Chính Sách Bảo Mật và Bảo Vệ Dữ Liệu Cá Nhân

1. Mục đích và phạm vi áp dụng

1.1. Chính sách này quy định cách thức JoFi thu thập, sử dụng, lưu trữ, chia sẻ, chuyển giao, bảo vệ và xử lý dữ liệu cá nhân phát sinh trong quá trình cá nhân, tổ chức sử dụng Cổng Nhà tuyển dụng, Hệ thống quản trị tuyển dụng ATS, dịch vụ đăng tin tuyển dụng, quản lý hồ sơ ứng viên, công cụ lọc và gợi ý ứng viên, công cụ phân tích tuyển dụng, các tiện ích truyền thông tuyển dụng và các dịch vụ liên quan khác do JoFi cung cấp.

1.2. Chính sách này áp dụng đối với nhà tuyển dụng, doanh nghiệp, tổ chức, đại diện pháp luật, nhân sự phụ trách tuyển dụng, quản trị viên tài khoản, người dùng được ủy quyền, đối tác tuyển dụng và mọi cá nhân truy cập, sử dụng hoặc tương tác với dịch vụ của JoFi trên cổng dành cho nhà tuyển dụng.

1.3. Chính sách này không điều chỉnh riêng cổng ứng viên của JoFi, trừ trường hợp dữ liệu ứng viên được hiển thị, truy xuất, lưu trữ, đối chiếu hoặc xử lý trong ATS do nhà tuyển dụng sử dụng. Khi JoFi triển khai chính sách riêng cho cổng ứng viên, chính sách đó sẽ được công bố độc lập và áp dụng tương ứng.

1.4. Bằng việc truy cập, đăng ký, tạo tài khoản, đăng tin, tải lên, đồng bộ, truy xuất hoặc sử dụng bất kỳ chức năng nào của Hệ thống, nhà tuyển dụng xác nhận đã đọc, hiểu và chấp thuận Chính sách này trong phạm vi pháp luật cho phép. Trường hợp nhà tuyển dụng sử dụng Hệ thống thay mặt cho doanh nghiệp, tổ chức khác, nhà tuyển dụng cam kết rằng mình có đủ thẩm quyền hợp pháp để ràng buộc doanh nghiệp, tổ chức đó.

2. Giải thích từ ngữ

“JoFi” là nền tảng, website, ứng dụng, hệ thống tuyển dụng và hệ thống quản trị tuyển dụng (ATS) do JoFi vận hành, cung cấp và/hoặc quản lý cho nhà tuyển dụng, doanh nghiệp, tổ chức, đối tác và các người dùng có liên quan.

2.1. “Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm cả dữ liệu do người dùng tự cung cấp, dữ liệu phát sinh trong quá trình sử dụng và dữ liệu do JoFi thu thập từ hệ thống, thiết bị hoặc bên thứ ba hợp pháp.

2.2. “Dữ liệu cá nhân cơ bản” là dữ liệu cá nhân không thuộc nhóm dữ liệu cá nhân nhạy cảm, bao gồm nhưng không giới hạn ở họ tên, chức danh, tên doanh nghiệp, địa chỉ liên hệ, số điện thoại, địa chỉ thư điện tử, thông tin đăng nhập, nhật ký truy cập, địa chỉ IP, mã định danh tài khoản, lịch sử giao dịch, thông tin thanh toán và các thông tin khác phục vụ việc cung cấp dịch vụ.

2.3. “Dữ liệu cá nhân nhạy cảm” là dữ liệu gắn liền với quyền riêng tư cao hơn hoặc có khả năng gây ảnh hưởng bất lợi đáng kể nếu bị tiết lộ, bao gồm nhưng không giới hạn ở dữ liệu định danh, dữ liệu tài chính, dữ liệu về sức khỏe, dữ liệu sinh trắc học, dữ liệu vị trí, dữ liệu về quan điểm chính trị, tôn giáo, tình trạng lao động có yếu tố đặc biệt, dữ liệu về vi phạm pháp luật, dữ liệu về ứng viên thuộc nhóm yếu thế, cùng các loại dữ liệu nhạy cảm khác theo quy định pháp luật tại từng thời điểm.

2.4. “Chủ thể dữ liệu” là cá nhân mà dữ liệu cá nhân phản ánh, bao gồm nhà tuyển dụng là cá nhân, người đại diện, nhân sự phụ trách tuyển dụng, quản trị viên tài khoản, người liên hệ doanh nghiệp và ứng viên khi dữ liệu của ứng viên được lưu trữ, truy xuất hoặc xử lý trên Hệ thống.

2.5. “Xử lý dữ liệu cá nhân” bao gồm một hoặc nhiều hoạt động tác động đến dữ liệu cá nhân như thu thập, ghi nhận, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, chia sẻ, mã hóa, giải mã, sao chép, truy xuất, chuyển giao, xóa, hủy hoặc các hoạt động khác có liên quan.

