Thỏa thuận này là phụ lục dữ liệu cho mô hình B2B SaaS của CVexa. Nếu khách hàng có hợp đồng riêng với CVexa, hợp đồng đó có thể bổ sung hoặc điều chỉnh một số nội dung trong tài liệu này.
1. Các bên và vai trò
"Khách hàng" là tổ chức hoặc cá nhân kinh doanh sử dụng CVexa để xử lý CV, hồ sơ ứng viên, yêu cầu tuyển dụng và dữ liệu liên quan trong workspace của mình.
Đối với dữ liệu CV và ứng viên do khách hàng tải lên, khách hàng thường là bên quyết định mục đích và phương tiện xử lý chính. CVexa xử lý dữ liệu theo chỉ dẫn của khách hàng để cung cấp dịch vụ, hỗ trợ kỹ thuật, bảo mật, billing và tuân thủ pháp luật.
2. Phạm vi dữ liệu được xử lý
| Loại dữ liệu | Nội dung có thể bao gồm |
|---|---|
| CV và hồ sơ ứng viên | File PDF/DOCX, nội dung trích xuất, họ tên, email, số điện thoại, kinh nghiệm, học vấn, kỹ năng, liên kết portfolio và thông tin khác có trong CV. |
| Yêu cầu tuyển dụng | Vị trí, mô tả công việc, tiêu chí bắt buộc, tiêu chí ưu tiên, cấp bậc, kỹ năng, ghi chú tuyển dụng. |
| Kết quả xử lý | Điểm phù hợp, xếp hạng, báo cáo AI, nhận xét, điểm mạnh, khoảng trống, bằng chứng trích từ CV, cảnh báo và gợi ý bước tiếp theo. |
| Dữ liệu người dùng workspace | Người dùng, vai trò, quyền truy cập, lịch sử thao tác, log đăng nhập và dữ liệu kỹ thuật cần thiết để bảo mật hệ thống. |
3. Mục đích và thời hạn xử lý
CVexa xử lý dữ liệu để cung cấp chức năng tải CV, lưu trữ file, trích xuất nội dung, phân tích với AI, xếp hạng ứng viên, tạo báo cáo, quản lý workspace, hỗ trợ khách hàng, bảo vệ hệ thống, xử lý thanh toán và tuân thủ nghĩa vụ pháp luật.
Thời hạn xử lý kéo dài trong thời gian khách hàng sử dụng dịch vụ và trong thời gian lưu trữ hợp lý sau khi chấm dứt để phục vụ xuất dữ liệu, xóa dữ liệu, sao lưu, kiểm toán, xử lý tranh chấp hoặc tuân thủ pháp luật.
4. Chỉ dẫn của khách hàng
Khách hàng chỉ dẫn CVexa xử lý dữ liệu thông qua việc sử dụng sản phẩm, cấu hình workspace, tải CV, tạo yêu cầu tuyển dụng, chạy phân tích, gửi ticket hỗ trợ, ký hợp đồng hoặc đưa ra yêu cầu hợp lệ khác.
CVexa sẽ không xử lý dữ liệu CV/ứng viên ngoài phạm vi cần thiết để cung cấp dịch vụ, bảo mật, hỗ trợ hoặc tuân thủ pháp luật, trừ khi có thỏa thuận khác bằng văn bản.
5. Nghĩa vụ của khách hàng
Khách hàng chịu trách nhiệm:
- Có căn cứ pháp lý phù hợp để thu thập, lưu trữ và cung cấp dữ liệu ứng viên cho CVexa.
- Thông báo cho ứng viên về việc dữ liệu có thể được xử lý bằng công cụ hỗ trợ tuyển dụng và AI nếu pháp luật yêu cầu.
- Không cung cấp dữ liệu không cần thiết hoặc dữ liệu nhạy cảm nếu không có căn cứ pháp lý phù hợp.
- Thiết lập phân quyền workspace phù hợp và xóa người dùng không còn được phép truy cập.
- Xử lý hoặc phối hợp xử lý yêu cầu của chủ thể dữ liệu trong phạm vi trách nhiệm của khách hàng.
6. Biện pháp bảo mật của CVexa
CVexa áp dụng các biện pháp kỹ thuật và tổ chức phù hợp với tính chất dịch vụ, bao gồm truyền tải qua HTTPS, kiểm soát truy cập, phân quyền theo workspace, giới hạn truy cập nội bộ, ghi log phục vụ bảo mật, sao lưu, giám sát lỗi, quản lý sự cố và yêu cầu bảo mật đối với nhân sự hoặc nhà cung cấp có quyền tiếp cận dữ liệu.
CVexa định kỳ rà soát biện pháp bảo mật theo rủi ro vận hành, loại dữ liệu được xử lý, thay đổi hạ tầng và yêu cầu pháp luật áp dụng.
