Phụ lục xử lý dữ liệu (Data Processing Addendum – DPA)

 

Cập nhật lần cuối: [08/11/205]

Phụ lục này là một phần của Điều khoản sử dụng Leadly.cloud, nhằm làm rõ cách Leadly.cloud (“Bên Xử lý Dữ liệu”) thu thập, lưu trữ, xử lý và bảo vệ dữ liệu cá nhân thay mặt cho khách hàng (“Bên Kiểm soát Dữ liệu”) khi sử dụng nền tảng quản trị leads đa kênh của chúng tôi.

1. Mục đích và phạm vi áp dụng

Phụ lục này quy định:

  • Cách Leadly.cloud xử lý dữ liệu cá nhân mà khách hàng cung cấp hoặc đồng bộ thông qua nền tảng (ví dụ: thông tin từ Facebook, TikTok, Google, Landing Page, Webhook hoặc Zapier).

  • Nghĩa vụ và quyền của hai bên trong việc bảo mật, lưu trữ, và sử dụng dữ liệu cá nhân theo quy định pháp luật hiện hành (bao gồm Nghị định 13/2023/NĐ-CP của Việt Nam và các chuẩn mực bảo vệ dữ liệu quốc tế tương tự như GDPR).

2. Định nghĩa

Trong văn bản này:

  • “Bên Kiểm soát Dữ liệu” (Data Controller): là khách hàng hoặc tổ chức sử dụng dịch vụ Leadly.cloud để thu thập và quản lý thông tin của khách hàng cuối (leads).

  • “Bên Xử lý Dữ liệu” (Data Processor): là Leadly.cloud, đơn vị cung cấp nền tảng SaaS và hạ tầng kỹ thuật để lưu trữ và xử lý dữ liệu đó theo chỉ dẫn của Bên Kiểm soát.

  • “Dữ liệu cá nhân”: bao gồm mọi thông tin định danh hoặc có thể định danh một cá nhân (họ tên, email, số điện thoại, hành vi tương tác, nguồn chiến dịch, v.v.).

3. Trách nhiệm của Bên Kiểm soát Dữ liệu

Bên Kiểm soát có trách nhiệm:

  • Đảm bảo việc thu thập dữ liệu từ người dùng cuối có sự đồng ý hợp pháp và rõ ràng.

  • Cung cấp chỉ dẫn hợp lý cho Bên Xử lý về phạm vi và mục đích xử lý dữ liệu.

  • Không yêu cầu Leadly.cloud xử lý dữ liệu trái pháp luật hoặc vượt quá chức năng của hệ thống.

  • Đảm bảo bảo mật tài khoản và phân quyền nội bộ phù hợp (Admin, Sale, Staff).

4. Trách nhiệm của Leadly.cloud (Bên Xử lý Dữ liệu)

Leadly.cloud cam kết:

  • Chỉ xử lý dữ liệu theo chỉ dẫn hợp pháp của Bên Kiểm soát.

  • Không bán, chia sẻ, hoặc sử dụng dữ liệu của khách hàng cho mục đích khác ngoài phạm vi dịch vụ.

  • Lưu trữ dữ liệu trên hạ tầng an toàn, có tường lửa, mã hóa và phân quyền truy cập rõ ràng.

  • Ghi nhận nhật ký hoạt động (audit log) cho các thao tác quan trọng như import/export, API call, hoặc xóa dữ liệu.

  • Hạn chế quyền truy cập nội bộ chỉ cho nhân sự được ủy quyền phục vụ mục đích hỗ trợ kỹ thuật.

  • Hỗ trợ Bên Kiểm soát khi có yêu cầu xuất, chỉnh sửa, hoặc xóa dữ liệu người dùng cuối.

5. Vị trí lưu trữ và chuyển giao dữ liệu

  • Dữ liệu được lưu trữ tại trung tâm dữ liệu có tiêu chuẩn bảo mật quốc tế (ví dụ: ISO 27001, GDPR-ready).

