Trung tâm quyền riêng tư

Trung tâm Quyền riêng tư

HEINEKEN Việt Nam rất quan tâm đến việc bảo vệ dữ liệu cá nhân mà công ty nhận được. Chúng tôi cố gắng xử lý dữ liệu cá nhân một cách cẩn thận theo pháp luật hiện hành và các tiêu chuẩn nội bộ, minh bạch về cách chúng tôi sử dụng dữ liệu cá nhân và cách các cá nhân có thể thực hiện quyền riêng tư đối với dữ liệu của mình.

6 NGUYÊN TẮC VỀ QUYỀN RIÊNG TƯ CỦA HEINEKEN

Tất cả nhân viên tại HEINEKEN Việt Nam có trách nhiệm tuân thủ “6 Nguyên tắc về quyền riêng tư của HEINEKEN” và biến chúng thành một phần trong hoạt động kinh doanh hàng ngày.

Nguyên tắc 1: Hạn chế sử dụng

Xác định mục đích kinh doanh rõ ràng trước khi bạn bắt đầu thu thập dữ liệu cá nhân. Giới hạn việc sử dụng dữ liệu cá nhân ở mức cần thiết để đạt được mục đích kinh doanh đó.

Nguyên tắc 2: Tối giản dữ liệu

Chỉ sử dụng dữ liệu cá nhân cần thiết cho mục đích kinh doanh và hạn chế quyền truy cập vào dữ liệu trên cơ sở “cần biết”. Xóa dữ liệu cá nhân khi không còn cần thiết. Cập nhật dữ liệu cá nhân và đảm bảo tính chính xác.

Nguyên tắc 3: Dữ liệu nhạy cảm

Hãy hết sức cẩn thận khi sử dụng dữ liệu nhạy cảm như sức khỏe, tôn giáo, số an sinh xã hội. Liên hệ Cán bộ Quyền riêng tư để được tư vấn thêm nếu bạn muốn sử dụng dữ liệu nhạy cảm.

Nguyên tắc 4: Tính minh bạch và quyền của cá nhân

Trao đổi về những gì bạn làm với dữ liệu cá nhân thông qua các thông báo và tuyên bố khác. Tạo điều kiện cho các cá nhân thực hiện quyền đối với dữ liệu cá nhân của họ.

Nguyên tắc 5: Bảo mật

Có sẵn các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi việc truy cập hoặc sử dụng trái phép và không mong muốn. Nhân viên truy cập dữ liệu phải bị ràng buộc bởi nghĩa vụ bảo mật.

Nguyên tắc 6: Quyền truy cập của bên thứ ba

Đảm bảo áp dụng các biện pháp bảo vệ cần thiết khi cho phép bên thứ ba truy cập dữ liệu cá nhân. Các biện pháp bổ sung có thể cần thiết cho việc chuyển giao dữ liệu quốc tế.

THÔNG BÁO QUYỀN RIÊNG TƯ

HEINEKEN Việt Nam chịu trách nhiệm sẽ thông báo cho các cá nhân liên quan về việc xử lý dữ liệu cá nhân một cách minh bạch. Tùy thuộc vào cách thức và nơi thu thập dữ liệu cá nhân, thông tin sẽ được trình bày qua các phương tiện thích hợp, ví dụ như dưới dạng Thông báo/Chính sách về quyền riêng tư.

Chính sách bảo vệ dữ liệu cá nhân của Website HEINEKEN Việt Nam

QUYỀN RIÊNG TƯ CỦA BẠN

Mọi cá nhân có dữ liệu cá nhân được chúng tôi xử lý đều có quyền yêu cầu xem tổng quan về dữ liệu cá nhân của mình. Bạn cũng có quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu hoặc thu hồi sự đồng ý hoặc phản đối việc xử lý dữ liệu cá nhân của bạn. Để đưa ra yêu cầu về quyền riêng tư, vui lòng làm theo quy trình nêu trong Chính sách về quyền riêng tư hiện hành.

THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN KHI ÁP DỤNG QUY TRÌNH QUẢN LÝ VIỆC RA VÀO VÀ HỆ THỐNG CAMERA GIÁM SÁT TẠI NƠI LÀM VIỆC CỦA CÔNG TY (SAU ĐÂY VIẾT TẮT LÀ “THÔNG BÁO”)

Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam (Sau đây viết tắt là "HVN" hoặc "Chúng tôi" hoặc “Công ty”) và các công ty liên kết, các chi nhánh và văn phòng đại diện của HVN cam kết bảo vệ quyền riêng tư của Nhân viên.

Nhằm đảm bảo An toàn và Sức khỏe của nhân viên, an ninh tại các văn phòng và địa điểm làm việc của Công ty (sau đây viết tắt là “Nơi làm việc”), HVN cần lắp đặt thiết bị quản lý việc ra vào và hệ thống camera giám sát tại các địa điểm này. Để triển khai thiết bị này, Chúng tôi cần thu thập và xử lý một số thông tin cá nhân của nhân viên HVN và nhân viên hợp đồng với đối tác thứ ba và nhân viên nhà thầu làm việc tại HVN (Sau đây viết tắt là “Nhân viên” hoặc ”bạn”). Trước khi Chúng tôi xử lý thông tin của bạn, Chúng tôi cần bạn xác nhận đồng ý cho HVN được xử lý những thông tin này cho những mục đích được liệt kê dưới đây và phù hợp với quy định hiện hành về bảo vệ dữ liệu cá nhân.

Thiết bị quản lý này đưa ra ba lựa chọn khi đăng ký ra vào Nơi làm việc: (1) Nhận diện gương mặt, (2) dấu vân tay và (3) quẹt thẻ. Nhân viên có quyền được lựa chọn một trong ba cách thức để đăng ký ra vào Nơi làm việc của HVN.

Hệ thống camera giám sát (“hệ thống CCTV”) được lắp đặt để đảm bảo an toàn và an ninh tại Nơi làm việc của Chúng tôi. Chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát được đính kèm như là một phần không thể tách rời của Thông báo này. Bạn được yêu cầu đọc kỹ nội dung Thông báo này trước khi xác nhận đồng ý cho Chúng tôi xử lý dữ liệu cá nhân của bạn đối với hệ thống camera giám sát.

Chúng tôi tôn trọng quyền riêng tư của bạn và cam kết bảo mật Dữ liệu Cá nhân của bạn và quản lý dữ liệu bằng trách nhiệm pháp lý của Chúng tôi theo quy định hiện hành về bảo vệ dữ liệu cá nhân.

Trong Thông báo này, Chúng tôi mô tả cách Chúng tôi xử lý và bảo vệ dữ liệu cá nhân của bạn thông qua việc sử dụng thiết bị thông minh quản lý việc ra vào Nơi làm việc. Chúng tôi là Người kiểm soát dữ liệu cá nhân của bạn.

1. Chúng tôi sử dụng dữ liệu cá nhân của bạn cho mục đích gì

Chúng tôi sử dụng dữ liệu cá nhân của bạn nhằm các mục đích sau đây:

Nhằm đảm bảo An toàn Sức khỏe cho nhân viên và đáp ứng với nhu cầu áp dụng công nghệ trong việc quản lý việc ra vào Nơi làm việc một cách hiệu quả.
Đảm bảo an ninh khi ra vào Nơi làm việc, bảo vệ tài sản của nhân viên và Công ty.
Bảo vệ lợi ích hợp pháp của HVN và nhân viên của HVN.

2. Chúng tôi sử dụng loại dữ liệu cá nhân nào

Để đăng ký sử dụng thiết bị này, Chúng tôi cần nhân viên cung cấp những thông tin sau: họ và tên, mã số nhân viên, và phòng ban.

Nếu bạn đăng ký lựa chọn Nhận diện khuôn mặt, Chúng tôi sẽ yêu cầu bạn cung cấp thêm dữ liệu nhận diện khuôn mặt (thu thập nhận diện thông qua đồng tử mắt).

Nếu bạn đăng ký lựa chọn Nhận diện dấu vân tay, Chúng tôi sẽ yêu cầu bạn cung cấp thêm dữ liệu nhận diện vân tay (thu thập nhận diện thông qua cảm biến vân tay).

Nơi làm việc của HVN có hệ thống camera giám sát nhằm đảm bảo an ninh và an toàn tại nơi làm việc. Do đó, những hình ảnh của bạn cũng sẽ được hệ thống CCTV quay lại và lưu trữ trong một khoảng thời gian nhất định. Mời bạn xem chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát.

Thông tin của bạn mà chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và chỉ phục vụ cho những mục đích cụ thể được nêu ở mục 1 của Thông báo này. Những thông tin của bạn cần chính xác nhất có thể và cần tuân thủ theo quy định hiện hành về bảo vệ dữ liệu cá nhân.

3. Phương thức xử lý dữ liệu cá nhân của bạn

Bằng cách đọc và lựa chọn phương thức nhận diện bằng khuôn mặt hoặc dấu vân tay hoặc quét thẻ, bạn đồng ý rằng thông tin của mình sẽ được thu thập, lưu trữ, và sử dụng bằng bất kỳ phương thức nào theo các chính sách và/hoặc tình hình hoạt động của Công ty được điều chỉnh theo thời gian, bao gồm nhưng không giới hạn, thu thập, ghi, xác nhận, lưu trữ, chỉnh sửa, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chuyển giao, xóa, hủy và các hành động khác có liên quan. Tất cả phương thức này phải được phù hợp với mục đích đề ra tại mục 1 của Thông báo này.

4. Ai có quyền truy cập dữ liệu cá nhân của bạn

Chỉ thành viên thuộc bộ phận quản lý thiết bị ra vào mới có quyền truy cập vào dữ liệu cá nhân của bạn để thực hiện công việc thuộc trách nhiệm của mình và thực hiện bất kỳ mục đích nào được mô tả trong Thông báo này.

5. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Chúng tôi xem các dữ liệu cá nhân của các bạn như là tài sản quan trọng của Công ty và Chúng tôi sẽ đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, và hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra (bao gồm nhưng không giới hạn: rò rỉ dữ liệu hoặc xử lý dữ liệu không phù hợp gây tổn hại đến quyền và lợi ích hợp pháp của bạn).

6. Bảo mật

Chúng tôi sẽ thực hiện các biện pháp kỹ thuật, vật lý và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi bị lạm dụng hoặc phá hủy, mất mát, thay đổi, tiết lộ, thu thập hoặc truy cập vô tình, trái pháp luật hoặc trái phép.

Chúng tôi không chia sẻ dữ liệu cá nhân của nhân viên được thu thập cho thiết bị này cho bất kỳ bên thứ ba nào.

Chúng tôi sẽ thông báo cho Nhân viên về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian hợp lý sau khi phát hiện ra vi phạm đó, trừ khi một quan chức thực thi pháp luật hoặc cơ quan giám sát xác định rằng thông báo đó sẽ cản trở một cuộc điều tra (hình sự) hoặc gây thiệt hại cho an ninh quốc gia. Trong trường hợp này, việc thông báo sẽ bị trì hoãn theo hướng dẫn của cơ quan đó. Chúng tôi sẽ tiến hành điều tra nhanh chóng về Nhân viên liên quan đến Vi phạm Bảo mật Dữ liệu đó.

7. Chúng tôi lưu trữ dữ liệu cá nhân của bạn trong bao lâu

Chúng tôi sẽ lưu trữ dữ liệu cá nhân của bạn trong khoảng thời gian pháp luật yêu cầu hoặc khoảng thời gian cần thiết cho bất kỳ mục đích nào được liệt kê trong Thông báo này, hoặc để tuân thủ các yêu cầu pháp lý mà Chúng tôi phải tuân theo, miễn là cần thiết một cách hợp lý cho mục đích lưu trữ hoặc miễn là phù hợp với thời hiệu áp dụng. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng dữ liệu cá nhân mà Chúng tôi lưu trữ nếu dữ liệu đó không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu trữ đã xác định.

Thời gian chúng tôi bắt đầu xử lý những dữ liệu cá nhân: sau khi chủ thể dữ liệu đồng ý với Thông báo này.

Thời gian kết thúc việc xử lý những dữ liệu cá nhân mà nhiên viên cung cấp: khi nhân viên nghỉ việc, nhân viên nhà thầu kết thúc công việc tại Công ty thì Chúng tôi sẽ xóa dữ liệu trong vòng 30 ngày kể từ khi nhân viên hoàn thành bàn giao công việc vào ngày làm việc cuối cùng ngoại trừ dữ liệu camera giám sát. Thời gian kết thúc việc xử lý dữ liệu camera giám sát sẽ tuân theo quy định của Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát (đính kèm Thông báo này).

8. Quyền và nghĩa vụ của bạn

Bạn có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Bạn có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

9. Truy cập và yêu cầu chỉnh sửa, thắc mắc và khiếu nại

Vui lòng cập nhật dữ liệu cá nhân của bạn và thông báo cho Chúng tôi về bất kỳ thay đổi quan trọng nào.

Bạn có quyền yêu cầu cung cấp dữ liệu tổng hợp về thông tin cá nhân của bạn đã được Chúng tôi xử lý. Bạn có quyền yêu cầu chỉnh sửa, xóa hoặc hạn chế dữ liệu của mình (nếu cần thiết) theo qui định hiện hành về bảo vệ dữ liệu cá nhân cũng như các qui định và hướng dẫn liên quan khác của Công ty.

Trong một số trường hợp nhất định, bạn cũng có quyền yêu cầu Chúng tôi ngừng xử lý dữ liệu cá nhân của bạn hoặc yêu cầu chuyển lựa chọn đăng ký ra vào Nơi làm việc. Tuy nhiên, Chúng tôi sẽ không thể giải quyết yêu cầu này nếu Chúng tôi có cơ sở hợp pháp để tiếp tục xử lý dữ liệu cá nhân của bạn. Khi bạn đã đồng ý cho Chúng tôi sử dụng dữ liệu cá nhân của bạn, bạn có quyền rút lại sự đồng ý của mình nếu không ảnh hưởng đến tính hợp pháp của việc Chúng tôi sử dụng dữ liệu này trước khi bạn rút lại.

Trong trường hợp nhân viên muốn thực hiện các yêu cầu trên hoặc báo cáo vi phạm dữ liệu, vui lòng liên hệ với Chúng tôi qua địa chỉ hotline 19001845 hoặc privacyvn@heineken.com để được hỗ trợ.

10. Hiệu lực của Thông báo

Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sự khác biệt về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.

Thời hạn áp dụng Thông báo này sẽ được áp dụng từ ngày 01 tháng 07 năm 2023. Thông báo có thể được điều chỉnh tùy theo tình hình hoạt động và việc cập nhật Thông báo sẽ được gửi cho bạn đọc và xác nhận đồng ý.

------------------------------------------------------------------

Vui lòng đọc Thông báo và xác nhận đối với Thiết bị quản lý ra vào Nơi làm việc:

Đồng ý để Công ty xử lý dữ liệu Nhận diện dấu vân tay của tôi khi sử dụng thiết bị quản lý ra vào Nơi làm việc.
Đồng ý để Công ty xử lý dữ liệu Nhận diện gương mặt của tôi khi sử dụng thiết bị quản lý ra vào Nơi làm việc.
Không đồng ý để Công ty xử lý dữ liệu Nhận diện dấu vân tay hoặc Nhận diện gương mặt của tôi và tôi lựa chọn để Công ty tạo thẻ quẹt như một phương án thay thế cho viêc ra vào Nơi làm việc.

Vui lòng đọc Thông báo và xác nhận đối với Hệ thống camera giám sát tại Nơi làm việc:

Đồng ý để Công ty xử lý dữ liệu hình ảnh của tôi cho hệ thống camera giám sát tại Nơi làm việc của HVN.
Không đồng ý để Công ty xử lý dữ liệu hình ảnh của tôi cho hệ thống camera giám sát tại Nơi làm việc của HVN

THÔNG BÁO VỀ ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI HỆ THỐNG CAMERA GIÁM SÁT

Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam, các chi nhánh, văn phòng đại diện và công ty liên kết (sau đây viết tắt là “HVN” hoặc “Chúng tôi” hoặc “Công ty” hoặc “Bên Kiểm soát và Xử lý dữ liệu”) chịu trách nhiệm về việc xử lý dữ liệu cá nhân của bạn. HVN ban hành “Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát”. Thông báo này cung cấp thông tin về mục đích và các loại dữ liệu được thu thập từ hệ thống camera giám sát (gọi tắt là “dữ liệu”), cách dữ liệu được sử dụng và bảo mật, làm rõ quyền riêng tư tại nơi làm việc và thông tin liên hệ trong trường hợp cần thiết.

