CHÍNH SÁCH XỬ LÝ VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA CÔNG TY TNHH BTM GLOBAL CONSULTING VIỆT NAM

CHÍNH SÁCH XỬ LÝ VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN

CỦA CÔNG TY TNHH BTM GLOBAL CONSULTING VIỆT NAM

PERSONAL DATA PROCESSING AND PROTECTION POLICY OF BTM GLOBAL CONSULTING VIETNAM CO., LTD

Chính sách xử lý, bảo vệ dữ liệu cá nhân này mô tả cách thức Công ty TNHH BTM Consulting Việt Nam (sau đây gọi là “Công Ty”) thu thập, lưu trữ, sử dụng, tiết lộ và xử lý dữ liệu cá nhân của Người lao động, Ứng viên tuyển dụng, Khách hàng, Đối tác, Người đại diện khách hàng và bất kỳ Cá nhân nào mà Công ty có thể thu thập dữ liệu cá nhân trong quá trình cung cấp sản phẩm/dịch vụ hoặc thực hiện nghĩa vụ pháp lý.

This personal data processing and protection policy describes how BTM Consulting Vietnam Co., Ltd (hereinafter referred to as the “Company”) collects, stores, uses, discloses, and processes personal data of Employees, Job Applicants, Customers, Partners, Customer Representatives, and any individuals whose personal data may be collected by the Company during the provision of products/services or the performance of legal obligations.

1. QUY ĐỊNH CHUNG

GENERAL PROVISIONS

1.1  Dữ Liệu Cá Nhân: là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với con người cụ thể hoặc giúp xác định con người cụ thể. Dữ Liệu Cá Nhân bao gồm Dữ Liệu Cá Nhân cơ bản và Dữ Liệu Cá Nhân nhạy cảm.

Personal Data: refers to information in the form of symbols, letters, numbers, images, sounds, or similar formats in an electronic environment associated with or identifying a specific individual. Personal Data includes Basic Personal Data and Sensitive Personal Data.

1.2 Chủ Thể Dữ Liệu Cá Nhân: là cá nhân được Dữ Liệu Cá Nhân phản ánh, bao gồm nhưng không giới hạn:

• Người lao động
• Ứng viên tuyển dụng
• Người thân hợp pháp của Người lao động
• Khách hàng, Đối tác, Người đại diện khách hàng
• Bất kỳ cá nhân nào có phát sinh quan hệ pháp lý hoặc dữ liệu được Công ty thu thập trong quá trình cung cấp sản phẩm, dịch vụ hoặc thực hiện nghĩa vụ pháp lý theo quy định pháp luật

Data Subject: refers to the individual to whom the Personal Data pertains, including but not limited to:

• Employee
• Job applicant
• Legal relatives of the Employee
• Customer, Partner, Customer representative
• Any individual who has a legal relationship or whose data is collected by the Company during the provision of products, services, or the performance of legal obligations under the law

1.3 Xử lý Dữ liệu Cá Nhân: là một hoặc nhiều hoạt động tác động tới Dữ Liệu Cá Nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ Liệu Cá Nhân hoặc các hành động khác có liên quan.

Personal Data Processing: refers to one or more activities affecting Personal Data, such as: collection, recording, analysis, verification, storage, modification, disclosure, combination, access, retrieval, revocation, encryption, decryption, copying, sharing, transmission, provision, transfer, deletion, destruction, or other related actions.

1.4 Khi Dữ Liệu Cá Nhân của người liên quan đến Chủ Thể Dữ Liệu Cá Nhân (ví dụ: người phụ thuộc, vợ/chồng, con, cha mẹ, bên thụ hưởng, người được ủy quyền, người tham khảo, người liên hệ khẩn cấp, v.v.) được cung cấp cho Công ty:

When Personal Data of individuals related to the Data Subject (e.g., dependents, spouse, children, parents, beneficiaries, authorized persons, references, emergency contacts, etc.) is provided to the Company:

Chủ Thể Dữ Liệu Cá Nhân và/hoặc người liên quan cam kết:

The Data Subject and/or related individuals commit to:

(i) Đã được người liên quan chấp thuận hợp pháp cho việc cung cấp và xử lý thông tin;

    Having obtained lawful consent from the related individual for the provision and processing of information;

(ii) Thông tin được cung cấp là đầy đủ, chính xác, và phù hợp với quy định tại Chính sách này.

    The information provided is complete, accurate, and compliant with the provisions of this Policy.

Chủ Thể Dữ Liệu Cá Nhân và/hoặc người liên quan chịu trách nhiệm:

The Data Subject and/or related individuals shall be responsible for:

(i) Lưu trữ bằng chứng về sự đồng ý/chấp thuận hợp pháp;

    Retaining evidence of lawful consent/approval;

(ii) Bồi thường thiệt hại, chi phí phát sinh nếu Công ty bị ảnh hưởng do thông tin cung cấp không đúng hoặc thiếu sự đồng thuận hợp pháp.

    Compensating for damages and incurred costs if the Company is affected due to inaccurate information or lack of lawful consent.

Công ty:

The Company:

(i) Không có trách nhiệm thẩm định tính hợp pháp của việc đồng ý/chấp thuận;

    Shall not be responsible for verifying the legality of the consent/approval;

(ii) Được miễn trừ trách nhiệm nếu xảy ra vi phạm từ phía Chủ Thể Dữ Liệu Cá Nhân hoặc người liên quan.

    Shall be exempt from liability in case of violations by the Data Subject or related individuals.

1.5 Bằng việc giao kết hợp đồng và/hoặc cho phép Công Ty xử lý Dữ Liệu Cá Nhân, Chủ Thể Dữ Liệu Cá Nhân chấp nhận toàn bộ và không kèm theo bất kỳ điều kiện nào đối với các chính sách được đề cập tại đây và các thay đổi (nếu có) trong từng thời kỳ.

By entering into a contract and/or permitting the Company to process Personal Data, the Data Subject fully accepts, without any conditions, the policies mentioned herein and any amendments (if any) from time to time.