2.6. “Nhà tuyển dụng” là doanh nghiệp, tổ chức, công ty, chi nhánh, văn phòng đại diện, đơn vị sự nghiệp hoặc cá nhân có nhu cầu đăng tin tuyển dụng, quản lý hồ sơ ứng viên, sử dụng ATS, thực hiện sàng lọc, phỏng vấn, đánh giá, tuyển chọn hoặc quản trị hoạt động tuyển dụng trên Hệ thống.

2.7. “ATS” là hệ thống phần mềm, ứng dụng, cơ sở dữ liệu, giao diện quản trị, API, công cụ tích hợp và các tiện ích kỹ thuật do JoFi vận hành hoặc cung cấp nhằm hỗ trợ quản trị quy trình tuyển dụng.

2.8. “AI” là công cụ, thuật toán, mô hình tự động hóa hoặc hệ thống học máy được JoFi triển khai nhằm hỗ trợ gợi ý việc làm, xếp hạng hồ sơ, phân tích năng lực, phát hiện gian lận, phân loại ứng viên hoặc tối ưu hóa quy trình tuyển dụng.

3. Loại dữ liệu cá nhân được thu thập

3.1. Khi nhà tuyển dụng sử dụng Cổng Nhà tuyển dụng hoặc ATS, JoFi có thể thu thập, lưu trữ và xử lý dữ liệu cá nhân cơ bản của nhà tuyển dụng và người dùng được ủy quyền, bao gồm nhưng không giới hạn ở họ tên, chức danh, số điện thoại, địa chỉ thư điện tử, tên doanh nghiệp, mã số doanh nghiệp, mã số thuế, địa chỉ trụ sở, lĩnh vực hoạt động, thông tin liên hệ, thông tin đăng nhập, lịch sử phiên truy cập, địa chỉ IP, thiết bị truy cập, ngôn ngữ sử dụng, nhật ký thao tác, dữ liệu cookie và các dữ liệu kỹ thuật khác phát sinh trong quá trình sử dụng Hệ thống.

3.2. JoFi có thể thu thập thông tin liên quan đến hồ sơ doanh nghiệp và hoạt động tuyển dụng, bao gồm mô tả doanh nghiệp, quy mô nhân sự, nhu cầu tuyển dụng, vị trí cần tuyển, tiêu chí tuyển chọn, mức lương, địa điểm làm việc, nội dung đăng tin, tài liệu đính kèm, lịch sử duyệt tin, lịch sử thanh toán dịch vụ, hóa đơn, hợp đồng, yêu cầu hỗ trợ và các tương tác với đội ngũ vận hành của JoFi.

3.3. Trong phạm vi nhà tuyển dụng tải lên, lưu trữ, đồng bộ, tìm kiếm hoặc trích xuất hồ sơ ứng viên trên ATS, JoFi có thể xử lý dữ liệu cá nhân của ứng viên do nhà tuyển dụng cung cấp hoặc do chính ứng viên đã cho phép hiển thị trong khuôn khổ dịch vụ, bao gồm nhưng không giới hạn ở họ tên, ngày sinh, giới tính, ảnh chân dung, số điện thoại, email, địa chỉ liên hệ, trình độ học vấn, kinh nghiệm làm việc, kỹ năng, chứng chỉ, lịch sử nghề nghiệp, thư giới thiệu, kết quả đánh giá, ghi chú phỏng vấn, trạng thái tuyển dụng và các dữ liệu khác có liên quan đến hoạt động tuyển dụng.

3.4. Dữ liệu cá nhân nhạy cảm chỉ được JoFi xử lý khi thật sự cần thiết, có căn cứ hợp pháp rõ ràng và đáp ứng đầy đủ điều kiện bảo vệ theo quy định pháp luật. Tuy nhiên, trong phạm vi vận hành Cổng Nhà tuyển dụng và Hệ thống ATS, JoFi không chủ động bóc tách, phân tích, trích xuất, lập chỉ mục, lưu trữ hoặc xử lý có chủ đích các dữ liệu được xếp vào nhóm dữ liệu cá nhân nhạy cảm, bao gồm nhưng không giới hạn ở thông tin về sức khỏe, tình trạng khuyết tật, sinh trắc học, lý lịch tư pháp, tài khoản ngân hàng, thu nhập, quan điểm cá nhân, dữ liệu định vị hoặc các thông tin tương tự khác. Trường hợp hồ sơ do nhà tuyển dụng hoặc bên thứ ba tải lên có chứa các dữ liệu nêu trên, nhà tuyển dụng có trách nhiệm tự bảo đảm tính hợp pháp của việc cung cấp dữ liệu và phải loại bỏ, ẩn đi hoặc không đưa các thông tin đó vào Hệ thống, trừ trường hợp pháp luật có quy định khác.