Thông báo này tuân thủ theo quy định pháp luật hiện hành và chính sách nội bộ của HVN về bảo vệ dữ liệu cá nhân. Thông báo này sẽ được thông báo tại các cổng và các vị trí trước khi vào khu vực được giám sát. Tất cả nhân viên, nhân viên nhà thầu & đối tác thứ ba và khách (sau đây viết tắt là “bạn”) đồng ý vào nhà máy xem như đã đọc và đồng ý với thông báo giám sát này. Nhân viên mới cần được thông báo trước khi bắt đầu công việc của họ tại nhà máy.

1. Định nghĩa

Nhân viên không chỉ giới hạn trong các quan hệ dựa trên hợp đồng lao động. “Nhân viên” trong thông báo này đề cập tới tất cả các trường hợp có mối quan hệ lao động theo nghĩa rộng nhất đối với HEINEKEN Việt Nam, bất kể quan hệ này có dựa trên hợp đồng lao động chính thức hay không (Bao gồm: nhân viên chính thức, nhân viên thời vụ, nhân viên đối tác thứ ba,v.v.).

Nhà thầu và khách bao gồm: viên chức nhà nước, nhà tư vấn, công nhân viên nhà thầu, nhà cung cấp, người làm nghề tự do, tình nguyện viên, những thành viên đại diện cho các tổ chức bên ngoài và các cá nhân khác tới tham quan và làm việc tại nhà máy.

Giám sát an ninh bằng hình ảnh là việc sử dụng hệ thống camera đặt tại các vị trí xác định để ghi lại hình ảnh trực quan về các hoạt động trong khu vực nhà máy để đảm bảo các quy định an toàn, an ninh, an toàn thực phẩm. Việc giám sát bằng hình ảnh không bao gồm thu âm thanh.

2. Cơ sở pháp lý:

Chúng tôi chỉ xử lý dữ liệu cá nhân của bạn nếu có một trong các cơ sở pháp lý sau:

Lợi ích hợp pháp
Trường hợp chúng tôi có lợi ích kinh doanh hợp pháp. Chúng tôi sẽ luôn làm như vậy nhưng chỉ trong giới hạn cho phép theo quy định hiện hành về bảo vệ dữ liệu áp dụng cho quá trình xử lý hoặc dữ liệu cá nhân của bạn.

Nghĩa vụ pháp lý
Trường hợp chúng tôi tin rằng cần phải sử dụng thông tin của bạn để tuân thủ nghĩa vụ pháp lý mà chúng tôi phải tuân theo. Ví dụ: nếu chúng tôi được yêu cầu hoặc được hướng dẫn sử dụng giám sát camera trong một số khu vực theo luật hiện hành hoặc theo giấy phép, nhượng quyền, sự đồng thuận hành chính mà chúng tôi được yêu cầu để thực hiện hoạt động kinh doanh.

Sự đồng thuận
Hoặc với sự đồng thuận của bạn. Chúng tôi sẽ luôn thông báo cho bạn và yêu cầu sự đồng thuận của bạn nếu chúng tôi cần làm như vậy dựa trên quy định hiện hành về bảo vệ dữ liệu cá nhân áp dụng cho việc xử lý dữ liệu của bạn.

3. Loại dữ liệu cá nhân được xử lý

Chúng tôi xử lý thông tin hình ảnh dựa trên đó chúng tôi có thể nhận dạng bạn dựa trên ngoại hình của bạn hoặc các yếu tố cụ thể khác khi bạn bước vào không gian được giám sát. Nói cách khác: chúng tôi xử lý cảnh quay camera của bạn nếu bạn làm việc tại các địa điểm của chúng tôi hoặc đi vào các địa điểm của chúng tôi nơi giám sát camera đang hoạt động. Thông thường, chúng tôi đã tắt các bản ghi âm thanh.

4. Mục đích:

Chúng tôi sử dụng camera giám sát cho các mục đích sau:

Để bảo vệ tài sản của nhà máy khỏi bị hư hại, phá hoại và các vi phạm khác;
Hỗ trợ quản lý hàng ngày, bao gồm đảm bảo sức khỏe, tuân thủ cam kết bảo vệ bản thân, an toàn của nhân viên và các bên có liên quan;
Hỗ trợ điều tra nội bộ về an ninh & an toàn và chất lượng sản phẩm khi cần thiết;
Hỗ trợ các cơ quan thực thi pháp luật trong việc phòng ngừa, phát hiện và truy tố tội phạm;
Hỗ trợ giải quyết hiệu quả các tranh chấp phát sinh trong quá trình tố tụng, kỷ luật;
Hỗ trợ bào chữa, cung cấp bằng chứng cho bất kỳ vụ kiện dân sự nào, bao gồm cả thủ tục tố tụng của tòa án.

5. Phạm vi áp dụng

Đối tượng: Tất cả nhân viên HVN, nhân viên nhà thầu, nhân viên đối tác thứ ba và khách tham quan.

Khu vực: Thông báo này chỉ áp dụng cho các khu vực mà chúng tôi chịu trách nhiệm quản lý hệ thống giám sát: bao gồm lối đi nội bộ, hành lang, văn phòng làm việc, khu vực sản xuất, các nhà kho, bãi cỏ, căn tin, v.v. (Ngoại trừ khu vực cần quyền riêng tư chính đáng như: nhà vệ sinh, phòng thay đồ).

Thời gian giám sát: 24/7

6. Biện pháp bảo vệ quyền riêng tư của bạn

Chúng tôi cố gắng giảm thiểu tác động của việc sử dụng giám sát camera đối với quyền riêng tư của bạn càng nhiều càng tốt. Các biện pháp chúng tôi đã thực hiện để đạt được điều này bao gồm:

Nơi đặt camera ghi hình tại các địa điểm của chúng tôi, chúng tôi sẽ đảm bảo rằng các biển báo được hiển thị ở lối vào của khu vực giám sát để thông tin tới bạn rằng hình ảnh của bạn có thể bị ghi lại. Những thông tin trên các biển báo sẽ chứa chi tiết liên hệ của chúng tôi, mục đích sử dụng hệ thống giám sát và người cần liên hệ để biết thêm thông tin.
Vị trí của thiết bị camera giám sát sẽ được hiển thị rõ ràng và sẽ có thông báo cho bạn biết sự hiện diện của thiết bị.
Hệ thống camera giám sát sẽ không sử dụng tính năng thu âm thanh.
Dữ liệu ghi nhận từ hệ thống giám sát sẽ tự động bị xóa sau 180 ngày đối với các khu vực lắp camera giám sát cho mục đích đảm bảo an toàn thực phẩm và 30 ngày đối với các khu vực còn lại. Điều này để phục vụ các cuộc điều tra kỷ luật, các vấn đề khiếu nại, khiếu kiện và điều tra chất lượng hàng hóa, sản phẩm. Hình ảnh được ghi chỉ được xem bởi các cá nhân thực hiện nhiệm vụ có liên quan hoặc tại các văn phòng được chỉ định.
Chúng tôi sẽ đảm bảo rằng nguồn cấp dữ liệu trực tiếp từ camera và hình ảnh được ghi lại chỉ được xem bởi các nhân viên được phê duyệt có quyền truy cập vào dữ liệu đó. Điều này có thể bao gồm một số nhân viên có liên quan đến các cuộc điều tra kỷ luật hoặc các vấn đề khiếu kiện. Hình ảnh đã ghi sẽ chỉ được xem trong các văn phòng an toàn được chỉ định.
Nhân viên sử dụng hệ thống giám sát đã được đào tạo để đảm bảo họ hiểu và tuân thủ các yêu cầu pháp lý liên quan đến việc xử lý dữ liệu.
Sẽ không có camera giám sát nào được đặt ở những khu vực có mong đợi chính đáng và khách quan về sự riêng tư (ví dụ: trong phòng thay đồ hoặc nhà vệ sinh).

7. Thời gian lưu trữ dữ liệu:

Dữ liệu ghi nhận từ hệ thống giám sát sẽ tự động bị xóa sau 180 ngày đối với các khu vực lắp camera giám sát cho mục đích bảo đảm về an toàn thực phẩm và 30 ngày đối với các khu vực còn lại. Điều này để phục vụ các cuộc điều tra kỷ luật, các vấn đề khiếu kiện và điều tra chất lượng hàng hóa, sản phẩm. Hình ảnh được ghi chỉ được xem bởi các cá nhân hoặc tại các văn phòng được chỉ định.

Khi hết thời hạn sử dụng, tất cả hình ảnh được lưu trữ ở bất kỳ định dạng nào sẽ bị xóa vĩnh viễn và theo cách an toàn. Các thiết bị lưu trữ dữ liệu như băng hoặc đĩa sẽ được thải bỏ như rác thải bí mật. Mọi ảnh tĩnh và bản in ra giấy sẽ được thải bỏ như rác thải bí mật.

Thời gian bắt đầu xử lý dữ liệu được tính từ thời điểm ghi nhận đầu tiên vào khu vực có camera giám sát và thời gian kết thúc xử lý dữ liệu là thời điểm xóa dữ liệu theo thời hạn đã nêu trên.

8. Đánh giá rủi ro về quyền cá nhân

Trước khi giới thiệu bất kỳ hệ thống giám sát mới nào, bao gồm cả việc đặt một camera mới ở bất kỳ vị trí nào tại nơi làm việc, chúng tôi sẽ xem xét cẩn thận quy định hiện hành về bảo vệ dữ liệu cá nhân và thực hiện đánh giá tác động của việc xử lý dữ liệu cá nhân khi cần thiết. Việc đánh giá như vậy nhằm hỗ trợ chúng tôi trong việc quyết định xem liệu camera giám sát mới có cần thiết và có nên sử dụng không hoặc liệu có nên đặt ra bất kỳ giới hạn nào đối với việc sử dụng chúng hay không. Chúng tôi sẽ xem xét bản chất của vấn đề mà chúng tôi đang tìm cách giải quyết tại thời điểm đó và liệu camera giám sát có khả năng là một giải pháp hiệu quả, hoặc liệu có một giải pháp nào tốt hơn hay không. Chúng tôi sẽ xem xét ảnh hưởng của camera giám sát đối với các cá nhân và để cân nhắc kỹ lưỡng về sự phù hợp của việc sử dụng nó đối với vấn đề đã được xác định.

Chúng tôi sẽ đảm bảo rằng việc sử dụng hệ thống camera giám sát liên tục hiện có được xem xét thường xuyên, và trong trường hợp có bất kỳ thay đổi nào, để đảm bảo rằng việc sử dụng chúng vẫn cần thiết và phù hợp, và rằng bất kỳ hệ thống giám sát nào cũng đang tiếp tục giải quyết các nhu cầu làm cơ sở cho sự ra đời của hệ thống đó.

9. Chia sẻ dữ liệu

Dữ liệu camera giám sát có thể được chia sẻ và chuyển giao cho những đối tượng sau đây:

Tập đoàn HEINEKEN: Chúng tôi là thành viên của HEINEKEN toàn cầu. Chúng tôi có thể chia sẻ thông tin của bạn trong tập đoàn HEINEKEN (www.heinekencompany.com) nếu điều đó là cần thiết để đạt được mục đích mà chúng tôi đã thu thập dữ liệu của bạn. Trong tập đoàn HEINEKEN, ít nhất chúng tôi có thể chia sẻ dữ liệu camera với Proseco BV. Proseco là tổ chức an ninh toàn cầu (nội bộ) của HEINEKEN và cung cấp dịch vụ bảo mật chuyên gia và hỗ trợ cho các công ty liên kết thuộc tập đoàn HEINEKEN.
Các tổ chức và nhà cung cấp dịch vụ mà chúng tôi đang hợp tác Với lượng lớn dữ liệu do hệ thống giám sát tạo ra, chúng tôi có thể lưu trữ bằng hệ thống điện toán đám mây. Chúng tôi sẽ thực hiện tất cả các bước hợp lý để đảm bảo bất kỳ nhà cung cấp dịch vụ đám mây nào cũng duy trì tính bảo mật thông tin phù hợp với các tiêu chuẩn, quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Các cố vấn chuyên nghiệp của chúng tôi;
Bất kỳ cơ quan thực thi pháp luật, tòa án, cơ quan quản lý, cơ quan chính phủ hoặc bên thứ ba chúng tôi tin rằng điều này là cần thiết để tuân thủ nghĩa vụ pháp lý hoặc để bảo vệ quyền hợp pháp của chúng tôi và bất kỳ bên thứ ba nào.

10. Chuyển dữ liệu của bạn sang các quốc gia khác

Dữ liệu cá nhân của bạn có thể được chuyển sang một quốc gia khác. Ví dụ: nếu dữ liệu của bạn đang được lưu trữ trong một trung tâm dữ liệu bên ngoài quốc gia của bạn, nếu chúng tôi có thể truy cập từ xa vào dữ liệu của bạn từ nước ngoài hoặc một trong những nhà cung cấp CNTT của chúng tôi cung cấp dịch vụ hỗ trợ và bảo trì tại cơ sở từ bên ngoài quốc gia của bạn. Các quốc gia mà chúng tôi chuyển dữ liệu cá nhân đến có thể có các tiêu chuẩn về quyền riêng tư khác với quốc gia của bạn. Chúng tôi sẽ luôn tuân thủ các yêu cầu theo quy định hiện hành về bảo vệ dữ liệu cá nhân tại quốc gia của bạn đối với việc chuyển dữ liệu ra nước ngoài.

Nếu chúng tôi chuyển dữ liệu cá nhân của bạn đến một quốc gia không cung cấp mức độ bảo vệ thích hợp, chúng tôi sẽ đảm bảo rằng chúng tôi sẽ áp dụng các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân của bạn hoặc đảm bảo rằng chúng tôi có thể chuyển thông tin của bạn tuân thủ quy định hiện hành về bảo vệ dữ liệu cá nhân.

11. Bảo mật dữ liệu

Chúng tôi sẽ thực hiện các biện pháp kỹ thuật, vật lý và tổ chức phù hợp để bảo vệ thông tin cá nhân của bạn được thu thập thông qua hệ thống camera giám sát khỏi bị lạm dụng hoặc phá hủy, mất mát, thay đổi, tiết lộ, mua lại hoặc truy cập một cách vô tình hoặc bất hợp pháp, phù hợp với các thông lệ và quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Khi chúng tôi ký hợp đồng với bất kỳ nhà cung cấp dịch vụ nào, chúng tôi yêu cầu và ràng buộc các nhà cung cấp dịch vụ sử dụng các biện pháp thích hợp để bảo vệ tính bí mật và an toàn thông tin cá nhân của bạn.

12. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, chúng tôi đã, đang và sẽ thực hiện các biện pháp nội bộ để đảm bảo rằng những sự cố đó được xác định và giải quyết không chậm trễ. Chúng tôi sẽ nỗ lực ngăn chặn hành vi vi phạm dữ liệu cá nhân của bạn vì những hành vi này có thể ảnh hưởng đến quyền và lợi ích hợp pháp của bạn, chẳng hạn như phân biệt đối xử; tổn hại đến danh tiếng; tổn thất tài chính; hoặc bất kỳ bất lợi đáng kể nào đối với bạn và/hoặc về kinh tế hoặc xã hội.

13. Quyền và nghĩa vụ của bạn:

13.1. Quyền của bạn:

Bạn có các quyền liên quan đến thông tin cá nhân của bạn theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Chúng tôi dựa vào sự đồng thuận của bạn để xử lý dữ liệu của bạn. Bạn có thể rút lại sự đồng thuận của mình bất kỳ lúc nào và có thể phản đối một số cách chúng tôi xử lý dữ liệu cá nhân của bạn. Bạn có thể yêu cầu chúng tôi bằng cách sử dụng các chi tiết liên lạc được đề cập bên dưới bất kỳ lúc nào:

Để truy cập thông tin cá nhân của bạn (tức là có được tổng quan về dữ liệu cá nhân của bạn mà chúng tôi xử lý).
Để thông tin cá nhân của bạn được sửa chữa, cập nhật, chỉnh sửa hoặc xóa hoặc để hạn chế việc xử lý thông tin cá nhân của bạn.
Để nhận một bản sao thông tin cá nhân của bạn ở định dạng máy thông thường có thể đọc được hoặc để thông tin này được truyền trực tiếp đến một tổ chức khác (nếu có thể về mặt kỹ thuật).
Khiếu nại với cơ quan nhà nước có thẩm quyền.

