en
Trung tâm Bảo mật Thông tin
HEINEKEN Việt Nam đặc biệt coi trọng việc bảo vệ dữ liệu cá nhân mà chúng tôi được tin tưởng giao phó. Chúng tôi luôn nỗ lực xử lý dữ liệu cá nhân một cách cẩn trọng, tuân thủ các tiêu chuẩn nội bộ và quy định pháp luật địa phương hiện hành, đồng thời đảm bảo minh bạch về cách chúng tôi sử dụng dữ liệu cá nhân và cách cá nhân có thể thực hiện các quyền bảo mật dữ liệu của mình.
NỘI DUNG:
I. 6 NGUYÊN TẮC BẢO MẬT DỮ LIỆU CỦA HEINEKEN
II. THÔNG BÁO ĐIỀU KHOẢN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN NHÂN VIÊN
III. THÔNG BÁO ĐIỀU KHOẢN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA ỨNG VIÊN
IV. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÀ PHÂN PHỐI
V. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA KHÁCH HÀNG
VI. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN KHI ÁP DỤNG QUY TRÌNH QUẢN LÝ VIỆC RA VÀO TẠI NƠI LÀM VIỆC CỦA CÔNG TY
VII. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA KHÁCH VÃNG LAI KHI RA VÀO NƠI LÀM VIỆC
. THÔNG BÁO VỀ ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI HỆ THỐNG CAMERA GIÁM SÁT
IX. CHÍNH SÁCH VỀ QUYỀN CỦA CHỦ THỂ DỮ LIỆU CỦA HEINEKEN VIỆT NAM
(“CHÍNH SÁCH DSR”)
X. CHÍNH SÁCH THÔNG BÁO VI PHẠM DỮ LIỆU CÁ NHÂN CỦA HEINEKEN VIETNAM
XI. THÔNG TIN LIÊN LẠC
Mỗi thành viên tại HEINEKEN Việt Nam đều có trách nhiệm tuân thủ “6 Nguyên tắc Bảo mật Dữ liệu của HEINEKEN” và đưa các nguyên tắc này vào thực tiễn công việc hằng ngày.
Nguyên tắc 1: Giới hạn Mục đích Sử dụng Xác định rõ mục đích kinh doanh trước khi bắt đầu thu thập dữ liệu cá nhân. Chỉ sử dụng dữ liệu cá nhân trong phạm vi cần thiết để đạt được các mục đích đó.
Nguyên tắc 2: Tối thiểu hóa Dữ liệu Chỉ sử dụng dữ liệu cá nhân thực sự cần thiết cho mục đích kinh doanh và giới hạn quyền truy cập theo nguyên tắc “cần biết”. Xóa dữ liệu cá nhân khi không còn cần thiết. Đảm bảo dữ liệu được cập nhật và chính xác.
Nguyên tắc 3: Dữ liệu Nhạy cảm Thận trọng đặc biệt khi xử lý dữ liệu nhạy cảm như thông tin sức khỏe, tôn giáo, số an sinh xã hội. Tham khảo ý kiến của Bộ phận Bảo mật Dữ liệu nếu bạn muốn sử dụng loại dữ liệu này.
Nguyên tắc 4: Minh bạch & Quyền của Cá nhân Thông tin rõ ràng về cách thức xử lý dữ liệu cá nhân thông qua các thông báo bảo mật và tài liệu công bố liên quan. Tạo điều kiện để cá nhân thực hiện các quyền của họ đối với dữ liệu cá nhân.
Nguyên tắc 5: An ninh Áp dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi truy cập hoặc sử dụng trái phép, không mong muốn. Nhân viên được phép truy cập dữ liệu phải cam kết giữ bí mật.
Nguyên tắc 6: Truy cập của Bên thứ ba Đảm bảo có các biện pháp bảo vệ cần thiết khi cho phép bên thứ ba tiếp cận dữ liệu cá nhân. Trường hợp dữ liệu được chuyển ra quốc tế, có thể cần thêm các biện pháp bổ sung.
Căn cứ theo pháp luật hiện hành về việc bảo vệ dữ liệu cá nhân (“quy định pháp luật”), Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam ban hành Thông báo điều khoản & điều kiện về bảo vệ dữ liệu cá nhân của Nhân viên (“Thông báo”).
