Chính sách bảo mật

1. Giới thiệu

Carptech ("chúng tôi", "của chúng tôi") cam kết bảo vệ quyền riêng tư và bảo mật thông tin cá nhân của bạn. Chính sách bảo mật này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin của bạn khi bạn sử dụng website carptech.vn và các dịch vụ của chúng tôi.

Là một công ty chuyên về Data Platform, chúng tôi hiểu rõ tầm quan trọng của việc bảo vệ dữ liệu và cam kết tuân thủ các quy định về bảo vệ dữ liệu cá nhân bao gồm PDPA (Personal Data Protection Act) và GDPR (khi áp dụng).

2. Thông tin chúng tôi thu thập

2.1. Thông tin bạn cung cấp trực tiếp

Khi bạn liên hệ với chúng tôi hoặc sử dụng dịch vụ, chúng tôi có thể thu thập:

• Họ tên và thông tin liên hệ (email, số điện thoại)
• Tên công ty và vị trí công việc
• Thông tin về nhu cầu dịch vụ của bạn
• Thông tin trong các form liên hệ, đăng ký tư vấn
• Nội dung trao đổi qua email hoặc các kênh liên lạc khác

📋 Thông tin tuyển dụng (khi bạn ứng tuyển vào Carptech)

Khi bạn ứng tuyển vào các vị trí tuyển dụng thông qua website carptech.vn/careers, chúng tôi thu thập:

• Thông tin cá nhân: Họ tên, email, số điện thoại, địa chỉ
• CV/Resume: File PDF hoặc Word chứa lịch sử làm việc, học vấn, kỹ năng (tối đa 1MB)
• Hồ sơ chuyên môn: LinkedIn profile, Portfolio/GitHub URL
• Cover Letter: Thư xin việc và động lực ứng tuyển (tùy chọn)
• Metadata: Ngày ứng tuyển, vị trí ứng tuyển, nguồn ứng tuyển

Lưu ý: CV của bạn có thể chứa dữ liệu nhạy cảm (sensitive data) như ngày sinh, giới tính, quốc tịch. Chúng tôi chỉ xử lý những thông tin này trong phạm vi cần thiết cho quá trình tuyển dụng.

2.2. Thông tin thu thập tự động

Khi bạn truy cập website của chúng tôi, chúng tôi có thể tự động thu thập:

• Thông tin kỹ thuật: địa chỉ IP, loại trình duyệt, hệ điều hành
• Dữ liệu về cách bạn sử dụng website (thời gian truy cập, trang đã xem, đường dẫn điều hướng)
• Cookies và công nghệ theo dõi tương tự (thông qua Google Tag Manager, Google Analytics)
• Referrer URL (trang web giới thiệu bạn đến website của chúng tôi)
• Tương tác với email marketing (thông qua Brevo/Sendinblue - nếu bạn đăng ký nhận tin)

Lưu ý: Bạn có toàn quyền kiểm soát việc thu thập thông tin tự động thông qua consent banner xuất hiện khi lần đầu truy cập website. Bạn có thể chọn chấp nhận hoặc từ chối các loại cookies khác nhau.

2.3. Thông tin từ bên thứ ba

Chúng tôi có thể nhận thông tin về bạn từ các nguồn công khai hoặc từ các đối tác kinh doanh (ví dụ: LinkedIn cho mục đích B2B marketing).

3. Cách chúng tôi sử dụng thông tin

Chúng tôi sử dụng thông tin của bạn cho các mục đích sau:

Cung cấp dịch vụ: Phản hồi yêu cầu tư vấn, thực hiện hợp đồng dịch vụ, giao tiếp về dự án
Tuyển dụng: Đánh giá hồ sơ ứng tuyển, liên hệ phỏng vấn, xử lý quá trình tuyển dụng, lưu trữ hồ sơ ứng viên
Cải thiện dịch vụ: Phân tích cách sử dụng website để cải thiện trải nghiệm người dùng và phát triển dịch vụ mới
Marketing và truyền thông: Gửi thông tin về dịch vụ, case studies, blog posts (chỉ khi bạn đồng ý)
Tuân thủ pháp luật: Đáp ứng các yêu cầu pháp lý và bảo vệ quyền lợi hợp pháp của chúng tôi
Bảo mật: Phát hiện và ngăn chặn gian lận, lạm dụng hoặc các hoạt động bất hợp pháp

