Chính sách bảo mật dữ liệu cá nhân.

01. Phạm vi áp dụng

Chính sách này áp dụng cho mọi dữ liệu cá nhân được Halal Muslim Consulting (sau đây gọi tắt là "HMC") thu thập, lưu trữ, xử lý thông qua:

• Website halalmuslim.vn và các trang con thuộc tên miền này;
• Các kênh tương tác với người dùng: form tư vấn, form báo giá, đăng ký khoá học, đăng ký nhận tài liệu, email, điện thoại, hội thảo, đào tạo on-site;
• Quá trình thực hiện hợp đồng tư vấn & đào tạo;
• Các kênh quảng cáo, marketing được HMC vận hành.

Người sử dụng dịch vụ của HMC (sau đây gọi là "Bạn" hoặc "Chủ thể dữ liệu") được khuyến nghị đọc kỹ chính sách này trước khi cung cấp dữ liệu cá nhân.

02. Định nghĩa

Các thuật ngữ trong chính sách này được hiểu theo Nghị định 13/2023/NĐ-CP và quy định pháp luật liên quan:

• Dữ liệu cá nhân: thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (theo NĐ 13/2023/NĐ-CP §2.1).
• Dữ liệu cá nhân cơ bản: tên, ngày sinh, giới tính, địa chỉ liên hệ, số điện thoại, email, thông tin pháp nhân nhân danh.
• Dữ liệu cá nhân nhạy cảm: theo NĐ 13/2023 §2.4 — bao gồm tín ngưỡng & tôn giáo, tình trạng sức khoẻ, dữ liệu tài chính cá nhân, dữ liệu vị trí cụ thể.
• Xử lý dữ liệu: bất kỳ hành vi tác động nào tới dữ liệu — thu thập, ghi nhận, phân tích, lưu trữ, chia sẻ, công khai, hạn chế, xoá, huỷ.
• Chủ thể dữ liệu: cá nhân được dữ liệu cá nhân phản ánh.
• Bên kiểm soát dữ liệu (Data Controller): trong phạm vi chính sách này là HMC.
• Bên xử lý dữ liệu (Data Processor): các nhà cung cấp dịch vụ kỹ thuật được HMC uỷ quyền (xem §6).

03. Loại dữ liệu HMC thu thập

3.1. Dữ liệu được cung cấp trực tiếp bởi Bạn

• Họ tên, vị trí công tác, email, số điện thoại;
• Tên doanh nghiệp, mã số thuế, địa chỉ doanh nghiệp, ngành nghề;
• Thông tin về sản phẩm, quy mô sản xuất, thị trường mục tiêu (khi gửi yêu cầu báo giá);
• Nội dung trao đổi qua form, email, điện thoại;
• Khoá học/dịch vụ quan tâm;
• Thông tin thanh toán mức cơ bản khi áp dụng (mã đơn hàng, tên trên giao dịch chuyển khoản — không lưu thông tin thẻ/tài khoản đầy đủ).

3.2. Dữ liệu thu thập tự động

• Địa chỉ IP (anonymised), loại trình duyệt, hệ điều hành, thiết bị;
• Thời gian truy cập, các trang đã xem, đường dẫn nguồn (referrer);
• Cookies kỹ thuật phục vụ vận hành website (xem §10).

3.3. Dữ liệu HMC không thu thập chủ động

• Số chứng minh nhân dân/căn cước công dân (trừ khi pháp luật yêu cầu trong hợp đồng B2B cụ thể);
• Thông tin tài khoản ngân hàng đầy đủ (HMC chỉ ghi nhận thông tin chuyển khoản hiển thị trên sao kê);
• Dữ liệu sinh trắc học, dữ liệu di truyền;
• Dữ liệu thuộc danh mục dữ liệu cá nhân nhạy cảm khác — trừ khi Bạn chủ động cung cấp và đồng ý rõ ràng.