Chúng tôi có quyền che khuất, tạo pixel hoặc làm mờ hình ảnh của bên thứ ba khi tiết lộ dữ liệu giám sát camera cho bạn như một phần của yêu cầu truy cập hoặc nhận dữ liệu của bạn.

Để xác định vị trí các cảnh quay có liên quan một cách hiệu quả và đáp ứng yêu cầu của bạn càng sớm càng tốt, mọi yêu cầu về bản sao của các hình ảnh đã ghi tốt nhất phải bao gồm:

Thông tin thời gian rõ ràng;
Vị trí ghi lại cảnh quay;
Thông tin cá nhân (Khi cần thiết).

Để đảm bảo rằng chúng tôi không cung cấp thông tin về bạn cho người khác, chúng tôi có thể yêu cầu nhận dạng của bạn trước khi có thể xử lý yêu cầu của bạn.

13.2. Nghĩa vụ của bạn:

Bạn có nghĩa vụ tuân thủ quy định về bảo vệ dữ liệu cá nhân theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

14. Thông tin liên hệ

Nếu bạn có bất kỳ câu hỏi nào về cách chúng tôi xử lý dữ liệu cá nhân hoặc nếu bạn muốn thực hiện các quyền của mình liên quan đến dữ liệu cá nhân mà chúng tôi xử lý, hoặc báo cáo vi phạm dữ liệu, vui lòng liên hệ với chúng tôi bằng cách gọi đến số tổng đài Công ty 19001845 hoặc gửi thư điện tử tới địa chỉ email privacyvn@heineken.com.

15. Hiệu lực của Thông báo

Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sựkhác nhau về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.

THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CHO NHÀ CUNG CẤP

Thông báo điều khoản bảo vệ dữ liệu cá nhân cho nhà cung cấp này (“Thông báo”) áp dụng từ ngày 01 tháng 7 năm 2023 đối với các nhà cung cấp sản phẩm và dịch vụ (“NCC”) của Công ty TNHH Nhà máy bia HEINEKEN Việt Nam (“HVN” hoặc “Chúng tôi”). Đối tượng áp dụng là (i) cá nhân và (ii) người đại diện hoặc người liên hệ của các NCC của chúng tôi là pháp nhân. Bạn nhận được Thông báo về quyền riêng tư này vì HVN đang và sẽ xử lý thông tin cá nhân của bạn (“Dữ liệu cá nhân”) với tư cách là bên kiểm soát và/hoặc bên xử lý. Vui lòng đọc kỹ Chính sách bảo vệ quyền riêng tư này vì nó nêu rõ bối cảnh chúng tôi xử lý dữ liệu cá nhân của bạn và giải thích các quyền của bạn cũng như nghĩa vụ của chúng tôi khi thực hiện xử lý dữ liệu.

Chúng tôi tôn trọng quyền riêng tư của bạn và chúng tôi cam kết bảo mật và quản lý Dữ liệu Cá nhân của bạn tuân thủ các trách nhiệm pháp lý của chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành (bao gồm Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân).

1. Dữ liệu cá nhân nào chúng tôi xử lý và cách xử lý

Chúng tôi có thể thu thập một số loại Dữ liệu Cá nhân của bạn như sau:

Thông tin chung và thông tin nhận dạng của bạn (ví dụ: tên, ngày và nơi sinh, quốc tịch, số CMND hoặc hộ chiếu, email và/hoặc địa chỉ, số điện thoại cố định và/hoặc di động);
Bộ phận làm việc của bạn (ví dụ: chức danh, vị trí và tên công ty);
Đối với các NCC là cá nhân, thông tin tài chính (ví dụ: thông tin tài khoản ngân hàng);

Dữ liệu này có thể được bạn cung cấp trực tiếp hoặc được cung cấp bởi NCC của chúng tôi.

Nếu bạn có ý định cung cấp cho chúng tôi dữ liệu cá nhân về các cá nhân khác, bạn phải cung cấp bản sao Thông báo này cho các cá nhân có liên quan để nhận được sự đồng ý của họ.

Các hoạt động xử lý Dữ liệu cá nhân có thể được Chúng tôi thực hiện theo cách thức tự động hoặc không tự động, bằng các phương tiện điện tử hoặc các cách thức thủ công hoặc bất kỳ cách thức nào khác mà Chúng tôi cho là phù hợp.

2. Mục đích chúng tôi xử lý dữ liệu cá nhân của bạn

Chúng tôi luôn xử lý Dữ liệu Cá nhân của bạn cho một hoặc một vài mục đích cụ thể và chỉ xử lý Dữ liệu Cá nhân có liên quan để đạt được mục đích đó. Cụ thể, chúng tôi xử lý Dữ liệu Cá nhân của bạn cho các mục đích sau:

Để quản lý các NCC của chúng tôi;
Tổ chức đấu thầu, thực hiện các công việc chuẩn bị hoặc thực hiện các hợp đồng hiện có;
Để giám sát các hoạt động tại các cơ sở của chúng tôi, bao gồm việc tuân thủ các chính sách hiện hành cũng như các quy định về sức khỏe và an toàn tại chỗ;
Để cấp cho bạn quyền truy cập vào các chương trình đào tạo của chúng tôi, cho phép bạn cung cấp cho chúng tôi một số dịch vụ nhất định;
Để quản lý tài nguyên CNTT của chúng tôi, bao gồm quản lý cơ sở hạ tầng và tính liên tục trong kinh doanh;
Để bảo vệ và thực hiện các quyền hợp pháp của chúng tôi, đồng thời đảm bảo tuân thủ và báo cáo (chẳng hạn như tuân thủ các chính sách của chúng tôi và các quy định pháp luật, thuế và các khoản khấu trừ, quản lý các trường hợp bị cáo buộc có hành vi sai trái gian lận, tiến hành kiểm toán và các quy trình kiện tụng);
Lưu trữ (bao gồm cả lưu trữ tại địa phương và/hoặc trên dịch vụ điện toán đám mây có máy chủ đặt ngoài lãnh thổ Việt Nam) và theo dõi hồ sơ;
Để thanh toán và lập hoá đơn;
Bất kỳ mục đích nào khác do pháp luật và cơ quan có thẩm quyền quy định.

3. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân của bạn

Thời gian xử lý dữ liệu cá nhân bắt đầu khi bạn cung cấp dữ liệu cá nhân cho Chúng tôi và kéo dài tới khi Dữ liệu cá nhân được xóa, hủy theo các quy định của pháp luật và/hoặc quy định, quyết định tại từng thời điểm của Chúng tôi. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng Dữ liệu cá nhân mà chúng tôi giữ nếu không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ được xác định.

4. Cách chúng tôi chia sẻ dữ liệu cá nhân của bạn

Dữ liệu Cá nhân của bạn có thể được truy cập hoặc chuyển đến các bên thứ ba sau trên cơ sở cần biết để đạt được các mục đích được liệt kê ở trên. Các bên thứ ba đó có thể là:

Nhân sự của chúng tôi (bao gồm nhân sự, các phòng ban hoặc các công ty khác thuộc tập đoàn HEINEKEN)
Đại lý độc lập của chúng tôi (nếu có);
Nhà cung cấp hệ thống CNTT, nhà cung cấp dịch vụ đám mây, nhà cung cấp cơ sở dữ liệu và nhà tư vấn của chúng tôi;
Trong trường hợp chúng tôi bán toàn bộ hoặc một phần tài sản hoặc cổ phần của một công ty thuộc tập đoàn HEINEKEN mà Dữ liệu Cá nhân được chuyển giao cho bên thứ ba thì Dữ liệu Cá nhân của bạn có thể được cung cấp cho bên thứ ba này;
Bất kỳ cơ quan thực thi pháp luật quốc gia và/hoặc quốc tế nào (cơ quan quản lý, cơ quan công quyền và cơ quan tư pháp) nhằm tuân thủ mọi nghĩa vụ pháp lý của chúng tôi hoặc lệnh của tòa án.

Các bên này có thể có trụ sở tại Việt Nam, Liên minh Châu Âu hoặc các quốc gia khác trong Khu vực Kinh tế Châu Âu (“EEA”) hoặc bất kỳ nơi nào khác trên thế giới. Nếu chúng tôi chuyển dữ liệu cá nhân của bạn cho các công ty/tổ chức ở các khu vực pháp lý khác, chúng tôi sẽ đảm bảo bảo vệ dữ liệu cá nhân của bạn bằng cách (i) áp dụng mức độ bảo vệ cần thiết theo luật bảo mật dữ liệu hiện hành và (ii) hành động theo chính sách và tiêu chuẩn của chúng tôi.

5. Đảm bảo an toàn Dữ liệu cá nhân

Chúng tôi đã đưa ra các biện pháp bảo mật thích hợp để ngăn chặn Dữ liệu Cá nhân của bạn vô tình bị mất, sử dụng hoặc truy cập một cách trái phép, bị thay đổi hoặc tiết lộ. Ngoài ra, chúng tôi cũng giới hạn quyền truy cập vào Dữ liệu Cá nhân của bạn đối với những nhân viên, đại lý, nhà thầu và các bên thứ ba khác trên cơ sở cần biết để thực hiện công việc và những bên thứ ba này phải chịu trách nhiệm bảo mật.

6. Lựa chọn và quyền của bạn

Bạn có quyền đưa ra và rút lại sự đồng ý xử lý dữ liệu cá nhân, truy cập và xóa dữ liệu cá nhân, có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân, lấy dữ liệu cá nhân, nộp đơn khiếu nại, tố cáo và kiện tụng cũng như yêu cầu bồi thường thiệt hại, và các quyền khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

7. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, chúng tôi đã thực hiện các biện pháp nội bộ để đảm bảo rằng những sự cố đó được xác định và giải quyết không chậm trễ. Chúng tôi nỗ lực ngăn chặn hành vi vi phạm dữ liệu cá nhân của bạn vì những hành vi này có thể ảnh hưởng đến quyền và lợi ích hợp pháp của bạn, chẳng hạn như phân biệt đối xử; tổn hại đến danh tiếng; thua lỗ; hoặc mất tính bảo mật hoặc bất kỳ bất lợi đáng kể nào về kinh tế hoặc xã hội.

8. Cập nhật

Chúng tôi sẽ rà soát lại và cập nhật Chính sách bảo vệ quyền riêng tư này theo thời gian. Mọi thay đổi đối với Chính sách này sẽ được thông báo tới bạn qua các kênh liên lạc thông thường của chúng tôi (ví dụ: email).

9. Liên lạc

Nếu bạn muốn thực hiện bất kỳ quyền nào được liệt kê ở trên, và/hoặc báo cáo bất kỳ vi phạm quyền riêng tư nào, hoặc có bất kỳ câu hỏi hoặc nhận xét nào về Chính sách này và tiêu chuẩn thực hiện quyền riêng tư của Chúng tôi, bạn có thể liên hệ với chúng tôi tại email privacyvn@heineken.com hoặc gửi thư cho Chúng tôi đến địa chỉ Tầng 18 & 19, Tòa nhà Vietcombank, số 5 Công Trường Mê Linh, Phường Bến Nghé, Quận 1, Tp. Hồ Chí Minh. Xin lưu ý rằng chúng tôi có thể yêu cầu bằng chứng về danh tính.

CHÍNH SÁCH VỀ QUYỀN CỦA CHỦ THỂ DỮ LIỆU CỦA HEINEKEN VIỆT NAM (“Chính sách DSR”)

1. Giới thiệu

1.1. Chính sách về quyền của chủ thể dữ liệu này (“Chính sách DSR” hoặc “Chính sách”) nêu rõ cách HEINEKEN Việt Nam (“HVN”) xử lý các yêu cầu của nhân viên và các chủ thể dữ liệu khác thực hiện các quyền của họ theo Quy trình Bảo mật HEINEKEN đối với Dữ liệu Nhân viên và Quy trình Bảo mật HEINEKEN dành cho Dữ liệu Khách hàng, Nhà cung cấp và Đối tác Kinh doanh (“Quy trình Bảo mật ”) và luật hiện hành, bao gồm Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân. Chính sách DSR này bao gồm các nghĩa vụ đối với HVN trong việc thực thi quyền của chủ thể dữ liệu. “Chủ thể dữ liệu” là những cá nhân sở hữu dữ liệu cá nhân là đối tượng được nhắm đến. Ví dụ: nhân viên HVN, cựu nhân viên, ứng viên xin việc, người tiêu dùng, nhà cung cấp cá nhân hoặc đối tác kinh doanh hoặc người liên hệ với khách hàng kinh doanh hoặc nhà cung cấp.

1.2. Chính sách DSR bao gồm các quyền sau của chủ thể dữ liệu: quyền được thông báo, quyền đưa ra và rút lại sự đồng ý, quyền truy cập/chỉnh sửa và xóa dữ liệu cá nhân, quyền hạn chế và phản đối việc xử lý, quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại, quyền tự bảo vệ và/hoặc quyền di chuyển dữ liệu cá nhân. Mô tả chi tiết hơn về những quyền này của chủ thể dữ liệu và tiêu chí về thời điểm đáp ứng và đáp ứng ở mức độ nào có thể được tìm thấy trong Phụ lục 3 của Chính sách DSR này.

1.3. “Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (“chủ thể dữ liệu”). Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

2. Nội dung Chính sách DSR và nghĩa vụ của HVN

2.1. HVN sẽ được yêu cầu đảm bảo phản hồi tổng thể kịp thời và phù hợp với yêu cầu của chủ thể dữ liệu để thực hiện các quyền của mình theo Quy trình Bảo mật.

2.2. HVN sẽ đảm bảo rằng các chủ thể dữ liệu được thông báo đầy đủ về địa điểm và cách thức gửi yêu cầu thực hiện bất kỳ quyền nào trong phạm vi Chính sách DSR này. Thông tin có thể được cung cấp theo một tùy chọn cụ thể trên trang web hoặc thông qua địa chỉ email dành riêng cho các yêu cầu về quyền của chủ thể dữ liệu, hoặc cho nhân viên thông qua một đầu mối liên hệ chuyên dụng tại bộ phận Nhân sự HVN hoặc toàn cầu. Trong mọi trường hợp, các tuyên bố và thông báo về bảo vệ dữ liệu cá nhân phải bao gồm tham chiếu đến đầu mối liên hệ liên quan để gửi yêu cầu.

2.3. Chính sách DSR này này mô tả các bước cần thực hiện trong trường hợp chủ thể dữ liệu có yêu cầu thực hiện bất kỳ quyền nào của mình, cũng như vai trò và trách nhiệm của họ liên quan đến việc xử lý yêu cầu ( Phụ lục 1. bao gồm sơ đồ phản ánh các bước và vai trò liên quan), tiêu chí để quyết định xem đó có phải là yêu cầu hợp lệ hay không và tiêu chí để xác minh danh tính (Phụ lục 2) và bất kỳ trường hợp ngoại lệ nào có thể áp dụng hoặc các giới hạn có liên quan khi đáp ứng bất kỳ yêu cầu nào như vậy (Phụ lục 3).

3. Vai trò và Trách nhiệm của HVN

3.1.“Đầu mối liên hệ đầu tiên” là đầu mối liên hệ chuyên dụng của HVN, có thể bao gồm một email cụ thể hoặc địa chỉ khác được nêu trong thông báo về bảo vệ dữ liệu cá nhân, trên trang web hoặc mạng nội bộ của HVN hoặc được các chủ thể dữ liệu biết đến. Đây là kênh để các chủ thể dữ liệu gửi các yêu cầu liên quan. Những đầu mối liên hệ này là (1) email privacyvn@heineken.com , hoặc (2) đường dây nóng 19001845, hoặc (3) IT Helpdesk.

3.2. 'Privacy Officer' là Cán bộ quyền riêng tư (PO) của HVN, người sẽ chịu những trách nhiệm được liệt kê dưới đây.

3.3. ‘Local Privacy Team’ là nhóm Bảo vệ Dữ liệu Cá nhân được Ban điều hành (MT) của HVN chỉ định để đảm bảo tuân thủ HeiRule về Bảo vệ Dữ liệu , HeiRule về Bảo mật Thông tin và các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

3.4. 'Người liên hệ' có vai trò liên quan trong HVN, các chủ thể dữ liệu biết đến người liên hệ này (chủ thể dữ liệu trong trường hợp này có thể là: nhân viên, nhân viên cũ, nhân viên đã nghỉ hưu hoặc ứng viên), làm đầu mối liên hệ để gửi yêu cầu về quyền của chủ thể dữ liệu.