🔒 Cam kết về CV và dữ liệu tuyển dụng

• CV của bạn chỉ được sử dụng cho mục đích tuyển dụng
• Chỉ HR team và hiring managers có quyền truy cập vào hồ sơ ứng tuyển
• Chúng tôi không bao giờ bán, chia sẻ hoặc công khai CV của bạn cho bên thứ ba
• CV không được dùng cho mục đích marketing, quảng cáo hoặc profiling
• Bạn có thể yêu cầu xóa CV và hồ sơ ứng tuyển bất kỳ lúc nào

4. Cơ sở pháp lý để xử lý dữ liệu

Chúng tôi xử lý dữ liệu cá nhân của bạn dựa trên các cơ sở pháp lý sau:

Sự đồng ý: Khi bạn đồng ý cho chúng tôi xử lý dữ liệu (ví dụ: subscribe newsletter)
Thực hiện hợp đồng: Cần thiết để cung cấp dịch vụ bạn yêu cầu
Lợi ích hợp pháp: Để vận hành và cải thiện dịch vụ của chúng tôi
Nghĩa vụ pháp lý: Tuân thủ các yêu cầu của pháp luật

5. Chia sẻ thông tin

Chúng tôi không bán hoặc cho thuê thông tin cá nhân của bạn. Chúng tôi chỉ chia sẻ thông tin trong các trường hợp sau:

Nhà cung cấp dịch vụ: Với các đối tác tin cậy giúp chúng tôi vận hành website và cung cấp dịch vụ (ví dụ: hosting provider, Google Tag Manager, Google Analytics, Brevo/Sendinblue cho email marketing). Các bên này có nghĩa vụ bảo mật thông tin và chỉ xử lý dữ liệu theo chỉ dẫn của chúng tôi.
Yêu cầu pháp lý: Khi cần thiết để tuân thủ luật pháp, quy định hoặc lệnh của cơ quan có thẩm quyền
Bảo vệ quyền lợi: Để bảo vệ quyền, tài sản hoặc an toàn của Carptech, khách hàng hoặc công chúng
Chuyển giao kinh doanh: Trong trường hợp sáp nhập, mua bán hoặc chuyển nhượng tài sản

6. Bảo mật thông tin

Chúng tôi áp dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ thông tin cá nhân của bạn khỏi truy cập trái phép, mất mát, thay đổi hoặc tiết lộ, bao gồm:

• Mã hóa dữ liệu khi truyền tải (SSL/TLS)
• Kiểm soát truy cập nghiêm ngặt (chỉ nhân viên cần thiết mới được truy cập)
• Firewall và các biện pháp bảo mật mạng
• Đào tạo nhân viên về bảo mật và bảo vệ dữ liệu
• Rà soát và kiểm tra bảo mật định kỳ
• Backup dữ liệu thường xuyên

Tuy nhiên, không có phương pháp truyền tải qua Internet hoặc lưu trữ điện tử nào là 100% an toàn. Chúng tôi không thể đảm bảo tuyệt đối tính bảo mật.

7. Lưu trữ dữ liệu

Chúng tôi chỉ lưu trữ thông tin cá nhân của bạn trong thời gian cần thiết để đạt được các mục đích được nêu trong chính sách này, hoặc theo yêu cầu của pháp luật.

• Thông tin khách hàng: Trong suốt thời gian hợp đồng và thêm 5 năm sau đó (để mục đích pháp lý và kế toán)
• Dữ liệu marketing: Cho đến khi bạn rút lại sự đồng ý hoặc yêu cầu xóa
• Website analytics: Thường lưu trữ 24-26 tháng

7.1. Lưu trữ dữ liệu tuyển dụng (CV và hồ sơ ứng viên)

Chúng tôi có chính sách riêng biệt cho dữ liệu tuyển dụng để đảm bảo quyền riêng tư và bảo vệ thông tin nhạy cảm của ứng viên:

🗄️ Lưu trữ và bảo mật

• Nơi lưu trữ: CV được gửi qua email attachment đến hệ thống email bảo mật của chúng tôi (Brevo), tuân thủ tiêu chuẩn ISO 27001
• Mã hóa: CV được mã hóa khi truyền tải (TLS/SSL) và lưu trữ trong môi trường bảo mật
• Kiểm soát truy cập: Chỉ HR team và hiring managers được phê duyệt mới có quyền truy cập vào hồ sơ ứng tuyển
• Giới hạn file: Chỉ chấp nhận file PDF, DOC, DOCX với kích thước tối đa 1MB để đảm bảo an toàn

