Hợp đồng xử lý dữ liệu (DPA)

1. Các bên tham gia

Hợp đồng xử lý dữ liệu này (sau đây gọi là "DPA") được ký kết giữa hai bên:

1.1. Bên Kiểm soát Dữ liệu (Data Controller)

Khách hàng doanh nghiệp đã đăng ký tài khoản Zeni Cloud, có thông tin pháp nhân được ghi nhận trong hồ sơ đăng ký gói Enterprise hoặc Pro tại nền tảng. Khách hàng được hiểu là chủ thể quyết định mục đích và phương tiện xử lý dữ liệu cá nhân của khách hàng cuối hoặc nhân viên của mình.

1.2. Bên Xử lý Dữ liệu (Data Processor)

2. Định nghĩa

Trong DPA này, các thuật ngữ sau được hiểu thống nhất với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân:

• Dữ liệu cá nhân: thông tin gắn với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể.
• Chủ thể dữ liệu: cá nhân được dữ liệu cá nhân phản ánh.
• Xử lý dữ liệu cá nhân: bất kỳ thao tác nào trên dữ liệu cá nhân: thu thập, ghi nhận, lưu trữ, sửa đổi, truyền, chia sẻ, công bố, xoá.
• Bên Kiểm soát: chủ thể quyết định mục đích và phương tiện xử lý.
• Bên Xử lý: chủ thể thực hiện xử lý theo chỉ định và thay mặt Bên Kiểm soát.
• Bên xử lý phụ (Sub-processor): bên thứ ba do Bên Xử lý uỷ quyền tham gia xử lý một phần dữ liệu.
• Vi phạm dữ liệu cá nhân: sự cố làm lộ, mất, sửa đổi trái phép, truy cập trái phép dữ liệu cá nhân.
• Dịch vụ: nền tảng Zeni Cloud bao gồm sáu lớp hạ tầng L1 đến L6.

3. Phạm vi và đối tượng xử lý

3.1. Đối tượng dữ liệu

Zeni xử lý dữ liệu cá nhân do Khách hàng tải lên nền tảng để cung cấp Dịch vụ. Đối tượng dữ liệu có thể bao gồm: khách hàng cuối của Khách hàng, nhân viên của Khách hàng, đối tác kinh doanh, nhà cung cấp.

3.2. Loại dữ liệu cá nhân

Khách hàng tự chịu trách nhiệm về tính hợp pháp của việc thu thập dữ liệu cá nhân từ chủ thể dữ liệu, bao gồm việc thông báo và xin đồng ý theo Nghị định 13/2023/NĐ-CP.

3.3. Mục đích xử lý

Zeni xử lý dữ liệu cá nhân chỉ để cung cấp Dịch vụ theo chỉ định của Khách hàng, gồm:

• Lưu trữ dữ liệu trên hạ tầng Cloud Storage, BigQuery, Cloud SQL, Firestore.
• Xử lý truy vấn API và trả kết quả.
• Chạy các agent AI Zeni khi Khách hàng gọi (chỉ khi Khách hàng cấu hình bật).
• Tự động hoá quy trình theo workflow do Khách hàng định nghĩa.
• Sao lưu định kỳ để phòng tránh mất mát dữ liệu.

3.4. Thời gian xử lý

Suốt thời gian Khách hàng còn sử dụng Dịch vụ, cộng thêm 30 ngày grace period và 90 ngày backup theo Mục 7.3 Điều khoản dịch vụ.

4. Nghĩa vụ của Zeni

Zeni cam kết:

4.1. Chỉ xử lý theo chỉ định

Zeni chỉ xử lý dữ liệu cá nhân theo chỉ định bằng văn bản của Khách hàng (bao gồm cả chỉ định qua việc Khách hàng cấu hình tính năng trên nền tảng), trừ trường hợp pháp luật yêu cầu khác. Nếu có quy định pháp luật yêu cầu Zeni xử lý ngoài chỉ định, Zeni sẽ thông báo cho Khách hàng trước khi xử lý, trừ khi pháp luật cấm thông báo đó.