3.5. 'Người Xử lý Yêu cầu' có vai trò liên quan trong HVN, thuộc Bộ phận Bảo mật Thông tin / D&T của HVN, người có quyền truy cập vào hệ thống CNTT có thể chứa thông tin nằm trong phạm vi yêu cầu của chủ thể dữ liệu.

3.6. 'Global Privacy Officer’ (Văn phòng quyền riêng tư toàn cầu) sẽ được tham khảo ý kiến trong trường hợp PO có câu hỏi về một yêu cầu cụ thể và sẽ là đầu mối liên hệ ở mức tiếp theo cho các yêu cầu từ chủ thể dữ liệu cũng như trong trường hợp chủ thể dữ liệu có khiếu nại về việc xử lý yêu cầu của họ.

3.7. Vai trò và trách nhiệm của Nhóm Bảo vệ Dữ liệu cá nhân (Privacy Champion Group)của HVN trong việc xử lý các yêu cầu về quyền của chủ thể dữ liệu sẽ tùy thuộc vào cách người yêu cầu gửi yêu cầu của họ:

Thông qua email privacyvn@heineken.com:

Vai trò	Trách nhiệm
Cán bộ quyền riêng tư (PO)	Nhận yêu cầu từ các chủ thể dữ liệu thông qua Đầu mối Liên hệ Đầu tiên cùng với các thành viên khác của Nhóm Bảo vệ Dữ liệu cá nhân HVN; Đảm bảo theo dõi và phản hồi đầy đủ; Theo dõi các yêu cầu nhận được bằng cách yêu cầu chủ thể dữ liệu cung cấp thêm thông tin chi tiết về yêu cầu của họ và bằng chứng nhận dạng; Xác minh tính hợp lệ của yêu cầu và danh tính của chủ thể dữ liệu với tư cách là người yêu cầu; Từ chối các yêu cầu mà danh tính của chủ thể dữ liệu không thể được xác minh chính xác hoặc không rõ ràng; Liên hệ với Người xử lý Yêu cầu; Giám sát việc tìm kiếm nội dung được xử lý thỏa đáng và tư vấn về những trường hợp ngoại lệ có thể áp dụng trong quy trình thu thập dữ liệu
Điều phối viên Bảo mật – Người xử lý Yêu cầu	Khi được PO liên hệ, thu thập thông tin liên quan theo yêu cầu của chủ thể dữ liệu và hỗ trợ bằng cách xác định các nguồn dữ liệu có thể liên quan để tìm kiếm thêm thông tin
Thành viên Nhóm Bảo vệ Dữ liệu cá nhân – Người liên hệ tại các bộ phận	Trả lời và cung cấp phản hồi kịp thời, chính xác, đầy đủ và an toàn cho chủ thể dữ liệu về yêu cầu của họ Hỗ trợ thêm cho PO và Người xử lý Yêu cầu

Qua đường dây nóng 19001845

Vai trò	Trách nhiệm
Cán bộ quyền riêng tư (PO)	Đảm bảo theo dõi và phản hồi đầy đủ; Xác minh tính hợp lệ của yêu cầu và danh tính của chủ thể dữ liệu với tư cách là người yêu cầu (nếu cần); Từ chối các yêu cầu mà danh tính của chủ thể dữ liệu không thể được xác minh chính xác hoặc không rõ ràng; Liên hệ với người xử lý yêu cầu, để người xử lý yêu cầu thu thập thông tin liên quan đến yêu cầu của chủ thể dữ liệu và cung cấp hỗ trợ bằng cách xác định các nguồn dữ liệu có thể liên quan để tìm kiếm thêm thông tin; Giám sát việc tìm kiếm nội dung được xử lý thỏa đáng và tư vấn về những trường hợp ngoại lệ có thể áp dụng trong quy trình thu thập dữ liệu
Điều phối viên Bảo mật– Người xử lý Yêu cầu	Khi được PO liên hệ, thu thập thông tin liên quan theo yêu cầu của chủ thể dữ liệu và hỗ trợ bằng cách xác định các nguồn dữ liệu có thể liên quan để tìm kiếm thêm thông tin
Thành viên Nhóm Bảo vệ Dữ liệu cá nhân – Người liên hệ tại các bộ phận	Nhận yêu cầu từ các chủ thể dữ liệu thông qua Đầu mối Liên hệ Đầu tiên; Theo dõi các yêu cầu được nhận bằng cách yêu cầu chủ thể dữ liệu cung cấp thêm thông tin chi tiết về yêu cầu và bằng chứng nhận dạng; Liên hệ với PO để xác minh tính hợp lệ của yêu cầu (nếu cần); Trả lời và cung cấp phản hồi kịp thời, chính xác, đầy đủ và an toàn cho chủ thể dữ liệu về yêu cầu; Hỗ trợ thêm cho PO và Người xử lý Yêu cầu

Thông qua IT Helpdesk:

Vai trò	Trách nhiệm
Cán bộ quyền riêng tư (PO)	Xác minh tính hợp lệ của yêu cầu và danh tính của chủ thể dữ liệu với tư cách là người yêu cầu (nếu cần); Từ chối các yêu cầu mà danh tính của chủ thể dữ liệu không thể được xác minh chính xác hoặc không rõ ràng; Giám sát việc tìm kiếm nội dung được xử lý thỏa đáng và tư vấn về những trường hợp ngoại lệ có thể áp dụng trong quy trình thu thập dữ liệu
Điều phối viên Bảo mật – Người xử lý Yêu cầu	Nhận yêu cầu từ chủ thể dữ liệu thông qua Đầu mối Liên hệ Đầu tiên; Đảm bảo theo dõi và phản hồi đầy đủ; Theo dõi các yêu cầu được nhận bằng cách yêu cầu chủ thể dữ liệu cung cấp thêm thông tin chi tiết về yêu cầu và bằng chứng nhận dạng; Liên hệ với PO để xác minh tính hợp lệ của yêu cầu (nếu cần); Trả lời kịp thời, chính xác, đầy đủ và an toàn cho chủ thể dữ liệu về yêu cầu
Thành viên Nhóm Bảo vệ Dữ liệu cá nhân – Người liên hệ tại các bộ phận	Hỗ trợ thêm cho PO và Người xử lý Yêu cầu

4. Thời gian

HVN sẽ phản hồi trong vòng 72 giờ kể từ khi nhận được yêu cầu.

4.1. Do thời gian phản hồi có giới hạn là 72 giờ, mỗi bước riêng lẻ trong Chính sách này sẽ được thực hiện nhanh chóng. Việc xử lý yêu cầu thực tế có thể mất thời gian vì dữ liệu cá nhân được phân chia trên một số hệ thống (bên ngoài) và/hoặc giữa các phòng ban khác nhau trong HVN.

4.2. Trong trường hợp yêu cầu về quyền của chủ thể dữ liệu phức tạp hơn, HVN có thể kéo dài thời gian xử lý yêu cầu lên đến 1 tháng kể từ khi nhận được yêu cầu. Thông tin này phải được thông báo đến chủ thể dữ liệu trong khoảng thời gian 72 giờ, bao gồm cả lý do trì hoãn.

4.3. Nếu chủ thể dữ liệu từ chối thông báo cho HVN về lý do đưa ra yêu cầu của họ hoặc từ chối cung cấp thêm bất kỳ thông tin chi tiết nào về yêu cầu của họ hoặc (nếu có) chưa thanh toán phí thực hiện yêu cầu, HVN vẫn phải tiếp tục quá trình xử lý yêu cầu, trừ khi a) danh tính của chủ thể dữ liệu chưa được xác minh chính xác hoặc b) không rõ yêu cầu đó nhằm mục đích gì (xem Phụ lục 2 ) hoặc c) yêu cầu rõ ràng là vô căn cứ hoặc quá mức.

5. Xác định chủ thể dữ liệu

5.1. HVN cần xác minh danh tính của từng chủ thể dữ liệu để đảm bảo rằng hành động chính xác được thực hiện trên đúng dữ liệu cá nhân. Phụ lục 2 bao gồm các tiêu chí để xác minh danh tính của chủ thể dữ liệu gửi yêu cầu. PO sẽ thực hiện xác minh danh tính của chủ thể dữ liệu gửi yêu cầu theo Phụ lục 2.

5.2. HVN sẽ không bắt buộc phải xác minh danh tính của chủ thể dữ liệu trong trường hợp họ yêu cầu thực hiện quyền phản đối đối với các mục đích tiếp thị trực tiếp. Trên thực tế, đây là khi chủ thể dữ liệu sử dụng tùy chọn từ chối hoặc hủy đăng ký đối với thông tin liên lạc có liên quan (ví dụ: bản tin hoặc cảnh báo). Đối với những yêu cầu này, không cần xác minh danh tính vì nguy cơ hủy đăng ký cho sai người khá thấp . Ngoài ra, chủ thể dữ liệu phải có lựa chọn thực hiện quyền từ chối/hủy đăng ký một cách dễ dàng.

5.3. Trong trường hợp chủ thể dữ liệu không cung cấp thông tin nhận dạng cần thiết, HVN sẽ từ chối yêu cầu như được mô tả thêm trong quy trình (Phụ lục 1) và như Phụ lục 2 .

6. Chi phí (nếu có), hình thức yêu cầu và phản hồi

6.1. Về nguyên tắc, HVN sẽ thực hiện miễn phí mọi quyền. HVN sẽ tính một khoản phí hợp lý hoặc từ chối thực hiện các yêu cầu rõ ràng là vô căn cứ hoặc quá mức (lặp đi lặp lại) đối với tất cả các quyền mà Chính sách này áp dụng. HVN sẽ thông báo trước cho chủ thể dữ liệu về các chi phí đó để cung cấp cho chủ thể dữ liệu lựa chọn rút lại yêu cầu của mình nếu họ thấy chi phí đó không thể chấp nhận được.

6.2. HVN sẽ trả lời bằng ngôn ngữ mà chủ thể dữ liệu đã viết yêu cầu liên quan, ngoại trừ trường hợp HVN muốn trả lời bằng ngôn ngữ khác mà HVN tin rằng chủ thể dữ liệu sẽ hiểu và thường được chấp nhận ở Việt Nam hoặc quốc gia liên quan. HEINEKEN sẽ hướng tới việc nhận và phản hồi yêu cầu về quyền đối với dữ liệu dưới dạng văn bản điện tử, sử dụng các mẫu được cung cấp trong Chính sách này. HEINEKEN sẽ chỉ phản hồi yêu cầu qua đường bưu điện hoặc fax khi chủ thể dữ liệu cho biết rõ ràng rằng họ muốn liên lạc qua đường bưu điện hoặc fax.

6.3. Trong trường hợp thông tin được cung cấp cho chủ thể dữ liệu bao gồm dữ liệu cá nhân của các chủ thể dữ liệu khác và/hoặc thông tin bí mật của HVN, HVN sẽ che giấu thông tin đó trước khi tiết lộ tài liệu liên quan cho chủ thể dữ liệu yêu cầu.

6.4. Trong trường hợp có yêu cầu về quyền truy cập hoặc khả năng di chuyển dữ liệu, khi HVN cần gửi dữ liệu cá nhân đến chủ thể dữ liệu, chủ thể dữ liệu sẽ được cung cấp tùy chọn cho biết liệu họ có muốn nhận dữ liệu cá nhân thông qua phương thức liên lạc an toàn hay không. HVN sẽ đảm bảo chỉ sử dụng phương thức liên lạc an toàn được yêu cầu, trong phạm vi có thể (về mặt kỹ thuật).

6.5. Trong các trường hợp cụ thể đang được đề cập, HVN có thể bác bỏ hoặc từ chối yêu cầu của chủ thể dữ liệu như được quy định chi tiết trong Phụ lục 3, kể cả trong trường hợp có 'lợi ích vượt trội', là khi một nhu cầu cấp thiết đối với HVN có thể tồn tại lớn hơn lợi ích của chủ thể dữ liệu.

7. Quản lý và lưu trữ từng yêu cầu

7.1. PO chịu trách nhiệm duy trì một kho lưu trữ cho từng yêu cầu về quyền của chủ thể dữ liệu và tất cả thông tin liên lạc được trao đổi theo yêu cầu, bao gồm xác minh danh tính và phản hồi để xác nhận rằng yêu cầu đã được xử lý, bao gồm tên của chủ thể dữ liệu đã gửi yêu cầu.

7.2. PO đảm bảo rằng kho lưu trữ là chính xác và được cập nhật cũng như thời hạn lưu giữ được chỉ định và trong thời gian đó các yêu cầu và tất cả thông tin trao đổi sẽ được lưu giữ.

PHỤ LỤC 1. QUY TRÌNH NHÂN VÀ XỬ LÝ YÊU CẦU

MẪU YÊU CẦU THỰC HIỆN QUYỀN ĐỐI VỚI DỮ LIỆU CÁ NHÂN CHO CHỦ THỂ DỮ LIỆU:

*Bạn cần cung cấp chính xác những thông tin này để yêu cầu của bạn có hiệu lực và HVN có thể phản hồi trong khung thời gian yêu cầu”

Thông tin của bạn:
- Họ và tên *
- Số điện thoại *
- Email *
- Chức vụ (nếu chủ thể dữ liệu là nhân viên HVN)
Vai trò của bạn*: Bạn là: (i) nhân viên, (ii) người tiêu dùng, (iii) khách hàng, (iv) nhà cung cấp, (v) đối tác kinh doanh, (vi) khác (vui lòng nêu rõ)
Sự đồng ý: Nếu trong quá khứ bạn đã từng đồng ý cho chúng tôi xử lý dữ liệu cá nhân của bạn:
- Bạn đồng ý với chúng tôi khi nào:
- Bạn đã đồng ý với chúng tôi bằng cách nào (vd: thông qua một trong các ứng dụng/hệ thống của chúng tôi, bằng văn bản,…):
- Bạn đã đồng ý cho chúng tôi ở đâu (vd: tại các sự kiện trực tiếp của chúng tôi;…)
- Đối với dữ liệu cá nhân nào*: (vd: tên, ngày sinh, số CMND, địa chỉ,….)
- Vì mục đích gì*:
Nội dung: Yêu cầu của bạn là gì: ……………………………….. …………..
Giấy tờ tùy thân: Đính kèm giấy tờ chứng minh danh tính của bạn (CMND, hộ chiếu, mã số nhân viên, ….)
Phương thức phản hồi: Bạn muốn chúng tôi liên hệ lại với bạn bằng cách nào (ví dụ: email, điện thoại, bài đăng,…):

Ví dụ: Quá trình xử lý yêu cầu của chủ thể dữ liệu qua email privacyvn@heineken.com : .

	Yêu cầu	Kiểm tra thủ tục	Kiểm tra nội dung	Thực hiện	Phản hồi
Người yêu cầu	Yêu cầu
Đầu mối iên hệ Đầu tiên (vd: email: privacyvn@heineken.com)
Privacy Officer (PO)
Người xử lý Yêu cầu	Tiếp nhận yêu cầu		Có	Thực hiện
Người liên hệ tại các bộ phận	Tiếp nhận			Thực hiện	Phản hồi cho người yêu cầu + Giải thích

PHỤ LỤC 2. XÁC MINH DANH TÍNH VÀ ĐÁNH GIÁ YÊU CẦU

Phụ lục này bao gồm quy trình và tiêu chí để xác minh danh tính của chủ thể dữ liệu và để đánh giá xem yêu cầu có đủ cụ thể, có căn cứ và hợp lý hay không.

Xác minh: lý do từ chối

Hành động

Xác minh danh tính bằng cách:

bản sao hộ chiếu hoặc giấy tờ tùy thân khác.

bản sao không rõ ràng, không đọc được tên chủ thể dữ liệu;
tài liệu không còn giá trị, đã hết hạn.

Từ chối

Kiểm tra xác định lại tùy chọn của nhân viên: nhân viên có quyền truy cập vào địa chỉ email HVN của họ nên gửi yêu cầu qua địa chỉ email đó (đầy đủ bằng chứng nhận dạng).

Xác minh danh tính đối với ứng viên xin việc, nhân viên cũ, chuyên gia tư vấn, người lao động tạm thời và các cá nhân bên ngoài khác không có địa chỉ email HVN:

- Bản sao hộ chiếu hoặc giấy tờ tùy thân khác.