1.6 Chính sách này có thể được Công Ty cập nhật, sửa đổi, bổ sung hoặc thay thế trong từng thời kỳ và được Công Ty đăng tải trên trang thông tin điện tử chính thức của Công Ty https://btmglobal.com.vn/chinh-sach-bao-ve-dlcn/. Chủ Thể Dữ Liệu cá Nhân nên truy cập và kiểm tra trang web của Công ty thường xuyên để cập nhật những thay đổi gần nhất.

This Policy may be updated, amended, supplemented, or replaced from time to time and will be published on the Company’s official website. Data Subjects should regularly visit and check the Company’s website for the latest updates.

1.7 Công Ty cam kết tuân thủ các nguyên tắc sau khi xử lý Dữ Liệu Cá Nhân:

The Company commits to complying with the following principles when processing Personal Data:

(i) Công Ty xử lý và bảo vệ Dữ Liệu Cá Nhân phù hợp với quy định của pháp luật Việt Nam; tuân thủ đầy đủ theo các hợp đồng, thỏa thuận, văn kiện khác xác lập với Chủ Thể Dữ Liệu Cá Nhân;

    The Company processes and protects Personal Data in accordance with Vietnamese law; fully complies with contracts, agreements, and other documents established with the Data Subject;

(ii) Công Ty thu thập Dữ Liệu Cá Nhân với mục đích cụ thể, rõ ràng, hợp pháp, trong phạm vi các mục đích nêu tại Mục 3 của Chính sách này và phù hợp với quy định của pháp luật Việt Nam;

    The Company collects Personal Data for specific, clear, and lawful purposes, within the scope stated in Section 3 of this Policy and in accordance with Vietnamese law;

(iii) Công Ty luôn áp dụng và cập nhật các biện pháp kỹ thuật phù hợp với quy định của pháp luật Việt Nam nhằm đảm bảo tính an toàn của Dữ Liệu Cá Nhân, bao gồm cả các biện pháp bảo vệ khỏi sự truy cập trái phép và/hoặc sự phá hủy, mất, thiệt hại cho Dữ Liệu Cá Nhân;

    The Company always applies and updates technical measures in accordance with Vietnamese law to ensure the safety of Personal Data, including protection against unauthorized access and/or destruction, loss, or damage to Personal Data;

(iv) Công Ty lưu trữ Dữ Liệu Cá Nhân một cách thích hợp và trong phạm vi cần thiết nhằm xử lý phù hợp với quy định của pháp luật Việt Nam;

    The Company stores Personal Data appropriately and within the necessary scope for processing in accordance with Vietnamese law;

(v) Công Ty cam kết tuân thủ các quy định liên quan đến bảo vệ dữ liệu của trẻ

    The Company is committed to complying with regulations related to the protection of children’s data.

2. DỮ LIỆU CÁ NHÂN ĐƯỢC XỬ LÝ

PERSONAL DATA TO BE PROCESSED

Để Công Ty có thể xử lý Dữ Liệu Cá Nhân cho các mục đích nêu tại Mục 3 của Chính sách này, Công Ty có thể xử lý loại Dữ Liệu Cá Nhân sau:
To enable the Company to process Personal Data for the purposes specified in Section 3 of this Policy, the Company may process the following types of Personal Data:

2.1 Dữ Liệu Cá Nhân cơ bản bao gồm:

(i) Họ, chữ đệm và tên khai sinh;

(ii) Ngày, tháng, năm sinh;

(iii) Giới tính;

(iv) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

(v) Quốc tịch;

(vi) Hình ảnh của cá nhân; thông tin có được từ các hệ thống an ninh, kể cả bản ghi lại hình ảnh của Chủ Thể Dữ Liệu Cá Nhân trên hệ thống máy quay, camera giám sát tại các địa điểm làm việc, giao dịch của Công Ty;

(vii) Địa chỉ thư điện tử;

(viii) Số điện thoại, số chứng minh nhân dân, số căn cước công dân, số định danh cá nhân, số hộ chiếu, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

(ix) Nghề nghiệp, nơi làm việc;

(x) Tình trạng hôn nhân;

(xi) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

(xii) Thông tin về bằng cấp, trình độ học vấn của cá nhân

(xiii) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc phạm vi Dữ Liệu Cá Nhân nhạy cảm theo quy định tại Mục 2 dưới đây.

Basic Personal Data includes:

(i) Surname, middle name, and given name;

(ii) Date of birth;

(iii) Gender;

(iv) Place of birth, place of birth registration, permanent residence, temporary residence, current address, hometown, contact address;

(v) Nationality;

(vi) Personal image; information obtained from security systems, including recorded images of the Data Subject on surveillance cameras at the Company’s workplaces and transaction locations;

(vii) Email address;

(viii) Phone number, ID card number, citizen identification number, personal identification number, passport number, vehicle license plate number, personal tax code, social insurance number, health insurance card number;

(ix) Occupation, workplace;

(x) Marital status;

(xi) Information about family relationships (parents, children);

(xii) Information about the individual’s qualifications and educational background;

(xiii) Other information associated with or identifying a specific individual that does not fall under the scope of Sensitive Personal Data as defined in Section 2.2 below.

2.2 Dữ Liệu Cá Nhân nhạy cảm bao gồm các dữ liệu chính sau:

Sensitive Personal Data includes the following key data:

(i) Thông tin về tình trạng sức khỏe, bệnh lý;

    Information regarding health status and medical conditions;

(ii) Thông tin sinh trắc học và đặc điểm nhận diện cá nhân như: dấu vân tay, khuôn mặt;

    Biometric data and personal identifiers such as fingerprints and facial features;

(iii) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

    Criminal data and records of offenses collected and stored by law enforcement agencies;

(iv) Thông tin về tài khoản ngân hàng của Chủ thể Dữ liệu Cá Nhân;

    Information regarding the Data Subject’s bank account;

(v) Dữ Liệu Cá Nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

    Other Personal Data as prescribed by law to be specific and requiring necessary security measures.

3. MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

PURPOSES OF PERSONAL DATA PROCESSING

Dữ Liệu Cá Nhân có thể được xử lý cho một hoặc nhiều mục đích như sau:

Personal Data may be processed for one or more of the following purposes:

3.1 Tuyển dụng, thiết lập, duy trì và chấm dứt quan hệ lao động, quan hệ hợp tác

    Recruitment, establishment, maintenance, and termination of labor relations and cooperation relationships

3.2 Quản lý nhân sự, phát triển nguồn nhân lực, vận hành nội bộ và thực hiện nghĩa vụ về tài chính, lao động, bảo hiểm, phúc lợi

    Human resource management, workforce development, internal operations, and fulfillment of financial, labor, insurance, and welfare obligations

3.3 Quản lý và phát triển quan hệ khách hàng, đối tác; cung cấp, vận hành và cải tiến sản phẩm/dịch vụ; thực hiện nghĩa vụ phát sinh từ hợp đồng và giao dịch

    Management and development of customer and partner relationships; provision, operation, and improvement of products/services; performance of obligations arising from contracts and transactions

3.4 Bảo vệ quyền, lợi ích hợp pháp của Công Ty và các bên liên quan; thực hiện các yêu cầu từ cơ quan nhà nước có thẩm quyền và tuân thủ quy định pháp luật

    Protection of the legitimate rights and interests of the Company and related parties; compliance with requests from competent state authorities and adherence to legal regulations

3.5 Các mục đích khác được sự đồng ý riêng biệt của Chủ Thể Dữ Liệu Cá Nhân.

    Other purposes subject to separate consent from the Data Subject.

4. CÁCH THỨC XỬ LÝ DỮ LIỆU CÁ NHÂN

METHODS OF PERSONAL DATA PROCESSING

4.1 Cách thức thu thập

Methods of Collection

(i) Do chính Chủ Thể Dữ Liệu Cá Nhân cung cấp trực tiếp, bằng văn bản, email, điện tử hoặc các hình thức tương tác khác trong quá trình liên hệ, hợp tác, làm việc với Công Ty;

    Directly provided by the Data Subject in writing, via email, electronically, or through other forms of interaction during the process of contacting, cooperating, or working with the Company;

(ii) Thông qua các nền tảng, công cụ, biểu mẫu mà Công Ty triển khai để tiếp nhận thông tin, bao gồm nhưng không giới hạn ở: hệ thống tuyển dụng, trang thông tin điện tử, nền tảng CRM, các phần mềm nội bộ hoặc các nền tảng do bên thứ ba cung cấp;

    Through platforms, tools, and forms deployed by the Company to receive information, including but not limited to: recruitment systems, websites, CRM platforms, internal software, or third-party platforms;

(iii) Từ các hoạt động tiếp thị, quảng bá, hội thảo, sự kiện (online hoặc offline) do Công Ty tổ chức, tham gia hoặc đồng tổ chức với bên thứ ba;

    From marketing, promotional activities, seminars, and events (online or offline) organized, co-organized, or participated in by the Company;

(iv) Thông qua tương tác với nhân viên Công Ty: bao gồm các tình huống chủ động liên hệ hợp tác, kết nối làm việc, trao đổi danh thiếp, gửi thông tin liên hệ qua điện thoại, tin nhắn, email, nền tảng mạng xã hội hoặc ứng dụng nhắn tin;

    Through interactions with Company employees, including situations such as initiating cooperation, exchanging business cards, sharing contact information via phone, messaging, email, social media platforms, or messaging applications;

(v) Từ các nguồn nội bộ hợp pháp hoặc đối tác liên quan: Dữ liệu có thể được chia sẻ giữa các phòng ban, đơn vị thành viên, công ty mẹ, công ty liên kết hoặc bên cung cấp dịch vụ hỗ trợ cho các mục đích hợp pháp và phù hợp với Chính sách này;

    From legitimate internal sources or related partners: data may be shared among departments, subsidiaries, parent companies, affiliated entities, or service providers for lawful purposes and in accordance with this Policy;

(vi) Từ các thiết bị, hệ thống công nghệ: như hệ thống camera an ninh, thiết bị chấm công, hệ thống truy cập, ứng dụng theo dõi hoạt động nghiệp vụ được Công Ty sử dụng hợp pháp.

    From devices and technology systems: such as security camera systems, timekeeping devices, access control systems, and business activity tracking applications lawfully used by the Company.

4.2 Cách thức lưu trữ

Methods of Storage

Dữ Liệu Cá Nhân được Công Ty lưu trữ bằng các phương thức phù hợp, đảm bảo tính bảo mật và tuân thủ quy định pháp luật, cụ thể như sau:

Personal Data is stored by the Company using appropriate methods that ensure confidentiality and comply with legal regulations, specifically:

(i) Dữ liệu cá nhân của người lao động, ứng viên và người thân hợp pháp của người lao động được lưu trữ trên hệ thống lưu trữ nội bộ của Công Ty, bao gồm các thư mục điện tử (folder) và tệp dữ liệu trên nền tảng SharePoint với cơ chế phân quyền truy cập theo vai trò, chức năng công việc;

    Personal data of employees, candidates, and lawful relatives of employees is stored on the Company’s internal storage systems, including electronic folders and files on the SharePoint platform, with access rights assigned based on roles and job functions;

(ii) Dữ liệu cá nhân của khách hàng, đối tác, người đại diện khách hàng hoặc các cá nhân có liên hệ trong hoạt động kinh doanh, tiếp thị và cung cấp dịch vụ được lưu trữ trên hệ thống Quản lý quan hệ khách hàng (CRM) của Công Ty hoặc các nền tảng công nghệ khác được Công Ty lựa chọn sử dụng, có áp dụng các biện pháp bảo mật và kiểm soát truy cập phù hợp;