4.2. Bảo mật

Zeni triển khai và duy trì các biện pháp kỹ thuật, tổ chức phù hợp để bảo vệ dữ liệu cá nhân, bao gồm tối thiểu:

• Mã hoá AES-256 ở trạng thái lưu trữ với CMEK theo từng workspace.
• TLS 1.3 ở trạng thái truyền tải.
• Phân quyền RBAC chi tiết, audit log không thể sửa.
• Audit on-chain Polygon cho mọi truy cập của quản trị viên Zeni.
• Pentest định kỳ và bug bounty công khai.
• Đào tạo bảo mật bắt buộc 6 tháng/lần cho mọi nhân sự có quyền truy cập hệ thống.
• Kiểm soát truy cập vật lý tại data center theo chuẩn ISO 27001 (Google Cloud).

4.3. Không sử dụng ngoài mục đích

Zeni cam kết KHÔNG sử dụng dữ liệu cá nhân của Khách hàng cho bất kỳ mục đích nào ngoài việc cung cấp Dịch vụ theo chỉ định. Cụ thể:

• Không bán, không cho thuê, không trao đổi dữ liệu Khách hàng cho bên thứ ba.
• Không sử dụng dữ liệu Khách hàng để cạnh tranh với Khách hàng.
• Không huấn luyện AI trừ khi Khách hàng đã opt-in tại cấu hình workspace, và nếu có thì luôn ẩn danh hoá năm bước trước khi đưa vào kho huấn luyện theo Mục 5 Chính sách bảo mật.

4.4. Cam kết bảo mật của nhân sự

Mọi nhân sự Zeni có khả năng tiếp xúc dữ liệu Khách hàng phải ký NDA và cam kết bảo mật. Vi phạm bảo mật từ phía nhân sự được xử lý theo nội quy lao động và có thể bị truy cứu trách nhiệm pháp lý.

4.5. Hỗ trợ Khách hàng thực hiện quyền của chủ thể dữ liệu

Khi chủ thể dữ liệu của Khách hàng yêu cầu thực hiện quyền (truy cập, chỉnh sửa, xoá, portability) và Khách hàng cần Zeni hỗ trợ kỹ thuật, Zeni cung cấp các công cụ và API tương ứng trong vòng 14 ngày làm việc kể từ ngày nhận yêu cầu.

4.6. Hỗ trợ DPIA và tham vấn

Khi Khách hàng cần thực hiện Đánh giá tác động bảo vệ dữ liệu (DPIA) hoặc tham vấn cơ quan thẩm quyền, Zeni cung cấp các tài liệu kỹ thuật cần thiết về biện pháp bảo mật của mình.

5. Nghĩa vụ của Khách hàng

Khách hàng cam kết:

• Đảm bảo có cơ sở pháp lý hợp lệ để thu thập và chuyển dữ liệu cá nhân cho Zeni xử lý (đồng ý của chủ thể dữ liệu, thực hiện hợp đồng, nghĩa vụ pháp luật, lợi ích sống còn, lợi ích công, lợi ích hợp pháp).
• Thông báo cho chủ thể dữ liệu của mình về việc dữ liệu được xử lý bởi Zeni với vai trò Bên Xử lý, và về quyền của chủ thể dữ liệu.
• Cấu hình bảo mật phù hợp trong dashboard Zeni Cloud (bật xác thực hai lớp, phân quyền hợp lý, không chia sẻ thông tin đăng nhập).
• Không tải lên dữ liệu cá nhân vượt quá phạm vi đã thông báo cho chủ thể dữ liệu.
• Tự chịu trách nhiệm xử lý các yêu cầu thực hiện quyền của chủ thể dữ liệu cuối — Zeni chỉ là công cụ kỹ thuật hỗ trợ.
• Thông báo cho Zeni về các yêu cầu của cơ quan thẩm quyền liên quan đến dữ liệu Khách hàng nếu Khách hàng nhận được yêu cầu trực tiếp (để Zeni hỗ trợ trích xuất dữ liệu nếu cần).