  • Nếu có yêu cầu chuyển giao dữ liệu ra ngoài lãnh thổ, Leadly.cloud sẽ thông báo và chỉ thực hiện sau khi được sự đồng ý bằng văn bản của Bên Kiểm soát.

6. Thời gian lưu giữ dữ liệu

  • Leadly.cloud chỉ lưu giữ dữ liệu trong suốt thời gian khách hàng còn sử dụng dịch vụ.

  • Khi tài khoản bị xóa hoặc hủy bỏ, dữ liệu sẽ được xóa vĩnh viễn trong vòng 30 ngày trừ khi có yêu cầu pháp lý khác.

  • Các bản sao lưu (backup) được lưu giữ trong thời gian tối đa 90 ngày cho mục đích khôi phục hệ thống và tuân thủ bảo mật.

7. Biện pháp bảo mật kỹ thuật

Leadly.cloud áp dụng các biện pháp bảo mật sau:

  • Mã hóa dữ liệu khi truyền tải và lưu trữ (TLS, AES-256).

  • Cơ chế xác thực và phân quyền chặt chẽ theo vai trò người dùng.

  • Kiểm soát truy cập nội bộ, giám sát hoạt động hệ thống 24/7.

  • Sao lưu định kỳ và phục hồi dữ liệu tự động khi có sự cố.

  • Đánh giá bảo mật định kỳ nhằm phát hiện và khắc phục rủi ro.

8. Thông báo vi phạm dữ liệu

Trong trường hợp xảy ra sự cố bảo mật hoặc rò rỉ dữ liệu:

  • Leadly.cloud sẽ thông báo cho Bên Kiểm soát trong vòng 72 giờ kể từ khi phát hiện.

  • Cung cấp thông tin chi tiết về phạm vi ảnh hưởng, nguyên nhân, và biện pháp khắc phục.

  • Phối hợp cùng Bên Kiểm soát để giảm thiểu thiệt hại và thông báo cho người bị ảnh hưởng (nếu cần).

9. Quyền của chủ thể dữ liệu

Leadly.cloud hỗ trợ Bên Kiểm soát thực hiện các yêu cầu từ chủ thể dữ liệu, bao gồm:

  • Quyền truy cập, chỉnh sửa, hoặc xóa dữ liệu cá nhân.

  • Quyền phản đối xử lý hoặc yêu cầu giới hạn xử lý dữ liệu.

  • Quyền được di chuyển dữ liệu sang hệ thống khác (data portability).

Các yêu cầu này được xử lý thông qua tài khoản quản trị hoặc qua email hỗ trợ chính thức.

10. Kiểm toán và tuân thủ

  • Leadly.cloud sẵn sàng cung cấp tài liệu hoặc chứng từ chứng minh việc tuân thủ các biện pháp bảo mật khi có yêu cầu hợp lý.

  • Việc kiểm toán (nếu có) phải được thông báo trước bằng văn bản và không làm gián đoạn hoạt động dịch vụ.

11. Chấm dứt và xóa dữ liệu

Khi chấm dứt hợp đồng dịch vụ:

  • Leadly.cloud sẽ xóa toàn bộ dữ liệu của Bên Kiểm soát sau 30 ngày kể từ ngày hủy tài khoản.

  • Bên Kiểm soát có thể yêu cầu xuất dữ liệu trước thời điểm xóa.

  • Sau khi xóa, dữ liệu sẽ không thể khôi phục dưới bất kỳ hình thức nào.

12. Hiệu lực và điều chỉnh

Phụ lục này có hiệu lực cùng thời điểm với Điều khoản sử dụng Leadly.cloud.
Leadly.cloud có thể sửa đổi nội dung DPA để phù hợp với thay đổi về luật pháp hoặc hạ tầng kỹ thuật, và sẽ thông báo trước qua email hoặc trên website chính thức:
👉 https://leadly.cloud/phu-luc-xu-ly-du-lieu-dpa/

13. Liên hệ về bảo mật dữ liệu

Mọi thắc mắc liên quan đến việc xử lý dữ liệu cá nhân, vui lòng liên hệ:
📩 Email: privacy@leadly.cloud
🌐 Website: https://leadly.cloud