Dành cho nhân viên:

không lặp lại yêu cầu của họ qua địa chỉ email HVN cá nhân hoặc
thông qua các phương pháp xác minh được mô tả ở Phụ lục 1.

Đối với tất cả các cá nhân bên ngoài không có địa chỉ email HVN:

bản sao không rõ ràng, không đọc được tên chủ thể dữ liệu;
tài liệu không còn giá trị, đã hết hạn.

Từ chối

Yêu cầu không đầy đủ chi tiết

chưa rõ chủ thể dữ liệu yêu cầu gì (loại yêu cầu nào) và chủ thể dữ liệu cũng không làm rõ theo yêu cầu thêm từ HVN.

Từ chối

Yêu cầu rõ ràng là vô căn cứ hoặc quá mức

một chủ thể dữ liệu tương tự đã gửi một yêu cầu trong thời gian gần, mà không có bất kỳ dấu hiệu hợp lý nào cho thấy có thể xảy ra thay đổi liên quan đến việc xử lý dữ liệu cá nhân đối với chủ thể dữ liệu đó;
cùng một chủ thể dữ liệu đã gửi nhiều yêu cầu trong một năm trước đó;
yêu cầu vi phạm quyền của các chủ thể dữ liệu khác.

Chuyển tiếp tới PO để quyết định từ chối.

PHỤ LỤC 3. QUYỀN CỦA CHỦ THỂ DỮ LIỆU

Chính sách DSR này bao gồm các quyền sau của chủ thể dữ liệu: quyền được thông báo, quyền đưa ra và rút lại sự đồng ý, quyền truy cập và xóa dữ liệu cá nhân, quyền hạn chế và phản đối việc xử lý, quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại và tự bảo vệ mình. Mô tả chi tiết hơn về những quyền này của chủ thể dữ liệu và tiêu chí về thời điểm đáp ứng và đáp ứng ở mức độ nào có thể tìm thấy dưới đây:

1. Quyền được thông báo: Chủ thể dữ liệu có quyền được thông báo về quá trình xử lý dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác.

2. Quyền đồng ý: Chủ thể dữ liệu có quyền đồng ý cho việc xử lý dữ liệu cá nhân của mình, trừ các trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.

3. Quyền truy cập dữ liệu cá nhân: Chủ thể dữ liệu có quyền truy cập dữ liệu cá nhân của mình để xem xét, cải chính hoặc yêu cầu cải chính dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý của mình, trừ khi pháp luật có quy định khác.

5. Quyền xóa dữ liệu cá nhân: Chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

6. Quyền hạn chế xử lý: a) Chủ thể dữ liệu có quyền hạn chế xử lý dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác; b) Việc hạn chế xử lý dữ liệu cá nhân được thực hiện trong vòng 72 giờ kể từ khi nhận được yêu cầu của chủ thể dữ liệu và toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp pháp luật có quy định khác.

7. Quyền lấy dữ liệu cá nhân: Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân cung cấp cho họ dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác.

8. Quyền phản đối việc xử lý: a) Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu từ Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân của mình để ngăn chặn hoặc hạn chế việc tiết lộ dữ liệu cá nhân hoặc việc sử dụng dữ liệu cá nhân cho mục đích quảng cáo và tiếp thị, trừ khi pháp luật có quy định khác; b Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân phải tuân thủ yêu cầu của chủ thể dữ liệu trong vòng 72 giờ kể từ khi nhận được yêu cầu, trừ khi pháp luật có quy định khác.

9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo, khởi kiện theo quy định của pháp luật.

10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc pháp luật có quy định khác.

11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, pháp luật khác có liên quan và Nghị định 13/2013/ND-CP hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện quyền dân sự các biện pháp bảo vệ theo quy định tại Điều 11 Bộ luật Dân sự 2015, sửa đổi bổ sung năm 2017.

12. Quyền di chuyển dữ liệu: Chủ thể dữ liệu có quyền (theo lựa chọn của mình) nhận bản sao dữ liệu cá nhân mà nó đã cung cấp ở định dạng phổ biến mà máy có thể đọc được.

THÔNG BÁO ĐIỀU KHOẢN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN

Căn cứ theo pháp luật hiện hành về việc bảo vệ dữ liệu cá nhân (“quy định pháp luật”), Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam ban hành Thông báo điều khoản & điều kiện về bảo vệ dữ liệu cá nhân của Nhân viên (“Thông báo”).

Hiệu lực từ ngày 01/07/2023

Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam (“Chúng tôi”, “HEINEKEN” hoặc “Công ty”) cam kết bảo vệ các thông tin cá nhân của toàn thể nhân viên. ‘NHÂN VIÊN’ là tất cả nhân viên hiện tại hoặc nhân viên trước đây của Chúng tôi (“Bạn” hoặc “Nhân viên”).

Trong Phần I của Thông báo này, Chúng tôi sẽ mô tả cách thức dữ liệu cá nhân của bạn được thu thập, quản lý và sử dụng trong hệ thống SuccessFactors (MyHR), và các hệ thống khác (Ví dụ như hệ thống quản lý lương thưởng HRIS, Telematic Driver, CCTV, hồ sơ sức khỏe…).

Trong Phần II, Chúng tôi sẽ giải thích cách thức quản lý dữ liệu của các nhân viên không chính thức, ví dụ: nhân viên tạm thời, chuyên viên tư vấn, nhân viên nhà thầu, thực tập sinh,… (gọi chung là “Nhân viên thuê ngoài”), khi thông tin của họ cũng được bao gồm trong hệ thốngSuccessFactors và các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng ).

Trong Phần III, Chúng tôi sẽ mô tả cách thức dữ liệu cá nhân của người liên hệ khẩn cấp hoặc người thân của bạn được thu thập và sử dụng cho các mục đích giới hạn và có liên quan đến quá trình thực hiện hợp đồng lao động, khi mà những thông tin này cũng được xử lý trên hệ thống SuccessFactors và hệ thống khác (Ví dụ như hệ thống quản lý lương thưởng HRIS).

Về tổng quan, SuccessFactors - MyHR là hệ thống quản lý chung của tập đoàn HEINEKEN toàn cầu, nhằm giúp tập đoàn có thể vận hành nhất quán, quản lý một lượng lớn dữ liệu của toàn bộ nhân viên trên khắp các quốc gia. Các dữ liệu do công ty con, chi nhánh (gọi chung là Opco) quản lý sẽ được đăng tải lên hệ thống này. Vì là hệ thống toàn cầu nên dữ liệu được xử lý trên hệ thống này sẽ được chuyển ra ngoài lãnh thổ Việt Nam. Bên cạnh đó, Công ty sử dụng hệ thống HRIS để tính lương thưởng cho các nhân sự được quản lý bởi Công ty. Do đó các dữ liệu liên quan đến lương thưởng, phúc lợi, bao gồm dữ liệu của người phụ thuộc có liên quan theo pháp luật lao động, pháp luật thuế và các quy định khác có liên quan sẽ được sao chép lên hệ thống này. Tuy vậy, đây là hệ thống riêng của Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam, do vậy mọi dữ liệu trên này sẽ không được chuyển ra ngoài lãnh thổ Việt Nam. Cuối cùng, nhằm quản lý nội bộ, an toàn lao động, đảm bảo sức khỏe nhân viên và môi trường làm việc của HEINEKEN, Công ty sẽ thu thập vị trí của những chủ thể được liệt kê theo Thông báo này thông qua dịch vụ định vị, hình ảnh được giảm sát bởi CCTV, tình trạng sức khỏe của nhân viên... Các dữ liệu này cũng sẽ được xử lý bởi Công ty và không chia sẻ cho bên thứ ba hay ra ngoài lãnh thổ Việt Nam, trừ các trường hợp được pháp luật cho phép.

Theo thời gian, các hệ thống này có thể được thay thế, bổ sung, loại bỏ… theo quyết định của Công ty. Khi có bất kì thay đổi nào, Chúng tôi sẽ thông báo kịp thời đến bạn.

Thông báo Riêng tư này được ban hành vào ngày 15/01/2019, sửa đổi, bổ sung ngày 01/07/2023 và có thể được cập nhật theo thời gian, khi đó, nhân viên của HEINEKEN, nhân viên thuê ngoài và người liên hệ khẩn cấp hoặc người thân của họ sẽ được thông báo.

PHẦN I: DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN

Chúng tôi sẽ sử dụng dữ liệu cá nhân của bạn cho mục đích gì?

Trong suốt quá trình làm việc của bạn tại Công ty, Công ty thu thập một lượng lớn dữ liệu cá nhân, dữ liệu quan hệ công việc cũng như liên hệ khẩn cấp hoặc người thân của bạn. SuccessFactors sẽ cho phép Chúng tôi thực hiện các giao dịch Nhân sự theo cách thức hiệu quả và thân thiện với người dùng. Để làm được điều này, Công ty cần phải lưu trữ dữ liệu cá nhân của bạn (chi tiết sẽ được liệt kê trong Thông báo này) trongSuccessFactors. Bên cạnh đó, một bản sao chép các thông tin của nhân viên sẽ được truyền tải lên hệ thống quản lý lương thưởng (Ví dụ như HRIS); các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng) cũng sẽ xử lý một số thông tin giới hạn phù hợp với quy định pháp luật.

Công ty sẽ sử dụng các thông tin này nhằm mục đích quản lý mối quan hệ lao động của bạn với Công ty. Điều này bao gồm các khía cạnh như xử lý và truy cập quá trình làm việc, quản lý ngày phép, các khoản thanh toán, các vấn đề liên quan đến Thuế, bảo hiểm, tiền lương và phúc lợi, việc đi công tác và chi phí, xử lý dữ liệu cá nhân nhằm thực thi các quy trình vận hành, quản lý nội bộ (chẳng hạn như lịch làm việc, chấm công, cung cấp cho việc xử lý dữ liệu trung tâm nhằm mục đích hiệu quả, điều tra và kiểm soát nội bộ, xem xét và giám sát việc tuân thủ các quy trình nội bộ và trong bối cảnh giải quyết tranh chấp), phân tích và phát triển tổ chức, báo cáo quản lý; quản lý việc sáp nhập, mua lại và thoái vốn; cho việc tạo điều kiện và quản lý các thông tin về lao động (ví dụ: số lượng nhân viên, vị trí công việc,...); quản lý tài năng và cơ hội nghề nghiệp (bao gồm cả kế hoạch phát triển lực lượng kế thừa), đánh giá kết quả công việc, đào tạo (bao gồm cả việc ghi hình, chụp ảnh trong chương trình đào tạo nhằm mục đích truyền thông, thống kê, giám sát khóa học, và các mục đích khác cho việc ghi hình, chụp ảnh phù hợp với quy định của pháp luật hiện hành); bảo vệ các lợi ích của HEINEKEN và cả nhân viên (ví dụ: sàng lọc và giám sát người lao động, sức khỏe và an toàn nghề nghiệp, chứng thực tình trạng nhân viên và quyền truy cập và quản lý nhận dạng, kiểm soát việc ra vào văn phòng nhằm tuân thủ những quy định của pháp luật hiệnhành).

Những loại dữ liệu cá nhân nào được lưu trên hệ thống?

Các danh mục dữ liệu cá nhân sau sẽ được lưu trên hệ thống:

Thông tin cá nhân: Thông tin liên quan đến cá nhân, thông tin liên hệ và công việc – như tên, giới tính, tình trạng hôn nhân, quốc tịch, mã số nhân viên, ngày sinh, thông tin địa chỉ, số điện thoại, thư điện tử, bằng cấp, hình, thông tin để liên hệ lúc khẩn cấp, thông tin ngân hàng, thông tin người phụ thuộc (tên, ngày sinh, mối quan hệ,…), thông tin Chứng Minh Nhân Dân hoặc/và Căn cước Công Dân, thông tin liên quan đến Thị Thực/Giấy Phép Lao Động và các mã số an sinh xãhội, hình ảnh cá nhân được giám sát qua hệ thống CCTV của Công ty;
Chi tiết về bộ phận/Vị trí công việc: Tên công ty, bộ phận, địa điểm làm việc, chức danh, cấp bậc, tình trạng và loại hợp đồng (toàn thời gian/bán thời gian), ngày bắt đầu và kết thúc hợp đồng;
Tiền lương và phúc lợi: Các khoản thanh toán, tính chất thường xuyên của các khoản thanh toán, lương, tiền tệ thanh toán, các khoản thanh toán không thường xuyên, thông tin quản lý tài năng và đánh giá kết quả công việc, chẳng hạn các thông tin của bạn về kết quả xếp loại đánh giá, các chương trình phát triển, dữ liệu kế hoạch phát triển đội ngũ kế thừa, bằng cấp và chứng chỉ, đào tạo trực tuyến, đánh giá và phát triển kết quả công việc và các thông tin được dùng để bổ sung vào lịch sử làm việc của nhân viên, các mụctiêu;
Hệ thống và ứng dụng truy cập dữ liệu: Các thông tin được yêu cầu để có thể truy cập vào các hệ thống và ứng dụng của Công ty như địa chỉ thư điện tử, mã số nhân viên, các mã số người dùng của các hệ thống và ứng dụngkhác;
Thiết bị kiểm soát hiệu quả ra vào văn phòng: Dữ liệu nhận diện khuôn mặt hoặc dấu vân tay hoặc thông tin để được cấp thẻ ra vào văn phòng (theo sự đồng ý của nhân viên).

Hệ thống có các dữ liệu cá nhân nhạy cảm không?

Các dữ liệu cá nhân nhạy cảm được xử lý nhằm loại trừ hoặc giảm thiểu sự bất bình đẳng có thể xảy ra hoặc nhằm đảm bảo tính đa dạng trong văn hóa Công ty từ các nhóm sắc tộc/dân tộc khác nhau. Bên canh đó, một vài dữ liệu nhạy cảm nhằm đảm bảo phúc lợi cho nhân viên như: sự đa dạng trong chế độ ăn uống, tiệc chiêu đãi, ngày nghỉ phép,… phù hợp với phong tục, tập quán và văn hóa của các nhóm sắc tộc/dân tộc/tôn giáo khác nhau theo quy định của pháp luật; các đối xử đặc biệt cho các cá nhân có đặc điểm sinh học cần có chế độ đãi ngộ riêng; chi trả lương, thưởng; quản lý và giám sát nội bộ; tư vấn và đảm bảo sức khỏe; các chế độ khác nhằm tránh sự phân biệt đối xử do khác biệt về văn hóa, dân tộc/sắc tộc/tôn giáo, đặc điểm riêng biệt… theo thông lệ phù hợp và quy định pháp luật hiện hành có liên quan. Các thông tin nhạy cảm của nhân viên được Công ty xử lý bao gồm:

- Tôn giáo (không bắt buộc): Công ty sẽ chỉ thu thập tôn giáo của nhân viên khi họ cung cấp, nhằm đảm bảo môi trường, các chương trình, sự kiện, chế độ, chính sách phù hợp với từng cộng đồng tín ngưỡng;

- Tình trạng sức khỏe: Công ty chỉ thu thập thông tin sức khỏe theo yêu cầu của pháp luật về an toàn sức khỏe nhân viên và có thể sử dụng các thông tin này nhằm mục đích tư vấn cho nhân viên về sức khỏe của họ;

- Dân tộc (không bắt buộc): nhằm đáp ứng các quy định theo pháp luật lao động, loại trừ hoặc giảm thiểu sự bất bình đẳng có thể xảy ra liên quan đến các nhóm dân tộc khác nhau;

- Đặc điểm sinh học riêng của cá nhân: do yêu cầu cung cấp hình ảnh CCCD nhằm đối chiếu với các thông tin mà nhân viên cung cấp, Công ty có thể thu thập các thông tin trên CCCD đó, bao gồm đặc điểm sinh học riêng biệt của cá nhân;

- Thông tin về tài khoản ngân hàng: nhằm trả lương thưởng và các phúc lợi khác cho nhân viên;

- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị: khi nhân viên/nhân viên thuê ngoài giữ vai trò tài xế/vận chuyển/các công việc khác được giao có sử dụng phương tiện di chuyển theo như hợp đồng lao động, mà phương tiện đó có gắn thiết bị định vị của Công ty; và các nhân viên khác khi sử dụng phương tiện di chuyển có gắn thiết bị định vị của Công ty sẽ phải chia sẻ về hành trình di chuyển của mình. Những dữ liệu này chỉ được xử lý khi các chủ thể dữ liệu trên đã đọc và đồng ý với tuyên bố sử dụng ứng dụng Telematic Driver của Công ty;

- Dữ liệu sinh trắc học: nhằm quản lý/kiểm soát hiệu quả ra vào văn phòng, bao gồm dữ liệu nhận diện khuôn mặt hoặc dấu vân tay;

- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết;

Thông tin nhân viên mà Chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và chỉ phục vụ cho những mục đích cụ thể. Những thông tin từ nhân viên cần chính xác nhất có thể và cần tuân thủ theo luật pháp hiện hành về bảo vệ dữ liệu cá nhân.