04. Mục đích xử lý dữ liệu

HMC xử lý dữ liệu cá nhân của Bạn cho các mục đích cụ thể, được xác định trước, hợp pháp, gồm:

• Phản hồi yêu cầu: tư vấn, báo giá, đăng ký khoá học, hỗ trợ kỹ thuật;
• Thực hiện hợp đồng: triển khai dịch vụ tư vấn/đào tạo đã ký kết, bao gồm các bước thuộc lộ trình 5 bước (xem Quy trình);
• Lập hồ sơ kế toán & thuế: hoá đơn, sao kê, biên bản bàn giao theo Luật Kế toán + Nghị định 123/2020/NĐ-CP về hoá đơn điện tử;
• Vận hành tài khoản học: truy cập Knowledge Hub, tiến độ học, chứng nhận hoàn thành module;
• Truyền thông & cập nhật: gửi thông tin về cập nhật chuẩn Halal, sự kiện đào tạo, bài viết — chỉ khi Bạn đã đồng ý nhận newsletter;
• Cải thiện chất lượng dịch vụ: phân tích aggregated & anonymised về cách sử dụng website;
• Tuân thủ pháp luật: đáp ứng yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền theo quy định pháp luật Việt Nam.

HMC không sử dụng dữ liệu cá nhân của Bạn để bán cho bên thứ ba phục vụ quảng cáo, không profile cá nhân cho mục đích thương mại không liên quan.

05. Cơ sở pháp lý xử lý

Việc xử lý dữ liệu cá nhân của Bạn dựa trên một hoặc nhiều cơ sở pháp lý sau (theo NĐ 13/2023/NĐ-CP §11):

• Sự đồng ý (consent): Bạn đồng ý qua checkbox xác nhận khi gửi form/đăng ký. Sự đồng ý có thể được rút lại bất cứ lúc nào (xem §8).
• Thực hiện hợp đồng: dữ liệu cần thiết để HMC thực hiện hợp đồng tư vấn/đào tạo với doanh nghiệp/cá nhân.
• Nghĩa vụ pháp lý: dữ liệu cần thiết để HMC tuân thủ Luật Kế toán, Nghị định 123/2020/NĐ-CP về hoá đơn, Luật Quản lý thuế.
• Lợi ích hợp pháp: dữ liệu cần thiết phục vụ vận hành website (ví dụ: log kỹ thuật để phát hiện tấn công), với điều kiện không xâm phạm quyền và lợi ích hợp pháp của Bạn.

06. Bên thứ ba & chuyển giao dữ liệu xuyên biên giới

6.1. Bên xử lý dữ liệu uỷ quyền

HMC sử dụng các nhà cung cấp dịch vụ kỹ thuật sau (Data Processor) — tất cả đều được uỷ quyền theo hợp đồng dịch vụ và không có quyền sử dụng dữ liệu cho mục đích riêng:

• Google Workspace (Google LLC, USA) — email & lưu trữ tài liệu doanh nghiệp;
• Cloudflare Inc. (USA) — CDN, hosting Pages, tăng tốc & bảo vệ website trước tấn công mạng;
• Các nhà cung cấp HĐĐT đăng ký theo Nghị định 123/2020/NĐ-CP (Viettel/VNPT/Misa hoặc tương đương — sẽ xác định cụ thể trong hợp đồng B2B);
• Nhà cung cấp dịch vụ thanh toán (khi áp dụng Phase 3G) — phù hợp Thông tư 23/2014/TT-NHNN và quy định hiện hành.

