Chính sách bảo mật

Chương 4: Chính sách Bảo mật Dữ liệu Cá nhân (Privacy Policy) - Tuân thủ Nghị định 13/2023/NĐ-CP

Đây là nội dung cần được xây dựng chi tiết nhất để đảm bảo tuân thủ Nghị định 13/2023/NĐ-CP, tránh các mức phạt vi phạm hành chính rất cao (lên tới 5% tổng doanh thu) đối với vi phạm về dữ liệu.

4.1. Định nghĩa và Vai trò

• Bên Kiểm soát Dữ liệu (Data Controller): Công ty Cổ phần (MST: ¹⁴).
• Chủ thể Dữ liệu: Người dùng (cá nhân) truy cập và sử dụng Divaland.vn.
• Dữ liệu Cá nhân: Bao gồm dữ liệu cơ bản (Họ tên, SĐT, Email, địa chỉ IP) và dữ liệu nhạy cảm (thông tin thanh toán, vị trí địa lý thời gian thực nếu có).

4.2. Mục đích và Phạm vi Thu thập Dữ liệu

Divaland.vn chỉ thu thập dữ liệu cần thiết cho các mục đích hợp pháp sau ⁵:

1. Cung cấp dịch vụ: Xác thực tài khoản, đăng tin, hiển thị thông tin liên hệ cho người mua tiềm năng.
2. Cải thiện trải nghiệm: Phân tích hành vi (thông qua Cookie) để gợi ý bất động sản phù hợp.
3. Tiếp thị (Marketing): Gửi thông báo về dự án mới, khuyến mãi (chỉ khi có sự đồng ý - Opt-in).
4. Tuân thủ pháp luật: Lưu trữ logs giao dịch theo Luật An ninh mạng và cung cấp cho cơ quan điều tra khi có yêu cầu.

4.3. Quyền của Chủ thể Dữ liệu (The 11 Rights)

Tuân thủ Điều 9 Nghị định 13, Divaland.vn cam kết đảm bảo các quyền sau cho người dùng và cung cấp công cụ kỹ thuật để thực thi:

4.4. Chia sẻ Dữ liệu cho Bên Thứ Ba

Divaland.vn cam kết không bán dữ liệu người dùng. Việc chia sẻ dữ liệu chỉ diễn ra trong các trường hợp:

• Đối tác cung cấp dịch vụ: Máy chủ lưu trữ (Cloud Server), cổng thanh toán (Payment Gateway), đơn vị vận chuyển (nếu có). Các bên này chỉ đóng vai trò "Bên Xử lý Dữ liệu" và bị ràng buộc bởi hợp đồng bảo mật.
• Yêu cầu pháp lý: Cung cấp cho cơ quan công an, tòa án khi có văn bản hợp lệ.

4.5. Bảo mật và Lưu trữ

• Tiêu chuẩn: Áp dụng các biện pháp kỹ thuật như mã hóa SSL/TLS cho dữ liệu truyền tải, mã hóa cơ sở dữ liệu nhạy cảm (Hashing mật khẩu).
• Thời gian lưu trữ:

• Dữ liệu tài khoản: Lưu trữ cho đến khi người dùng yêu cầu xóa.
• Dữ liệu giao dịch tài chính: Lưu trữ tối thiểu 10 năm theo Luật Kế toán.
• Dữ liệu logs hệ thống: Lưu trữ tối thiểu 12 tháng theo Luật An ninh mạng.