Ai có thể truy cập vào dữ liệu cá nhân của bạn?

Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho các mục đích có chủ đích và cho các nhân viên có liên quan để thực hiện công việc của họ. Những người quản lý của bạn tại Opco, tại vùng và toàn cầu, Bộ phận Nhân sự tại Opco và toàn cầu (bao gồm các nhân viên hỗ trợ hệ thống SuccessFactors (MyHR) và các Giám Đốc Phát triển Năng lực Nguồn Nhân lực toàn cầu), liên quan đến việc hỗ trợ hệ thống, thực hiện các quy trình Nhân sự tại Opco và toàn cầu, chẳng hạn như việc di chuyển toàn cầu (global mobility) và các dịch vụ phúc lợi cao cấp, các dịch vụ phát triển cá nhân, quản lý tài năng và lên kế hoạch, báo cáo và quản lý lực lượng kế thừa, truy cập vào dữ liệu cá nhân của bạn trên hệ thống, nhưng chỉ với các mục đích được tham chiếu từ Thông báo này. Bằng việc điền đầy đủ vào Hồ sơ nghề nghiệp (ví dụ: nguyện vọng nghề nghiệp, thuyên chuyển địa điểm làm việc), bạn bày tỏ mong muốn được xem xét các vị trí khác của HEINEKEN, trong hoặc ngoài Opco của bạn. Theo đó, nhân viên Nhân sự tại Opco của bạn và Nhân sự toàn cầu có thể nhìn thấy Hồ sơ Nghề nghiệp của bạn. Ngoài ra, nhân viên của các phòng ban khác trong Công ty có thể truy cập vì bản chất toàn cầu của các hoạt động của HEINEKEN, chẳng hạn như Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Tất cả quyền truy cập đều bị hạn chế về thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban hoặc bộ phận có quyền truy cập. Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.

Đối với các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như hệ thống quản lý lương thưởng HRIS, Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng…), chỉ bộ phận nhân sự tại Opco mà bạn chịu sự quản lý mới có thể truy cập các dữ liệu giới hạn, phù hợp với vai trò của họ để thực hiện các công việc liên quan. Các dữ liệu này chỉ được truy cập và xử lý bên trong lãnh thổ Việt Nam và tuân thủ các quy định của pháp luật hiện hành về lao động, thuế, y tế và các quy định có liên quan. Tuy nhiên, quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định pháp luật hiệnhành.

SuccessFactors là một ứng dụng trên đám mây dữ liệu của SAP và được lưu trữ trên các máy chủ ở Đức và các máy sao lưu đặt tại Hà Lan, và do đó, dữ liệu cá nhân của bạn sẽ được chuyển ra ngoài lãnh thổ Việt Nam. Phía SuccessFactors sẽ truy cập hệ thống khi cung cấp các dịch vụ lưu trữ, bảo trì và hỗ trợ, nhưng khi dữ liệu cá nhân của bạn trên hệ thống được mã hóa, phía SuccessFactors sẽ không thể xem dữ liệu cá nhân của bạn. Chỉ trong những trường hợp ngoại lệ và được sự chấp thuận của HEINEKEN, phía SuccessFactors mới có quyền truy cập vào các dữ liệu cá nhân đã được mã hóa của bạn để hỗ trợ kỹ thuật và hỗ trợ về quản lý hệ thống SuccessFactors. Chúng tôi cũng đã có những thoản thuận với phía SuccessFactors để đảm bảo sự an toàn và bảo mật của dữ liệu cá nhân.

Theo thời gian, Chúng tôi có thể cần cung cấp các dữ liệu cá nhân cho các bên thứ ba chẳng hạn như các nhà cung cấp dịch vụ (công ty cung cấp sản phẩm và dịch vụ cho Chúng tôi như nhà cung cấp dịch vụ quản lý lương, phúc lợi và hưu trí, công ty cung cấp dịch vụ CNTT, dịch vụ du lịch và đi lại, quản lý kết quả công việc, đào tạo, quản lý chi phí hoặc các công ty thẻ tín dụng, các chuyên gia y yế/sức khỏe và các công ty chuyên về điều tra lý lịch), các nhà tư vấn chuyên nghiệp (như kế toán, kiểm soát viên hoặc luật sư), các cơ quan nhà nước (các cơ quan nhà nước có thẩm quyền như các cơ quan quản lý, thực thi pháp luật, cơ quan công luận và tư pháp), tổ chức Công Đoàn Cơ sở hoặc trong bối cảnh các giao dịch doanh nghiệp (một bên thứ ba có liên quan đến bất cứ sự tái cấu trúc, sáp nhập hoặc mua bán lại trên thực tế hoặc được đề xuất). Chúng tôi sẽ ký các thỏa thuận với các nhà cung cấp dịch vụ và các nhà tư vấn chuyên nghiệp để đảm bảo quyền lợi bảo vệ dữ liệu của bạn.

Đảm bảo an toàn dữ liệu cá nhân

Công ty sẽ thực hiện các biện pháp về tổ chức, vật lý và kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân khỏi việc sử dụng sai mục đích hoặc thay đổi, phá hủy trái phép hoặc vô ý, phù hợp với các quy định và pháp luật bảo mật dữ liệu và quyền riêng tư hiện hành.

Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Công ty cam kết sẽ đảm bảo các biện pháp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu được triển khai thực hiện và tuân thủ tối đa. Tuy nhiên, do các hoạt động xử lý các loại dữ liệu này chủ yếu được thực hiện trên môi trường không gian mạng nên không thể đảm bảo tuyệt đối rằng các rủi ro tiềm năng, hậu quả, thiệt hại không mong muốn không xảy ra. Dưới đây là một số ví dụ về những hậu quả và thiệt hại không mong muốn có thể xảy ra:

- Lộ thông tin cá nhân: Khi dữ liệu cá nhân bị tiết lộ một cách trái phép, chủ thể dữ liệu có thể chịu rủi ro liên quan đến đời sống riêng tư có thể bị ảnh hưởng và các thiệt hại khác;

- Dữ liệu cá nhân bị đánh cắp: Khi dữ liệu cá nhân bị đánh cắp, các tội phạm có thể sử dụng dữ liệu bị đánh cắp để lừa đảo hoặc thực hiện các hoạt động bất hợp pháp;

- Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu;

Vì vậy, Chúng tôi coi dữ liệu cá nhân của nhân viên là tài sản quan trọng của Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

- Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của nhân viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;

- Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, đội ngũ nhân viên bảo vệ đầy đủ và chất lượng;

- Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị ủy quyền quản lý truy cập và Tường lửa (Firewall),…;

- Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình và dữ liệu chung của Công ty: hạn chế sử dụng các thiết bị khác ngoài thiết bị được Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu; nếu sử dụng các thiết bị không phải Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu thì phải đảm bảo việc cài đặt các công cụ hỗ trợ (diệt virus, quản lý,…) để đảm bảo thiết bị an toàn theo khuyến cáo của bộ phận bảo vệ dữ liệu cá nhân của Công ty; không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác và khuyến cáo nhân viên Công ty tham gia đầy đủ các khóa học về nhận thức an ninh thông tin theo khuyến cáo của Công ty.

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

Sự lưu giữ và toàn vẹn dữ liệu

Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng các hệ thống của Công ty, dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của nhân viên được xóa an toàn hoặc ẩn danh khỏi hệ thống sau 10 (mười) năm hoặc sớm hơn tùy loại hệ thống, kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm nhân viên chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.

Thời gian bắt đầu xử lý dữ liệu được tính từ lúc chủ thể dữ liệu đồng ý thông báo bảo mật dữ liệu này và cung cấp dữ liệu cho Công ty. Thời gian kết thúc việc xử lý dữ liệu là thời gian thực tế Công ty không còn lưu trữ dữ liệu của chủ thể dữ liệu trên hệ thống nữa (dữ liệu được xóa an toàn hoặc ẩn danh) theo thời gian được mô tả ở trên.

Quyền và nghĩa vụ của nhân viên

Nhân viên có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Nhân viên có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Thắc mắc và khiếu nại

Bạn có quyền yêu cầu quyền cá nhân đối với dữ liệu cá nhân của bạn được xử lý bởi hoặc thay mặt Công ty. Bạn có quyền sửa đổi, xóa hoặc hạn chế dữ liệu của mình (nếu phù hợp), tất cả phải tuân theo quy định hiện hành về bảo vệ dữ liệu cá nhân và các luật và quy định có liên quan khác và các hướng dẫn của HEINEKEN. Trong một số trường hợp, bạn cũng có quyền yêu cầu Công ty ngừng xử 4lý dữ liệu cá nhân của bạn trên cơ sở các lý do liên quan đến tình huống cụ thể của bạn, nhưng điều này không áp dụng khi Công ty có quyền hợp pháp để xử lý. Trong trường hợp đó, Chúng tôi sẽ tiếp tục xử lý dữ liệu cá nhân của bạn. Bạn có quyền nhận được tổng quan về dữ liệu cá nhân mà bạn đã cung cấp cho Công ty ở định dạng máy tính phổ biến.

Để thực hiện các quyền của mình hoặc báo cáo sai phạm liên quan đến bảo mật dữ liệu, hãy liên hệ Nhóm bảo vệ dữ liệu cá nhân của HVN thông qua email: privacyvn@heineken.com. Bên cạnh đó, Chúng tôi cũng đang phát triển một số tính năng trên hệ thống MyHR nhằm giúp bạn thực hiện các hoạt động trên hiệu quả hơn. Chúng tôi sẽ đưa vào sử dụng các tính năng mới theo thời gian và thông báo đến bạn sớm nhất. Bạn cũng có quyền nộp đơn khiếu nại với cơ quan Nhà nước về bảo vệ dữ liệu theo luật & quy định hiện hành tại địa phương của bạn.

PHẦN II: DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN THUÊ NGOÀI

Chúng tôi sẽ sữ dụng dữ liệu cá nhân của nhân viên thuê ngoài cho mục đích gì?

SuccessFactors và các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng) có thể chứa một số dữ liệu cá nhân của nhân viên thuê ngoài. Dữ liệu cá nhân này sẽ được dùng cho các mục đích giới hạn như: báo cáo nội bộ khi cần tổng hợp thông tin nhân viên nội bộ và nhân viên bên ngoài, các mục đích truyền thông nội bộ và liên quan đến việc tạo điều kiện và cung cấp quyền truy cập vào hệ thống của Chúng tôi.

Các dữ liệu cá nhân nào của nhân viên thuê ngoài được lưu trữ trên hệ thống:

Nếu có bất kỳ dữ liệu cá nhân nào của nhân viên thuê ngoài được lưu trên hệ thống thì có thể là các loại thông tin sau:

Thông tin cá nhân: thông tin liên quan đến cá nhân, thông tin liên hệ và công việc (tên, giới tính, ngày sinh, số điện thoại, thư điệntử), biển số xe, hình ảnh cá nhân được giám sát qua hệ thống CCTV của Công ty;
Chi tiết về bộ phận/vị trí công việc: bộ phận, địa điểm làm việc, chức danh,cấp bậc, ngày vào làm;
Hệ thống và ứng dụng truy cập dữ liệu: các thông tin được yêu cầu để có thể truy cập vào các hệ thống và ứng dụng của Công ty như địa chỉ thư điện tử, tài khoản AD, các mã số người dùng của các hệ thống và ứng dụngkhác;
Thiết bị kiểm soát hiệu quả ra vào văn phòng: dữ liệu nhận diện khuôn mặt hoặc dấu vân tay hoặc thông tin để được cấp thẻ ra vào văn phòng.

Hệ thống có các dữ liệu cá nhân nhạy cảm không?

Các dữ liệu cá nhân nhạy cảm được xử lý nhằm đảm bảo tuân thủ pháp luật lao động và tư vấn về sức khỏe của nhân viên thuê ngoài khi cần thiết. Bên cạnh đó, để đảm bảo việc chi trả lương và phúc lợi cho nhân viên thuê ngoài, Công ty cũng sẽ thu thập thông tin về tài khoản ngân hàng của họ. Việc sử dụng các thông tin này phải bảo đảm tính khách quan, chính xác và phù hợp với quy định của pháp luật. Các thông tin nhạy cảm của nhân viên được Công ty xử lý trên hệ thống bao gồm:

- Thông tin về tài khoản ngân hàng: nhằm trả lương, thưởng và các phúc lợi khác cho nhân viên;

- Dữ liệu sinh trắc học: nhằm quản lý/kiểm soát hiệu quả ra vào văn phòng, bao gồm dữ liệu nhận diện khuôn mặt hoặc dấu vân tay;

- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

- Thông tin nhân viên mà Chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và không vượt quá những mục đích cụ thể. Những thông tin từ nhân viên cần chính xác nhất có thể và cần tuân thủ theo luật pháp hiện hành về bảo vệ dữ liệu cá nhân.

Ai có thể truy cập dữ liệu cá nhân của nhân viên thuê ngoài trên hệ thống?

Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho mục đích có chủ đích và cho các nhân viên có liên quan để thực hiện công việc của họ. Những người quản lý Bộ phận thuê ngoài Nhân sự, Bộ phận Nhân sự tại Opco và toàn cầu liên quan đến việc hỗ trợ hệ thống, thực hiện các quy trình và báo cáo Nhân sự toàn cầu có quyền truy cập vào dữ liệu cá nhân của nhân viên thuê ngoài trên hệ thống, nhưng chỉ với các mục đích được tham chiếu từ Thông báo này. Ngoài ra, nhân viên của các phòng ban khác trong Công ty có thể truy cập vì bản chất toàn cầu của các hoạt động của HEINEKEN, chẳng hạn như Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Tất cả quyền truy cập đều bị hạn chế đối với thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban hoặc bộ phận có quyền truy cập. Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.

Đối với các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bBao gồm nhưng không giới hạn các hệ thống như hệ thống quản lý lương thưởng HRIS, Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng…), chỉ bộ phận nhân sự tại Opco mà bạn chịu sự quản lý mới có thể truy cập các dữ liệu giới hạn, phù hợp với vai trò của họ để thực hiện các công việc liên quan. Các dữ liệu này chỉ được truy cập và xử lý bên trong lãnh thổ Việt Nam và tuân thủ các quy định của pháp luật hiện hành về lao động, thuế, y tế và các quy định có liên quan. Tuy nhiên, quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định pháp luật hiện hành.

Theo thời gian, Chúng tôi có thể cần cung cấp các dữ liệu cá nhân cho các bên thứ ba chẳng hạn như các nhà cung cấp dịch vụ, các nhà tư vấn chuyên nghiệp (như kế toán, kiểm soát viên hoặc luật sư), các cơ quan nhà nước (các cơ quan nhà nước có thẩm quyền như các cơ quan quản lý, thực thi pháp luật, cơ quan công luận và tư pháp), hoặc trong bối cảnh các giao dịch doanh nghiệp (một bên thứ ba có liên quan đến bất cứ sự tái cấu trúc, sáp nhập hoặc mua bán lại trên thực tế hoặc được đề xuất). Chúng tôi sẽ ký các thỏa thuận với các nhà cung cấp dịch vụ và các nhà tư vấn chuyên nghiệp để đảm bảo quyền lợi bảo vệ dữ liệu của bạn.

Đảm bảo an toàn dữ liệu cá nhân

Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

- Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu.

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

Sự lưu giữ và toàn vẹn dữ liệu

Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng các hệ thống của Công ty, dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của nhân viên thuê ngoài được xóa an toàn hoặc ẩn danh khỏi hệ thống sau 10 (mười) năm hoặc sớm hơn tùy loại hệ thống và loại dữ liệu, kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm nhân viên chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.

