Đăng ký
viTiếng Việt
Quay về trang chủ

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ TƯ VẤN BMG
Áp dụng cho sản phẩm/dịch vụ: BeInvoice – Phần mềm hóa đơn điện tử
(Cập nhật lần cuối: 11/2/2026)

1. Giới thiệu chung

Chính sách Bảo vệ Dữ liệu cá nhân này (“Chính sách BV DLCN”) được ban hành bởi Công ty Cổ phần Đầu tư và Tư vấn BMG (“BMG”) nhằm giải thích cách thức BMG thu thập, sử dụng, lưu trữ, chia sẻ và xử lý Dữ liệu cá nhân của khách hàng và các cá nhân có liên quan trong quá trình sử dụng các sản phẩm và dịch vụ do BMG cung cấp, bao gồm nhưng không giới hạn ở phần mềm hóa đơn điện tử BeInvoice.

Chính sách này đồng thời mô tả rõ vai trò của BMG trong hoạt động xử lý dữ liệu cá nhân. Tùy theo từng trường hợp cụ thể, BMG có thể xử lý dữ liệu với tư cách là:

  • Bên Kiểm soát Dữ liệu cá nhân (Data Controller): đối với dữ liệu tài khoản, hợp đồng, thanh toán, chăm sóc khách hàng, marketing;
  • Bên Xử lý Dữ liệu cá nhân (Data Processor): khi xử lý dữ liệu trên hóa đơn điện tử theo ủy quyền của doanh nghiệp sử dụng BeInvoice;
  • Bên Kiểm soát và Xử lý Dữ liệu cá nhân: theo quy định pháp luật hiện hành;
  • Hoặc các vai trò khác theo quy định pháp luật.

Trong phạm vi cần thiết để cung cấp sản phẩm, vận hành hệ thống, thực hiện nghĩa vụ hợp đồng hoặc nghĩa vụ pháp luật, BMG có thể chia sẻ dữ liệu cá nhân với công ty liên kết, chi nhánh (nếu có), đối tác kỹ thuật, đơn vị cung cấp hạ tầng hoặc các bên thứ ba liên quan theo quy định tại Chính sách này.

2. Phạm vi áp dụng

Chính sách này áp dụng đối với toàn bộ hoạt động thu thập và xử lý dữ liệu cá nhân phát sinh trong quá trình:

  • Đăng ký và sử dụng tài khoản BeInvoice;
  • Phát hành, quản lý, tra cứu hóa đơn điện tử;
  • Ký kết hợp đồng, thanh toán, xuất hóa đơn dịch vụ;
  • Liên hệ tổng đài, email, fanpage hoặc kênh hỗ trợ kỹ thuật của BMG;
  • Truy cập website, hệ thống quản trị hoặc nền tảng dịch vụ do BMG vận hành.

Chính sách này áp dụng đối với:

  • Khách hàng cá nhân;
  • Doanh nghiệp/tổ chức sử dụng BeInvoice;
  • Người đại diện pháp luật, kế toán, nhân sự sử dụng hệ thống;
  • Người mua hàng/đối tác có thông tin xuất hiện trên hóa đơn điện tử;
  • Cá nhân khác có dữ liệu được xử lý trong phạm vi cung cấp dịch vụ.

3. Giải thích thuật ngữ

3.1. Dữ liệu cá nhân

Là thông tin dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể.

3.2. Dữ liệu cá nhân cơ bản

Bao gồm nhưng không giới hạn: họ tên, số điện thoại, email, địa chỉ, mã số thuế cá nhân, số CCCD/CMND, thông tin tài khoản đăng nhập.

3.3. Dữ liệu cá nhân nhạy cảm

Là dữ liệu cá nhân mà khi bị lộ có thể gây ảnh hưởng trực tiếp đến quyền lợi hợp pháp của chủ thể dữ liệu, ví dụ: dữ liệu tài chính, dữ liệu định danh điện tử, dữ liệu sinh trắc học (nếu có), thông tin định vị.

3.4. Chủ thể dữ liệu

Là cá nhân mà dữ liệu cá nhân phản ánh, bao gồm khách hàng, người sử dụng tài khoản, người mua hàng hoặc cá nhân có thông tin xuất hiện trong hóa đơn điện tử.

3.5. Xử lý dữ liệu cá nhân

Là một hoặc nhiều hoạt động như: thu thập, ghi nhận, lưu trữ, chỉnh sửa, phân tích, chia sẻ, truyền đưa, truy xuất, hủy hoặc các hoạt động khác tác động đến dữ liệu cá nhân.

