CHÍNH SÁCH LƯU GIỮ VÀ TIÊU HỦY DỮ LIỆU

DATA RETENTION AND DISPOSAL POLICY

Mã tài liệu (Document No.): VA-ISMS-POL-009
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt

Chính sách này được ban hành nhằm thiết lập các nguyên tắc, trách nhiệm và biện pháp quản lý việc lưu giữ, lưu trữ và tiêu hủy dữ liệu của Công ty TNHH Vina Aspire, bảo đảm dữ liệu được lưu giữ đúng thời hạn, đúng mục đích và được tiêu hủy an toàn khi hết thời hạn lưu giữ hoặc không còn nhu cầu sử dụng.

English

This Policy establishes principles, responsibilities, and requirements for retaining, storing, and securely disposing of data within Vina Aspire, ensuring that information is retained only as long as necessary and securely disposed of when retention requirements expire.

---

2. Phạm vi áp dụng | Scope

Chính sách này áp dụng đối với:

• Tất cả dữ liệu, tài liệu, hồ sơ và thông tin được tạo ra, thu thập, lưu trữ hoặc xử lý bởi Công ty;
• Dữ liệu điện tử, dữ liệu giấy, dữ liệu sao lưu và dữ liệu trên môi trường Cloud;
• Dữ liệu của Công ty, khách hàng, nhân viên, đối tác và bên thứ ba.

This Policy applies to:

• All data, records, documents, and information created, collected, stored, or processed by the Company;
• Electronic data, paper records, backup data, and cloud-based data;
• Data relating to the Company, customers, employees, partners, and third parties.

---

3. Căn cứ áp dụng | References

Chính sách này được xây dựng trên cơ sở:

• ISO/IEC 27001:2022 – Information Security Management Systems;
• ISO/IEC 27002:2022 – Information Security Controls;
• ISO/IEC 27701:2019 – Privacy Information Management Systems;
• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân;
• Luật Kế toán, Luật Giao dịch điện tử và các quy định pháp luật có liên quan;
• Yêu cầu hợp đồng và cam kết với khách hàng.

This Policy is based on applicable laws, ISO standards, and contractual obligations.

---

4. Nguyên tắc lưu giữ dữ liệu | Data Retention Principles

Vina Aspire áp dụng các nguyên tắc sau:

Giới hạn lưu giữ

Storage Limitation

Dữ liệu chỉ được lưu giữ trong khoảng thời gian cần thiết để phục vụ mục đích kinh doanh, nghĩa vụ pháp lý, yêu cầu của khách hàng hoặc nghĩa vụ hợp đồng.

Data shall be retained only for as long as necessary to fulfill business, legal, regulatory, or contractual requirements.

---

Tối thiểu hóa dữ liệu

Data Minimization

Chỉ lưu giữ các dữ liệu cần thiết, phù hợp và có mục đích rõ ràng.

Only necessary and relevant information shall be retained.

---

Bảo mật và toàn vẹn

Integrity and Confidentiality

Dữ liệu trong thời gian lưu giữ phải được bảo vệ khỏi truy cập, sửa đổi, mất mát hoặc tiết lộ trái phép.

Data shall be protected against unauthorized access, modification, loss, or disclosure during the retention period.

---

Tiêu hủy an toàn

Secure Disposal

Dữ liệu phải được tiêu hủy an toàn, không thể khôi phục hoặc tái tạo trái phép sau khi hết thời hạn lưu giữ.

Data shall be securely disposed of and rendered unrecoverable when retention requirements expire.

---

5. Phân loại dữ liệu và thời hạn lưu giữ

Data Classification and Retention Periods

Loại dữ liệu	Ví dụ	Thời hạn lưu giữ tối thiểu
Hồ sơ pháp lý, hợp đồng	Hợp đồng, phụ lục, NDA	Theo quy định pháp luật hoặc tối thiểu 10 năm
Hồ sơ tài chính, kế toán	Hóa đơn, chứng từ, sổ sách	Theo quy định pháp luật hiện hành
Hồ sơ nhân sự	Hồ sơ nhân viên, hợp đồng lao động	Tối thiểu 05 năm sau khi chấm dứt quan hệ lao động hoặc theo quy định pháp luật
Dữ liệu khách hàng	Hợp đồng, hồ sơ dự án, thông tin hỗ trợ	Trong thời gian hợp đồng và tối thiểu 03 năm sau khi kết thúc hợp đồng, trừ khi có thỏa thuận khác
Nhật ký hệ thống	Audit Logs, Security Logs	Tối thiểu 01 năm
Dữ liệu sao lưu	Backup Files	Theo Chính sách Sao lưu và Phục hồi Dữ liệu
Dữ liệu cá nhân	Personal Data	Theo mục đích xử lý, quy định pháp luật hoặc yêu cầu của chủ thể dữ liệu

Data Type	Examples	Minimum Retention Period
Legal and contractual records	Contracts, NDAs	As required by law or minimum 10 years
Financial records	Accounting documents	As required by applicable laws
Employee records	HR files	Minimum 5 years after employment termination or as required by law
Customer data	Contracts and project files	During contract period and minimum 3 years thereafter unless otherwise agreed
System logs	Audit and security logs	Minimum 1 year
Backup data	Backup files	According to Backup and Recovery Policy
Personal data	Personal Data	Based on processing purpose and legal requirements

---

6. Rà soát thời hạn lưu giữ

Retention Review

Bộ phận CNTT và Chủ sở hữu dữ liệu phải:

• Rà soát định kỳ tối thiểu mỗi năm một (01) lần;
• Xác định dữ liệu hết thời hạn lưu giữ;
• Đánh giá các nghĩa vụ pháp lý hoặc hợp đồng còn hiệu lực;
• Lập danh mục dữ liệu cần tiêu hủy hoặc lưu giữ tiếp.