6.2. Chuyển giao dữ liệu xuyên biên giới

Do HMC sử dụng các dịch vụ Cloud của Google (Google Workspace) và Cloudflare có hạ tầng tại Hoa Kỳ và các quốc gia khác, dữ liệu cá nhân của Bạn có thể được chuyển giao và lưu trữ tại các datacenter ngoài lãnh thổ Việt Nam. HMC tuân thủ NĐ 13/2023/NĐ-CP về chuyển giao dữ liệu xuyên biên giới, bao gồm:

• Có sự đồng ý của Bạn thông qua chấp nhận chính sách này;
• Áp dụng biện pháp bảo vệ phù hợp (mã hoá at-rest và in-transit);
• Yêu cầu Data Processor cam kết tuân thủ chuẩn bảo mật tối thiểu tương đương quy định Việt Nam;
• Lập và duy trì hồ sơ đánh giá tác động chuyển giao theo NĐ 13/2023/NĐ-CP §25 khi có yêu cầu của cơ quan thẩm quyền.

6.3. Tiết lộ theo yêu cầu pháp luật

HMC có thể tiết lộ dữ liệu cá nhân của Bạn theo yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền (toà án, công an, cơ quan thuế, cơ quan thanh tra) trong phạm vi và thủ tục pháp luật quy định.

07. Thời hạn lưu trữ

HMC lưu trữ dữ liệu cá nhân của Bạn không quá thời gian cần thiết cho mục đích đã thu thập:

• Dữ liệu lead (form tư vấn không thành hợp đồng): 24 tháng kể từ tương tác cuối, sau đó xoá hoặc anonymise.
• Dữ liệu khách hàng có hợp đồng: trong thời gian hợp đồng có hiệu lực + 5 năm sau (đáp ứng Luật Kế toán + Luật Quản lý thuế về lưu trữ chứng từ).
• Dữ liệu giao dịch tài chính (hoá đơn, sao kê): 10 năm theo Luật Kế toán §41.
• Dữ liệu tài khoản học: trong thời gian tài khoản hoạt động + 12 tháng sau khi tài khoản đóng hoặc không hoạt động.
• Log kỹ thuật (web server log): tối đa 90 ngày, sau đó xoá tự động.
• Cookies: theo thời hạn quy định tại §10.

Sau khi hết thời hạn, dữ liệu được xoá hoàn toàn hoặc anonymised không thể truy ngược tới chủ thể dữ liệu.

08. Quyền của Chủ thể dữ liệu

Theo NĐ 13/2023/NĐ-CP §9, Bạn có các quyền sau đối với dữ liệu cá nhân của mình:

• Quyền được biết: được thông báo về hoạt động xử lý dữ liệu (chính sách này);
• Quyền đồng ý/từ chối: đồng ý hoặc không đồng ý cho phép xử lý dữ liệu;
• Quyền truy cập: xem, yêu cầu cung cấp bản sao dữ liệu HMC đang lưu trữ;
• Quyền rút lại sự đồng ý: rút lại sự đồng ý bất cứ lúc nào (không ảnh hưởng việc xử lý đã thực hiện trước thời điểm rút lại);
• Quyền sửa đổi: yêu cầu chỉnh sửa dữ liệu không chính xác;
• Quyền xoá: yêu cầu xoá dữ liệu khi không còn cần thiết hoặc khi đã rút lại sự đồng ý, trừ trường hợp pháp luật yêu cầu lưu trữ tiếp;
• Quyền hạn chế xử lý: yêu cầu hạn chế phạm vi xử lý trong khi đang giải quyết tranh chấp về tính chính xác;
• Quyền phản đối: phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp;
• Quyền khiếu nại: khiếu nại tới HMC và/hoặc cơ quan nhà nước có thẩm quyền.

Để thực hiện các quyền trên, vui lòng liên hệ DPO HMC qua kênh tại §13. HMC phản hồi yêu cầu trong tối đa 72 giờ làm việc, có thể kéo dài tới 30 ngày trong trường hợp phức tạp (sẽ thông báo cho Bạn).