3.5. JoFi không chủ động yêu cầu nhà tuyển dụng cung cấp dữ liệu cá nhân nhạy cảm nếu dữ liệu đó không cần thiết cho mục đích tuyển dụng hợp pháp. Trường hợp nhà tuyển dụng tự ý tải lên hoặc sử dụng dữ liệu nhạy cảm trong ATS, nhà tuyển dụng phải chịu trách nhiệm bảo đảm tính hợp pháp của việc thu thập, sử dụng, thông báo và xin chấp thuận từ chủ thể dữ liệu, trừ khi pháp luật có quy định khác.

3.6. JoFi có thể thu thập dữ liệu từ các nguồn sau đây: dữ liệu do nhà tuyển dụng, người dùng được ủy quyền hoặc đối tác hợp pháp cung cấp; dữ liệu phát sinh khi sử dụng Hệ thống; dữ liệu từ thiết bị, trình duyệt và mạng; dữ liệu từ cookie; dữ liệu từ các công cụ đo lường, phân tích và tối ưu vận hành hệ thống; và các nguồn hợp pháp khác theo quy định của pháp luật.

4. Mục đích xử lý dữ liệu cá nhân

4.1. JoFi xử lý dữ liệu cá nhân nhằm mục đích tạo lập, xác thực và quản lý tài khoản nhà tuyển dụng; cung cấp quyền truy cập vào ATS; vận hành các chức năng đăng tin tuyển dụng, lọc hồ sơ, quản trị pipeline, nhắn tin, đặt lịch phỏng vấn, báo cáo phân tích, lưu trữ dữ liệu và các tiện ích khác liên quan đến tuyển dụng.

4.2. JoFi xử lý dữ liệu để xác minh danh tính người dùng, xác thực quyền đại diện, ngăn chặn truy cập trái phép, phòng chống gian lận, ngăn chặn hành vi sử dụng sai mục đích, bảo vệ tính toàn vẹn của hệ thống, bảo vệ an ninh mạng và bảo đảm an toàn cho dữ liệu cá nhân đang được lưu trữ.

4.3. JoFi xử lý dữ liệu để thực hiện nghĩa vụ theo hợp đồng với nhà tuyển dụng, bao gồm việc thiết lập, duy trì, nâng cấp, hỗ trợ, thanh toán, đối soát, bảo hành dịch vụ, xử lý sự cố, gửi thông báo hệ thống, cung cấp báo cáo, hỗ trợ kỹ thuật và chăm sóc khách hàng.

4.4. JoFi xử lý dữ liệu để đáp ứng yêu cầu tuân thủ pháp luật, yêu cầu của cơ quan nhà nước có thẩm quyền, yêu cầu kiểm tra, thanh tra, điều tra, giải quyết tranh chấp, thực hiện nghĩa vụ thuế, kế toán, lưu trữ và các nghĩa vụ pháp lý khác.

4.5. JoFi xử lý dữ liệu để cải tiến sản phẩm, nghiên cứu hành vi sử dụng, tối ưu trải nghiệm người dùng, phân tích hiệu quả tuyển dụng, đo lường hiệu năng hệ thống, thử nghiệm tính năng mới, phát hiện lỗi, kiểm soát chất lượng và phát triển sản phẩm phù hợp với nhu cầu của thị trường.

4.6. Trường hợp JoFi sử dụng công cụ AI để xếp hạng hồ sơ, gợi ý ứng viên, phân loại yêu cầu, phát hiện gian lận hoặc hỗ trợ ra quyết định tuyển dụng, các kết quả từ AI chỉ mang tính hỗ trợ, không tự động thay thế quyết định độc lập của con người, trừ khi pháp luật cho phép và chủ thể dữ liệu đã được thông báo đầy đủ theo quy định.

4.7. JoFi có thể xử lý dữ liệu để gửi thông báo liên quan đến dịch vụ, thay đổi chính sách, cảnh báo bảo mật, nhắc thanh toán, cập nhật tính năng, thông tin pháp lý và các thông báo vận hành khác cần thiết cho việc sử dụng Hệ thống. Việc gửi thông tin tiếp thị, giới thiệu dịch vụ hoặc khuyến mại chỉ được thực hiện trong phạm vi được pháp luật cho phép và theo cơ chế chấp thuận tương ứng của người nhận.