Hiệu lực từ ngày 01/07/2023
Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam (“Chúng tôi”, “HEINEKEN” hoặc “Công ty”) cam kết bảo vệ các thông tin cá nhân của toàn thể nhân viên. ‘NHÂN VIÊN’ là tất cả nhân viên hiện tại hoặc nhân viên trước đây của Chúng tôi (“Bạn” hoặc “Nhân viên”).
Trong Phần I của Thông báo này, Chúng tôi sẽ mô tả cách thức dữ liệu cá nhân của bạn được thu thập, quản lý và sử dụng trong hệ thống SuccessFactors (MyHR), và các hệ thống khác (Ví dụ như hệ thống quản lý lương thưởng HRIS, Telematic Driver, CCTV, hồ sơ sức khỏe…).
Trong Phần II, Chúng tôi sẽ giải thích cách thức quản lý dữ liệu của các nhân viên không chính thức, ví dụ: nhân viên tạm thời, chuyên viên tư vấn, nhân viên nhà thầu, thực tập sinh,… (gọi chung là “Nhân viên thuê ngoài”), khi thông tin của họ cũng được bao gồm trong hệ thốngSuccessFactors và các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng ).
Trong Phần III, Chúng tôi sẽ mô tả cách thức dữ liệu cá nhân của người liên hệ khẩn cấp hoặc người thân của bạn được thu thập và sử dụng cho các mục đích giới hạn và có liên quan đến quá trình thực hiện hợp đồng lao động, khi mà những thông tin này cũng được xử lý trên hệ thống SuccessFactors và hệ thống khác (Ví dụ như hệ thống quản lý lương thưởng HRIS).
Về tổng quan, SuccessFactors - MyHR là hệ thống quản lý chung của tập đoàn HEINEKEN toàn cầu, nhằm giúp tập đoàn có thể vận hành nhất quán, quản lý một lượng lớn dữ liệu của toàn bộ nhân viên trên khắp các quốc gia. Các dữ liệu do công ty con, chi nhánh (gọi chung là Opco) quản lý sẽ được đăng tải lên hệ thống này. Vì là hệ thống toàn cầu nên dữ liệu được xử lý trên hệ thống này sẽ được chuyển ra ngoài lãnh thổ Việt Nam. Bên cạnh đó, Công ty sử dụng hệ thống HRIS để tính lương thưởng cho các nhân sự được quản lý bởi Công ty. Do đó các dữ liệu liên quan đến lương thưởng, phúc lợi, bao gồm dữ liệu của người phụ thuộc có liên quan theo pháp luật lao động, pháp luật thuế và các quy định khác có liên quan sẽ được sao chép lên hệ thống này. Tuy vậy, đây là hệ thống riêng của Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam, do vậy mọi dữ liệu trên này sẽ không được chuyển ra ngoài lãnh thổ Việt Nam. Cuối cùng, nhằm quản lý nội bộ, an toàn lao động, đảm bảo sức khỏe nhân viên và môi trường làm việc của HEINEKEN, Công ty sẽ thu thập vị trí của những chủ thể được liệt kê theo Thông báo này thông qua dịch vụ định vị, hình ảnh được giảm sát bởi CCTV, tình trạng sức khỏe của nhân viên... Các dữ liệu này cũng sẽ được xử lý bởi Công ty và không chia sẻ cho bên thứ ba hay ra ngoài lãnh thổ Việt Nam, trừ các trường hợp được pháp luật cho phép.
Theo thời gian, các hệ thống này có thể được thay thế, bổ sung, loại bỏ… theo quyết định của Công ty. Khi có bất kì thay đổi nào, Chúng tôi sẽ thông báo kịp thời đến bạn.
Thông báo Riêng tư này được ban hành vào ngày 15/01/2019, sửa đổi, bổ sung ngày 01/07/2023 và có thể được cập nhật theo thời gian, khi đó, nhân viên của HEINEKEN, nhân viên thuê ngoài và người liên hệ khẩn cấp hoặc người thân của họ sẽ được thông báo
PHẦN I: DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN
Chúng tôi sẽ sử dụng dữ liệu cá nhân của bạn cho mục đích gì?