Quyền và nghĩa vụ của nhân viên thuê ngoài

Nhân viên thuê ngoài có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Nhân viên thuê ngoài có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Thắc mắc và khiếu nại

Nhân viên thuê ngoài có quyền yêu cầu bản tổng quan về dữ liệu cá nhân của họ được xử lý bởi hoặc thay mặt Công ty. Nhân viên thuê ngoài có quyền sửa đổi, xóa hoặc hạn chế dữ liệu của mình (nếu phù hợp), tất cả phải tuân theo luật bảo vệ dữ liệu hiện hành và các luật & quy định có liên quan khác và các hướng dẫn của HEINEKEN. Trong một số trường hợp, nhân viên thuê ngoài cũng có quyền yêu cầu Công ty ngừng xử lý dữ liệu cá nhân của bạn trên cơ sở các lý do liên quan đến tình huống cụ thể của bạn, nhưng điều này không áp dụng khi Công ty có quyền hợp pháp để xử lý, trong trường hợp đó, Chúng tôi sẽ tiếp tục xử lý dữ liệu cá nhân của bạn. Nhân viên thuê ngoài có quyền nhận được tổng quan về dữ liệu cá nhân mà họ đã cung cấp cho Công ty ở định dạng máy tính phổbiến.

PHẦN III: THÔNG TIN CỦA CÁC CÁ NHÂN CÓ LIÊN QUAN ĐẾN NHÂN VIÊN

1. DỮ LIỆU CỦA NGƯỜI LIÊN HỆ KHẨN CẤP

Chúng tôi sẽ sữ dụng dữ liệu cá nhân của bạn cho mục đích gì?

Để đảm bảo an toàn tại nơi làm việc và báo cáo các trường hợp khẩn cấp về nhân viên trong thời gian làm việc hoặc tại nơi làm việc, Công ty có thể sẽ xử lý thông tin của những người liên hệ khẩn cấp, thông qua việc nhân viên có liên quan đến những chủ thể nà y, điền thông tin của họ trên hệ thống MyHR. Theo đó:

Những loại dữ liệu cá nhân nào được xử lý trên hệ thống?

Các thông tin của người liên hệ khẩn cấp được Công ty xử lý bao gồm: họ và tên, số điện thoại, mối quan hệ với nhân viên. Đây là các thông tin cung cấp theo sự lựa chọn của nhân viên và nhằm phục vụ lợi ích hợp pháp của họ. Do vậy, nhân viên sẽ tự điền các thông tin này trên hệ thống MyHR trên cơ sở nhận được sự đồng ý của người liên hệ khẩn cấp.

Bằng cách chấp nhận thông báo bảo mật dữ liệu của Công ty, Chúng tôi sẽ thu thập, lưu trữ và liên hệ với người liên hệ khẩn cấp khi nhân viên đang trong các tình huống khẩn cấp trong phạm vi quan hệ lao động. Nhân viên cần đảm bảo về tính chính xác, trung thực của dữ liệu do mình cung cấp. Nhân viên cũng sẽ chịu mọi trách nhiệm, rủi ro do các sai sót về tính chính xác, trung thực, không nhận được sự đồng ý của chủ thể dữ liệu hoặc bất kì lỗi nào khác do Nhân viên hoặc người liên hệ khẩn cấp gây ra. Công ty sẽ không chịu trách nhiệm cho bất kì sai sót nào không phải do lỗi của Công ty.

Ai có thể truy cập vào dữ liệu cá nhân của bạn?

Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho việc bảo đảm về an toàn lao động theo quy định của pháp luật lao động. Chỉ những cá nhân ở Bộ phận nhân sự tại OpCo mà Nhân viên chịu sự quản lý mới có thể truy cập và sử dụng thông tin liên hệ khẩn cấp theo các mục đích đã được nêu ở trên. Ngoài ra, vì mục đích khẩn cấp và các vấn đề pháp lý hoặc các vấn đề phát sinh khác, Bộ phận nhân sự tại OpCo đó có thể chia sẻ thông tin này đến các bộ phận liên quan để giải quyết những tình huống phát sinh cụ thể đúng với quy định pháp luật, ví dụ như: Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Tất cả quyền truy cập đều bị hạn chế đối với thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban hoặc bộ phận có quyền truy cập. Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiện hành.

Đảm bảo an toàn dữ liệu cá nhân

Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Vì vậy, Chúng tôi coi dữ liệu cá nhân của bạn là rất quan trọng và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

- Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu cá nhân và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;

- Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình: không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác.

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

Sự lưu giữ và toàn vẹn dữ liệu

Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng các hệ thống của Công ty, dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của người liên hệ khẩn cấp sẽ được xóa khỏi hệ thống sau 06 tháng kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm người liên hệ khẩn cấp chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.

Quyền và nghĩa vụ của người liên hệ khẩn cấp

Người liên hệ khẩn cấp có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Người liên hệ khẩn cấp có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Thắc mắc và khiếu nại

Người liên hệ khẩn cấp có quyền yêu cầu thực hiện quyền cá nhân đối với dữ liệu cá nhân của họ được xử lý bởi hoặc thay mặt Công ty. Người liên hệ khẩn cấp có quyền sửa đổi hoặc xóa dữ liệu của mình (nếu phù hợp), tất cả phải tuân theo luật bảo vệ dữ liệu hiện hành và các luật & quy định có liên quan khác và các hướng dẫn của HEINEKEN. Trong một số trường hợp, Người liên hệ khẩn cấp cũng có quyền yêu cầu Công ty ngừng xử lý dữ liệu cá nhân của bạn trên cơ sở các lý do liên quan đến tình huống cụ thể của bạn, nhưng điều này không áp dụng khi Công ty có quyền hợp pháp để xử lý, trong trường hợp đó, Chúng tôi sẽ tiếp tục xử lý dữ liệu cá nhân của bạn. Người liên hệ khẩn cấp có quyền nhận được tổng quan về dữ liệu cá nhân mà họ đã cung cấp cho Công ty ở định dạng máy tính phổbiến.

2. DỮ LIỆU CỦA NGƯỜI PHỤ THUỘC/VỢ HOẶC CHỒNG CỦA NHÂN VIÊN

Chúng tôi sẽ sữ dụng dữ liệu cá nhân của bạn cho mục đích gì?

Để đảm bảo các quy định của pháp luật về kê khai thuế và các quy định khác có liên quan đến việc yêu cầu cung cấp thông tin của người phụ thuộc, Công ty sẽ xử lý thông tin của những chủ thể này thông qua các hình thức: thu thập, lưu trữ, chia sẻ cho cơ quan nhà nước. Ngoài ra, Công ty còn xử lý thông tin người phụ thuộc/vợ hoặc chồng của nhân Viên để đăng ký bảo hiểm không bắt buộc, được xem như là một phúc lợi dành cho nhân viên và người phụ thuộc/vợ hoặc chồng của họ tại Công ty. Việc đăng ký bảo hiểm không bắt buộc chỉ được thực hiện khi có sự đồng ý của chính người được đăng ký bảo hiểm và nhân viên.

Nhân viên cần đảm bảo về tính chính xác, trung thực của dữ liệu do mình cung cấp. Nhân viên cũng sẽ chịu mọi trách nhiệm, rủi ro do các sai sót về tính chính xác, trung thực hoặc bất kì lỗi nào khác do họ gây ra. Công ty sẽ không chịu trách nhiệm cho bất kì sai sót nào không phải do lỗi của Công ty.

Những loại dữ liệu cá nhân nào được lưu trên hệ thống?

Những thông tin của người phụ thuộc/vợ hoặc chồng được công ty xử lý bao gồm: họ và tên, ngày tháng năm sinh, mối quan hệ với Nhân viên, các thông tin trên giấy tờ được cung cấp đính kèm theo quy định của pháp luật. Những thông tin này sẽ do chính Nhân viên cung cấp.

Ai có thể truy cập vào dữ liệu cá nhân của bạn?

Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho việc kê khai thuế và thực hiện các công việc khác liên quan đến thuế, tài chính của công ty và tuân thủ các quy định của pháp luật về dữ liệu của người phụ thuộc. Chỉ những cá nhân ở Bộ phận nhân sự tại OpCo mà Nhân viên chịu sự quản lý mới có thể truy cập và sử dụng thông tin người phụ thuộc theo các mục đích đã được nêu ở trên. Ngoài ra, vì mục đích tuân thủ pháp luật thuế, pháp luật lao động và các vấn đề pháp lý hoặc các vấn đề phát sinh khác, Bộ phận nhân sự tại OpCo có thể chia sẻ thông tin này đến các bộ phận liên quan để giải quyết những tình huống phát sinh cụ thể đúng với quy định pháp luật, ví dụ như: Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Bên cạnh đó, nếu người phụ thuộc và Nhân viên đồng ý làm bảo hiểm không bắt buộc, công ty sẽ chia sẻ thông tin của họ cho các tổ chức bảo hiểm mà công ty đã ký kết. Tất cả quyền truy cập đều bị hạn chế đối với thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban, bộ phận hoặc tổ chức có quyền truy cập. Ngoài ra, khi người phụ thuộc/vợ hoặc chồng của Nhân viên mong muốn đăng ký bảo hiểm không bắt buộc, Chúng tôi cũng sẽ hỗ trợ chuyển các thông tin của người phụ thuộc/vợ hoặc chồng cho phía công ty bảo hiểm Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.

Đối với hệ thống khác (ví dụ như HRIS), chỉ bộ phận nhân sự tại Opco mà bạn chịu sự quản lý mới có thể truy cập các dữ liệu giới hạn, phù hợp với vai trò của họ để thực hiện các công việc liên quan đến lương thưởng. Các dữ liệu này chỉ được truy cập và xử lý bên trong lãnh thổ Việt Nam và tuân thủ các quy định của pháp luật hiện hành về lao động, thuế và các quy định có liên quan. Tuy nhiên, quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.

Đảm bảo an toàn dữ liệu cá nhân

Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

Sự lưu giữ và toàn vẹn dữ liệu

Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng SuccessFactors và các hệ thống khác (Ví dụ như HRIS), dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của người phụ thuộc/vợ hoặc chồng của Nhân viên sẽ được xóa hoặc ẩn danh khỏi hệ thống sau 10 (mười) năm kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm người phụ thuộc/vợ hoặc chồng chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.

Quyền và nghĩa vụ của người phụ thuộc/vợ hoặc chồng của Nhân viên

Người phụ thuộc/vợ hoặc chồng của Nhân viên có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Những chủ thể này có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Người phụ thuộc được cha, mẹ, người đại diện, người giám hộ cung cấp thông tin cho Công ty thì quyền và nghĩa vụ của họ được thực hiện thông qua cha, mẹ, người đại diện, người giám hộ đó.

Thắc mắc và khiếu nại

Người phụ thuộc/vợ hoặc chồng của Nhân viên có quyền yêu cầu bản tổng quan về dữ liệu cá nhân của họ được xử lý bởi hoặc thay mặt Công ty. Bên cạnh đó, những cá nhân này có quyền yêu cầu sửa đổi dữ liệu của mình (nếu phù hợp), tất cả phải tuân theo luật bảo vệ dữ liệu hiện hành và các luật & quy định có liên quan khác và các hướng dẫn của HEINEKEN. Trong một số trường hợp, bạn cũng có quyền yêu cầu Công ty ngừng xử lý dữ liệu cá nhân của bạn trên cơ sở các lý do liên quan đến tình huống cụ thể của bạn, nhưng điều này không áp dụng khi Công ty có quyền hợp pháp để xử lý, trong trường hợp đó, Chúng tôi sẽ tiếp tục xử lý dữ liệu cá nhân của bạn. Người phụ thuộc/vợ hoặc chồng của Nhân viên có quyền nhận được tổng quan về dữ liệu cá nhân mà họ đã cung cấp cho Công ty ở định dạng máy tính phổbiến.

CHÍNH SÁCH THÔNG BÁO VI PHẠM DỮ LIỆU CÁ NHÂN HEINEKEN VIETNAM

Lời mở đầu

Mọi cá nhân trong HEINEKEN Việt Nam (“HVN”) đều có nghĩa vụ pháp lý trong việc bảo vệ dữ liệu cá nhân. Chính sách Thông báo Vi phạm Dữ liệu Cá nhân này (“Chính sách”) áp dụng trong trường hợp HVN nhận thức (từ nội bộ hoặc từ bên thứ ba) sự cố bảo mật liên quan đến dữ liệu cá nhân đã xảy ra, hoặc có khả năng xảy ra.

Việc vi phạm dữ liệu cá nhân:

Có thể dẫn đến tổn hại về mặt thể chất, vật chất và/hoặc phi vật chất đến các cá nhân;
Có thể khiến HVN chịu mức phạt nặng; và
Khi pháp luật yêu cầu, phải được báo cáo cho Cơ quan Bảo vệ Dữ liệu có liên quan và/hoặc cho những cá nhân bị ảnh hưởng.

Do đó, nếu HVN phát hiện ra việc vi phạm dữ liệu cá nhân đã xảy ra, hoặc có thể xảy ra, HVN phải ngay lập tức thực hiện tất cả biện pháp công nghệ và tổ chức cần thiết để khắc phục sự cố và đảm bảo an toàn cho các dữ liệu cá nhân . Trong mọi trường hợp, Văn phòng Quyền riêng tư Toàn Cầu (GPO) sẽ được thông báo về hành vi vi phạm dữ liệu cá nhân một cách nhanh chóng. Ngoài ra, Nghị định 13/2023/NĐ-CP yêu cầu các vi phạm phải được báo cáo cho Bộ Công an (“Cơ quan chức năng về Bảo vệ Dữ liệu”).

Điều quan trọng là mọi cá nhân tại HVN đều biết cách nhận diện hành vi vi phạm dữ liệu cá nhân (hoặc vi phạm tiềm ẩn) và những bước cần thực hiện, đồng thời hiểu tầm quan trọng của việc hành động nhanh chóng, cho phép HVN thực hiện các hành động và tuân thủ Quy trình Bảo mật và bất kỳ nghĩa vụ pháp lý hiện hành nào.

Dữ liệu cá nhân là gì?

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Một số ví dụ về dữ liệu cá nhân bao gồm:

Thông tin nhận dạng như tên, số chứng minh nhân dân hoặc thông tin về vị trí;
Thông tin nhận dạng trực tuyến như địa chỉ IP, định danh thiết bị hoặc định danh cookie; và
Các yếu tố đặc thù về tình trạng thể chất, tinh thần, kinh tế, văn hóa hoặc bản sắc xã hội của một cá nhân.

Trong các hoạt động kinh doanh hàng ngày của mình, HVN xử lý dữ liệu cá nhân của nhân viên, người tiêu dùng, khách hàng, khách thăm, đối tác kinh doanh và nhà cung cấp của HVN.

Vi phạm dữ liệu cá nhân là gì?

Vi phạm dữ liệu cá nhân là một sự cố bảo mật dẫn đến việc thu thập, truy cập, sử dụng hoặc tiết lộ trái phép dữ liệu cá nhân không được mã hóa làm tổn hại đến tính bảo mật hoặc quyền riêng tư của thông tin này. Chính sách này liên quan đến các sự cố bảo mật dính dáng đến dữ liệu cá nhân được lưu trữ, chuyển giao, kiểm soát hoặc xử lý theo cách khác (nói chung là "xử lý") bởi HVN.

Việc sử dụng hoặc truy cập có thể bao gồm:

Tiêu hủy dữ liệu cá nhân: là khi dữ liệu không còn tồn tại hoặc không còn tồn tại ở dạng thông tin có ích cho HVN.
Mất dữ liệu cá nhân: là khi dữ liệu có thể vẫn còn tồn tại, nhưng HVN đã mất quyền kiểm soát hoặc quyền truy cập vào dữ liệu đó, hoặc không còn sở hữu dữ liệu đó.
Thay đổi: là khi dữ liệu cá nhân đã bị thay đổi, sai lệch hoặc không còn đầy đủ.
Xử lý trái phép hoặc bất hợp pháp: có thể bao gồm tiết lộ dữ liệu cá nhân (hoặc cho phép truy cập bởi) người nhận không được phép nhận (hoặc truy cập) dữ liệu, hoặc bất kỳ cách xử lý dữ liệu cá nhân nào khác vi phạm luật bảo vệ quyền riêng tư hiện hành.

