Chính sách này áp dụng cho Công ty Luật Trách nhiệm Hữu hạn Một Thành Viên Minh Kỳ ("Minh Kỳ Lawfirm" hoặc "Chúng tôi"), có trụ sở tại Số F2.2, Tầng 2, Tòa nhà Sabay Building, 38 Cộng Hòa, Phường 4, Quận Tân Bình, TP. Hồ Chí Minh, MST: 0319365453.
Chính sách điều chỉnh việc thu thập, xử lý, lưu trữ, bảo vệ và chuyển giao dữ liệu cá nhân của:
- Khách hàng cá nhân và tổ chức sử dụng dịch vụ pháp lý;
- Người truy cập website mklawfirm.vn;
- Đối tác kinh doanh, nhà đầu tư nước ngoài (FDI) và đại diện doanh nghiệp;
- Người liên hệ qua các kênh điện tử (form, email, Zalo, Messenger).
Lưu ý dành cho khách hàng nước ngoài / Note for foreign clients: This Policy is published primarily in Vietnamese. For clients governed by EU GDPR, Japanese APPI, Korean PIPA, Chinese PIPL, or other applicable data protection regimes, we commit to honoring the applicable rights and obligations under each jurisdiction as detailed in §9 hereof. English-language summaries are available upon written request.
Trong Chính sách này, các thuật ngữ dưới đây được hiểu như sau, thống nhất với định nghĩa trong pháp luật Việt Nam và các khung pháp lý quốc tế được viện dẫn:
- Dữ liệu cá nhân (Personal Data): Thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (Điều 2, NĐ 13/2023/NĐ-CP; Art. 4(1), GDPR).
- Dữ liệu cá nhân nhạy cảm (Sensitive Personal Data / Special Categories): Dữ liệu về chủng tộc, sắc tộc, quan điểm chính trị, tôn giáo, tình trạng sức khỏe, đời sống tình dục, dữ liệu di truyền, sinh trắc học, thông tin tài chính, lý lịch tư pháp (Điều 9, NĐ 13; Art. 9, GDPR).
- Chủ thể dữ liệu (Data Subject): Cá nhân là chủ nhân của dữ liệu cá nhân.
- Bên kiểm soát dữ liệu (Data Controller): Minh Kỳ Lawfirm – tổ chức quyết định mục đích và phương tiện xử lý dữ liệu (Art. 4(7), GDPR; Điều 2, NĐ 13).
- Xử lý dữ liệu (Processing): Bất kỳ thao tác nào thực hiện đối với dữ liệu, bao gồm thu thập, ghi lại, lưu trữ, sửa đổi, truy xuất, sử dụng, tiết lộ, xóa hoặc hủy (Art. 4(2), GDPR).
- Đặc quyền luật sư–thân chủ (Attorney-Client Privilege / Legal Professional Privilege): Quyền bảo mật tuyệt đối thông tin liên quan đến quan hệ tư vấn pháp lý giữa luật sư và thân chủ, được bảo vệ theo Điều 9, Luật Luật sư 65/2006/QH11 và nguyên tắc pháp lý quốc tế.
- Thông báo vi phạm dữ liệu (Data Breach Notification): Nghĩa vụ thông báo cho cơ quan có thẩm quyền và/hoặc chủ thể dữ liệu khi xảy ra sự cố bảo mật (Điều 24, NĐ 13; Art. 33–34, GDPR).
