STEPTechnology

Thỏa thuận xử lý dữ liệu cá nhân (DPA)

Cập nhật lần cuối: 27/05/2026

Phân định vai trò và nghĩa vụ khi STEP xử lý dữ liệu cá nhân thay mặt Khách hàng doanh nghiệp, theo Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) và Nghị định 356/2025/NĐ-CP.

1. Mục đích & phạm vi

Thỏa thuận xử lý dữ liệu cá nhân ('DPA') áp dụng khi Khách hàng — thường là doanh nghiệp — sử dụng dịch vụ của STEP để lưu trữ, xử lý dữ liệu cá nhân của bên thứ ba (nhân viên, khách hàng của Khách hàng...). DPA bổ sung cho Điều khoản dịch vụ và Chính sách bảo mật.

DPA được lập theo Điều 37 Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) và Nghị định 356/2025/NĐ-CP.

2. Phân định vai trò

  • Khách hàng là Bên Kiểm soát dữ liệu — quyết định mục đích và phương tiện xử lý đối với dữ liệu cá nhân mà Khách hàng đưa lên hạ tầng STEP.
  • STEP là Bên Xử lý dữ liệu — xử lý dữ liệu thay mặt và theo chỉ dẫn hợp pháp của Khách hàng, trong phạm vi cung cấp dịch vụ (lưu trữ, vận hành hạ tầng).
  • Đối với dữ liệu STEP tự thu thập để cung cấp dịch vụ (thông tin tài khoản, hóa đơn của Khách hàng), STEP là Bên Kiểm soát và áp dụng Chính sách bảo mật.

3. Nghĩa vụ của STEP (Bên Xử lý)

  • Chỉ xử lý dữ liệu theo mục đích cung cấp dịch vụ và chỉ dẫn hợp pháp của Khách hàng; không sử dụng cho mục đích riêng.
  • Áp dụng biện pháp kỹ thuật và tổ chức hợp lý để bảo vệ dữ liệu: phân quyền truy cập, mã hóa kênh truyền, sao lưu, giám sát.
  • Lưu trữ dữ liệu tại datacenter ở Việt Nam, không chuyển ra ngoài lãnh thổ (xem Chính sách bảo mật).
  • Hỗ trợ Khách hàng đáp ứng yêu cầu của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa) trong phạm vi kỹ thuật.
  • Thông báo cho Khách hàng khi phát hiện sự cố liên quan đến dữ liệu, để Khách hàng thực hiện nghĩa vụ thông báo theo luật.
  • Xóa hoặc trả lại dữ liệu khi kết thúc dịch vụ theo yêu cầu hợp lý của Khách hàng, trừ phần phải lưu giữ theo nghĩa vụ pháp luật.

4. Nghĩa vụ của Khách hàng (Bên Kiểm soát)

  • Bảo đảm có cơ sở pháp lý hợp lệ (sự đồng ý của chủ thể dữ liệu hoặc căn cứ khác) để thu thập và đưa dữ liệu cá nhân lên hạ tầng STEP.
  • Cung cấp chỉ dẫn xử lý hợp pháp; chịu trách nhiệm về nội dung và tính hợp pháp của dữ liệu mình kiểm soát.
  • Thực hiện nghĩa vụ thông báo cho chủ thể dữ liệu và cơ quan chức năng khi pháp luật yêu cầu.

5. Đối tác xử lý phụ

STEP có thể sử dụng đối tác xử lý phụ cần thiết để vận hành dịch vụ (ví dụ dịch vụ gửi email giao dịch, dịch vụ bảo vệ/CDN) với cam kết bảo mật tương ứng và ở mức dữ liệu tối thiểu cần thiết.

6. Thời hạn & chấm dứt

DPA có hiệu lực trong suốt thời gian STEP xử lý dữ liệu cá nhân thay mặt Khách hàng và chấm dứt khi dịch vụ kết thúc, dữ liệu đã được xử lý theo Mục 3.

7. Ký kết & liên hệ

Khách hàng doanh nghiệp cần ký DPA bằng văn bản riêng, vui lòng liên hệ CÔNG TY CỔ PHẦN ĐẦU TƯ CÔNG NGHỆ STEP — Email: [email protected] · ĐT/Zalo: 0985 636 289. STEP cung cấp bản DPA phù hợp với dịch vụ Khách hàng sử dụng.