Chính sách bảo mật

Chính Sách Bảo Mật, Bảo vệ dữ liệu, Quy định về quyền riêng tư, Biện pháp bảo mật, Bảo mật thông tin, An ninh mạng, Bảo vệ dữ liệu cá nhân, Chính sách quyền riêng tư, Tuân thủ GDPR, Rò rỉ dữ liệu, Bảo mật thông tin, Yêu cầu tuân thủ, Kiểm soát quyền riêng tư, Luật quyền riêng tư, Khuôn khổ bảo mật dữ liệu, Quản lý quyền riêng tư, Quản lý sự đồng ý, Mã hóa dữ liệu, Đánh giá rủi ro, Thực hành tốt quyền riêng tư, Tiêu chuẩn quyền riêng tư, Lưu trữ dữ liệu, Sự đồng ý của người dùng, Kiểm toán quyền riêng tư, Quyền riêng tư, Nhận thức về quyền riêng tư.
Mục lục bài viết
    Add a header to begin generating the table of contents

    Chính sách Bảo mật

    Phiên bản: 3.0
    Cập nhật lần cuối: 03/09/2025
    Tổ chức áp dụng: Công ty TNHH Carpe Diem Glocal (“Glocaltrans”, “chúng tôi”)

    Mục tiêu của chính sách này là bảo vệ dữ liệu cá nhân và dữ liệu dự án của khách hàng trong các hoạt động dịch thuậtsáng tạo nội dung theo chuẩn chuyên nghiệp, tuân thủ Nghị định 13/2023/NĐ-CP (PDPD) và các chuẩn mực quốc tế có liên quan (ví dụ: GDPR khi áp dụng).


    1) Phạm vi và vai trò pháp lý

    • Phạm vi: trang web glocaltrans.org, hệ thống email và lưu trữ của chúng tôi, quy trình xử lý hồ sơ/dự án dịch thuật, nội dung, phụ đề, bản địa hoá website, và các biểu mẫu liên hệ/báo giá.
    • Vai trò pháp lý:
      • Với tài liệu, tệp nguồn do khách hàng cung cấp, chúng tôi thường hoạt động với vai trò Bên Xử lý dữ liệu (processor) theo uỷ quyền của Bên Kiểm soát dữ liệu (controller) là khách hàng.
      • Với dữ liệu trang web/marketing, chúng tôi là Bên Kiểm soát dữ liệu.
    • Căn cứ pháp lý xử lý: đồng ý của chủ thể dữ liệu (khi cần), thực hiện hợp đồng và các bước tiền hợp đồng, lợi ích hợp pháp (ví dụ: bảo mật hệ thống, chống gian lận), tuân thủ nghĩa vụ pháp lý.

    2) Nguyên tắc cốt lõi

    • Tối thiểu hoá dữ liệu – Chỉ thu thập thông tin cần thiết cho mục đích đã xác định.
    • Minh bạch – Thông báo rõ mục đích, thời hạn lưu trữ, đối tác nhận chuyển giao.
    • Bảo mật theo thiết kế – Kiểm soát truy cập tối thiểu, mã hoá, ghi nhật ký, sao lưu.
    • Không dùng dữ liệu khách hàng để huấn luyện AI – trừ khi có uỷ quyền bằng văn bản và cấu hình bảo mật thoả đáng.
    • Toàn vẹn & sẵn sàng – Kiểm thử định kỳ, quy trình ứng phó sự cố và khôi phục sau thảm hoạ.

    3) Loại dữ liệu chúng tôi xử lý

    • Dữ liệu liên hệ: họ tên, công ty/chức danh, email, điện thoại, địa chỉ.
    • Dữ liệu dự án: tệp nguồn (DOCX, PDF, HTML, ZIP…), termbase, styleguide, hướng dẫn giọng điệu, ghi chú bối cảnh, thông tin pháp lý/IR/kỹ thuật có thể chứa dữ liệu cá nhân bên thứ ba.
    • Dữ liệu website/thiết bị: IP, loại trình duyệt, cookie/analytics, sự kiện gửi form.
    • Thanh toán & kế toán (khi áp dụng): chứng từ, thông tin giao dịch.
    • Tuyển dụng (khi áp dụng): CV, hồ sơ năng lực, thông tin chuyên ngành.

    Dữ liệu nhạy cảm: Nếu tài liệu chứa dữ liệu nhạy cảm (ví dụ: sức khoẻ, dữ liệu trẻ em, dữ liệu tư pháp…), chúng tôi xử lý theo chỉ dẫn của khách hàng và áp dụng biện pháp bảo vệ bổ sung.