3.1. Pháp luật Việt Nam
3.2. Khung pháp lý quốc tế – International Frameworks
Đây là nghĩa vụ pháp lý cao nhất và không giới hạn thời gian. Mọi thông tin, tài liệu, chiến lược pháp lý và trao đổi giữa luật sư Minh Kỳ và thân chủ được bảo mật tuyệt đối theo:
- Điều 9, Luật Luật sư 65/2006/QH11 – nghĩa vụ giữ bí mật thông tin của thân chủ, không giới hạn thời gian kể cả sau khi chấm dứt quan hệ hành nghề;
- Điều 15, Bộ Quy tắc Đạo đức và Ứng xử Nghề nghiệp Luật sư Việt Nam (ban hành kèm theo Quyết định 201/QĐ-HĐLSTQ ngày 13/12/2019);
- IBA International Principles on Conduct for the Legal Profession (2011) – Principle 5: Confidentiality/Professional Secrecy – bảo mật thông tin là nghĩa vụ căn bản, không thể từ chối bởi bất kỳ lý do gì kể cả sau khi quan hệ chấm dứt;
- Common law principle of Legal Professional Privilege (LPP) – được công nhận tại Anh, Australia, Singapore, Hong Kong và hầu hết các quốc gia common law;
- Professional Secrecy (Secret professionnel) theo truyền thống civil law của Pháp, Bỉ, Luxembourg, Việt Nam và các quốc gia kế thừa hệ thống pháp luật Pháp.
Phạm vi bảo mật đặc biệt:
- Toàn bộ thông tin thân chủ tiết lộ trong quá trình tư vấn, soạn thảo hợp đồng, tranh tụng, M&A, FDI;
- Chiến lược pháp lý, rủi ro và đánh giá nội bộ;
- Thư từ, email, ghi chú đàm phán và tài liệu làm việc nội bộ;
- Thông tin thân chủ do bên thứ ba tiết lộ trong quá trình giải quyết vụ việc.
Nghĩa vụ này không thể bị loại trừ bởi bất kỳ thỏa thuận nào và được ưu tiên so với các yêu cầu tiết lộ thông thường, ngoại trừ khi pháp luật quy định bắt buộc (như lệnh của cơ quan tư pháp có thẩm quyền) và trong những trường hợp đó, Minh Kỳ sẽ thông báo ngay cho thân chủ trừ khi bị cấm bởi lệnh tòa.
5.1. Dữ liệu cá nhân thông thường
- Thông tin nhận dạng: họ tên, ngày sinh, CMND/Căn cước công dân, hộ chiếu, quốc tịch;
- Thông tin liên lạc: địa chỉ email, số điện thoại, địa chỉ bưu chính;
- Thông tin nghề nghiệp: tên tổ chức, chức danh, lĩnh vực hoạt động;
- Dữ liệu kỹ thuật: địa chỉ IP, loại trình duyệt, thiết bị, thời gian truy cập, trang đã xem (thông qua Google Analytics và Cloudflare analytics);
- Nội dung liên lạc: nội dung form liên hệ, email, tin nhắn Zalo/Messenger.
5.2. Dữ liệu cá nhân nhạy cảm (chỉ khi cần thiết cho vụ việc)
Trong khuôn khổ hành nghề luật sư, chúng tôi có thể tiếp nhận dữ liệu nhạy cảm bao gồm: thông tin sức khỏe, thông tin tài chính, lý lịch tư pháp, thông tin gia đình và hôn nhân. Các dữ liệu này được bảo vệ theo §4 (Đặc quyền luật sư–thân chủ) và chỉ được xử lý trong phạm vi vụ việc.
5.3. Dữ liệu doanh nghiệp FDI và M&A
Đối với khách hàng là doanh nghiệp FDI và giao dịch M&A, chúng tôi có thể xử lý: thông tin cổ đông, cơ cấu vốn, điều kiện giao dịch, báo cáo tài chính và thông tin mật thương mại. Tất cả đều thuộc phạm vi bảo mật nghề nghiệp theo §4.