⏰ Thời gian lưu trữ

• Ứng viên được tuyển dụng: Hồ sơ được chuyển sang hồ sơ nhân viên và lưu trữ theo quy định lao động (tối thiểu 3 năm sau khi kết thúc hợp đồng)
• Ứng viên không được tuyển: CV và thông tin liên quan được lưu trữ tối đa 6 tháng kể từ ngày ứng tuyển
• Sau 6 tháng: Hệ thống tự động xóa hoặc anonymize dữ liệu, trừ khi bạn cho phép lưu trữ lâu hơn (ví dụ: để xem xét cho các vị trí tương lai)

💡 Lưu ý: Nếu bạn muốn CV được lưu trữ lâu hơn cho các cơ hội tuyển dụng tương lai, vui lòng liên hệ với chúng tôi qua email ta@carp.vn

🗑️ Xóa dữ liệu theo yêu cầu

Bạn có quyền tuyệt đối yêu cầu xóa CV và hồ sơ ứng tuyển của mình bất kỳ lúc nào:

• Gửi email đến ta@carp.vn với tiêu đề "Yêu cầu xóa hồ sơ ứng tuyển"
• Cung cấp: Họ tên, email đã dùng để ứng tuyển, vị trí ứng tuyển
• Chúng tôi sẽ xóa hoàn toàn trong vòng 7 ngày làm việc và gửi email xác nhận
• Sau khi xóa, dữ liệu không thể khôi phục và bạn sẽ không còn trong hệ thống ứng viên của chúng tôi

📧 Email thông báo và communication

• Email xác nhận: Ngay sau khi bạn ứng tuyển, chúng tôi gửi email xác nhận đã nhận hồ sơ
• Email tuyển dụng: Nếu hồ sơ phù hợp, chúng tôi sẽ liên hệ trong vòng 3 ngày làm việc để phỏng vấn
• Tracking: Email có thể chứa tracking pixel để xác nhận bạn đã nhận được (bạn có thể tắt tính năng này trong email client)
• No spam: Chúng tôi chỉ gửi email liên quan đến vị trí bạn ứng tuyển, không gửi marketing hoặc promotional emails

⚠️ Dữ liệu nhạy cảm (Sensitive Data)

Theo PDPA và GDPR, một số thông tin trong CV được coi là dữ liệu nhạy cảm (sensitive personal data), bao gồm:

• Ngày sinh, tuổi, giới tính
• Tình trạng hôn nhân, gia đình
• Quốc tịch, chủng tộc
• Tôn giáo, quan điểm chính trị
• Sức khỏe, khuyết tật
• Tiền án tiền sự (nếu có)

✓ Chúng tôi chỉ xử lý những thông tin này nếu bạn tự nguyện cung cấp trong CV và chỉ sử dụng cho mục đích đánh giá phù hợp với vị trí ứng tuyển (ví dụ: kinh nghiệm, trình độ học vấn).

Khuyến nghị: Bạn có thể loại bỏ các thông tin nhạy cảm không cần thiết (như ảnh, ngày sinh, tình trạng hôn nhân) khỏi CV trước khi ứng tuyển.

🔐 Biện pháp bảo mật bổ sung cho CV

• File validation: Tự động scan virus và malware trước khi lưu trữ
• Access logs: Ghi nhận mọi truy cập vào hồ sơ ứng viên (ai, khi nào, mục đích gì)
• Audit trail: Lưu vết toàn bộ quá trình xử lý dữ liệu tuyển dụng để kiểm tra compliance
• Data anonymization: Sau 6 tháng, nếu không xóa hoàn toàn, dữ liệu được anonymize (loại bỏ thông tin định danh)
• No third-party access: CV không được chia sẻ với recruitment agencies hoặc bên thứ ba trừ khi có sự đồng ý rõ ràng

8. Quyền của bạn

Theo luật bảo vệ dữ liệu, bạn có các quyền sau:

Quyền truy cập: Yêu cầu bản sao dữ liệu cá nhân mà chúng tôi lưu trữ về bạn
Quyền sửa đổi: Yêu cầu chỉnh sửa thông tin không chính xác hoặc không đầy đủ
Quyền xóa: Yêu cầu xóa dữ liệu cá nhân của bạn (trong một số trường hợp nhất định)
Quyền hạn chế xử lý: Yêu cầu hạn chế cách chúng tôi sử dụng dữ liệu của bạn
Quyền di chuyển dữ liệu: Nhận dữ liệu cá nhân của bạn ở định dạng có cấu trúc, thông dụng
Quyền phản đối: Phản đối việc xử lý dữ liệu của bạn trong một số tình huống
Quyền rút lại sự đồng ý: Rút lại sự đồng ý bất kỳ lúc nào (không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó)

Để thực hiện các quyền này, vui lòng liên hệ với chúng tôi qua email: hello@carptech.vn

9. Email Marketing và Communication

Chúng tôi sử dụng Brevo (trước đây là Sendinblue) để gửi email marketing, newsletter và thông tin về dịch vụ.

Khi nào chúng tôi gửi email:

• Khi bạn đăng ký nhận newsletter hoặc tài liệu từ website
• Khi bạn yêu cầu tư vấn hoặc liên hệ với chúng tôi qua form
• Để gửi thông tin về dịch vụ, blog posts, case studies

Quyền của bạn:

• Bạn có thể hủy đăng ký (unsubscribe) bất kỳ lúc nào thông qua link ở cuối mỗi email
• Chúng tôi theo dõi tương tác email (mở email, click link) để cải thiện nội dung
• Dữ liệu của bạn được xử lý theo chính sách bảo mật của Brevo

10. Cookies và công nghệ theo dõi

Website của chúng tôi sử dụng cookies và các công nghệ tương tự (bao gồm Google Tag Manager, Google Analytics, và các tracking pixels). Vui lòng xem Chính sách Cookie của chúng tôi để biết thêm chi tiết về cách chúng tôi sử dụng cookies và cách bạn có thể kiểm soát chúng.

Quản lý Cookie Preferences:

• Sử dụng consent banner xuất hiện khi lần đầu truy cập website
• Chọn "Tùy chỉnh" để kiểm soát từng loại cookies (phân tích, quảng cáo)
• Chúng tôi tuân thủ Google Consent Mode v2 để đảm bảo quyền riêng tư của bạn

11. Chuyển giao dữ liệu quốc tế

Dữ liệu của bạn có thể được lưu trữ và xử lý tại Việt Nam hoặc các quốc gia khác nơi chúng tôi hoặc nhà cung cấp dịch vụ của chúng tôi hoạt động. Khi chuyển giao dữ liệu ra nước ngoài, chúng tôi đảm bảo áp dụng các biện pháp bảo vệ phù hợp theo yêu cầu của luật pháp.

12. Quyền riêng tư của trẻ em

Dịch vụ của chúng tôi không dành cho trẻ em dưới 18 tuổi. Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ em. Nếu bạn là cha mẹ hoặc người giám hộ và biết rằng con bạn đã cung cấp thông tin cá nhân cho chúng tôi, vui lòng liên hệ với chúng tôi.

13. Thay đổi chính sách bảo mật

Chúng tôi có thể cập nhật Chính sách bảo mật này theo thời gian để phản ánh các thay đổi trong thực tiễn của chúng tôi hoặc vì các lý do hoạt động, pháp lý hoặc quy định khác. Chúng tôi sẽ thông báo cho bạn về bất kỳ thay đổi quan trọng nào bằng cách đăng chính sách mới trên website và cập nhật ngày "Cập nhật lần cuối" ở đầu trang.

14. Liên hệ với chúng tôi

Nếu bạn có bất kỳ câu hỏi, thắc mắc hoặc yêu cầu nào về Chính sách bảo mật này hoặc cách chúng tôi xử lý dữ liệu cá nhân của bạn, vui lòng liên hệ:

Email: hello@carptech.vn

Chủ đề: "Privacy Policy Inquiry"

Chúng tôi sẽ phản hồi yêu cầu của bạn trong vòng 30 ngày.

Cam kết của Carptech: Là một công ty chuyên về Data Platform và Data Governance, chúng tôi hiểu sâu sắc tầm quan trọng của việc bảo vệ dữ liệu. Chúng tôi áp dụng các best practices về data security và privacy không chỉ cho khách hàng mà còn cho chính dữ liệu của họ và của bạn.

Pháp lý