Bảo vệ dữ liệu trong quá trình sử dụng NexGym

Căn cứ và nguyên tắc xử lý

NexGym xử lý dữ liệu theo pháp luật Việt Nam, bao gồm Luật An ninh mạng, Luật An toàn thông tin mạng, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và các quy định liên quan. Dữ liệu chỉ được xử lý cho mục đích đã thông báo, phù hợp với phạm vi dịch vụ và yêu cầu vận hành hợp lệ.

Loại dữ liệu có thể được thu thập

• Thông tin tài khoản: họ tên, email, số điện thoại, vai trò, công ty, chi nhánh và trạng thái tài khoản.
• Dữ liệu vận hành phòng gym: hội viên, nhân viên, lịch tập, gói tập, thẻ hội viên, giao dịch, phiếu, tồn kho, thiết bị, ticket và dữ liệu nghiệp vụ khác do khách hàng nhập lên.
• Dữ liệu kỹ thuật: địa chỉ IP, loại thiết bị, trình duyệt, thời gian truy cập, nhật ký đăng nhập, nhật ký lỗi và hành vi bảo mật bất thường.
• Dữ liệu thanh toán hoặc chứng từ nếu khách hàng sử dụng các tính năng thu phí, hóa đơn, sao lưu, khôi phục hoặc dịch vụ trả phí.
• Nội dung trao đổi hỗ trợ: yêu cầu hỗ trợ, phản hồi, tệp đính kèm và thông tin cần thiết để xử lý sự cố.

Mục đích sử dụng dữ liệu

• Tạo, xác thực, vận hành và bảo vệ tài khoản người dùng.
• Cung cấp các chức năng quản lý phòng gym, hội viên, nhân viên, lịch tập, bán hàng, thiết bị, báo cáo và các module được khách hàng kích hoạt.
• Ghi nhận log phục vụ bảo mật, phát hiện truy cập bất thường, chống gian lận, kiểm tra lỗi và cải thiện độ ổn định hệ thống.
• Thực hiện hỗ trợ kỹ thuật, phản hồi yêu cầu, xử lý khiếu nại và liên hệ khi có sự cố liên quan đến tài khoản hoặc dữ liệu.
• Tuân thủ nghĩa vụ pháp luật, yêu cầu hợp lệ của cơ quan nhà nước có thẩm quyền và các quy định về an ninh mạng, an toàn thông tin, bảo vệ dữ liệu cá nhân.

Trách nhiệm của khách hàng

• Chỉ nhập dữ liệu cá nhân khi có căn cứ pháp lý, thông báo, sự đồng ý hoặc thẩm quyền hợp lệ từ chủ thể dữ liệu.
• Tự chịu trách nhiệm về tính chính xác, hợp pháp, đầy đủ và phạm vi sử dụng của dữ liệu do mình, nhân sự hoặc tài khoản thuộc quyền quản lý nhập lên hệ thống.
• Thiết lập phân quyền nội bộ theo nguyên tắc tối thiểu cần thiết, thu hồi tài khoản khi nhân sự nghỉ việc hoặc không còn nhiệm vụ.
• Không chia sẻ mật khẩu, mã xác thực, tài khoản quản trị hoặc dữ liệu xuất từ hệ thống cho người không có thẩm quyền.
• Thông báo kịp thời cho NexGym khi phát hiện rò rỉ dữ liệu, truy cập trái phép, tài khoản bị chiếm quyền hoặc yêu cầu xử lý dữ liệu không còn hợp lệ.

Bảo vệ và lưu trữ dữ liệu

• Kiểm soát truy cập theo tài khoản và quyền hạn.
• Ghi nhận nhật ký kỹ thuật để phục vụ bảo mật, kiểm tra lỗi và truy vết sự cố.
• Áp dụng các biện pháp kỹ thuật hợp lý để hạn chế truy cập trái phép, mất mát, phá hủy, tiết lộ hoặc sử dụng dữ liệu sai mục đích.
• Giới hạn việc truy cập dữ liệu trong nội bộ NexGym cho nhân sự hoặc nhà thầu có nhu cầu xử lý phù hợp với mục đích vận hành và hỗ trợ.
• Có quyền tạm khóa phiên, tài khoản hoặc tính năng khi phát hiện dấu hiệu rủi ro an toàn thông tin.