    Personal data of customers, partners, customer representatives, or individuals involved in business, marketing, and service activities is stored on the Company’s Customer Relationship Management (CRM) system or other technology platforms selected by the Company, with appropriate security and access control measures applied;

(iii) Công Ty sử dụng các hệ thống lưu trữ đám mây (cloud-based) với tiêu chuẩn bảo mật phù hợp để lưu trữ dữ liệu cá nhân. Tất cả dữ liệu được lưu trữ theo chính sách phân quyền truy cập, có kiểm soát, giới hạn và giám sát định kỳ;

    The Company uses cloud-based storage systems with appropriate security standards to store personal data. All data is stored under access control policies, with restrictions and periodic monitoring;

(iv) Đối với các tài liệu, hồ sơ chứa Dữ Liệu Cá Nhân ở dạng bản cứng (vật lý), Công Ty lưu trữ trong tủ hồ sơ đặt tại khu vực được kiểm soát, có khóa và chỉ cho phép những cá nhân có trách nhiệm và thẩm quyền tiếp cận để phục vụ mục đích công việc;

    For documents and records containing Personal Data in physical (hard copy) format, the Company stores them in locked filing cabinets located in controlled areas, accessible only to authorized and responsible personnel for work-related purposes;

(v) Công Ty chỉ cho phép những nhân sự có thẩm quyền, được phân công theo chức năng nhiệm vụ truy cập dữ liệu cá nhân, và yêu cầu các cá nhân này tuân thủ nghiêm túc các quy định về bảo mật dữ liệu trong quá trình truy cập và xử lý thông tin;

    The Company only allows authorized personnel, assigned according to their roles and responsibilities, to access personal data and requires strict compliance with data protection regulations during access and processing;

(vi) Thời gian lưu trữ Dữ Liệu Cá Nhân được xác định theo từng mục đích xử lý cụ thể và quy định pháp luật hiện hành, hoặc theo thời hạn cần thiết để thực hiện hợp đồng, giải quyết khiếu nại, bảo vệ quyền lợi hợp pháp của Công Ty và các bên liên quan.

    The retention period of Personal Data is determined based on the specific processing purpose and applicable legal regulations, or the necessary duration to perform contracts, resolve complaints, and protect the legitimate rights and interests of the Company and related parties.

Công Ty sẽ định kỳ rà soát dữ liệu cá nhân và tiến hành xóa hoặc ẩn danh hóa dữ liệu khi không còn mục đích xử lý hoặc lưu trữ hợp pháp. Dưới đây là danh mục dữ liệu và thời hạn rà soát tương ứng:

    The Company will periodically review Personal Data and proceed to delete or anonymize it when there is no longer any lawful purpose for processing or retention. Below is the list of data categories and corresponding review periods:

4.3 Cách thức chuyển giao, chia sẻ dữ liệu

Methods of Transfer and Sharing

Công Ty không bán Dữ Liệu Cá Nhân cho bất kỳ bên thứ ba nào. Việc chia sẻ hoặc chuyển giao Dữ Liệu Cá Nhân chỉ được thực hiện trên cơ sở tuân thủ các nguyên tắc bảo mật và giới hạn trong các mục đích công việc hợp pháp, cụ thể như sau:

The Company does not sell Personal Data to any third party. Sharing or transferring Personal Data is only conducted in compliance with confidentiality principles and limited to lawful business purposes, specifically:

(i) Dữ Liệu Cá Nhân của người lao động, ứng viên và người thân hợp pháp của người lao động có thể được chia sẻ với Công ty mẹ tại Hoa Kỳ và/hoặc các nhà cung cấp dịch vụ phần mềm bên thứ ba (ví dụ: Microsoft, Kantata…) nhằm phục vụ các mục đích quản trị nội bộ, tạo tài khoản làm việc, tuân thủ quy định dự án quốc tế hoặc yêu cầu xác minh nhân sự;

    Personal Data of employees, candidates, and lawful relatives of employees may be shared with the parent company in the United States and/or third-party software service providers (e.g., Microsoft, Kantata…) for internal management, account creation, compliance with international project requirements, or personnel verification;

(ii) Dữ Liệu Cá Nhân của khách hàng, đối tác, người đại diện khách hàng hoặc các cá nhân có liên hệ trong hoạt động kinh doanh, tiếp thị và cung cấp dịch vụ có thể được chia sẻ với Công ty mẹ tại Hoa Kỳ và/hoặc các nhà cung cấp dịch vụ phần mềm bên thứ ba (ví dụ: NetSuite…) nhằm phục vụ hoạt động quản lý quan hệ khách hàng, vận hành dịch vụ, chăm sóc khách hàng và thực hiện hợp đồng, nghĩa vụ liên quan;

    Personal Data of customers, partners, customer representatives, or individuals involved in business, marketing, and service activities may be shared with the parent company in the United States and/or third-party software service providers (e.g., NetSuite…) for customer relationship management, service operations, customer care, and contract performance;

(iii) Cung cấp cho cơ quan nhà nước có thẩm quyền trong các trường hợp được yêu cầu theo quy định pháp luật Việt Nam.

    Provided to competent state authorities upon request in accordance with Vietnamese law.

Do có hoạt động chuyển Dữ Liệu Cá Nhân ra ngoài lãnh thổ Việt Nam, Công Ty đảm bảo thực hiện đầy đủ các biện pháp an toàn và bảo mật thông tin, theo nguyên tắc:

As Personal Data may be transferred outside the territory of Vietnam, the Company ensures the implementation of adequate safety and security measures, including:

• Chỉ chuyển giao cho bên tiếp nhận có chính sách bảo mật rõ ràng và cam kết tuân thủ tiêu chuẩn bảo vệ dữ liệu cá nhân;

         Transfer only to recipients with clear data protection policies and commitments to comply with personal data protection standards;

• Giới hạn phạm vi sử dụng dữ liệu theo đúng mục đích công việc đã được xác định;

         Limiting the scope of data usage strictly to the identified business purposes;

• Áp dụng biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo an toàn dữ liệu.

