# Ứng viên khiếu nại về việc sử dụng dữ liệu

### 1. Mục tiêu <a href="#id-1-mc-tiu" id="id-1-mc-tiu"></a>

* Cung cấp cho ứng viên kênh khiếu nại chính thức về cách công ty xử lý dữ liệu của họ.
* Đảm bảo Pháp chế/DPO có quy trình: tiếp nhận – điều tra – khắc phục – phản hồi – lưu bằng chứng, có thể kết hợp với các DSAR khác (xóa, hạn chế xử lý, rút consent…).

***

### 2. Bối cảnh <a href="#id-2-bi-cnh" id="id-2-bi-cnh"></a>

* MBW sử dụng dữ liệu ứng viên cho nhiều mục đích; các mục đích này được công bố trong Privacy Notice và cấu hình trong hệ thống consent.

Thực tế có thể phát sinh tình huống:

* Ứng viên nhận email/tin nhắn mà họ không nghĩ rằng mình đã đồng ý.
* Dữ liệu được chia sẻ cho đối tác mà họ không biết.
* Dữ liệu bị dùng cho phân tích/AI vượt quá kỳ vọng.

Khi đó, ngoài các DSAR chuẩn (xóa, hạn chế xử lý, rút consent…), ứng viên cần một mục riêng trên portal: **“Khiếu nại về việc sử dụng dữ liệu”**, tạo case khiếu nại cho Pháp chế điều tra.

***

### 3. Về phía ứng viên (trên Portal) <a href="#id-3-v-pha-ng-vin-trn-portal" id="id-3-v-pha-ng-vin-trn-portal"></a>

### 3.1. Chọn chức năng khiếu nại <a href="#id-31-chn-chc-nng-khiu-ni" id="id-31-chn-chc-nng-khiu-ni"></a>

* Đăng nhập Privacy Center / DSAR Portal.
* Trong mục “Quyền của bạn” hoặc “Hỗ trợ & Khiếu nại”, chọn “Khiếu nại về việc sử dụng dữ liệu”.

### 3.2. Mô tả nội dung khiếu nại <a href="#id-32-m-t-ni-dung-khiu-ni" id="id-32-m-t-ni-dung-khiu-ni"></a>

Form khiếu nại nên gồm:

* **Loại vấn đề**:
  * Nhận email/tin nhắn không mong muốn.
  * Nghi ngờ chia sẻ dữ liệu cho bên thứ ba.
  * Nghi ngờ sử dụng dữ liệu cho AI/profiling vượt quá khai báo.
  * Khác (mô tả chi tiết).
* **Thời điểm, bằng chứng**:
  * Ví dụ: screenshot email, tên đối tác, link bài viết, nội dung thông báo.
* **Mong muốn của ứng viên**:
  * Dừng việc xử lý, xóa dữ liệu, giải thích chi tiết, bồi thường (nếu họ cho rằng có thiệt hại).

### 3.3. Gửi khiếu nại <a href="#id-33-gi-khiu-ni" id="id-33-gi-khiu-ni"></a>

* Xác nhận email liên hệ, đồng ý rằng công ty sẽ dùng dữ liệu trong khiếu nại này để điều tra.
* Bấm Gửi khiếu nại.

Portal tạo **Complaint case** (có thể dùng chung DSARREQUEST với requesttype = COMPLAINT hoặc một module riêng), trạng thái **Đã nhận**, và hiển thị mã khiếu nại để theo dõi.

***

### 4. Về phía Pháp chế / DPO (trong hệ thống khiếu nại/DSAR) <a href="#id-4-v-pha-php-ch--dpo-trong-h-thng-khiu-nidsar" id="id-4-v-pha-php-ch--dpo-trong-h-thng-khiu-nidsar"></a>

### 4.1. Tiếp nhận & phân loại <a href="#id-41-tip-nhn--phn-loi" id="id-41-tip-nhn--phn-loi"></a>

* Vào Quản lý DSAR / Complaint.
* Lọc loại yêu cầu = Complaint về xử lý dữ liệu.
* Mở case để xem: nội dung, bằng chứng đính kèm, mong muốn của ứng viên.
* Xác minh chủ thể qua email/ID, sau đó chuyển trạng thái sang **INPROGRESS**.