4. Các loại dữ liệu BMG có thể thu thập

Tùy theo phạm vi sử dụng dịch vụ, BMG có thể thu thập các nhóm dữ liệu sau:

4.1. Dữ liệu đăng ký tài khoản và quản trị dịch vụ

  • Họ và tên người đăng ký;
  • Email, số điện thoại;
  • Chức vụ, bộ phận;
  • Tên doanh nghiệp, mã số thuế;
  • Địa chỉ doanh nghiệp;
  • Tài khoản đăng nhập, mật khẩu (được mã hóa).

4.2. Dữ liệu phục vụ phát hành hóa đơn điện tử

  • Tên người mua hàng;
  • Mã số thuế người mua (nếu có);
  • Địa chỉ người mua;
  • Email nhận hóa đơn;
  • Số điện thoại (nếu có);
  • Thông tin hàng hóa, dịch vụ, giá trị giao dịch.

4.3. Dữ liệu thanh toán và giao dịch

  • Thông tin gói dịch vụ, thời gian sử dụng;
  • Lịch sử thanh toán;
  • Hóa đơn dịch vụ của BMG;
  • Thông tin ngân hàng (nếu khách hàng cung cấp).

4.4. Dữ liệu kỹ thuật và nhật ký hệ thống

  • Địa chỉ IP;
  • Thời gian đăng nhập;
  • Thiết bị truy cập, hệ điều hành;
  • Nhật ký thao tác trên hệ thống;
  • Cookie và dữ liệu tương tự khi truy cập website.

4.5. Dữ liệu từ kênh hỗ trợ khách hàng

  • Nội dung yêu cầu hỗ trợ;
  • Lịch sử chat, email, cuộc gọi (nếu có ghi âm);
  • Tài liệu khách hàng gửi để xử lý lỗi.

5. Mục đích thu thập và xử lý dữ liệu

BMG xử lý dữ liệu cá nhân nhằm các mục đích sau:

5.1. Cung cấp và vận hành dịch vụ BeInvoice

  • Tạo và quản lý tài khoản;
  • Hỗ trợ phát hành hóa đơn điện tử;
  • Quản lý dữ liệu hóa đơn theo yêu cầu người dùng.

5.2. Xác thực và bảo vệ tài khoản

  • Xác minh danh tính khi đăng ký;
  • Bảo mật đăng nhập;
  • Phát hiện truy cập bất thường hoặc hành vi gian lận.

5.3. Thực hiện nghĩa vụ hợp đồng và nghĩa vụ pháp luật

  • Thực hiện các điều khoản hợp đồng;
  • Thực hiện nghĩa vụ về kế toán, thuế, hóa đơn điện tử;
  • Cung cấp dữ liệu khi cơ quan Nhà nước có thẩm quyền yêu cầu hợp pháp.

5.4. Chăm sóc khách hàng và hỗ trợ kỹ thuật

  • Tiếp nhận phản hồi;
  • Xử lý lỗi hệ thống;
  • Hỗ trợ sử dụng phần mềm.

5.5. Cải tiến chất lượng sản phẩm và dịch vụ

  • Thống kê hành vi sử dụng để tối ưu hệ thống;
  • Nâng cấp tính năng;
  • Phân tích lỗi nhằm tăng hiệu suất vận hành.

5.6. Marketing và thông tin chương trình ưu đãi (nếu khách hàng đồng ý)

  • Gửi thông báo về chương trình khuyến mãi;
  • Gửi bản tin sản phẩm;
  • Mời tham gia khảo sát trải nghiệm.

6. Cơ sở pháp lý của việc xử lý dữ liệu

BMG xử lý dữ liệu cá nhân trên các cơ sở sau:

  • Có sự đồng ý của chủ thể dữ liệu;
  • Việc xử lý là cần thiết để thực hiện hợp đồng;
  • Tuân thủ quy định pháp luật;
  • Bảo vệ quyền và lợi ích hợp pháp của BMG và khách hàng;
  • Các trường hợp khác theo quy định pháp luật hiện hành.

7. Phương thức thu thập dữ liệu

BMG thu thập dữ liệu thông qua:

  • Biểu mẫu đăng ký tài khoản trên hệ thống BeInvoice;
  • Hợp đồng và hồ sơ đăng ký dịch vụ;
  • Quá trình khách hàng nhập liệu phát hành hóa đơn;
  • Email, điện thoại, chatbot, livechat;
  • Website và hệ thống quản trị;
  • Kết nối API từ phần mềm kế toán/ERP của khách hàng (nếu có).