7. Bên xử lý phụ
Khách hàng cho phép CVexa sử dụng bên xử lý phụ để cung cấp dịch vụ, bao gồm các nhóm nhà cung cấp sau:
| Nhóm nhà cung cấp | Mục đích | Dữ liệu có thể xử lý |
|---|---|---|
| Hạ tầng cloud, hosting, database và storage | Vận hành ứng dụng, lưu metadata, lưu file CV, sao lưu và bảo mật. | Tài khoản, workspace, CV, báo cáo, log kỹ thuật. |
| Cổng AI, OCR hoặc nhà cung cấp mô hình | Trích xuất, phân tích, so khớp yêu cầu tuyển dụng và tạo báo cáo. | Nội dung CV, yêu cầu tuyển dụng, prompt, output AI, metadata xử lý. |
| Email và thông báo | Gửi email xác thực, lời mời, cảnh báo bảo mật, thông báo sản phẩm. | Email, tên, nội dung thông báo cần thiết. |
| Thanh toán và billing | Xử lý giao dịch, hạn mức, lịch sử thanh toán và đối soát. | Dữ liệu tài khoản, gói dịch vụ, giao dịch, thông tin hóa đơn ở mức cần thiết. |
| Giám sát lỗi, phân tích sản phẩm và hỗ trợ | Phát hiện lỗi, cải thiện ổn định, hỗ trợ khách hàng và chống lạm dụng. | Log kỹ thuật, metadata sử dụng, nội dung ticket hỗ trợ. |
CVexa yêu cầu bên xử lý phụ chỉ xử lý dữ liệu trong phạm vi cung cấp dịch vụ cho CVexa hoặc theo yêu cầu pháp luật. Khi danh sách nhà cung cấp cụ thể thay đổi đáng kể và ảnh hưởng đến dữ liệu khách hàng, CVexa sẽ cập nhật thông tin hoặc thông báo theo cách phù hợp.
8. Chuyển dữ liệu ra nước ngoài
Khách hàng hiểu rằng một số nhà cung cấp hạ tầng, AI, email, thanh toán hoặc hỗ trợ có thể xử lý dữ liệu bên ngoài Việt Nam. CVexa sẽ áp dụng biện pháp phù hợp với yêu cầu pháp luật Việt Nam về bảo vệ dữ liệu cá nhân và phối hợp với khách hàng trong phạm vi hợp lý khi cần hồ sơ, thông tin hoặc đánh giá liên quan đến chuyển dữ liệu ra nước ngoài.
9. Hỗ trợ quyền của chủ thể dữ liệu
Khi khách hàng nhận yêu cầu truy cập, chỉnh sửa, xóa, hạn chế xử lý, phản đối xử lý hoặc yêu cầu khác từ ứng viên/người dùng, CVexa sẽ hỗ trợ khách hàng trong phạm vi hợp lý bằng các tính năng sản phẩm hoặc kênh hỗ trợ.
Nếu CVexa nhận yêu cầu trực tiếp từ ứng viên liên quan đến dữ liệu trong workspace của khách hàng, CVexa có thể hướng dẫn ứng viên liên hệ khách hàng hoặc phối hợp với khách hàng để xác minh và xử lý yêu cầu.
10. Sự cố dữ liệu
Nếu CVexa xác nhận một sự cố bảo mật có khả năng ảnh hưởng đến dữ liệu cá nhân do khách hàng kiểm soát, CVexa sẽ thông báo cho khách hàng trong thời gian hợp lý sau khi xác nhận sự cố, kèm thông tin sẵn có về bản chất sự cố, nhóm dữ liệu bị ảnh hưởng, biện pháp giảm thiểu và đầu mối phối hợp.
Khách hàng chịu trách nhiệm thực hiện nghĩa vụ thông báo cho ứng viên, cơ quan quản lý hoặc bên liên quan khi nghĩa vụ đó thuộc về khách hàng theo pháp luật áp dụng.
11. Xóa hoặc trả dữ liệu
Trong thời gian sử dụng dịch vụ, khách hàng có thể xóa dữ liệu theo các tính năng sẵn có. Khi chấm dứt dịch vụ, CVexa sẽ xóa hoặc cho phép xuất dữ liệu khách hàng trong phạm vi kỹ thuật và thỏa thuận áp dụng.
Dữ liệu đã xóa có thể còn tồn tại tạm thời trong bản sao lưu, log hoặc hệ thống lưu trữ bảo mật cho đến khi hết vòng đời lưu trữ, trừ khi pháp luật yêu cầu lưu lâu hơn.
12. Kiểm toán và thông tin tuân thủ
Theo yêu cầu hợp lý của khách hàng, CVexa có thể cung cấp thông tin về biện pháp bảo mật, quy trình xử lý dữ liệu và bên xử lý phụ ở mức phù hợp để khách hàng đánh giá nghĩa vụ tuân thủ của mình, với điều kiện không làm lộ bí mật thương mại, thông tin bảo mật hoặc dữ liệu của khách hàng khác.
13. Thứ tự ưu tiên
Thỏa thuận này bổ sung cho Điều khoản sử dụng và Chính sách quyền riêng tư. Nếu có mâu thuẫn trực tiếp về xử lý dữ liệu cá nhân trong workspace khách hàng, hợp đồng riêng hoặc thỏa thuận dữ liệu được ký riêng giữa CVexa và khách hàng sẽ được ưu tiên trong phạm vi mâu thuẫn đó.
14. Liên hệ
Với yêu cầu về xử lý dữ liệu, vui lòng liên hệ privacy@cvexa.app. Với yêu cầu pháp lý hoặc hợp đồng, vui lòng liên hệ legal@cvexa.app.