Theo Điều 17, NĐ 13/2023/NĐ-CP và Art. 6, GDPR, mỗi mục đích xử lý dữ liệu của chúng tôi đều có cơ sở pháp lý riêng:
- Thực hiện hợp đồng dịch vụ pháp lý (Art. 6(1)(b) GDPR; Điều 17(2)(b) NĐ 13): xử lý cần thiết để cung cấp dịch vụ tư vấn, tranh tụng, soạn thảo hợp đồng;
- Đồng ý của chủ thể dữ liệu (Art. 6(1)(a) GDPR; Điều 11 NĐ 13): gửi thông tin pháp lý định kỳ, email marketing (có thể rút lại bất kỳ lúc nào);
- Nghĩa vụ pháp lý (Art. 6(1)(c) GDPR; Điều 17(2)(c) NĐ 13): lưu trữ hồ sơ theo yêu cầu pháp luật, báo cáo cơ quan nhà nước;
- Lợi ích hợp pháp (Art. 6(1)(f) GDPR; tương tự Điều 17(2)(e) NĐ 13): bảo vệ quyền lợi pháp lý của chúng tôi, phòng chống gian lận, cải thiện dịch vụ;
- Nhiệm vụ vì lợi ích cộng đồng: tư vấn pháp lý phục vụ công tác bảo vệ pháp luật, phòng chống tội phạm.
Do bản chất công việc phục vụ khách hàng quốc tế (FDI, M&A xuyên biên giới), dữ liệu cá nhân có thể được chuyển giao ra ngoài lãnh thổ Việt Nam. Chúng tôi tuân thủ:
- Điều 25, NĐ 13/2023/NĐ-CP: đánh giá tác động chuyển giao; thông báo Bộ Công an trước khi chuyển giao đối với dữ liệu cá nhân nhạy cảm;
- Art. 44–49, GDPR: chỉ chuyển đến quốc gia có mức độ bảo vệ tương đương hoặc áp dụng Standard Contractual Clauses (SCC) / Binding Corporate Rules (BCR);
- APPI Art. 24: yêu cầu sự đồng ý hoặc sử dụng bên thứ ba đã được cơ quan có thẩm quyền Nhật Bản phê duyệt;
- PIPL Art. 38–43: chỉ chuyển sau khi có đánh giá bảo mật Nhà nước hoặc chứng nhận bảo vệ dữ liệu cá nhân.
Khi sử dụng dịch vụ bên thứ ba (Google Workspace, Cloudflare, cloud storage), chúng tôi ký kết thỏa thuận xử lý dữ liệu (Data Processing Agreement – DPA) đảm bảo bên thứ ba tuân thủ cùng chuẩn mực bảo vệ.
- Hồ sơ vụ việc pháp lý: 10 năm kể từ ngày chấm dứt hợp đồng dịch vụ (theo nghĩa vụ lưu trữ tài liệu hành nghề luật sư và quy định dân sự);
- Hồ sơ kế toán, thuế: 10 năm kể từ năm tài chính liên quan (Luật Kế toán số 88/2015/QH13, Điều 41);
- Dữ liệu form liên hệ (không hình thành hợp đồng): 3 năm kể từ lần liên hệ cuối;
- Dữ liệu marketing / newsletter: cho đến khi chủ thể dữ liệu rút đồng ý;
- Logs kỹ thuật và bảo mật: 12 tháng;
- Dữ liệu analytics (Google Analytics 4): 26 tháng (cấu hình mặc định GA4);
- Cookie phiên (session cookies): xóa khi đóng trình duyệt.
Sau khi hết thời hạn lưu trữ, dữ liệu được hủy an toàn theo tiêu chuẩn kỹ thuật (overwrite, shredding, degaussing đối với phương tiện vật lý) đảm bảo không thể phục hồi.