8. Thời gian lưu trữ dữ liệu

BMG lưu trữ dữ liệu cá nhân trong thời gian:

  • Cần thiết để cung cấp dịch vụ BeInvoice;
  • Phù hợp với thời hạn lưu trữ hóa đơn điện tử theo quy định pháp luật;
  • Hoặc theo thỏa thuận trong hợp đồng.

Trong trường hợp khách hàng chấm dứt dịch vụ, BMG có thể tiếp tục lưu trữ dữ liệu trong một thời gian hợp lý để:

  • Hỗ trợ khách hàng trích xuất dữ liệu;
  • Thực hiện nghĩa vụ pháp lý;
  • Giải quyết tranh chấp (nếu có).

9. Chia sẻ dữ liệu cá nhân

BMG có thể chia sẻ dữ liệu cá nhân trong các trường hợp sau:

9.1. Chia sẻ trong nội bộ BMG

BMG có thể chia sẻ dữ liệu giữa các phòng ban liên quan nhằm vận hành hệ thống và hỗ trợ khách hàng.

9.2. Chia sẻ với đối tác cung cấp dịch vụ

Dữ liệu có thể được chia sẻ với các đơn vị hỗ trợ:

  • Lưu trữ máy chủ (hosting, cloud);
  • Dịch vụ ký số/chữ ký số;
  • Dịch vụ xác thực, OTP;
  • Dịch vụ tổng đài chăm sóc khách hàng;
  • Đơn vị bảo trì, vận hành kỹ thuật.

Các bên này chỉ được phép xử lý dữ liệu theo phạm vi hợp đồng và phải tuân thủ nghĩa vụ bảo mật.

9.3. Chia sẻ theo yêu cầu pháp luật

BMG có thể cung cấp dữ liệu cho cơ quan Nhà nước có thẩm quyền khi có yêu cầu hợp pháp.

9.4. Chia sẻ theo yêu cầu của khách hàng

Trong trường hợp khách hàng yêu cầu tích hợp hoặc chuyển dữ liệu đến bên thứ ba, BMG sẽ thực hiện theo đúng yêu cầu hợp lệ của khách hàng.

10. Chuyển dữ liệu ra nước ngoài (nếu có)

Trong trường hợp hệ thống BeInvoice sử dụng hạ tầng lưu trữ hoặc dịch vụ kỹ thuật đặt ngoài lãnh thổ Việt Nam, BMG có thể phát sinh hoạt động chuyển dữ liệu cá nhân ra nước ngoài.

BMG cam kết việc chuyển dữ liệu (nếu phát sinh) sẽ tuân thủ các quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân và đảm bảo áp dụng các biện pháp an toàn phù hợp.

11. Biện pháp bảo mật dữ liệu cá nhân

BMG áp dụng nhiều biện pháp bảo mật phù hợp nhằm bảo vệ dữ liệu cá nhân khỏi nguy cơ mất mát, truy cập trái phép hoặc rò rỉ.

11.1. Biện pháp kỹ thuật

  • Mã hóa dữ liệu trong quá trình truyền tải;
  • Mã hóa hoặc bảo vệ dữ liệu lưu trữ;
  • Tường lửa, chống xâm nhập, chống tấn công DDoS (nếu có);
  • Cơ chế phân quyền truy cập theo vai trò;
  • Cảnh báo đăng nhập bất thường;
  • Sao lưu dữ liệu định kỳ.

11.2. Biện pháp quản trị nội bộ

  • Quy định phân quyền nhân sự tiếp cận dữ liệu;
  • Quy trình quản lý tài khoản nhân viên;
  • Đào tạo định kỳ về bảo mật thông tin;
  • Cam kết bảo mật đối với nhân viên và đối tác.

Tuy nhiên, BMG không thể đảm bảo an toàn tuyệt đối trong mọi trường hợp, đặc biệt với các sự kiện nằm ngoài khả năng kiểm soát hợp lý (ví dụ: tấn công mạng tinh vi, thiên tai, sự cố hạ tầng).

12. Quyền của chủ thể dữ liệu

Chủ thể dữ liệu có các quyền theo quy định pháp luật, bao gồm:

  • Quyền được biết;
  • Quyền đồng ý hoặc từ chối đồng ý;
  • Quyền truy cập dữ liệu;
  • Quyền chỉnh sửa/cập nhật dữ liệu;
  • Quyền yêu cầu xóa dữ liệu;
  • Quyền hạn chế xử lý dữ liệu;
  • Quyền phản đối xử lý dữ liệu;
  • Quyền khiếu nại, tố cáo hoặc khởi kiện.