6. Bên xử lý phụ (Sub-processor)

6.1. Danh sách Sub-processor hiện hành

Khách hàng đồng ý cho phép Zeni sử dụng các Sub-processor sau để cung cấp Dịch vụ:

6.2. Cam kết với Sub-processor

Zeni cam kết:

• Ký hợp đồng phụ với mỗi Sub-processor có điều khoản bảo vệ dữ liệu tương đương DPA này.
• Chịu trách nhiệm liên đới đối với hành vi của Sub-processor như đối với hành vi của chính Zeni.
• Thông báo cho Khách hàng tối thiểu 30 ngày trước khi thêm hoặc thay đổi Sub-processor mới có ảnh hưởng đáng kể.
• Khách hàng có quyền phản đối việc thay đổi Sub-processor có lý do chính đáng. Trong trường hợp đó, hai bên thương lượng giải pháp; nếu không đạt thoả thuận, Khách hàng có quyền chấm dứt DPA và Dịch vụ liên quan với hoàn phí phần chưa sử dụng.

7. Chuyển dữ liệu quốc tế

Khi Sub-processor xử lý dữ liệu ngoài Việt Nam (chủ yếu Google Cloud tại us-central1 và các đối tác thanh toán quốc tế), Zeni đảm bảo tuân thủ Nghị định 13/2023/NĐ-CP về chuyển dữ liệu cá nhân ra nước ngoài, bao gồm:

• Mã hoá AES-256 toàn bộ dữ liệu cả trạng thái lưu và truyền.
• CMEK đảm bảo Zeni vẫn kiểm soát khoá ngay cả khi data center ở nước ngoài.
• Hợp đồng phụ với Google Cloud có điều khoản bảo vệ dữ liệu chuẩn (Google Cloud Data Processing Addendum).
• Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Transfer Impact Assessment) cập nhật hằng năm và lưu hồ sơ.
• Khách hàng Enterprise có thể yêu cầu khoá toàn bộ workspace tại region asia-southeast1 (Singapore) để giảm thiểu rủi ro địa chính trị.

8. Quyền kiểm toán

8.1. Audit on-chain bất kỳ lúc nào

Khách hàng có thể tự kiểm tra mọi lượt admin access đối với workspace của mình tại dashboard /app/privacy hoặc trực tiếp trên polygonscan.com với địa chỉ smart contract ZeniAccessControl. Đây là cơ chế kiểm toán liên tục, không cần xin phép.

8.2. Báo cáo SOC 2 hằng năm

Zeni cam kết công bố báo cáo SOC 2 Type II hằng năm sau khi đạt chứng nhận (dự kiến từ năm 2027). Khách hàng Enterprise có quyền yêu cầu bản đầy đủ kèm NDA.

8.3. Audit on-site

Khách hàng Enterprise có quyền yêu cầu audit on-site tại trụ sở Zeni Cloud không quá một lần mỗi năm, sau khi báo trước tối thiểu 60 ngày, với chi phí do Khách hàng tự chi trả. Audit chỉ tập trung vào quy trình bảo mật, không can thiệp vào hệ thống production. Phạm vi audit phải được hai bên thống nhất bằng văn bản trước.

8.4. Audit gián tiếp qua bên thứ ba

Khách hàng có thể uỷ quyền cho công ty kiểm toán độc lập có chứng chỉ phù hợp thực hiện audit thay mặt mình. Công ty kiểm toán phải ký NDA với Zeni trước khi tiếp cận thông tin.

9. Vi phạm dữ liệu cá nhân

9.1. Cam kết thông báo 72 giờ

Khi phát hiện vi phạm dữ liệu cá nhân có thể ảnh hưởng đến Khách hàng, Zeni cam kết:

• Thông báo cho Khách hàng trong vòng 72 giờ kể từ thời điểm phát hiện qua email DPO của Khách hàng và email Owner tài khoản.
• Cung cấp thông tin: bản chất vi phạm, loại dữ liệu bị ảnh hưởng, số lượng chủ thể dữ liệu ước tính, hệ quả có thể xảy ra, biện pháp đã và sẽ thực hiện.
• Hỗ trợ Khách hàng trong việc thông báo cho cơ quan thẩm quyền (Cục An ninh mạng A05) và chủ thể dữ liệu cuối nếu cần.
• Cập nhật tiến độ điều tra và khắc phục theo định kỳ cho đến khi sự cố đóng.

9.2. Trách nhiệm khắc phục

Zeni chịu chi phí điều tra, khắc phục kỹ thuật, và (nếu cần) chi phí thông báo cho chủ thể dữ liệu trong phạm vi vi phạm xuất phát từ lỗi của Zeni.