Ví dụ:

Mạng của HVN bị nhiễm ransomware (một phần mềm độc hại mã hõa dữ liệu của HVN cho đến khi được trả tiền chuộc).
Một thiết bị không được mã hóa, ví dụ như thẻ USB, chứa dữ liệu cá nhân bị mất hoặc bị đánh cắp.
HVN đã gửi một email đến sai danh sách gửi thư, hoặc HEINEKEN đã mắc lỗi trong quá trình BCC/CC.
Một chiếc cặp đựng giấy tờ về dữ liệu cá nhân bị mất hoặc bị đánh cắp.
Một trong những thị trường trực tuyến của HEINEKEN bị tấn công mạng và tên người dùng và lịch sử mua hàng bị công bố trên mạng bởi kẻ tấn công.
Dữ liệu cá nhân bị tuồn ra từ một trang web bảo mật do HEINEKEN quản lý trong một cuộc tấn công mạng.

Trách nhiệm của HEINEKEN’s là gì?

Khi vi phạm dữ liệu cá nhân xảy ra, hoặc có khả năng xảy ra, HVN phải ngay lập tức thực hiện tất cả những biện pháp công nghệ và tổ chức cần thiết để khắc phục sự cố và đảm bảo dữ liệu cá nhân được an toàn.

Nếu đáp ứng các điều kiện thông báo, HVN phải thông báo vi phạm cho Cơ quan Bảo vệ Dữ liệu liên quan quan và/hoặc các cá nhân bị ảnh hưởng.

Nếu vi phạm dữ liệu cá nhân đáp ứng các yêu cầu quy định trong Quy trình Bảo mật (sự cố bảo mật – đã xảy ra do sự truy cập trái phép hoặc có mục đích sử dụng dữ liệu cá nhân khác - ảnh hưởng đến tính bảo mật hoặc quyền riêng tư của thông tin đó - gây rủi ro cao cho các cá nhân có dữ liệu liên quan): vi phạm phải được báo cáo cho GPO. GPO cũng có thể yêu cầu HVN thông báo cho các cá nhân liên quan.

HVN phải lưu giữ hồ sơ của tất cả các vi phạm đã xảy ra trong tổ chức. Hồ sơ này phải bao gồm thông tin về các sự kiện liên quan đến vi phạm, ảnh hưởng của nó và những hành động nào đã được thực hiện để khắc phục vi phạm.

Hậu quả của việc không tuân thủ là gì?

HVN đứng trước nguy cơ bị tổn hại uy tín vì không bảo mật dữ liệu cá nhân và sẽ phải chịu mức phạt rất lớn nếu không tuân thủ theo quy định của pháp luật hiện hành.

Trách nhiệm của nhân viên

Mỗi nhân viên đều có trách nhiệm đảm bảo tuân thủ theo quy trình nội bộ để báo cáo vi phạm, hoặc vi phạm tiềm ẩn, được nêu trong chính sách này ngay khi họ nhận thức về nó. Do đó, mỗi đồng nghiệp cần liên hệ ngay lập tức với Bộ phận hỗ trợ dịch vụ IT toàn cầu (Global Service Desk – GSD) hoặc Bộ phận hỗ trợ dịch vụ IT (IT Helpdesk) tại HVN trong trường hợp có khả năng xảy ra vi phạm dữ liệu cá nhân.

Để có cái nhìn đầy đủ về quy trình vi phạm dữ liệu cá nhân của HVN, vui lòng xem sơ đồ quy trình tại đây:

Báo cáo vi phạm dữ liệu cá nhân nội bộ ở đâu?

Khi nhân viên nhận thấy có dấu hiệu (nội bộ hoặc từ bên thứ ba) về sự cố bảo mật liên quan đến dữ liệu cá nhân đã xảy ra, hoặc có khả năng xảy ra, nhân viên phải báo cáo về sự cố ngay lập tức. Các sự cố phải được báo cáo ngay lập tức bằng cách tạo một phiếu trong ServiceNow, có thể thông qua cổng GSD Self Service hoặc bằng cách gọi cho nhóm GSD hoặc giao cho IT Helpdesk của HVN .

Khi có sự tham gia của Bên Xử lý Dữ liệu, Bên Xử lý Dữ liệu báo cáo ngay lập tức sự cố bảo mật trực tiếp cho IT Helpdesk của HVN hoặc thông qua người liên hệ được đề cập trong thỏa thuận xử lý dữ liệu (DPA).

Global Service Desk hay HVN IT Helpdesk

Các đồng nghiệp nên báo cáo về sự cố có khả năng liên quan đến dữ liệu cá nhân thông qua GSD Self Service hoặc gọi cho nhóm GSD hoặc IT Helpdesk của HVN:

Trong quá trình báo cáo sự cố, người báo cáo được yêu cầu cung cấp các chi tiết cụ thể, nếu có, về vi phạm dữ liệu cá nhân tiềm ẩn hoặc vi phạm dữ liệu cá nhân thực tế, chẳng hạn như sự cố xảy ra khi nào, loại dữ liệu cá nhân nào có thể liên quan, các cá nhân có thể liên quan, v.v.;
Khi sự cố đã được đưa ra, một thông báo email sẽ tự động được gửi đến Nhóm xử lý sự cố vi phạm dữ liệu tại HVN, bao gồm Cán bộ quyền riêng tư (PO) của HVN.

Khi có nhiều hơn một đơn vị HEINEKEN (có khả năng) bị ảnh hưởng bởi vi phạm, HEINEKEN Global Service Desk (GSD) cũng sẽ được chỉ định đến các Nhóm xử lý sự cố an ninh mạng có liên quan, cũng như POs và GPO.

Nhóm xử lý sự cố vi phạm dữ liệu

“Nhóm xử lý sự cố vi phạm dữ liệu ” bao gồm Cán bộ quyền riêng tư (PO) của HVN và Cán bộ an ninh thông tin (Cyber Security Officer - CSO) tùy thuộc vào việc vi phạm bảo mật được xác định ở cấp địa phương (Việt Nam) hay ở cấp Toàn cầu. Nhóm xử lý sự cố vi phạm dữ liệu chịu trách nhiệm xử lý các vấn đề liên quan đến CNTT của sự cố bảo mật.

Nhóm xử lý sự cố vi phạm dữ liệu:

Bộ phận	Trách nhiệm
An ninh thông tin (CSO)	- Thu thập thêm thông tin về vi phạm, bao gồm các trường hợp vi phạm và các cá nhân bị ảnh hưởng (nếu có) - Thực hiện các bước cần thiết để khắc phục vi phạm, theo dõi tiến độ hoàn thành biện pháp khắc phục - Cập nhât tức thì và liên tục và/hoặc tham khảo ý kiến của (PO) (email/cuộc họp) khi có báo cáo và khi thực hiện biện pháp khắc phục - Đảm bảo rằng tất cả tài liệu liên quan đến vi phạm đã được thêm vào Service Now
Pháp lý (PO)	- Xác định các bước khắc phục và theo sát tiến độ khắc phục - Báo cáo vi phạm dữ liệu cho Cơ quan Bảo vệ Dữ liệu trong vòng 72 giờ (bao gồm báo cáo về sự chậm trễ trong việc xử lý vi phạm khi không thể cung cấp biện pháp khắc phục trong khung thời gian yêu cầu)
Các bộ phận khác	Hợp tác và hỗ trợ CSO và PO khi cần thiết

Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, Nhóm xử lý vi phạm dữ liệu sẽ ngay lập tức thông báo và làm việc với các PO có liên quan và GPO , đồng thời làm việc với các Nhóm xử lý vi phạm dữ liệu có liên quan khác.

Khi có sự tham gia của Bên Xử lý Dữ liệu, Nhóm xử lý vi phạm dữ liệu cũng sẽ làm việc với Nhóm Vi phạm Dữ liệu Cá nhân (Personal Data Breach Team) của Bên Xử lý Dữ liệu.

Cán bộ quyền riêng tư (PO) của HVN

‘PO của HVN’ chịu trách nhiệm xử lý sự cố an ninh. Khi PO của HVN được thông báo về một sự cố xảy ra, PO của HVN sẽ cần:

Xác thực xem dữ liệu liên quan có thực sự được coi là dữ liệu cá nhân hay không và đánh giá xem sự cố có liên quan đến vi phạm dữ liệu cá nhân tiềm ẩn có cần điều tra thêm và/hoặc cần thông báo không. Nếu có, hãy cảnh báo, kết nối và làm việc cùng với Nhóm xử lý sự cố vi phạm dữ liệu và những Chuyên gia về vi phạm dữ liệu có liên quan khác. Nếu không, hãy chỉ dẫn CSO đóng phiếu trong ServiceNow;
Xác minh những thông tin liên quan đến việc vi phạm dữ liệu cá nhân, cũng như về khả năng và mức độ nghiêm trọng của rủi ro xảy ra với các cá nhân bị ảnh hưởng. Để thực hiện việc này, PO sẽ làm việc cùng với CSO và, khi cần, những Chuyên gia về vi phạm dữ liệu có liên quan khác;
Đánh giá xem sự cố được xem là vi phạm dữ liệu cá nhân có cần thông báo cho Cơ quan Bảo vệ Dữ liệu hay không;
Thông báo cho GPO về vi phạm dữ liệu cá nhân;
Đảm bảo về việc thông báo vi phạm dữ liệu cá nhân theo yêu cầu và trong thời hạn thông báo cho phép;
Trong trường hợp các cá nhân phải hoặc cần được thông báo, đảm bảo hợp tác với Bộ phận Đối ngoại của HVN trong việc soạn thảo và truyền đạt thông báo;
Cùng hợp tác xác định các bước khắc phục với CSO và các nhóm HEINEKEN có liên quan;
Ghi lại sự cố vi phạm dữ liệu cá nhân trong phiếu theo dõi bằng cách sử dụng mẫu 'đăng ký vi phạm dữ liệu cá nhân' trong OneTrust;
Đảm bảo luôn có một người dự bị cho vị trí PO trong trường hợp PO không có mặt. PO dự bị phải được đưa vào Nhóm xử lý sự cố vi phạm dữ liệu trong ServiceNow.

Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, PO tại địa phương cũng sẽ làm việc cùng với các Nhóm xử lý sự cố vi phạm dữ liệu khác, các PO , GPO, các bộ phận bảo mật toàn cầu hoặc khu vực và (các) Bộ phận Đối ngoại khác có liên quan.

Bộ phận Đối ngoại của HVN

Bộ phận Đối ngoại sẽ làm việc với Privacy Officer để soạn thảo và gửi phản hồi tới các cá nhân khi được yêu cầu. Bộ phận Đối ngoại sẽ sử dụng các mẫu thông báo do PO cung cấp. Bộ phận Đối ngoại luôn có thể liên hệ với Bộ phận Đối ngoại Toàn cầu khi cần hỗ trợ thêm.

Văn phòng quyền riêng tư toàn cầu (GPO)

Văn phòng quyền riêng tư toàn cầu , đứng đầu bởi Cán bộ quyền riêng tư toàn cầu , phải được nhanh chóng thông báo về tất cả vi phạm dữ liệu cá nhân cần được thông báo đến Cơ quan chức năng về Bảo vệ Dữ liệu. GPO có thể hướng dẫn HVN thông báo cho các cá nhân bị ảnh hưởng của vi phạm dữ liệu cá nhân, trong trường hợp không có nghĩa vụ pháp lý nào về việc phải thông báo cho các cá nhân theo pháp luật Việt Nam. HVN phải tuân thủ các hướng dẫn của GPO.

PO của HVN tham khảo ý kiến của GPO khi cần hỗ trợ thêm và khi vi phạm dữ liệu cá nhân (tiềm ẩn) có khả năng liên quan đến nhiều quốc gia.

Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, GPO phối hợp và cố gắng đảm bảo tính nhất quán trong việc xử lý vi phạm dữ liệu cá nhân giữa PO tại các OpCo và làm việc với Bộ phận Đối ngoại Toàn cầu hoặc Khu vực trong trường hợp cần liên lạc với các cá nhân bị ảnh hưởng.

Bộ phận Đối ngoại Toàn cầu/Khu vực

Bộ phận Đối ngoại tại HVN liên hệ Bộ phận Đối ngoại Toàn cầu hoặc Khu vực khi cần hỗ trợ thêm để đánh giá bất kỳ thông tin liên lạc bên ngoài và/hoặc nội bộ nào liên quan đến vi phạm dữ liệu cá nhân.

Khi có nhiều hơn một OpCo bị ảnh hưởng bởi vi phạm, Bộ phận Đối ngoại Toàn cầu hoặc Khu vực phối hợp với các Bộ phận Đối ngoại tại OpCo và làm việc cùng với GPO để xử lý thông tin liên lạc bên ngoài và/hoặc nội bộ.

Quản lý Khủng hoảng

HEINEKEN có sẵn quy trình Quản lý Khủng hoảng áp dụng cho Chính sách này. Khi được yêu cầu, Nhóm xử lý sự cố vi phạm dữ liệu sẽ áp dụng quy trình Quản lý Khủng hoảng.

Thông báo cho các Cá nhân

Tất cả các thông báo về vi phạm dữ liệu cá nhân gửi đến các cá nhân bị ảnh hưởng phải được phối hợp soạn thảo bởi Bộ phận Đối ngoại và PO .

Bộ phận Đối ngoại của HVN sẽ xác định cách thức thông báo cho các cá nhân trong từng trường hợp cụ thể (ví dụ: thông báo sẽ đến từ ai trong HVN, hình thức và thông báo đó được thực hiện bởi cá nhân hay đại chúng).

Khi thích hợp, thông báo cũng nên bao gồm lời khuyên cụ thể cho các cá nhân để tự bảo vệ bản thân khỏi những hậu quả bất lợi có thể xảy ra từ vi phạm, chẳng hạn như đặt lại mật khẩu trong trường hợp thông tin đăng nhập của họ bị xâm phạm.

Thông báo cho các cá nhân về vi phạm dữ liệu cá nhân phải tách biệt với mọi thông tin liên lạc khác như các cập nhật thường xuyên, bản tin hoặc những tin nhắn tiêu chuẩn. Thông báo phải rõ ràng và minh bạch.

Đăng ký

PO của HVN có trách nhiệm chung trong việc đảm bảo rằng tất cả thông tin liên quan đến vi phạm dữ liệu cá nhân đều được đăng ký trên OneTrust . Khi không cần điều tra thêm, PO của HVN sẽ hướng dẫn CSO đóng phiếu về sự cố trên ServiceNow.

Tất cả các vi phạm dữ liệu cá nhân đều tuân theo quy trình đăng ký ở trên, bao gồm cả những vi phạm không được báo cáo cho Cơ quan chức năng về Bảo vệ Dữ liệu liên quan.

Các thông tin bắt buộc phải đăng ký trên OneTrust bao gồm:

Thông tin chi tiết về hành vi vi phạm, bao gồm:
- Thời gian
- Địa điểm
- (Các) Nguyên nhân
- Mô tả sự việc/Vi phạm
- Tổ chức, cá nhân, loại dữ liệu cá nhân và số lượng dữ liệu cá nhân có liên quan
Nhân viên phụ trách bảo vệ dữ liệu cá nhân:
- Họ và tên:
- Chức vụ:
- Số điện thoại:
- E-mail:
Ảnh hưởng và hậu quả của hành vi vi phạm;
Chi tiết về các bước được thực hiện để khắc phục vi phạm;
Pháp luật tại địa phương có quy định về việc yêu cầu thông báo vi phạm dữ liệu cá nhân cho Cơ quan chức năng về Bảo vệ Dữ liệu và/hoặc cá nhân hay không;
Nếu quy định tại địa phương đó có yêu cầu: lý do đưa ra quyết định không thông báo hoặc không thông báo trong khoảng thời gian yêu cầu và bằng chứng biện minh cho bất kỳ sự chậm trễ nào;
Trong trường hợp vi phạm đã được thông báo cho Cơ quan chức năng về Bảo vệ Dữ liệuliên quan và/hoặc các cá nhân bị ảnh hưởng, sẽ có một bản sao của (các) thông báo và bằng chứng chứng minh rằng thông báo được cung cấp kịp thời, minh bạch và hiệu quả.

Thông tin này sẽ được lưu giữ trong OneTrust trong thời hạn 3 năm kể từ ngày vi phạm dữ liệu cá nhân được đăng ký, trừ khi luật hiện hành của địa phương quy định thời gian lưu trữ lâu hơn.

Thông tin liên lạc

Người liên hệ

Nguyễn Lan Hương
HEINEKEN Vietnam Privacy Officer
NguyenLan.Huong@heineken.com

Bùi Đức Thảo
HEINEKEN Vietnam Data Protection Officer
BuiDuc.Thao@heineken.com

Nguyễn Đức Phát
HEINEKEN Vietnam Security Coordinator
nguyenduc.phat@heineken.com