IT and Data Owners shall conduct annual reviews to identify data that has reached the end of its retention period.

---

7. Tiêu hủy dữ liệu

Data Disposal

Nguyên tắc tiêu hủy

Disposal Principles

Dữ liệu chỉ được tiêu hủy khi:

• Đã hết thời hạn lưu giữ;
• Không còn mục đích sử dụng hợp pháp;
• Không còn nghĩa vụ pháp lý hoặc hợp đồng yêu cầu tiếp tục lưu giữ;
• Được phê duyệt bởi Chủ sở hữu dữ liệu hoặc cấp có thẩm quyền.

Data may only be disposed of when retention requirements have expired and appropriate approval has been obtained.

---

Phương pháp tiêu hủy dữ liệu điện tử

Electronic Data Disposal Methods

• Xóa an toàn (Secure Deletion);
• Ghi đè dữ liệu (Data Overwriting);
• Mã hóa và hủy khóa mã hóa (Cryptographic Erasure);
• Xóa dữ liệu trên môi trường Cloud theo quy trình của nhà cung cấp;
• Hủy vật lý thiết bị lưu trữ khi cần thiết.

Secure deletion methods include overwriting, cryptographic erasure, secure cloud deletion, and physical destruction where necessary.

---

Phương pháp tiêu hủy tài liệu giấy

Paper Records Disposal Methods

• Cắt hủy bằng máy hủy tài liệu;
• Nghiền hoặc tiêu hủy bởi đơn vị được ủy quyền;
• Lập biên bản đối với tài liệu mật hoặc dữ liệu nhạy cảm.

Paper records shall be shredded, pulped, or securely destroyed.

---

8. Dữ liệu cá nhân và dữ liệu nhạy cảm

Personal and Sensitive Data

Dữ liệu cá nhân và dữ liệu nhạy cảm:

• Không được lưu giữ lâu hơn mục đích xử lý ban đầu;
• Phải được xóa, hủy hoặc ẩn danh khi hết thời hạn lưu giữ;
• Việc tiêu hủy phải bảo đảm không thể khôi phục hoặc nhận diện lại chủ thể dữ liệu.

Personal and sensitive data shall not be retained longer than necessary and shall be securely deleted or anonymized when no longer required.

---

9. Vai trò và trách nhiệm

Roles and Responsibilities

Ban Lãnh đạo | Management

• Phê duyệt chính sách;
• Bảo đảm nguồn lực thực hiện.

Approve this Policy and provide resources.

---

Bộ phận CNTT và An toàn thông tin

IT and Information Security

• Quản lý lưu giữ dữ liệu điện tử;
• Hỗ trợ tiêu hủy dữ liệu;
• Giám sát việc tuân thủ;
• Lưu giữ hồ sơ tiêu hủy.

Manage retention, support disposal activities, monitor compliance, and maintain disposal records.

---

Chủ sở hữu dữ liệu

Data Owners

• Xác định thời hạn lưu giữ;
• Phê duyệt việc tiêu hủy;
• Bảo đảm dữ liệu được xử lý đúng quy định.

Determine retention requirements and approve data disposal activities.

---

Người sử dụng | Users

• Tuân thủ chính sách;
• Không tự ý tiêu hủy dữ liệu của Công ty.

Comply with this Policy and shall not destroy Company data without authorization.

---

10. Nhật ký và hồ sơ tiêu hủy

Disposal Records

Việc tiêu hủy dữ liệu phải được ghi nhận tối thiểu các thông tin sau:

• Loại dữ liệu;
• Chủ sở hữu dữ liệu;
• Phương pháp tiêu hủy;
• Thời điểm tiêu hủy;
• Người thực hiện;
• Người phê duyệt.

The following information shall be recorded:

• Data type;
• Data owner;
• Disposal method;
• Disposal date;
• Executor;
• Approver.

---

11. Tuân thủ

Compliance

Chính sách này phù hợp với:

• ISO/IEC 27001:2022;
• ISO/IEC 27002:2022;
• ISO/IEC 27701:2019;
• Nghị định số 13/2023/NĐ-CP;
• Các quy định pháp luật hiện hành và cam kết với khách hàng.

This Policy is aligned with ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27701:2019, applicable Vietnamese laws, and contractual obligations.

---

12. Hiệu lực thi hành

Effective Date

Chính sách này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) và Hệ thống Quản lý Quyền riêng tư (PIMS) của Công ty TNHH Vina Aspire.

This Policy becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) and Privacy Information Management System (PIMS) of Vina Aspire Company Limited.

Vina Aspire