5. Căn cứ pháp lý cho việc xử lý dữ liệu

5.1. JoFi xử lý dữ liệu cá nhân trên cơ sở một hoặc nhiều căn cứ pháp lý hợp lệ theo quy định pháp luật Việt Nam tại từng thời điểm, bao gồm nhưng không giới hạn ở sự đồng ý hợp lệ của chủ thể dữ liệu, việc thực hiện hợp đồng hoặc các biện pháp cần thiết trước khi giao kết hợp đồng, việc đáp ứng nghĩa vụ pháp lý, việc bảo vệ quyền và lợi ích hợp pháp của JoFi hoặc của bên liên quan trong phạm vi được pháp luật cho phép, và các căn cứ khác do pháp luật quy định.

5.2. Đối với dữ liệu cá nhân nhạy cảm, JoFi chỉ xử lý khi có căn cứ hợp pháp rõ ràng, có chấp thuận riêng biệt nếu pháp luật yêu cầu, và áp dụng đầy đủ biện pháp bảo vệ tăng cường theo quy định.

5.3. Khi nhà tuyển dụng đưa dữ liệu ứng viên lên Hệ thống, nhà tuyển dụng cam kết và bảo đảm rằng họ có cơ sở pháp lý phù hợp để chuyển giao, truy xuất, lưu trữ và sử dụng dữ liệu đó, bao gồm việc đã thông báo cho ứng viên, đã xin chấp thuận khi cần thiết, và không vi phạm quyền của chủ thể dữ liệu hoặc nghĩa vụ pháp luật khác.

5.4. Trường hợp nhà tuyển dụng xử lý dữ liệu ứng viên dưới vai trò là bên kiểm soát độc lập, nhà tuyển dụng tự chịu trách nhiệm về tính hợp pháp của việc thu thập, sử dụng, lưu trữ, công khai, chia sẻ và xóa dữ liệu ứng viên. JoFi không chịu trách nhiệm đối với việc nhà tuyển dụng sử dụng dữ liệu ứng viên trái quy định, ngoài phạm vi nghĩa vụ kỹ thuật và pháp lý mà JoFi phải thực hiện đối với vai trò của mình.

6. Chia sẻ, cung cấp và công bố dữ liệu cá nhân

6.1. JoFi chỉ chia sẻ hoặc cung cấp dữ liệu cá nhân trong phạm vi cần thiết cho mục đích đã nêu tại Chính sách này, hoặc trong các trường hợp khác mà pháp luật cho phép.

6.2. Dữ liệu cá nhân có thể được chia sẻ cho nhân sự nội bộ của JoFi trên cơ sở quyền hạn được phân công và nguyên tắc cần biết; cho nhà cung cấp dịch vụ công nghệ thông tin, máy chủ, lưu trữ đám mây, bảo mật, phân tích dữ liệu, chăm sóc khách hàng, thanh toán, gửi thư điện tử, nhắn tin, hỗ trợ pháp lý và các nhà cung cấp liên quan khác; cho đơn vị tư vấn, kiểm toán, luật sư và chuyên gia kỹ thuật khi cần thiết; cho cơ quan nhà nước có thẩm quyền; cho các bên liên quan trong giao dịch doanh nghiệp như sáp nhập, mua bán, tái cấu trúc nếu pháp luật cho phép và có biện pháp bảo đảm phù hợp; và cho các bên nhận dữ liệu khác theo sự đồng ý của chủ thể dữ liệu hoặc theo quy định pháp luật.

6.3. Trong trường hợp cần thiết để vận hành Hệ thống, cung cấp dịch vụ hoặc đáp ứng nghĩa vụ pháp lý, JoFi có thể lựa chọn và chỉ định các đối tác, nhà cung cấp dịch vụ hoặc đơn vị hỗ trợ có đủ năng lực chuyên môn, có cam kết bảo mật và đáp ứng các tiêu chuẩn an toàn thông tin phù hợp để xử lý dữ liệu thay mặt JoFi trong phạm vi được phép. Việc chia sẻ dữ liệu, nếu có, chỉ được thực hiện trên cơ sở cần thiết tối thiểu, với mục đích cụ thể, giới hạn quyền truy cập, giới hạn thời gian lưu giữ và kèm theo các nghĩa vụ hợp đồng hoặc thỏa thuận bảo vệ dữ liệu phù hợp; các bên nhận dữ liệu không được sử dụng dữ liệu cho mục đích riêng, không được bán, chuyển nhượng, tiết lộ lại hoặc khai thác thương mại trái phép, trừ trường hợp có chấp thuận hợp lệ của chủ thể dữ liệu hoặc có yêu cầu của pháp luật.

6.4. JoFi không mua bán dữ liệu cá nhân và không cho phép việc sử dụng dữ liệu cá nhân như một hàng hóa thương mại độc lập. Mọi hoạt động chia sẻ dữ liệu phải gắn với mục đích hợp pháp, phạm vi cần thiết và căn cứ pháp lý phù hợp.