12.1. Thời hạn xử lý yêu cầu

  • Phản hồi trong 72 giờ kể từ khi nhận yêu cầu hợp lệ;
  • Trường hợp phức tạp: tối đa 30 ngày;
  • Từ chối phải nêu rõ lý do.

12.2. Dữ liệu trẻ em

Việc xử lý dữ liệu người dưới 16 tuổi chỉ được thực hiện khi có sự đồng ý của người đại diện hợp pháp. BMG không chủ động thu thập dữ liệu trẻ em.

12.3. Đánh giá tác động xử lý dữ liệu (DPIA)

Khi thuộc trường hợp bắt buộc theo Nghị định 13/2023/NĐ-CP, BMG thực hiện và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu và cung cấp cho cơ quan có thẩm quyền khi cần thiết.

BMG sẽ tiếp nhận và xử lý các yêu cầu hợp lệ trong thời gian phù hợp với quy định pháp luật và khả năng vận hành hệ thống. BMG có thể yêu cầu xác minh danh tính trước khi thực hiện yêu cầu để tránh việc giả mạo hoặc truy cập trái phép.

13. Rút lại sự đồng ý xử lý dữ liệu

Khách hàng có quyền rút lại sự đồng ý đã cung cấp trước đó. Việc rút lại có thể ảnh hưởng đến khả năng cung cấp một số dịch vụ của BeInvoice.

Trong trường hợp rút lại sự đồng ý nhưng dữ liệu vẫn cần được lưu giữ theo quy định pháp luật, BMG sẽ tiếp tục lưu trữ dữ liệu theo nghĩa vụ bắt buộc.

14. Xử lý vi phạm và sự cố an toàn dữ liệu

Khi phát hiện hoặc nghi ngờ có sự cố rò rỉ hoặc xâm nhập trái phép, BMG sẽ:

  • Kích hoạt quy trình xử lý sự cố;
  • Khoanh vùng và kiểm soát mức độ ảnh hưởng;
  • Thực hiện biện pháp kỹ thuật để giảm thiểu thiệt hại;
  • Thông báo cho cơ quan có thẩm quyền và/hoặc chủ thể dữ liệu nếu thuộc trường hợp bắt buộc theo quy định pháp luật.

15. Cookie và công nghệ theo dõi

Website hoặc hệ thống BeInvoice có thể sử dụng cookie và công nghệ tương tự để:

  • Ghi nhớ phiên đăng nhập;
  • Tối ưu trải nghiệm người dùng;
  • Thống kê lượt truy cập và hiệu suất hệ thống.

Người dùng có thể điều chỉnh trình duyệt để từ chối cookie. Tuy nhiên, điều này có thể làm giảm một số tính năng hoạt động của website.

16. Liên kết đến website của bên thứ ba

Trong một số trường hợp, hệ thống BeInvoice hoặc website của BMG có thể chứa liên kết đến website của bên thứ ba. BMG không chịu trách nhiệm về nội dung hoặc chính sách bảo mật của các website bên ngoài.

Khách hàng nên đọc kỹ chính sách bảo vệ dữ liệu của bên thứ ba trước khi cung cấp thông tin.

17. Cập nhật và thay đổi chính sách

BMG có quyền điều chỉnh hoặc cập nhật Chính sách này tại bất kỳ thời điểm nào nhằm:

  • Phù hợp với quy định pháp luật;
  • Phù hợp với hoạt động cung cấp dịch vụ;
  • Nâng cấp sản phẩm BeInvoice.

Phiên bản cập nhật sẽ được công bố trên website chính thức của BMG và có hiệu lực kể từ thời điểm đăng tải, trừ khi có quy định khác.

18. Điều khoản hiệu lực

  • Chính sách này có hiệu lực kể từ ngày công bố.
  • Việc khách hàng tiếp tục sử dụng sản phẩm BeInvoice được hiểu là khách hàng đã đọc, hiểu và đồng ý với toàn bộ nội dung của Chính sách này.

19. Cách thức gửi yêu cầu liên quan đến dữ liệu cá nhân

Khi có yêu cầu liên quan đến dữ liệu cá nhân (truy cập, chỉnh sửa, xóa, rút lại sự đồng ý…), khách hàng có thể liên hệ:

Công ty Cổ phần Đầu tư và Tư vấn BMG
Email: __________________
Hotline: __________________
Địa chỉ: __________________

Cập nhật lần cuối: 11/02/2026