1.           Mục đích của quy định này là để đảm bảo rằng dữ liệu cá nhân của nhân viên và khách hàng được thu thập và xử lý theo pháp luật và quy định hiện hành, bao gồm nhưng không giới hạn như Quy định chung về bảo vệ dữ liệu (GDPR), nghị định số 13/2023/ND-CP về bảo vệ dữ liệu cá nhân tại Việt Nam.

2.           Quy định này áp dụng cho toàn bộ nhân viên của Công ty.

3.           Nguyên tắc thực hiện:

(a)         Hợp pháp, công bằng và minh bạch: Dữ liệu cá nhân chỉ được xử lý vì mục đích hợp pháp, được sự đồng ý của nhân viên hoặc dựa trên các căn cứ pháp lý khác  một cách rõ ràng, minh bạch.

(b)         Giới hạn mục đích: Dữ liệu cá nhân sẽ chỉ được thu thập cho các mục đích công việc, cụ thể, rõ ràng và hợp pháp.

(c)          Dữ liệu cá nhân phải đầy đủ, phù hợp và giới hạn ở những gì cần thiết cho mục đích xử lý công việc.

(d)         Độ chính xác: Dữ liệu cá nhân phải chính xác và được cập nhật khi cần thiết. Mọi dữ liệu không chính xác hoặc lỗi thời sẽ được sửa chữa hoặc xóa ngay lập tức.

(e)         Lưu trữ: Dữ liệu cá nhân của nhân viên có thể được lưu trữ lâu hơn thời gian làm việc thực tế của nhân viên tại Công ty.

(f)          Tính toàn vẹn và bảo mật: Dữ liệu cá nhân phải được xử lý theo cách đảm bảo an ninh thích hợp, bao gồm bảo vệ chống lại việc xử lý trái phép hoặc bất hợp pháp và chống lại sự mất mát, phá hủy hoặc hư hỏng do tai nạn bằng cách sử dụng các biện pháp kỹ thuật hoặc biện pháp thích hợp của Công ty.

(g)         Trách nhiệm giải trình: Công ty phải chịu trách nhiệm và có thể phải chứng minh sự tuân thủ các quy định này.

4.           Trách nhiệm

(a)         Công ty sẽ chỉ định một người hoặc bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân, giám sát việc thực hiện và tuân thủ các quy định này, hướng dẫn và đào tạo cho nhân viên, xử lý các yêu cầu và khiếu nại của nhân viên hoặc các chủ thể dữ liệu khác, hợp tác với các cơ quan liên quan và báo cáo mọi vi phạm dữ liệu cá nhân cho các cơ quan có thẩm quyền và nhân viên bị ảnh hưởng.

(b)         Nhân viên phải tuân thủ quy định này và tôn trọng quyền và nghĩa vụ đối với dữ liệu được cung cấp bởi chủ thể khác. Nhân viên phải thông báo cho người hoặc bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân về mọi thay đổi trong dữ liệu cá nhân của chính mình, mọi yêu cầu hoặc khiếu nại từ các chủ thể dữ liệu khác, mọi sự cố hoặc rủi ro liên quan đến việc xử lý dữ liệu cá nhân và mọi hành vi vi phạm hoặc nghi ngờ vi phạm các quy định này.

(c)          Các bên thứ ba (nếu có) thay mặt Công ty xử lý Dữ liệu cá nhân sẽ ký hợp đồng hoặc thỏa thuận với Công ty trong đó nêu rõ phạm vi, mục đích, thời gian và điều kiện xử lý cũng như nghĩa vụ và quyền của cả hai bên. Các bên thứ ba phải tuân thủ quy định này cũng như các luật và quy định hiện hành, thực hiện các biện pháp bảo mật thích hợp, thông báo cho Công ty về mọi vi phạm dữ liệu cá nhân, hợp tác với người hoặc bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân và trả lại hoặc xóa Dữ liệu cá nhân tại kết thúc hợp đồng hoặc thỏa thuận.

5.           Bảo vệ dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân nhạy cảm đề cập đến bất kỳ dữ liệu cá nhân nào tiết lộ bao gồm nhưng không giới hạn như nguồn gốc chủng tộc hoặc sắc tộc, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, tư cách thành viên công đoàn; dữ liệu di truyền; dữ liệu sinh trắc học để nhận dạng duy nhất một thể nhân; dữ liệu liên quan đến sức khỏe; đời sống tình dục hoặc khuynh hướng tình dục; hồ sơ tội phạm; vị trí; tình hình tài chính; số bảo mật xã hội…

Mỗi nhân viên hoặc bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm có các vai trò và trách nhiệm sau:

(a)         Đảm bảo rằng có cơ sở pháp lý cho việc xử lý đó.

