối với:

• Dữ liệu cá nhân do Công ty TNHH Vina Aspire thu thập, lưu trữ hoặc xử lý;
• Nhân viên, khách hàng, đối tác và các cá nhân có dữ liệu cá nhân được Công ty xử lý;
• Toàn bộ nhân viên, đơn vị nghiệp vụ, đối tác và bên thứ ba tham gia xử lý dữ liệu cá nhân.

This Procedure applies to all personal data collected, stored, or processed by Vina Aspire and to all personnel and third parties involved in personal data processing.

---

3. Căn cứ pháp lý | References

• Luật An ninh mạng năm 2018;
• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân;
• ISO/IEC 27001:2022;
• ISO/IEC 27701:2019;
• Chính sách Bảo vệ Dữ liệu Cá nhân của Công ty.

---

4. Quyền của Chủ thể dữ liệu cá nhân

Rights of Data Subjects

Chủ thể dữ liệu có quyền:

• Được biết về hoạt động xử lý dữ liệu cá nhân;
• Đồng ý hoặc rút lại sự đồng ý;
• Truy cập, xem, chỉnh sửa hoặc cập nhật dữ liệu;
• Yêu cầu xóa dữ liệu;
• Yêu cầu hạn chế hoặc phản đối việc xử lý;
• Yêu cầu cung cấp dữ liệu cá nhân;
• Khiếu nại, tố cáo hoặc yêu cầu bồi thường theo quy định pháp luật.

Data Subjects have the right to:

• Be informed about personal data processing activities;
• Give or withdraw consent;
• Access, review, correct, and update personal data;
• Request deletion of personal data;
• Restrict or object to processing;
• Request provision of personal data;
• Lodge complaints or seek compensation in accordance with applicable laws.

---

5. Nguyên tắc xử lý yêu cầu

Principles for Handling Requests

Vina Aspire cam kết:

• Xử lý minh bạch, khách quan và đúng pháp luật;
• Chỉ xử lý yêu cầu của đúng chủ thể dữ liệu hoặc người đại diện hợp pháp;
• Bảo vệ tính bảo mật và toàn vẹn của dữ liệu;
• Không phân biệt đối xử với chủ thể dữ liệu khi thực hiện quyền của mình;
• Lưu giữ đầy đủ hồ sơ xử lý.

Vina Aspire shall process requests transparently, objectively, lawfully, and securely while maintaining complete records.

---

6. Kênh tiếp nhận yêu cầu

Request Submission Channels

Chủ thể dữ liệu có thể gửi yêu cầu thông qua:

• Email chính thức của Công ty;
• Website hoặc cổng thông tin điện tử của Công ty;
• Văn bản trực tiếp;
• Các kênh hỗ trợ khách hàng được Công ty công bố.

Data Subjects may submit requests via:

• Official email;
• Company website or portal;
• Written request;
• Official customer support channels.

---

7. Quy trình xử lý yêu cầu

Data Subject Request Handling Process

Bước 1. Tiếp nhận yêu cầu

Step 1. Request Receipt

Bộ phận phụ trách tiếp nhận:

• Ghi nhận thời gian tiếp nhận;
• Cấp mã số yêu cầu (Request ID);
• Xác định loại yêu cầu.

Record receipt time, assign a Request ID, and identify the request type.

---

Bước 2. Xác minh danh tính

Step 2. Identity Verification

Công ty thực hiện xác minh:

• Họ tên;
• Số điện thoại hoặc email đăng ký;
• Giấy tờ tùy thân hoặc thông tin xác thực khác;
• Giấy ủy quyền hợp pháp (nếu có).

The Company shall verify:

• Name;
• Registered email or phone number;
• Identification documents;
• Legal authorization where applicable.

Nếu không thể xác minh danh tính, Công ty có quyền từ chối xử lý yêu cầu.

If identity cannot be verified, the request may be rejected.

---

Bước 3. Đánh giá yêu cầu

Step 3. Request Assessment

Đánh giá:

• Phạm vi dữ liệu liên quan;
• Cơ sở pháp lý;
• Nghĩa vụ hợp đồng;
• Khả năng ảnh hưởng đến quyền và lợi ích của bên khác;
• Các nghĩa vụ lưu giữ dữ liệu theo pháp luật.

Assess:

• Scope of relevant data;
• Legal basis;
• Contractual obligations;
• Impact on third-party rights;
• Statutory retention requirements.

---

Bước 4. Thực hiện yêu cầu

Step 4. Fulfilment of Request

Tùy từng loại yêu cầu, Công ty có thể:

• Cung cấp thông tin về hoạt động xử lý dữ liệu;
• Cho phép truy cập hoặc cung cấp bản sao dữ liệu;
• Chỉnh sửa hoặc cập nhật dữ liệu;
• Hạn chế xử lý dữ liệu;
• Xóa hoặc hủy dữ liệu;
• Ghi nhận việc phản đối hoặc rút lại sự đồng ý.