Bảng dưới đây tóm tắt các quyền được bảo đảm. Khi luật áp dụng cho bạn có quyền vượt trội hơn quy định tối thiểu của chúng tôi, chúng tôi cam kết tôn trọng quyền đó:
| Quyền | NĐ 13 (VN) | GDPR (EU) | APPI (JP) | PIPA (KR) | PIPL (CN) | PDPA (SG) | PDPA (TH) |
|---|---|---|---|---|---|---|---|
| Được thông báo (Right to be informed) | ✓ | ✓ Art.13 | ✓ | ✓ | ✓ | ✓ | ✓ |
| Truy cập (Right of access) | ✓ | ✓ Art.15 | ✓ | ✓ | ✓ | ✓ | ✓ |
| Chỉnh sửa (Rectification) | ✓ | ✓ Art.16 | ✓ | ✓ | ✓ | ✓ | ✓ |
| Xóa / Xóa quên (Erasure) | ✓ | ✓ Art.17 | ✓ | ✓ | ✓ | ✓ | ✓ |
| Hạn chế xử lý (Restriction) | — | ✓ Art.18 | — | Hạn chế | — | — | Hạn chế |
| Di chuyển dữ liệu (Portability) | — | ✓ Art.20 | — | — | Hạn chế | — | — |
| Phản đối xử lý (Object) | Một phần | ✓ Art.21 | Một phần | ✓ | ✓ | — | ✓ |
| Không bị quyết định tự động (Anti-profiling) | — | ✓ Art.22 | — | — | ✓ | — | Hạn chế |
| Rút đồng ý (Withdraw consent) | ✓ | ✓ Art.7(3) | ✓ | ✓ | ✓ | ✓ | ✓ |
| Khiếu nại với cơ quan giám sát | ✓ | ✓ Art.77 | ✓ PPC | ✓ PIPC | ✓ CAC | ✓ PDPC | ✓ PDPC |
✓ = được bảo đảm đầy đủ | Hạn chế = được bảo đảm có điều kiện | — = không quy định rõ ràng (chúng tôi vẫn cố gắng đáp ứng theo tinh thần GDPR)
Cách thực hiện quyền của bạn:
Gửi yêu cầu bằng văn bản đến: levietkylaw@gmail.com với tiêu đề "[QUYỀN BẢO MẬT]" hoặc gửi thư đến địa chỉ văn phòng. Chúng tôi sẽ phản hồi trong vòng 30 ngày (hoặc sớm hơn tùy khung pháp lý áp dụng: GDPR yêu cầu 1 tháng, APPI 2 tuần, PIPA 10 ngày).
- Cookie kỹ thuật (Strictly necessary): lưu trạng thái phiên, bảo mật CSRF. Không cần đồng ý (Recital 25, ePrivacy Directive 2009/136/EC);
- Google Analytics 4: phân tích hành vi truy cập (ẩn danh IP, không nhận dạng cá nhân). Có thể opt-out tại Google Analytics Opt-out;
- Cloudflare (CDN & security): logs kết nối cho mục đích bảo mật và tối ưu hiệu suất;
- Cookie ưu tiên / marketing: chỉ được kích hoạt sau khi có đồng ý của bạn (nếu áp dụng).
Bạn có thể tắt cookie trong cài đặt trình duyệt. Một số tính năng có thể bị ảnh hưởng. Các cookie không thu thập thông tin nhận dạng cá nhân trừ khi bạn điền form liên hệ.
Chúng tôi thực hiện các biện pháp bảo mật tương xứng với mức độ rủi ro, theo nghĩa vụ tại Art. 32, GDPR và Điều 26, NĐ 13/2023/NĐ-CP:
Biện pháp kỹ thuật:
- Mã hóa kết nối TLS 1.3 (HTTPS) trên toàn website, được phân phối qua Cloudflare CDN với POP tại Việt Nam;
- Hệ thống email bảo mật với SPF, DKIM, DMARC;
- Lưu trữ tài liệu nội bộ trên hệ thống có mã hóa at-rest và kiểm soát truy cập theo vai trò (RBAC);
- Sao lưu định kỳ với kiểm tra toàn vẹn dữ liệu;
- Giám sát bảo mật và cảnh báo xâm phạm 24/7 qua Cloudflare WAF.
Biện pháp tổ chức:
- Chính sách bảo mật nội bộ và đào tạo định kỳ cho toàn bộ nhân sự;
- Thỏa thuận bảo mật (NDA) với mọi nhân viên và cộng tác viên;
- Giới hạn truy cập dữ liệu theo nguyên tắc cần thiết (need-to-know basis);
- Quy trình xử lý, lưu trữ và hủy hồ sơ tài liệu;
- Đánh giá định kỳ các nhà cung cấp dịch vụ (sub-processors) về tuân thủ bảo mật.