6.5. Đối với dữ liệu ứng viên được lưu trong ATS, nhà tuyển dụng chỉ được truy cập, xuất, tải xuống, trích xuất, chia sẻ hoặc sử dụng dữ liệu trong phạm vi phục vụ hoạt động tuyển dụng hợp pháp của chính mình. Nhà tuyển dụng không được sử dụng dữ liệu ứng viên cho mục đích ngoài tuyển dụng, không được công bố công khai, không được tái chia sẻ cho bên thứ ba trái phép và không được lưu giữ dữ liệu sau khi đã hết nhu cầu hợp pháp nếu không còn cơ sở pháp lý khác.

7. Nghĩa vụ của nhà tuyển dụng khi sử dụng ATS

7.1. Nhà tuyển dụng cam kết cung cấp thông tin chính xác, đầy đủ, kịp thời và hợp pháp khi đăng ký tài khoản, xác minh danh tính, cập nhật hồ sơ doanh nghiệp, đăng tin tuyển dụng và sử dụng các tính năng của Hệ thống.

7.2. Nhà tuyển dụng cam kết chỉ tải lên, lưu trữ, chia sẻ hoặc xử lý dữ liệu ứng viên trên ATS khi có cơ sở pháp lý phù hợp, bao gồm thông báo hợp lệ, chấp thuận hợp lệ của ứng viên khi cần thiết và các điều kiện khác theo quy định pháp luật.

7.3. Nhà tuyển dụng không được sử dụng ATS để thu thập dữ liệu ngoài phạm vi tuyển dụng, không được sử dụng dữ liệu ứng viên cho mục đích phân biệt đối xử, quấy rối, lừa đảo, mạo danh, spam, chấm điểm tự động trái phép, hoặc bất kỳ mục đích nào vi phạm pháp luật, đạo đức xã hội hoặc quyền lợi hợp pháp của chủ thể dữ liệu.

7.4. Nhà tuyển dụng chịu trách nhiệm bảo mật tài khoản, mật khẩu, thiết bị truy cập, mã xác thực, quyền phân quyền nội bộ và mọi hành vi được thực hiện thông qua tài khoản của mình. Mọi truy cập trái phép phát sinh từ việc nhà tuyển dụng lơ là bảo mật hoặc chia sẻ thông tin đăng nhập cho người không có thẩm quyền không thuộc trách nhiệm của JoFi, trừ khi do lỗi trực tiếp của JoFi.

7.5. Nếu nhà tuyển dụng phát hiện sự cố dữ liệu, truy cập trái phép, thất thoát hồ sơ, rò rỉ thông tin, hoặc bất kỳ vi phạm nào liên quan đến dữ liệu cá nhân trên Hệ thống, nhà tuyển dụng phải thông báo ngay cho JoFi để phối hợp kiểm tra, ngăn chặn và khắc phục theo quy trình ứng phó sự cố.

7.6. JoFi có quyền tạm ngừng, giới hạn, đình chỉ hoặc chấm dứt quyền truy cập của nhà tuyển dụng nếu có căn cứ hợp lý cho rằng nhà tuyển dụng đã sử dụng Hệ thống trái pháp luật, trái Chính sách này, gây rủi ro bảo mật, hoặc gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu hoặc của JoFi.

8. Chuyển dữ liệu cá nhân ra nước ngoài

8.1. Trong quá trình cung cấp dịch vụ, dữ liệu cá nhân có thể được lưu trữ, sao lưu, xử lý hoặc truy cập từ hệ thống đặt tại Việt Nam hoặc tại nước ngoài, tùy theo cấu hình hạ tầng, nhà cung cấp dịch vụ, hệ thống phân tích, công cụ hỗ trợ kỹ thuật hoặc yêu cầu vận hành thực tế của JoFi.

8.2. Trường hợp phát sinh việc chuyển dữ liệu cá nhân ra nước ngoài, JoFi sẽ thực hiện các biện pháp, thủ tục và hồ sơ cần thiết theo quy định pháp luật hiện hành, bao gồm việc đánh giá điều kiện chuyển dữ liệu, thông báo hoặc đăng ký với cơ quan có thẩm quyền khi pháp luật yêu cầu, áp dụng biện pháp bảo vệ phù hợp và yêu cầu bên nhận dữ liệu ở nước ngoài cam kết bảo mật, giới hạn mục đích và áp dụng tiêu chuẩn bảo vệ tương đương.

8.3. JoFi chỉ thực hiện chuyển dữ liệu ra nước ngoài khi việc chuyển đó là cần thiết cho mục đích cung cấp dịch vụ, lưu trữ, quản trị hạ tầng, hỗ trợ kỹ thuật, sao lưu, an ninh mạng, phân tích dữ liệu hoặc các mục đích hợp pháp khác, đồng thời không làm phương hại đến quyền và lợi ích hợp pháp của chủ thể dữ liệu.