(b)         Có được sự đồng ý từ các chủ thể dữ liệu để xử lý dữ liệu cá nhân nhạy cảm của họ.

(c)          Thông báo cho chủ thể dữ liệu về các quyền của họ đối với dữ liệu cá nhân nhạy cảm của họ như quyền truy cập, chỉnh sửa, xóa, hạn chế, phản đối, khả năng di chuyển, rút lại sự đồng ý, khiếu nại với cơ quan giám sát…

(d)         Đảm bảo rằng dữ liệu cá nhân nhạy cảm là chính xác, cập nhật, phù hợp và giới hạn ở những gì cần thiết cho mục đích xử lý.

(e)         Đảm bảo rằng dữ liệu cá nhân nhạy cảm được lưu trữ an toàn bằng cách sử dụng các biện pháp kỹ thuật và tổ chức phù hợp như khoá, đặt password, mã hóa, kiểm soát truy cập, sao lưu, v.v.

(f)          Đảm bảo rằng dữ liệu cá nhân nhạy cảm chỉ được chuyển đến những người nhận được ủy quyền có biện pháp bảo vệ thích hợp

6.           Cấm mua bán, chia sẻ thông tin dữ liệu cá nhân.

Ngăn chặn việc mua, bán và chia sẻ thông tin dữ liệu cá nhân trái phép hoặc bất hợp pháp của tổ chức hoặc nhân viên của tổ chức. Quy định này dựa trên các quy định pháp luật hiện hành như điều 8, khoản 4 điều 3 Nghị định số 13/2023/ND-CP về bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó nghiêm cấm việc mua, bán, trao đổi, cho thuê, tặng cho, cho mượn hoặc các hình thức khác chuyển dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu hoặc cơ sở pháp lý.

(a)         Công ty và nhân viên của Công ty không được mua, bán, trao đổi, cho thuê, tặng, cho mượn hoặc chuyển giao thông tin dữ liệu cá nhân cho bất kỳ Công ty hoặc cá nhân nào khác mà không có sự đồng ý của chủ thể dữ liệu hoặc cơ sở pháp lý. Công ty và nhân viên của Công ty cũng không được chia sẻ thông tin dữ liệu cá nhân với bất kỳ Công ty hoặc cá nhân nào khác mà không có mục đích hợp pháp và hợp đồng hoặc thỏa thuận nêu rõ các điều kiện và biện pháp bảo vệ việc chia sẻ.

(b)         Phòng ngừa: Công ty và nhân viên của mình phải thực hiện các biện pháp kỹ thuật và biện pháp thích hợp của Công ty để ngăn chặn việc mua, bán và chia sẻ thông tin dữ liệu cá nhân trái phép hoặc bất hợp pháp. Các biện pháp như vậy có thể bao gồm mã hóa, kiểm soát truy cập, nhật ký kiểm tra, đào tạo, nhận thức, chính sách, thủ tục, v.v.

(c)          Phát hiện: Công ty và nhân viên của Công ty sẽ theo dõi và kiểm tra các hoạt động liên quan đến thông tin dữ liệu cá nhân và báo cáo mọi hành vi đáng ngờ hoặc bất thường cho người hoặc bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân. Công ty và nhân viên của Công ty cũng sẽ hợp tác với các cơ quan hữu quan trong trường hợp có bất kỳ cuộc điều tra hoặc thắc mắc nào liên quan đến việc mua, bán và chia sẻ thông tin dữ liệu cá nhân.

(d)         Phản hồi: Công ty và nhân viên của Công ty sẽ hành động ngay lập tức để ngăn chặn và khắc phục mọi sự cố hoặc rủi ro liên quan đến việc mua, bán và chia sẻ thông tin dữ liệu cá nhân. Công ty và nhân viên của Công ty cũng phải thông báo cho người hoặc bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân, cơ quan có thẩm quyền và chủ thể dữ liệu bị ảnh hưởng về mọi vi phạm dữ liệu cá nhân liên quan đến việc mua, bán và chia sẻ thông tin dữ liệu cá nhân.

7.           Điều khoản thi hành.

(a)         Quy định này bắt đầu có hiệu lực thi hành kể từ ngày 01/9/2023.

(b)         Các nội dung không được đề cập tại Quy định này sẽ được thực hiện theo quy định của pháp luật.