         Applying appropriate technical and organizational measures to ensure data security;

• Thực hiện đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và lưu hồ sơ đánh giá theo quy định tại Nghị định 13/2023/NĐ-CP.

         Conducting impact assessments for cross-border data transfers and maintaining assessment records in accordance with Decree No. 13/2023/NĐ-CP.

4.4 Cách thức phân tích

Methods of Analysis

Dữ Liệu Cá Nhân có thể được Công Ty phân tích nhằm phục vụ các mục đích hợp pháp như: quản lý nhân sự, quản trị nội bộ, đánh giá hiệu quả công việc, nâng cao trải nghiệm khách hàng, tối ưu hóa quy trình kinh doanh và phát triển dịch vụ. Việc phân tích này tuân thủ nguyên tắc bảo mật và chỉ giới hạn trong phạm vi sử dụng hợp pháp, phù hợp với mục đích đã thông báo cho Chủ Thể Dữ Liệu Cá Nhân.

Personal Data may be analyzed by the Company for lawful purposes such as human resource management, internal administration, performance evaluation, customer experience enhancement, business process optimization, and service development. Such analysis is conducted in compliance with confidentiality principles and strictly within the scope of lawful use as notified to the Data Subject.

4.5 Cách thức mã hóa

Methods of Encryption

Khi cần thiết, Dữ Liệu Cá Nhân được Công Ty áp dụng các biện pháp bảo vệ kỹ thuật như mã hóa, đặt mật khẩu, phân quyền truy cập nhằm đảm bảo an toàn trong quá trình lưu trữ, truyền tải và xử lý dữ liệu. Việc bảo vệ Dữ Liệu Cá Nhân, đặc biệt là Dữ Liệu Cá Nhân nhạy cảm, được thực hiện phù hợp với mức độ rủi ro và yêu cầu pháp luật hiện hành.

Where necessary, the Company applies technical protection measures such as encryption, password protection, and access control to ensure data safety during storage, transmission, and processing. The protection of Personal Data, especially Sensitive Personal Data, is carried out in accordance with the level of risk and applicable legal requirements.

5. XỬ LÝ DỮ LIỆU CÁ NHÂN CỦA TRẺ EM

PROCESSING OF CHILDREN’S PERSONAL DATA

5.1 Công Ty xử lý Dữ Liệu Cá Nhân của trẻ em trên cơ sở bảo vệ quyền và lợi ích hợp pháp của trẻ em, phù hợp với các mục đích chính đáng và tuân thủ quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân và quyền trẻ em.

The Company processes children’s Personal Data based on the protection of their lawful rights and interests, in accordance with legitimate purposes and in compliance with Vietnamese laws on personal data protection and children’s rights.

5.2 Công Ty chỉ thu thập và xử lý Dữ Liệu Cá Nhân của trẻ em trong phạm vi cần thiết, liên quan đến con của người lao động, phục vụ cho một số hoạt động nội bộ, bao gồm nhưng không giới hạn:

The Company only collects and processes children’s Personal Data within the necessary scope, related to employees’ children, for certain internal activities, including but not limited to:

(i) Thực hiện thủ tục hưởng chế độ bảo hiểm xã hội khi người lao động có con ốm đau;

    Carrying out procedures for social insurance benefits when employees have sick children;

(ii) Tham gia chương trình phúc lợi hoặc hoạt động nội bộ có liên quan đến trẻ em, ví dụ như sự kiện nhân ngày Quốc tế Thiếu nhi (01/06);

    Participating in welfare programs or internal activities related to children, such as events on International Children’s Day (June 1);

(iii) Đăng ký chương trình bảo hiểm chăm sóc sức khỏe cho con của người lao động (nếu có).

    Registering for health care insurance programs for employees’ children (if applicable).

5.3 Việc xử lý Dữ Liệu Cá Nhân của trẻ em được thực hiện dựa trên thông tin do cha, mẹ hoặc người giám hộ hợp pháp là người lao động tại Công Ty cung cấp và với sự đồng ý của họ theo quy định pháp luật.

The processing of children’s Personal Data is based on information provided by the parent or legal guardian who is an employee of the Company, and with their consent in accordance with the law.

5.4 Công Ty áp dụng các biện pháp phù hợp để đảm bảo an toàn và bảo mật Dữ Liệu Cá Nhân của trẻ em, giới hạn quyền truy cập và chỉ sử dụng dữ liệu đúng mục đích, đúng phạm vi được cho phép.

The Company applies appropriate measures to ensure the safety and confidentiality of children’s Personal Data, limits access rights, and uses the data only for the intended and permitted purposes.

6. HẬU QUẢ, THIỆT HẠI KHÔNG MONG MUỐN CÓ KHẢ NĂNG XẢY RA

POTENTIAL UNINTENDED CONSEQUENCES AND DAMAGES

6.1 Công Ty áp dụng nhiều biện pháp kỹ thuật và tổ chức để bảo vệ Dữ Liệu Cá Nhân khỏi các hành vi truy cập, sử dụng hoặc chia sẻ trái phép, bao gồm tường lửa, kiểm soát truy cập, mã hóa và các giải pháp bảo mật khác phù hợp với từng hệ thống và mức độ rủi ro. Tuy nhiên, Công Ty không thể đảm bảo tuyệt đối an toàn cho Dữ Liệu Cá Nhân trong một số tình huống ngoài khả năng kiểm soát, ví dụ như:

The Company implements various technical and organizational measures to protect Personal Data from unauthorized access, use, or sharing, including firewalls, access controls, encryption, and other security solutions appropriate to each system and risk level. However, the Company cannot guarantee absolute safety of Personal Data in certain situations beyond its control, such as:

(i) Sự cố kỹ thuật trong quá trình xử lý dẫn đến mất mát dữ liệu;

    Technical incidents during processing resulting in data loss;

(ii) Lỗ hổng bảo mật chưa được phát hiện kịp thời;

    Security vulnerabilities not detected in time;

(iii) Hệ thống bị tấn công mạng, mã độc, hacker xâm nhập gây lộ, lọt dữ liệu;

    System attacks, malware, or hacker intrusions causing data breaches;

(iv) Sự cố từ nhà cung cấp dịch vụ bên thứ ba.