8.4. Khi pháp luật yêu cầu, JoFi sẽ thông báo cho chủ thể dữ liệu về việc chuyển dữ liệu ra nước ngoài, bao gồm quốc gia hoặc vùng lãnh thổ tiếp nhận, loại dữ liệu được chuyển, mục đích chuyển, thời hạn lưu trữ dự kiến, biện pháp bảo vệ áp dụng và thông tin liên hệ để thực hiện quyền liên quan.

9. Thời hạn lưu trữ dữ liệu

9.1. JoFi chỉ lưu trữ dữ liệu cá nhân trong thời gian cần thiết để thực hiện mục đích thu thập, cung cấp dịch vụ, vận hành Hệ thống, thực hiện nghĩa vụ pháp lý, giải quyết tranh chấp, bảo vệ quyền và lợi ích hợp pháp của JoFi hoặc của các bên liên quan, hoặc trong thời hạn khác theo quy định pháp luật; khi mục đích xử lý đã hoàn tất hoặc thời hạn lưu giữ đã hết, JoFi sẽ xóa, hủy, ẩn danh hóa hoặc tách định danh dữ liệu theo quy trình nội bộ và theo yêu cầu của pháp luật.

9.2. Đối với tài khoản nhà tuyển dụng, dữ liệu sẽ được lưu trữ trong suốt thời gian tài khoản còn hoạt động và trong thời hạn 90 ngày kể từ ngày tài khoản chấm dứt để phục vụ việc đối chiếu giao dịch, giải quyết khiếu nại, kiểm toán, thực hiện nghĩa vụ pháp lý hoặc bảo vệ quyền và lợi ích hợp pháp của các bên, trừ trường hợp pháp luật yêu cầu lưu giữ lâu hơn.

9.3. Đối với dữ liệu ứng viên lưu trong ATS, thời hạn lưu trữ do nhà tuyển dụng quyết định trong khuôn khổ pháp luật và thỏa thuận dịch vụ với JoFi. Khi nhà tuyển dụng yêu cầu xóa, ẩn, hủy, xuất hoặc chuyển dữ liệu, JoFi sẽ thực hiện theo quy trình kỹ thuật và quy định pháp luật hiện hành, trừ trường hợp phải lưu giữ theo nghĩa vụ pháp luật hoặc yêu cầu giải quyết tranh chấp.

9.4. Khi hết thời hạn lưu trữ, JoFi sẽ xóa, hủy, ẩn danh hóa hoặc tách định danh dữ liệu cá nhân theo quy trình nội bộ và tiêu chuẩn kỹ thuật phù hợp, trừ trường hợp pháp luật yêu cầu lưu giữ lâu hơn.

10. Biện pháp bảo mật dữ liệu

10.1. JoFi áp dụng các biện pháp quản lý, kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, tiết lộ trái phép, thay đổi trái phép, mất mát, phá hủy, sao chép trái phép hoặc các rủi ro an toàn thông tin khác.

10.2. Các biện pháp bảo mật có thể bao gồm nhưng không giới hạn ở phân quyền truy cập theo vai trò, xác thực nhiều lớp, mã hóa dữ liệu, ghi nhật ký truy cập, giới hạn phiên làm việc, kiểm soát thiết bị, giám sát bất thường, sao lưu dự phòng, kiểm thử bảo mật, quét lỗ hổng, quản lý nhà cung cấp, quản lý thay đổi, quy trình ứng phó sự cố và đào tạo nhân sự định kỳ.

10.3. JoFi áp dụng nguyên tắc tối thiểu hóa dữ liệu, giới hạn mục đích, giới hạn truy cập, lưu vết truy cập và tách biệt môi trường hệ thống nhằm giảm thiểu rủi ro xử lý dữ liệu không cần thiết.

10.4. Mặc dù JoFi áp dụng các biện pháp phù hợp, không có hệ thống truyền dẫn hoặc lưu trữ nào có thể bảo đảm an toàn tuyệt đối. Vì vậy, JoFi không cam kết loại trừ hoàn toàn mọi rủi ro phát sinh từ sự cố bất khả kháng, lỗi bên thứ ba, tấn công mạng tinh vi hoặc hành vi vi phạm từ người dùng, nhưng JoFi sẽ nỗ lực hợp lý và kịp thời để phát hiện, ngăn chặn, giảm thiểu và khắc phục hậu quả.

11. Quyền của chủ thể dữ liệu

11.1. Tùy theo vai trò pháp lý của từng bên và quy định pháp luật tại từng thời điểm, chủ thể dữ liệu có thể thực hiện các quyền đối với dữ liệu cá nhân của mình, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền hạn chế xử lý, quyền phản đối xử lý trong trường hợp pháp luật cho phép, quyền yêu cầu cung cấp hoặc sao chép dữ liệu, quyền rút lại sự đồng ý, quyền khiếu nại, tố cáo, khởi kiện và các quyền khác theo quy định pháp luật.