    4) Nguồn dữ liệu

    • Trực tiếp từ khách hàng qua form/email/hệ thống upload.
    • Từ người dùng website (cookie, analytics, công cụ chat hỗ trợ).
    • Từ đối tác được chỉ định (ví dụ: đại lý, nhà thầu phụ có ký NDA/DPA).

    5) Mục đích sử dụng dữ liệu

    • Thực hiện hợp đồng & cung cấp dịch vụ: dịch thuật, biên tập, LQA, sáng tạo nội dung, bản địa hoá, phụ đề.
    • Quản lý chất lượng: tạo/duy trì termbase, styleguide; kiểm soát phiên bản; chấm MQM; kiểm thử ngẫu nhiên.
    • Hỗ trợ & chăm sóc: phản hồi yêu cầu, bảo hành 7 ngày sau bàn giao.
    • Vận hành & bảo mật hệ thống: log, chống spam, sao lưu, phục hồi.
    • Kế toán – hoá đơn – tuân thủ pháp lý.
    • Tiếp thị dựa trên đồng ý (opt‑in): gửi tài nguyên (template), case study, bản tin chuyên môn.

    6) AI/ML & công cụ CAT – Chính sách riêng

    • Mặc định không đưa tệp khách hàng lên mô hình AI công khai.
    • Chỉ sử dụng CAT/QA tool (Trados/memoQ/Xbench…) và/hoặc AI có cam kết doanh nghiệp (không huấn luyện bằng dữ liệu khách; lưu trữ tạm thời có kiểm soát) khi khách hàng đồng ý hoặc khi hợp đồng cho phép.
    • Thực hiện ẩn danh/giả danh hoá/redact thông tin nhạy cảm trước khi xử lý tự động khi có thể.

    7) Bên nhận dữ liệu & chuyển giao quốc tế

    Chúng tôi không bán dữ liệu cá nhân. Các nhóm bên nhận có thể gồm:

    • Lưu trữ & hạ tầng (đám mây, sao lưu),
    • Email & cộng tác (liên lạc dự án),
    • CAT/QA (quản lý thuật ngữ, kiểm thử chất lượng),
    • Kế toán – thanh toán,
    • Phân tích lưu lượng website.

    Tất cả nhà cung cấp/nhà thầu phụ phải ký NDA và/hoặc Thoả thuận Xử lý dữ liệu (DPA); chỉ được truy cập theo nguyên tắc tối thiểu. Với chuyển dữ liệu ra nước ngoài, chúng tôi áp dụng biện pháp bảo vệ phù hợp (ví dụ: điều khoản hợp đồng tiêu chuẩn/SCC khi áp dụng) và thực hiện đánh giá tác động & thông báo theo PDPD nếu pháp luật yêu cầu.

    8) Thời hạn lưu trữ

    • Hồ sơ dự án: mặc định 24 tháng kể từ ngày bàn giao cuối, trừ khi hợp đồng quy định khác hoặc khách hàng yêu cầu xoá sớm/lưu dài hạn.
    • Termbase/Styleguide: lưu cho đến khi chấm dứt quan hệ hoặc theo yêu cầu xoá.
    • Log hệ thống/analytics: 03–12 tháng tuỳ mục đích kỹ thuật.
    • Hồ sơ kế toán: theo thời hạn pháp lý hiện hành.

    9) Biện pháp an ninh

    • Tổ chức: phân quyền theo vai trò, NDA bắt buộc, đào tạo bảo mật định kỳ, quy trình on/off‑boarding.
    • Kỹ thuật: mã hoá trong truyền và khi lưu; 2FA/MFA; kiểm soát điểm cuối; sao lưu; tường lửa/WAF; quét mã độc; ghi nhật ký và cảnh báo sự kiện bất thường; kiểm thử định kỳ.
    • Quản trị nhà cung cấp: đánh giá rủi ro, DPA/NDA, kiểm tra phạm vi và vị trí lưu trữ.

    10) Quyền của chủ thể dữ liệu

    Tùy khu vực pháp lý, bạn có thể thực hiện: quyền biết, đồng ý/thu hồi đồng ý, truy cập, sửa, xoá, hạn chế xử lý, phản đối, di chuyển dữ liệu, khiếu nại. Gửi yêu cầu qua kênh ở Mục 13; chúng tôi sẽ phản hồi trong thời hạn luật định. Khi yêu cầu liên quan tới dữ liệu dự án do khách hàng kiểm soát, chúng tôi sẽ phối hợp để hỗ trợ xử lý.

    11) Trẻ em

    Dịch vụ của chúng tôi không nhắm tới trẻ em dưới độ tuổi luật định. Nếu tài liệu dự án chứa dữ liệu trẻ em, chúng tôi xử lý theo chỉ dẫn của khách hàng và yêu cầu đồng ý của người giám hộ khi cần thiết.