    Incidents from third-party service providers.

6.2 Công Ty khuyến cáo Chủ Thể Dữ Liệu Cá Nhân chủ động bảo vệ thông tin xác thực truy cập như tài khoản, mật khẩu, mã OTP, đặc biệt khi sử dụng các dịch vụ có liên kết với hệ thống của Công Ty. Không chia sẻ thông tin này với bên thứ ba không có thẩm quyền.

The Company advises Data Subjects to proactively protect authentication information such as accounts, passwords, OTP codes, especially when using services linked to the Company’s systems. Do not share this information with unauthorized third parties.

6.3 Chủ Thể Dữ Liệu Cá Nhân cần nhận thức rằng khi tự tiết lộ Dữ Liệu Cá Nhân của mình trên các nền tảng mạng xã hội, không gian mạng hoặc cho các bên không liên quan đến Công Ty, việc đó có thể dẫn đến việc dữ liệu bị thu thập, sử dụng ngoài phạm vi kiểm soát của Công Ty và bản thân Chủ Thể.

Data Subjects should be aware that self-disclosure of their Personal Data on social media platforms, cyberspace, or to parties unrelated to the Company may result in data being collected and used beyond the control of both the Company and the Data Subject.

6.4 Công Ty khuyến nghị Chủ Thể Dữ Liệu Cá Nhân bảo vệ thiết bị cá nhân (như điện thoại, máy tính bảng, máy tính xách tay) khi truy cập vào các hệ thống liên quan đến Công Ty. Cần đăng xuất khỏi tài khoản khi không sử dụng và tránh sử dụng thiết bị công cộng nếu không có biện pháp bảo vệ phù hợp.

The Company recommends that Data Subjects protect their personal devices (such as phones, tablets, laptops) when accessing systems related to the Company. Log out of accounts when not in use and avoid using public devices without appropriate protection measures.

6.5 Trong trường hợp phát sinh sự cố mất, lộ, lọt Dữ Liệu Cá Nhân từ hệ thống máy chủ hoặc phần mềm do Công Ty hoặc bên thứ ba triển khai, Công Ty sẽ thực hiện thông báo cho cơ quan chức năng có thẩm quyền và cho các Chủ Thể Dữ Liệu Cá Nhân liên quan theo đúng quy định của pháp luật Việt Nam.

In the event of a Personal Data loss or breach from server systems or software deployed by the Company or third parties, the Company will notify the competent authorities and affected Data Subjects in accordance with Vietnamese law.

6.6 Không gian mạng tiềm ẩn nhiều rủi ro và không thể đảm bảo an toàn tuyệt đối cho việc truyền tải Dữ Liệu Cá Nhân. Chủ Thể Dữ Liệu Cá Nhân được khuyến nghị chỉ truy cập các hệ thống, nền tảng, thiết bị được xác định là an toàn và do Công Ty chỉ định hoặc công bố chính thức. Đồng thời, có trách nhiệm duy trì việc bảo mật thông tin truy cập của riêng mình.

Cyberspace poses many risks and cannot guarantee absolute safety for the transmission of Personal Data. Data Subjects are advised to access only systems, platforms, and devices identified as safe and officially designated or announced by the Company. They are also responsible for maintaining the confidentiality of their access information.

7. THỜI GIAN BẮT ĐẦU, THỜI GIAN KẾT THÚC XỬ LÝ DỮ LIỆU CÁ NHÂN

COMMENCEMENT AND TERMINATION OF PERSONAL DATA PROCESSING

7.1 Dữ Liệu Cá Nhân được Công Ty xử lý kể từ thời điểm Công Ty tiếp nhận dữ liệu một cách hợp pháp, trên cơ sở pháp lý phù hợp hoặc sự đồng ý hợp lệ của Chủ Thể Dữ Liệu Cá Nhân, theo quy định pháp luật hiện hành.

Personal Data shall be processed by the Company from the moment it lawfully receives such data, based on a valid legal ground or the legitimate consent of the Data Subject, in accordance with applicable laws and regulations.

7.2 Việc xử lý Dữ Liệu Cá Nhân sẽ tiếp tục cho đến khi hoàn thành các mục đích đã thông báo hoặc thỏa thuận với Chủ Thể Dữ Liệu Cá Nhân, hoặc cho đến khi không còn mục đích xử lý hợp pháp nào khác theo quy định pháp luật.

The processing of Personal Data shall continue until the purposes notified or agreed upon with the Data Subject have been fulfilled, or until there are no other lawful grounds for processing as prescribed by law.

7.3 Sau khi kết thúc mối quan hệ cụ thể với Chủ Thể Dữ Liệu Cá Nhân, Dữ Liệu Cá Nhân vẫn có thể tiếp tục được xử lý để phục vụ các mục đích quản lý, phát triển hoạt động của Công Ty và tuân thủ pháp luật, bao gồm nhưng không giới hạn ở: chăm sóc khách hàng, đề xuất dịch vụ hoặc hợp tác trong tương lai, phòng ngừa tranh chấp, hỗ trợ xác minh thông tin, tuyển dụng trong tương lai, hoặc đáp ứng yêu cầu từ cơ quan nhà nước có thẩm quyền.

Upon the termination of a specific relationship with the Data Subject, Personal Data may continue to be processed for the purposes of management, business development, and legal compliance by the Company, including but not limited to: customer care, service or future cooperation proposals, dispute prevention, information verification support, future recruitment, or compliance with requests from competent state authorities.

7.4 Khi không còn mục đích xử lý hợp pháp, Công Ty sẽ thực hiện các biện pháp phù hợp để xóa, hủy hoặc ẩn danh Dữ Liệu Cá Nhân nhằm đảm bảo không còn khả năng nhận diện Chủ Thể Dữ Liệu Cá Nhân, trừ trường hợp pháp luật có quy định khác.