11.2. JoFi tiếp nhận và xử lý yêu cầu thực hiện quyền của chủ thể dữ liệu trong thời hạn hợp lý và theo trình tự do pháp luật quy định, với điều kiện yêu cầu đó phải được gửi bởi chủ thể dữ liệu hoặc người đại diện hợp pháp có đủ thẩm quyền, kèm theo thông tin xác minh cần thiết để bảo đảm an toàn dữ liệu.

11.3. Đối với dữ liệu ứng viên do nhà tuyển dụng đưa lên ATS, việc thực hiện quyền của ứng viên có thể cần sự phối hợp giữa JoFi và nhà tuyển dụng, tùy thuộc vào vai trò của từng bên đối với dữ liệu liên quan. Trường hợp nhà tuyển dụng là bên kiểm soát độc lập đối với dữ liệu ứng viên, JoFi có thể chuyển tiếp yêu cầu của chủ thể dữ liệu đến nhà tuyển dụng để xử lý trong phạm vi trách nhiệm tương ứng.

11.4. JoFi có quyền từ chối, trì hoãn hoặc chỉ thực hiện một phần yêu cầu nếu yêu cầu không hợp lệ, xâm phạm quyền và lợi ích hợp pháp của bên khác, gây ảnh hưởng đến an ninh hệ thống, vi phạm nghĩa vụ pháp luật phải lưu trữ, hoặc thuộc trường hợp pháp luật cho phép hạn chế.

12. Cơ chế chấp thuận và rút lại chấp thuận

12.1. Khi pháp luật yêu cầu chấp thuận, JoFi sẽ bảo đảm việc xin chấp thuận được thực hiện trên cơ sở tự nguyện, có thông tin đầy đủ, rõ ràng, cụ thể, dễ hiểu và có thể chứng minh được.

12.2. Chấp thuận có thể được thể hiện bằng hình thức điện tử, đánh dấu lựa chọn, ký số, xác nhận qua giao diện hệ thống, gửi thư điện tử, hoặc các hình thức khác phù hợp với quy định pháp luật và tính chất của dịch vụ.

12.3. Chủ thể dữ liệu có quyền rút lại chấp thuận bất kỳ lúc nào đối với các hoạt động xử lý dựa trên chấp thuận, bằng cách gửi yêu cầu cho JoFi theo thông tin liên hệ công bố trên Hệ thống hoặc sử dụng tính năng kỹ thuật mà JoFi cung cấp, nếu có.

12.4. Việc rút lại chấp thuận không làm ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được thực hiện trước thời điểm rút lại. Tuy nhiên, trong một số trường hợp, việc rút lại chấp thuận có thể làm JoFi không thể tiếp tục cung cấp một phần hoặc toàn bộ dịch vụ liên quan.

12.5. Đối với nhà tuyển dụng, việc đưa dữ liệu ứng viên lên ATS chỉ được thực hiện khi nhà tuyển dụng đã hoàn tất nghĩa vụ thông báo và xin chấp thuận, nếu chấp thuận là căn cứ pháp lý cần thiết. JoFi có quyền yêu cầu nhà tuyển dụng chứng minh nguồn gốc hợp pháp của dữ liệu khi có dấu hiệu rủi ro.

13. Cookie và công nghệ theo dõi

13.1. JoFi có thể sử dụng cookie, pixel, mã theo dõi, local storage, log files, SDK, tag và các công nghệ tương tự để vận hành Hệ thống, ghi nhớ phiên đăng nhập, bảo đảm an ninh, phân tích mức độ sử dụng, cá nhân hóa trải nghiệm, đo lường hiệu quả và hỗ trợ các tính năng kỹ thuật khác.

13.2. Cookie cần thiết được sử dụng để bảo đảm Hệ thống vận hành ổn định, duy trì phiên đăng nhập, bảo mật tài khoản và thực hiện các chức năng cơ bản. Cookie không cần thiết, bao gồm cookie phân tích, tối ưu hóa hoặc quảng cáo, chỉ được sử dụng khi pháp luật yêu cầu chấp thuận hoặc khi người dùng đã lựa chọn cho phép.

13.3. Người dùng có thể điều chỉnh trình duyệt hoặc thiết bị để chặn, xóa hoặc giới hạn cookie. Tuy nhiên, việc vô hiệu hóa một số cookie có thể ảnh hưởng đến khả năng vận hành của Hệ thống hoặc làm giảm một phần tiện ích của dịch vụ.