Thời gian lưu trữ phụ thuộc vào mục đích xử lý, thời hạn hợp đồng, yêu cầu sao lưu, nghĩa vụ kế toán, bảo mật, giải quyết tranh chấp và yêu cầu pháp luật. Khi không còn cần thiết hoặc không còn căn cứ xử lý, dữ liệu có thể được xóa, ẩn danh, khóa truy cập hoặc lưu trữ hạn chế theo quy trình phù hợp.

Chia sẻ dữ liệu

NexGym không bán dữ liệu cá nhân. Dữ liệu có thể được chia sẻ trong phạm vi cần thiết với nhà cung cấp hạ tầng, dịch vụ gửi email, lưu trữ, thanh toán, phân tích lỗi, nhân sự hỗ trợ hoặc cơ quan nhà nước có thẩm quyền khi có căn cứ hợp lệ. Các bên nhận dữ liệu chỉ được tiếp cận trong phạm vi cần thiết cho mục đích xử lý tương ứng.

Quyền của chủ thể dữ liệu

• Được biết về hoạt động xử lý dữ liệu cá nhân trong phạm vi chính sách này và các thông báo liên quan.
• Yêu cầu truy cập, chỉnh sửa, cập nhật hoặc bổ sung dữ liệu cá nhân nếu dữ liệu chưa chính xác.
• Rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý trong trường hợp pháp luật cho phép và việc rút lại không ảnh hưởng đến nghĩa vụ pháp lý hoặc quyền lợi hợp pháp đã phát sinh.
• Yêu cầu xóa dữ liệu cá nhân trong phạm vi pháp luật cho phép, sau khi đã đối chiếu nghĩa vụ lưu trữ, kế toán, an ninh, tranh chấp và nghĩa vụ hợp đồng.
• Khiếu nại, phản ánh hoặc yêu cầu giải thích về cách NexGym xử lý dữ liệu cá nhân.

Một số yêu cầu có thể cần xác minh danh tính, đối chiếu quyền đại diện hoặc từ chối trong trường hợp pháp luật cho phép, ví dụ dữ liệu cần được giữ để bảo vệ an ninh, thực hiện nghĩa vụ pháp lý, giải quyết tranh chấp hoặc bảo vệ quyền lợi hợp pháp của NexGym và khách hàng.

Sự cố dữ liệu và an toàn thông tin

Khi phát hiện sự cố có nguy cơ ảnh hưởng đến dữ liệu cá nhân hoặc an toàn hệ thống, NexGym sẽ đánh giá mức độ ảnh hưởng, áp dụng biện pháp khắc phục hợp lý, phối hợp với khách hàng và thực hiện thông báo theo yêu cầu pháp luật nếu thuộc trường hợp phải thông báo.

Liên kết và dịch vụ bên thứ ba

Hệ thống có thể tích hợp hoặc dẫn tới dịch vụ của bên thứ ba. Khách hàng cần tự xem xét chính sách bảo mật của bên thứ ba đó. NexGym không chịu trách nhiệm cho hoạt động thu thập, sử dụng hoặc bảo vệ dữ liệu ngoài phạm vi kiểm soát hợp lý của NexGym.

Thay đổi chính sách

NexGym có thể cập nhật chính sách này để phù hợp với sản phẩm, quy trình vận hành và quy định pháp luật. Phiên bản mới có hiệu lực khi được công bố trên website hoặc thông báo qua kênh phù hợp. Việc tiếp tục sử dụng hệ thống sau khi chính sách được cập nhật được xem là chấp thuận nội dung cập nhật.