    12) Cookie & công cụ phân tích

    • Sử dụng cookie kỹ thuật để vận hành trang; cookie phân tích/marketing chỉ kích hoạt khi đồng ý.
    • Bạn có thể thay đổi lựa chọn tại Trung tâm tuỳ chọn Cookie bất kỳ lúc nào (liên kết hiển thị ở chân trang).

    13) Sự cố & thông báo vi phạm dữ liệu

    • Khi phát hiện vi phạm, chúng tôi kích hoạt quy trình ứng phó, cô lập sự cố, khắc phục và ghi nhật ký.
    • Thông báo: theo PDPD, chúng tôi sẽ thông báo cơ quan có thẩm quyền trong thời hạn luật định và thông tin cho các bên liên quan khi cần; với vai trò Bên Xử lý, chúng tôi thông báo ngay cho khách hàng để khách hàng thực hiện nghĩa vụ pháp lý tương ứng.

    14) Liên hệ & khiếu nại

    • Bộ phận bảo vệ dữ liệu (DPO/Privacy): admin@glocaltrans.org
    • Điện thoại: +84 934 784 004
    • Địa chỉ: 187A Phan Đăng Lưu, P. Hòa Cường, Đà Nẵng, Việt Nam

    15) Thay đổi chính sách

    Chúng tôi có thể cập nhật chính sách để phản ánh thay đổi pháp luật hoặc hoạt động xử lý. Bản cập nhật sẽ ghi ngày hiệu lực và được công bố tại glocaltrans.org.

    FAQ:

    Thông tin liên hệ (họ tên, email, điện thoại), dữ liệu dự án (tệp nguồn, termbase, styleguide, ghi chú), dữ liệu website/kỹ thuật (IP, cookie/analytics), và chứng từ kế toán (khi áp dụng). Tài liệu có thể chứa dữ liệu cá nhân bên thứ ba do khách hàng cung cấp.

    Thực hiện hợp đồng/báo giá; quản lý chất lượng (MQM, termbase); hỗ trợ & bảo hành 7 ngày; vận hành/bảo mật hệ thống; kế toán & tuân thủ; tiếp thị opt-in. Căn cứ: hợp đồng, đồng ý khi cần, lợi ích hợp pháp, nghĩa vụ pháp lý.

    Với tệp/dự án do khách hàng cung cấp: Bên Xử lý dữ liệu (Processor). Với dữ liệu website/marketing: Bên Kiểm soát dữ liệu (Controller).

    Không mặc định. Chỉ dùng CAT/QA hoặc AI cấp doanh nghiệp khi được uỷ quyền bằng văn bản và có biện pháp bảo vệ phù hợp; ưu tiên ẩn danh/giả danh/redact.

    Chia sẻ tối thiểu với nhà cung cấp hạ tầng lưu trữ/email/collab, CAT/QA, kế toán, analytics. Sub-processor là bên xử lý phụ có NDA/DPA tương đương và chỉ truy cập khi cần.

    Có thể, khi cần cho hạ tầng/công cụ. Áp dụng cơ chế phù hợp (ví dụ SCCs) và đánh giá tác động chuyển dữ liệu khi luật yêu cầu.

    Hồ sơ dự án mặc định 24 tháng từ ngày bàn giao cuối; có thể xoá sớm hoặc lưu dài hạn theo yêu cầu.

    Phân quyền tối thiểu, NDA, mã hoá khi truyền/khi lưu, MFA, kiểm soát endpoint, sao lưu, WAF/anti-malware, ghi nhật ký & cảnh báo, kiểm thử định kỳ.

    Có quyền biết/truy cập/sửa/xoá/hạn chế/phản đối/di chuyển dữ liệu (tuỳ luật áp dụng). Gửi yêu cầu: admin@glocaltrans.org. Với dữ liệu do khách hàng kiểm soát, chúng tôi sẽ phối hợp để xử lý.

    Kích hoạt quy trình ứng phó, cô lập & khắc phục; thông báo không chậm trễ theo luật áp dụng (ví dụ GDPR: mục tiêu 72 giờ với cơ quan giám sát). Là Processor, chúng tôi thông báo ngay cho khách hàng.

    Chỉ bật analytics/marketing khi bạn đồng ý; có thể thay đổi trong Trung tâm tuỳ chọn Cookie.

    DPO/Privacy: admin@glocaltrans.org • Tổng đài: +84 934 784 004 • Địa chỉ: 187A Phan Đăng Lưu, Hòa Cường, Đà Nẵng.