14. Dữ liệu cá nhân của trẻ em

14.1. Hệ thống của JoFi không được thiết kế cho việc sử dụng bởi trẻ em với tư cách là người dùng nhà tuyển dụng. JoFi không chủ đích thu thập dữ liệu cá nhân của trẻ em trên cổng dành cho nhà tuyển dụng.

14.2. Trường hợp dữ liệu của trẻ em phát sinh một cách tình cờ trong hồ sơ ứng viên, trong tài liệu đính kèm hoặc trong nội dung do nhà tuyển dụng tải lên, nhà tuyển dụng có trách nhiệm bảo đảm đã thực hiện nghĩa vụ pháp lý liên quan đến thông báo, chấp thuận của cha, mẹ hoặc người giám hộ, và các yêu cầu bảo vệ khác theo quy định pháp luật.

14.3. Khi phát hiện dữ liệu trẻ em được xử lý không có cơ sở pháp lý phù hợp, JoFi có thể yêu cầu làm rõ, tạm hạn chế xử lý hoặc xóa dữ liệu đó theo quy trình nội bộ và quy định pháp luật.

15. Trách nhiệm, giới hạn trách nhiệm và miễn trừ hợp lý

15.1. JoFi chỉ chịu trách nhiệm trong phạm vi vai trò của mình là đơn vị vận hành nền tảng, cung cấp công cụ kỹ thuật và xử lý dữ liệu theo mục đích hợp pháp đã công bố. JoFi không chịu trách nhiệm đối với việc nhà tuyển dụng sử dụng dữ liệu ứng viên sai mục đích, vượt phạm vi thỏa thuận, hoặc vi phạm pháp luật trong quá trình tuyển dụng, trừ trường hợp lỗi trực tiếp thuộc về JoFi.

15.2. JoFi không bảo đảm rằng thông tin do nhà tuyển dụng hoặc bên thứ ba tải lên Hệ thống là đầy đủ, chính xác, hợp pháp hoặc không xâm phạm quyền của người khác. Nhà tuyển dụng hoàn toàn chịu trách nhiệm đối với nội dung mình đăng tải, dữ liệu mình cung cấp và mọi quyết định tuyển dụng do mình thực hiện.

15.3. Trong trường hợp nhà tuyển dụng vi phạm pháp luật hoặc vi phạm Chính sách này, JoFi có quyền áp dụng các biện pháp cần thiết theo hợp đồng, theo quy định nội bộ và theo pháp luật, bao gồm cảnh báo, tạm khóa tài khoản, giới hạn chức năng, gỡ bỏ nội dung, lưu vết phục vụ điều tra hoặc báo cáo cho cơ quan có thẩm quyền khi cần thiết.

16. Cập nhật Chính sách

16.1. JoFi có quyền sửa đổi, bổ sung, thay thế hoặc cập nhật Chính sách này vào bất kỳ thời điểm nào để phản ánh thay đổi của pháp luật, thay đổi về hệ thống kỹ thuật, thay đổi về phương thức cung cấp dịch vụ hoặc thay đổi về nhu cầu quản trị rủi ro.

16.2. Khi có thay đổi quan trọng, JoFi sẽ thông báo hợp lý bằng một hoặc nhiều phương thức phù hợp, bao gồm đăng tải trên Hệ thống, gửi thư điện tử, thông báo trong tài khoản hoặc hình thức khác theo lựa chọn của JoFi và mức độ ảnh hưởng của thay đổi.

16.3. Việc tiếp tục sử dụng Hệ thống sau khi Chính sách được cập nhật được hiểu là nhà tuyển dụng đã đọc, hiểu và chấp nhận bản Chính sách cập nhật, trừ khi pháp luật yêu cầu một cơ chế chấp thuận riêng biệt.

17. Thông tin liên hệ và đầu mối bảo vệ dữ liệu cá nhân

17.1. Mọi yêu cầu, thắc mắc, khiếu nại, đề nghị thực hiện quyền liên quan đến dữ liệu cá nhân, hoặc yêu cầu làm rõ về việc xử lý dữ liệu cá nhân trên Cổng Nhà tuyển dụng và ATS, người dùng có thể gửi đến bộ phận phụ trách bảo vệ dữ liệu cá nhân hoặc bộ phận pháp chế của JoFi theo thông tin liên hệ được JoFi công bố chính thức trên Hệ thống.

17.2. JoFi chỉ tiếp nhận yêu cầu hợp lệ từ chủ thể dữ liệu hoặc người đại diện hợp pháp có thẩm quyền. JoFi có thể yêu cầu bổ sung thông tin xác minh danh tính trước khi xử lý yêu cầu để bảo vệ an toàn cho dữ liệu cá nhân.

17.3. JoFi sẽ nỗ lực phản hồi trong thời hạn hợp lý và phù hợp với quy định pháp luật áp dụng tại thời điểm tiếp nhận yêu cầu.