10. Chấm dứt và xử lý dữ liệu sau chấm dứt

Sau khi DPA hoặc hợp đồng dịch vụ chấm dứt vì bất kỳ lý do gì, Zeni thực hiện theo chỉ định của Khách hàng:

• Hoàn trả dữ liệu: Zeni hỗ trợ Khách hàng xuất toàn bộ dữ liệu theo định dạng máy đọc được (JSON, CSV, hoặc dump database) trong vòng 30 ngày grace period.
• Xoá vĩnh viễn: Sau khi Khách hàng xác nhận đã xuất xong, hoặc sau khi 30 ngày grace period kết thúc, Zeni xoá toàn bộ dữ liệu khỏi production. Bản backup được giữ tối đa 90 ngày trước khi xoá hoàn toàn.
• Xác nhận xoá: Khách hàng có thể yêu cầu Zeni cung cấp văn bản xác nhận đã xoá xong, có chữ ký DPO.
• Ngoại lệ: Zeni vẫn lưu dữ liệu giao dịch tài chính tối thiểu bảy năm theo Luật Kế toán Việt Nam, và lưu hồ sơ DPA tối thiểu 10 năm theo Bộ luật Dân sự.

11. Trách nhiệm và bồi thường

11.1. Phạm vi trách nhiệm

Mỗi bên chịu trách nhiệm về thiệt hại trực tiếp do vi phạm DPA này gây ra. Trách nhiệm bao gồm: chi phí điều tra, chi phí khắc phục, tiền phạt từ cơ quan thẩm quyền, bồi thường cho chủ thể dữ liệu được toà án quyết định.

11.2. Mức trần

Tổng trách nhiệm tối đa của Zeni đối với Khách hàng theo DPA này không vượt quá tổng phí dịch vụ Khách hàng đã thanh toán cho Zeni trong 12 tháng liền kề trước khi sự kiện phát sinh, trừ trường hợp Zeni cố ý hoặc lỗi nặng thì áp dụng mức trần theo pháp luật.

11.3. Loại trừ

Zeni không chịu trách nhiệm về vi phạm phát sinh từ:

• Việc Khách hàng tải lên dữ liệu cá nhân không có cơ sở pháp lý.
• Việc Khách hàng cấu hình bảo mật yếu (không bật 2FA, chia sẻ thông tin đăng nhập).
• Việc nhân viên của Khách hàng làm rò rỉ dữ liệu sau khi tải xuống từ Zeni.
• Sự kiện bất khả kháng theo Bộ luật Dân sự Việt Nam.

12. Pháp luật điều chỉnh

DPA này được điều chỉnh và giải thích theo pháp luật Việt Nam, đặc biệt là:

• Bộ luật Dân sự năm 2015.
• Luật An ninh mạng năm 2018.
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Nghị định 53/2022/NĐ-CP về Luật An ninh mạng.
• Luật Kế toán năm 2015.
• Các văn bản pháp luật liên quan khác.

Tranh chấp được giải quyết tại Toà án Nhân dân có thẩm quyền tại Thành phố Hồ Chí Minh, hoặc tại VIAC nếu hợp đồng Enterprise có điều khoản trọng tài.

13. Hiệu lực và sửa đổi

DPA này có hiệu lực:

• Đối với Khách hàng Enterprise: từ ngày hai bên ký hợp đồng dịch vụ chính thức.
• Đối với Khách hàng Pro: từ ngày Khách hàng tích chọn đồng ý DPA trong dashboard hoặc gửi yêu cầu ký riêng tới enterprise@zenicloud.io.

DPA này có hiệu lực cho đến khi hợp đồng dịch vụ chính giữa hai bên chấm dứt và Zeni đã hoàn thành nghĩa vụ xoá dữ liệu theo Mục 10.

Zeni có thể cập nhật DPA để phản ánh thay đổi pháp luật. Phiên bản mới được thông báo qua email tối thiểu 30 ngày trước ngày hiệu lực. Đối với thay đổi quan trọng (giảm quyền của Khách hàng, thay đổi Sub-processor lớn), Zeni xin lại sự đồng ý có lựa chọn của Khách hàng.