When there are no longer any lawful purposes for processing, the Company shall implement appropriate measures to delete, destroy, or anonymize the Personal Data to ensure that the Data Subject can no longer be identified, unless otherwise provided by law.

8. TỔ CHỨC, CÁ NHÂN THAM GIA QUÁ TRÌNH XỬ LÝ DỮ LIỆU CÁ NHÂN

ORGANIZATIONS AND INDIVIDUALS INVOLVED IN PERSONAL DATA PROCESSING

8.1 Tùy theo từng trường hợp cụ thể, Công Ty có thể đóng vai trò là bên kiểm soát dữ liệu cá nhân, hoặc đồng thời là bên kiểm soát và xử lý dữ liệu cá nhân, theo quy định pháp luật hiện hành.

Depending on the specific case, the Company may act as the personal data controller, or both the controller and processor, in accordance with applicable laws.

8.2 Trong phạm vi pháp luật cho phép, Chủ Thể Dữ Liệu Cá Nhân hiểu và đồng ý rằng Công Ty có thể chia sẻ hoặc cho phép truy cập Dữ Liệu Cá Nhân cho các tổ chức, cá nhân sau đây nhằm phục vụ các mục đích xử lý được quy định tại Chính sách này:

Within the scope permitted by law, the Data Subject understands and agrees that the Company may share or allow access to Personal Data with the following organizations and individuals for the purposes of processing as set forth in this Policy:

(i) Công ty mẹ, công ty con, công ty liên kết, hoặc các đơn vị thành viên thuộc cùng hệ thống với Công Ty;

    Parent company, subsidiaries, affiliates, or member units within the same system as the Company;

(ii) Nhà cung cấp dịch vụ công nghệ thông tin, phần mềm, nền tảng ứng dụng (bao gồm nhưng không giới hạn: Microsoft, NetSuite, Kantata…), dịch vụ vận hành, lưu trữ đám mây (cloud), bảo trì, xử lý sự cố kỹ thuật, phát triển hệ thống hoặc cung cấp giải pháp quản trị nội bộ;

    Providers of IT services, software, application platforms (including but not limited to: Microsoft, NetSuite, Kantata…), cloud storage, maintenance, technical support, system development, or internal management solutions;

(iii) Đối tác hợp tác kinh doanh, cung cấp dịch vụ hoặc sản phẩm có liên quan trong quá trình thực hiện hợp đồng, chăm sóc khách hàng, hoạt động tiếp thị hoặc dịch vụ hỗ trợ khách hàng;

    Business partners, service or product providers involved in contract execution, customer care, marketing, or customer support services;

(iv) Tổ chức, cá nhân được Chủ Thể Dữ Liệu Cá Nhân ủy quyền hợp pháp hoặc là người đại diện theo quy định của pháp luật;

    Organizations or individuals legally authorized or designated as representatives by the Data Subject;

(v) Các đơn vị tư vấn, kiểm toán, luật sư hoặc bên thứ ba hỗ trợ Công Ty thực hiện quyền và nghĩa vụ pháp lý hoặc giải quyết tranh chấp (nếu có).

    Consulting firms, auditors, lawyers, or third parties assisting the Company in fulfilling legal obligations or resolving disputes (if any).

Việc chia sẻ dữ liệu sẽ được thực hiện theo đúng trình tự, cách thức và quy định pháp luật hiện hành. Các bên tiếp nhận có nghĩa vụ bảo mật và chỉ sử dụng Dữ Liệu Cá Nhân theo đúng mục đích được chia sẻ, đồng thời tuân thủ các yêu cầu bảo vệ dữ liệu theo quy định của Công Ty và pháp luật hiện hành.

Data sharing shall be conducted in accordance with applicable legal procedures and regulations. Recipients are obligated to maintain confidentiality and use Personal Data solely for the shared purposes, while complying with the Company’s and legal data protection requirements.

8.3 Công Ty có thể chia sẻ Dữ Liệu Cá Nhân với cơ quan nhà nước có thẩm quyền trong trường hợp được yêu cầu theo quy định của pháp luật Việt Nam.

The Company may share Personal Data with competent state authorities upon request in accordance with Vietnamese law.

9. QUYỀN CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

RIGHTS OF THE PERSONAL DATA SUBJECT

9.1 Chủ Thể Dữ Liệu Cá Nhân có các quyền theo quy định pháp luật hiện hành, bao gồm nhưng không giới hạn:

The Data Subject has rights under applicable laws, including but not limited to:

(i) Quyền được biết, được truy cập, sao chép, yêu cầu chỉnh sửa, cập nhật hoặc xóa Dữ Liệu Cá Nhân của mình;

    The right to know, access, copy, request correction, update, or deletion of their Personal Data;

(ii) Quyền đồng ý, rút lại sự đồng ý, hạn chế hoặc phản đối việc xử lý dữ liệu theo quy định pháp luật;

    The right to consent, withdraw consent, restrict or object to data processing as prescribed by law;

(iii) Quyền yêu cầu cung cấp thông tin, khiếu nại, tố cáo, khởi kiện hoặc yêu cầu bồi thường thiệt hại khi quyền lợi bị xâm phạm;

    The right to request information, file complaints, denunciations, lawsuits, or claim compensation for infringed rights;

(iv) Quyền được bảo vệ dữ liệu và không bị phân biệt đối xử khi thực hiện các quyền hợp pháp nêu trên.

    The right to data protection and non-discrimination when exercising the above lawful rights.

9.2 Việc thực hiện các quyền nêu trên được tiến hành thông qua yêu cầu gửi đến Công Ty. Yêu cầu phải có thông tin xác minh danh tính và mô tả rõ nội dung đề nghị. Trường hợp có chi phí phát sinh (ví dụ in ấn, chuyển phát…), người yêu cầu sẽ chịu trách nhiệm thanh toán theo hướng dẫn của Công Ty.