09. Bảo mật & biện pháp kỹ thuật

HMC áp dụng các biện pháp bảo mật phù hợp để bảo vệ dữ liệu cá nhân:

• Mã hoá in-transit: toàn bộ website halalmuslim.vn sử dụng HTTPS (TLS 1.2+) với chứng chỉ SSL hợp lệ;
• Mã hoá at-rest: dữ liệu lưu trữ trên Google Workspace & Cloudflare được mã hoá tại tầng hạ tầng;
• Kiểm soát truy cập: giới hạn truy cập dữ liệu nhân viên HMC theo nguyên tắc least privilege, có xác thực 2 lớp (2FA) đối với tài khoản quản trị;
• Đào tạo nhân sự: nhân sự HMC được đào tạo về bảo mật dữ liệu định kỳ;
• Phòng chống tấn công: Cloudflare WAF, DDoS protection;
• Sao lưu dữ liệu: sao lưu định kỳ với khả năng phục hồi.

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân (data breach), HMC sẽ thông báo cho cơ quan nhà nước có thẩm quyền trong vòng 72 giờ kể từ khi phát hiện, và thông báo tới các chủ thể dữ liệu bị ảnh hưởng theo quy định NĐ 13/2023/NĐ-CP §23.

10. Cookies & thẻ phân tích

Website halalmuslim.vn sử dụng tối thiểu các loại cookies sau:

• Cookies kỹ thuật bắt buộc: phục vụ điều hướng, chuyển tab form, lưu state UI. Không cần đồng ý riêng biệt vì là điều kiện vận hành website. Thời hạn: session hoặc tối đa 12 tháng.
• Cookies phân tích (nếu kích hoạt trong tương lai): đo lường aggregated cách sử dụng website, không nhận dạng cá nhân. HMC sẽ thông báo và lấy đồng ý của Bạn trước khi kích hoạt loại cookies này.

HMC không sử dụng third-party advertising cookies tại thời điểm chính sách này có hiệu lực. Bất kỳ thay đổi nào về phạm vi cookies sẽ được cập nhật minh bạch tại mục này.

11. Trẻ em & người chưa thành niên

Dịch vụ HMC định hướng cho cá nhân & doanh nghiệp trưởng thành. HMC không chủ động thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi. Nếu HMC phát hiện đã vô tình thu thập dữ liệu của trẻ em dưới 16 tuổi mà không có sự đồng ý hợp pháp của cha mẹ/người giám hộ, HMC sẽ xoá dữ liệu đó ngay lập tức theo NĐ 13/2023/NĐ-CP §20.

12. Thay đổi chính sách

HMC có thể cập nhật chính sách này định kỳ để phản ánh thay đổi pháp luật, công nghệ hoặc dịch vụ. Phiên bản hiện tại được công bố tại URL halalmuslim.vn/privacy-policy với ngày hiệu lực ghi tại Meta strip ở đầu trang.

Đối với thay đổi vật chất (ảnh hưởng trực tiếp tới quyền của Chủ thể dữ liệu), HMC sẽ thông báo tới email đăng ký của Bạn (đối với khách hàng có hợp đồng/tài khoản) và đăng thông báo nổi bật trên trang chủ ít nhất 30 ngày trước khi áp dụng.

13. Liên hệ DPO & khiếu nại

Mọi yêu cầu liên quan tới dữ liệu cá nhân (truy cập, sửa, xoá, rút consent, khiếu nại) gửi tới:

• Email DPO HMC: info.halalmuslim@gmail.com (subject prefix: [DPO request]);
• Điện thoại: +84 936 220 768 (8:00–17:30 T2–T7);
• Đường công văn: Halal Muslim Consulting — Hà Nội, Việt Nam (địa chỉ chi tiết cung cấp khi có yêu cầu chính thức).

Trường hợp Bạn cho rằng HMC không xử lý phù hợp khiếu nại của Bạn, Bạn có quyền khiếu nại tới Cục An ninh mạng và Phòng, chống tội phạm công nghệ cao (A05) — Bộ Công an hoặc cơ quan nhà nước có thẩm quyền khác theo quy định pháp luật về bảo vệ dữ liệu cá nhân.