### 4.2. Điều tra nội bộ <a href="#id-42-iu-tra-ni-b" id="id-42-iu-tra-ni-b"></a>

Pháp chế phối hợp với HR, Marketing, IT, Data để:

* **Kiểm tra log consent**:
  * Ứng viên đã từng GRANT/DECLINE/WITHDRAW consent nào liên quan không.
  * Lịch sử thay đổi consent (Consent Event).
* **Kiểm tra dòng chảy dữ liệu liên quan đến khiếu nại**:
  * Danh sách hệ thống/bên thứ ba có thể đã dùng hoặc nhận dữ liệu (ATS, TRM, email marketing, partner, AI platform…).
  * Log gửi email, API call chia sẻ, job xử lý dữ liệu có liên quan.
* **Đối chiếu với Privacy Notice và legal basis**:
  * Mục đích xử lý có được thông báo rõ ràng không.
  * Việc sử dụng trong trường hợp này có vượt quá mục đích đã công bố không.

### 4.3. Xác định có vi phạm hay không <a href="#id-43-xc-nh-c-vi-phm-hay-khng" id="id-43-xc-nh-c-vi-phm-hay-khng"></a>

* Nếu xử lý **đúng** (có consent hợp lệ hoặc legal basis phù hợp, thông báo đầy đủ):
  * Ghi nhận kết quả điều tra, chuẩn bị giải thích rõ ràng cho ứng viên.
* Nếu xử lý **sai / vượt phạm vi**:
  * Xác định mức độ ảnh hưởng (nội bộ, đối tác, số hệ thống liên quan).
  * Lập kế hoạch khắc phục: dừng xử lý, thu hồi dữ liệu đã chia sẻ, cập nhật consent/notice, xóa/hạn chế dữ liệu nếu cần.
  * Đánh giá xem có cần báo cáo sự cố cho cơ quan quản lý theo quy định (nếu đủ nghiêm trọng).

### 4.4. Áp dụng các hành động khắc phục <a href="#id-44-p-dng-cc-hnh-ng-khc-phc" id="id-44-p-dng-cc-hnh-ng-khc-phc"></a>

Tùy kết quả điều tra, có thể:

* Cập nhật consent: đặt trạng thái **WITHDRAWN** cho các purpose liên quan, và/hoặc kích hoạt DSAR Hạn chế xử lý hoặc Rút consent mức mạnh.
* Kích hoạt DSAR Xóa dữ liệu nếu khiếu nại kết thúc bằng yêu cầu xóa và pháp luật cho phép.
* Gửi yêu cầu cho đối tác dừng sử dụng và xoá dữ liệu đã nhận (nếu có chia sẻ).
* Điều chỉnh cấu hình hệ thống, kịch bản marketing, luồng tích hợp để tránh lặp lại lỗi.

### 4.5. Phản hồi cho ứng viên <a href="#id-45-phn-hi-cho-ng-vin" id="id-45-phn-hi-cho-ng-vin"></a>

* Soạn văn bản trả lời trong khu vực “Trao đổi & Phản hồi”:
  * Tóm tắt nội dung khiếu nại.
  * Tóm tắt kết quả điều tra (ở mức không lộ thông tin nội bộ nhạy cảm).
  * Liệt kê các biện pháp đã/đang thực hiện: dừng gửi mail, rút consent, xoá/ẩn danh, thu hồi chia sẻ…
  * Nếu có phần xử lý vẫn phải tiếp tục vì nghĩa vụ pháp lý, giải thích căn cứ rõ ràng.
* Gửi email chính thức cho ứng viên, lưu bản nội dung trong case.
* Cập nhật trạng thái khiếu nại:
  * **Closed – justified** (khi ứng viên đúng và đã khắc phục) hoặc
  * **Closed – not justified** (không phát hiện sai phạm, sau khi đã giải thích).

### 4.6. Lưu audit & lesson learnt <a href="#id-46-lu-audit--lesson-learnt" id="id-46-lu-audit--lesson-learnt"></a>

* Đảm bảo case lưu đủ: log consent, log xử lý, quyết định nội bộ, nội dung phản hồi, các DSAR phụ đã kích hoạt (xóa/hạn chế/rút consent).
* Nếu phát hiện lỗ hổng hệ thống hoặc quy trình, tạo task cải tiến: điều chỉnh notice, UI consent, cấu hình marketing, hợp đồng với đối tác.

***

### 5. Lưu ý <a href="#id-5-lu" id="id-5-lu"></a>

* Phản hồi cho ứng viên cần rõ ràng nhưng thận trọng:
  * Không nhận lỗi vượt quá những gì điều tra xác nhận.
  * Luôn nêu căn cứ (consent, legitimate interest, legal obligation) và các bước khắc phục nếu có.
* Nếu khiếu nại cho thấy có khả năng sự cố dữ liệu diện rộng (ảnh hưởng nhiều người), cần kích hoạt quy trình quản lý sự cố/breach riêng, không chỉ dừng ở một case DSAR.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.mhiring.vn/mbase/mbw-consent/xu-ly-yeu-cau-du-lieu-dsar/ung-vien-khieu-nai-ve-viec-su-dung-du-lieu.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.