The exercise of the above rights shall be carried out by submitting a request to the Company. The request must include identity verification and a clear description of the request. Any incurred costs (e.g., printing, delivery) shall be borne by the requester as guided by the Company.

9.3 Công Ty sẽ xử lý yêu cầu của Chủ Thể Dữ Liệu Cá Nhân phù hợp với quy định pháp luật, trên cơ sở bảo mật và trong phạm vi hợp lý. Tuy nhiên, việc rút lại sự đồng ý, yêu cầu xóa dữ liệu hoặc phản đối xử lý có thể ảnh hưởng đến khả năng duy trì quan hệ lao động, hợp đồng hoặc các quan hệ hợp tác khác giữa hai bên. Trong những trường hợp đó, Công Ty có quyền:

The Company shall process the Data Subject’s request in accordance with the law, based on confidentiality and within reasonable scope. However, withdrawal of consent, data deletion, or objection to processing may affect the ability to maintain employment, contractual, or other cooperative relationships. In such cases, the Company reserves the right to:

(i) Chấm dứt hoặc điều chỉnh mối quan hệ tương ứng với Chủ Thể Dữ Liệu Cá Nhân;

    Terminate or adjust the corresponding relationship with the Data Subject;

(ii) Bảo lưu quyền và biện pháp xử lý hợp pháp nếu hành vi của Chủ Thể Dữ Liệu Cá Nhân dẫn đến vi phạm nghĩa vụ hợp đồng.

    Retain legal rights and remedies if the Data Subject’s actions result in contractual breaches.

9.4 Công Ty có quyền từ chối xử lý yêu cầu nếu:

The Company may refuse to process the request if:

(i) Yêu cầu không tuân thủ trình tự, nội dung không rõ ràng hoặc không hợp lệ;

    The request does not follow procedures, is unclear or invalid;

(ii) Không xác minh được danh tính người yêu cầu;

    Identity of the requester cannot be verified;

(iii) Có dấu hiệu vi phạm pháp luật hoặc gian lận;

    There are signs of legal violations or fraud;

    (iv) Pháp luật không cho phép thực hiện yêu cầu.

    The law does not permit the request to be fulfilled.

10. NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

OBLIGATIONS OF THE PERSONAL DATA SUBJECT

10.1 Cung cấp thông tin đầy đủ, chính xác và cập nhật khi đồng ý xử lý dữ liệu; chịu trách nhiệm với các thiệt hại phát sinh nếu cung cấp sai lệch.

Provide complete, accurate, and updated information when consenting to data processing; be liable for damages arising from incorrect information.

10.2 Có trách nhiệm tự bảo vệ Dữ Liệu Cá Nhân, thông báo cho Công Ty ngay khi phát hiện rủi ro hoặc dấu hiệu xâm phạm.

Responsible for protecting Personal Data and notifying the Company upon detecting risks or signs of infringement.

10.3 Tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân và không xâm phạm dữ liệu của người khác.

Comply with legal regulations on personal data protection and refrain from infringing others’ data.

10.4 Thực hiện các nghĩa vụ khác theo quy định pháp luật hiện hành.

Fulfill other obligations as prescribed by applicable laws.

11. CÁC QUY ĐỊNH KHÁC

OTHER PROVISIONS

11.1 Bằng việc chấp nhận Chính sách này, Chủ Thể Dữ Liệu Cá Nhân xác nhận đã được Công Ty cung cấp đầy đủ thông tin theo quy định pháp luật, bao gồm: loại dữ liệu được xử lý, mục đích xử lý, tổ chức/cá nhân tham gia xử lý dữ liệu, quyền và nghĩa vụ của Chủ Thể Dữ Liệu Cá Nhân. Chủ Thể Dữ Liệu Cá Nhân đồng ý để Công Ty và các bên liên quan xử lý Dữ Liệu Cá Nhân theo nội dung nêu tại Chính sách này và không yêu cầu thông báo lại trước khi xử lý, trừ khi pháp luật có quy định khác.

By accepting this Policy, the Data Subject confirms that the Company has provided all legally required information, including: types of data processed, processing purposes, organizations/individuals involved in processing, rights and obligations of the Data Subject. The Data Subject agrees to allow the Company and related parties to process Personal Data as stated in this Policy without requiring further notice prior to processing, unless otherwise required by law.

11.2 Nếu có bất kỳ câu hỏi, khiếu nại hoặc yêu cầu nào liên quan đến việc bảo vệ dữ liệu cá nhân, Chủ Thể Dữ Liệu Cá Nhân có thể liên hệ với bộ phận phụ trách theo thông tin sau:

For any questions, complaints, or requests related to personal data protection, the Data Subject may contact the responsible department at:

Bộ phận phụ trách bảo vệ dữ liệu cá nhân:

Personal Data Protection Department:

• Phòng Nhân sự & Phòng Kinh doanh và Marketing – Công ty TNHH BTM Global Consulting Việt Nam

         Human Resources & Business and Marketing Department – BTM Global Consulting Vietnam Co., Ltd.

• Điện thoại: 028 3715 0500

         Telephone: 028 3715 0500

• Email: btmvn@btmglobal.com

         Email: btmvn@btmglobal.com

Các yêu cầu sẽ được tiếp nhận và phản hồi trong thời gian hợp lý, phù hợp với quy định pháp luật hiện hành.

Requests will be received and responded to within a reasonable time, in accordance with applicable laws.

11.3 Chính sách này có hiệu lực kể từ ngày 22 tháng 9 năm 2025 và có thể được điều chỉnh, cập nhật theo yêu cầu của pháp luật hoặc định hướng quản trị của Công Ty. Các phiên bản cập nhật sẽ được thông báo công khai theo hình thức phù hợp.

This Policy is effective from 22/09/2025 and may be amended or updated as required by law or the Company’s governance direction. Updated versions will be publicly announced in an appropriate manner.