Trong trường hợp xảy ra vi phạm dữ liệu có nguy cơ ảnh hưởng đến quyền lợi chủ thể dữ liệu, chúng tôi thực hiện:
- Thông báo cơ quan có thẩm quyền: trong vòng 72 giờ kể từ khi phát hiện (Art. 33, GDPR; Art. 7(3), APPI; PIPL Art. 57) hoặc ngay khi biết theo Điều 24, NĐ 13/2023/NĐ-CP;
- Thông báo chủ thể dữ liệu: không chậm trễ nếu vi phạm có nguy cơ cao ảnh hưởng đến quyền và tự do cá nhân (Art. 34, GDPR);
- Tài liệu hóa đầy đủ sự cố, nguyên nhân, phạm vi ảnh hưởng và biện pháp khắc phục.
Mọi yêu cầu, khiếu nại hoặc thắc mắc liên quan đến chính sách này, vui lòng liên hệ:
Công ty Luật TNHH MTV Minh Kỳ
Đầu mối pháp lý (Legal Contact): ThS LS Lê Viết Kỳ – Giám đốc
F2.2, Tầng 2, Sabay Building, 38 Cộng Hòa, Phường 4, Tân Bình, TP.HCM
Thời gian phản hồi cam kết: 5 ngày làm việc (hoặc theo thời hạn pháp lý của khung pháp lý áp dụng).
Đối với yêu cầu theo GDPR: phản hồi trong 30 ngày, có thể gia hạn thêm 60 ngày nếu yêu cầu phức tạp. Đối với PIPA (Korea): phản hồi trong 10 ngày.
Chính sách này được điều chỉnh bởi pháp luật Cộng hòa Xã hội Chủ nghĩa Việt Nam. Mọi tranh chấp liên quan đến xử lý dữ liệu cá nhân được giải quyết theo thứ tự:
- Thương lượng trực tiếp giữa các bên trong vòng 15 ngày;
- Khiếu nại cơ quan có thẩm quyền:
- Tại Việt Nam: Cục An toàn thông tin (Bộ TT&TT) hoặc Bộ Công an (A05) theo NĐ 13/2023/NĐ-CP;
- EU: cơ quan giám sát bảo vệ dữ liệu quốc gia nơi chủ thể dữ liệu cư trú;
- Nhật Bản: PPC (Personal Information Protection Commission);
- Hàn Quốc: PIPC (Personal Information Protection Commission);
- Trung Quốc: CAC (Cyberspace Administration of China);
- Singapore: PDPC (Personal Data Protection Commission);
- Tòa án tại TP. Hồ Chí Minh, Việt Nam (tòa có thẩm quyền chung).
Đối với khách hàng EU có quyền theo GDPR: bạn có thể khiếu nại trực tiếp đến Supervisory Authority nơi bạn cư trú, làm việc hoặc nơi xảy ra vi phạm mà không cần thông qua chúng tôi trước.
Chúng tôi định kỳ rà soát và cập nhật Chính sách này để phản ánh các thay đổi pháp luật, thực tiễn kinh doanh và tiêu chuẩn ngành. Phiên bản hiện hành luôn được đăng tại địa chỉ này với ngày cập nhật rõ ràng.
Khi có thay đổi quan trọng ảnh hưởng đến quyền lợi của bạn, chúng tôi sẽ:
- Thông báo nổi bật trên trang chủ trong ít nhất 30 ngày;
- Gửi email thông báo đến địa chỉ đã đăng ký (nếu có);
- Đối với thay đổi dẫn đến xử lý mới dữ liệu nhạy cảm: yêu cầu đồng ý mới.
Lịch sử phiên bản được lưu trữ nội bộ và cung cấp theo yêu cầu.
Chính sách này có hiệu lực từ 01/05/2026. Thay thế toàn bộ các phiên bản trước.
© 2026 Công ty Luật TNHH MTV Minh Kỳ. Mọi quyền được bảo lưu.
Tài liệu này có giá trị pháp lý và được soạn thảo theo tiêu chuẩn hành nghề luật sư.