Depending on the request type, the Company may:

• Provide information on processing activities;
• Grant access to or provide copies of personal data;
• Correct or update data;
• Restrict processing;
• Delete or destroy data;
• Record objections or withdrawal of consent.

---

Bước 5. Phản hồi kết quả

Step 5. Response to Data Subject

Kết quả xử lý phải được thông báo cho chủ thể dữ liệu bằng văn bản hoặc phương thức điện tử phù hợp.

The outcome shall be communicated to the Data Subject in writing or through appropriate electronic means.

Trong trường hợp từ chối, Công ty phải nêu rõ lý do theo quy định của pháp luật.

If a request is denied, the Company shall provide reasons in accordance with applicable laws.

---

Bước 6. Lưu hồ sơ

Step 6. Record Retention

Phải lưu giữ:

• Yêu cầu của chủ thể dữ liệu;
• Kết quả xác minh danh tính;
• Hồ sơ xử lý;
• Phản hồi gửi chủ thể dữ liệu;
• Tài liệu liên quan.

The following records shall be retained:

• Request details;
• Identity verification records;
• Processing records;
• Responses provided;
• Supporting documents.

---

8. Các trường hợp từ chối hoặc hạn chế xử lý yêu cầu

Refusal or Limitation of Requests

Công ty có thể từ chối hoặc hạn chế xử lý khi:

• Không xác minh được danh tính;
• Yêu cầu ảnh hưởng đến quyền, lợi ích hợp pháp của bên thứ ba;
• Dữ liệu đang được lưu giữ theo yêu cầu pháp luật;
• Yêu cầu gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội theo quy định pháp luật;
• Yêu cầu có tính chất lặp lại, không hợp lý hoặc mang tính lạm dụng.

The Company may refuse or limit requests if:

• Identity cannot be verified;
• The request adversely affects third-party rights;
• Data must be retained by law;
• Disclosure may affect national security or public order;
• Requests are repetitive, unreasonable, or abusive.

---

9. Thời hạn xử lý

Response Time

Công ty phải xử lý yêu cầu trong thời gian hợp lý và theo quy định của pháp luật hiện hành.

The Company shall process requests within a reasonable timeframe and in accordance with applicable legal requirements.

Đối với các yêu cầu phức tạp, thời hạn xử lý có thể được gia hạn nhưng phải thông báo cho chủ thể dữ liệu.

For complex requests, processing may be extended, provided that the Data Subject is informed accordingly.

---

10. Vai trò và trách nhiệm

Roles and Responsibilities

Ban Lãnh đạo | Management

Phê duyệt chính sách và bảo đảm nguồn lực thực hiện.

Approve the policy and provide adequate resources.

---

Bộ phận CNTT và An toàn thông tin

IT and Information Security

• Điều phối xử lý yêu cầu;
• Xác minh dữ liệu;
• Thực hiện các biện pháp kỹ thuật;
• Lưu hồ sơ và giám sát việc tuân thủ.

Coordinate request handling, verify data, implement technical measures, maintain records, and monitor compliance.

---

Chủ sở hữu dữ liệu

Data Owners

Phối hợp xác định dữ liệu, đánh giá yêu cầu và phê duyệt các hành động cần thiết.

Assist in identifying data, assessing requests, and approving required actions.

---

Người sử dụng

Users

Phối hợp cung cấp thông tin khi được yêu cầu.

Cooperate in providing information when requested.

---

11. Nhật ký và lưu hồ sơ

Logging and Record Retention

Toàn bộ hồ sơ xử lý yêu cầu phải được lưu giữ tối thiểu ba (03) năm hoặc theo quy định của pháp luật và yêu cầu hợp đồng.

All request handling records shall be retained for a minimum of three (03) years or as required by law and contractual obligations.

---

12. Tuân thủ

Compliance

Quy trình này phù hợp với:

• Luật An ninh mạng năm 2018;
• Nghị định số 13/2023/NĐ-CP;
• ISO/IEC 27001:2022;
• ISO/IEC 27701:2019;
• Các quy định pháp luật và cam kết với khách hàng.

This Procedure is aligned with the Cybersecurity Law, Decree No. 13/2023/ND-CP, ISO/IEC 27001:2022, ISO/IEC 27701:2019, and applicable contractual obligations.

---

13. Hiệu lực thi hành

Effective Date

Quy trình này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) và Hệ thống Quản lý Quyền riêng tư (PIMS) của Công ty TNHH Vina Aspire.

This Procedure becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) and Privacy Information Management System (PIMS) of Vina Aspire Company Limited.

Vina Aspire