Trong suốt quá trình làm việc của bạn tại Công ty, Công ty thu thập một lượng lớn dữ liệu cá nhân, dữ liệu quan hệ công việc cũng như liên hệ khẩn cấp hoặc người thân của bạn. SuccessFactors sẽ cho phép Chúng tôi thực hiện các giao dịch Nhân sự theo cách thức hiệu quả và thân thiện với người dùng. Để làm được điều này, Công ty cần phải lưu trữ dữ liệu cá nhân của bạn (chi tiết sẽ được liệt kê trong Thông báo này) trong SuccessFactors. Bên cạnh đó, một bản sao chép các thông tin của nhân viên sẽ được truyền tải lên hệ thống quản lý lương thưởng (Ví dụ như HRIS); các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng) cũng sẽ xử lý một số thông tin giới hạn phù hợp với quy định pháp luật.
Công ty sẽ sử dụng các thông tin này nhằm mục đích quản lý mối quan hệ lao động của bạn với Công ty. Điều này bao gồm các khía cạnh như xử lý và truy cập quá trình làm việc, quản lý ngày phép, các khoản thanh toán, các vấn đề liên quan đến Thuế, bảo hiểm, tiền lương và phúc lợi, việc đi công tác và chi phí, xử lý dữ liệu cá nhân nhằm thực thi các quy trình vận hành, quản lý nội bộ (chẳng hạn như lịch làm việc, chấm công, cung cấp cho việc xử lý dữ liệu trung tâm nhằm mục đích hiệu quả, điều tra và kiểm soát nội bộ, xem xét và giám sát việc tuân thủ các quy trình nội bộ và trong bối cảnh giải quyết tranh chấp), phân tích và phát triển tổ chức, báo cáo quản lý; quản lý việc sáp nhập, mua lại và thoái vốn; cho việc tạo điều kiện và quản lý các thông tin về lao động (ví dụ: số lượng nhân viên, vị trí công việc,...); quản lý tài năng và cơ hội nghề nghiệp (bao gồm cả kế hoạch phát triển lực lượng kế thừa), đánh giá kết quả công việc, đào tạo (bao gồm cả việc ghi hình, chụp ảnh trong chương trình đào tạo nhằm mục đích truyền thông, thống kê, giám sát khóa học, và các mục đích khác cho việc ghi hình, chụp ảnh phù hợp với quy định của pháp luật hiện hành); bảo vệ các lợi ích của HEINEKEN và cả nhân viên (ví dụ: sàng lọc và giám sát người lao động, sức khỏe và an toàn nghề nghiệp, chứng thực tình trạng nhân viên và quyền truy cập và quản lý nhận dạng, kiểm soát việc ra vào văn phòng nhằm tuân thủ những quy định của pháp luật hiệnhành).
Những loại dữ liệu cá nhân nào được lưu trên hệ thống?
Các danh mục dữ liệu cá nhân sau sẽ được lưu trên hệ thống:
Hệ thống có các dữ liệu cá nhân nhạy cảm không?
Các dữ liệu cá nhân nhạy cảm được xử lý nhằm loại trừ hoặc giảm thiểu sự bất bình đẳng có thể xảy ra hoặc nhằm đảm bảo tính đa dạng trong văn hóa Công ty từ các nhóm sắc tộc/dân tộc khác nhau. Bên canh đó, một vài dữ liệu nhạy cảm nhằm đảm bảo phúc lợi cho nhân viên như: sự đa dạng trong chế độ ăn uống, tiệc chiêu đãi, ngày nghỉ phép,… phù hợp với phong tục, tập quán và văn hóa của các nhóm sắc tộc/dân tộc/tôn giáo khác nhau theo quy định của pháp luật; các đối xử đặc biệt cho các cá nhân có đặc điểm sinh học cần có chế độ đãi ngộ riêng; chi trả lương, thưởng; quản lý và giám sát nội bộ; tư vấn và đảm bảo sức khỏe; các chế độ khác nhằm tránh sự phân biệt đối xử do khác biệt về văn hóa, dân tộc/sắc tộc/tôn giáo, đặc điểm riêng biệt… theo thông lệ phù hợp và quy định pháp luật hiện hành có liên quan. Các thông tin nhạy cảm của nhân viên được Công ty xử lý bao gồm:
- Tôn giáo (không bắt buộc): Công ty sẽ chỉ thu thập tôn giáo của nhân viên khi họ cung cấp, nhằm đảm bảo môi trường, các chương trình, sự kiện, chế độ, chính sách phù hợp với từng cộng đồng tín ngưỡng;
- Tình trạng sức khỏe: Công ty chỉ thu thập thông tin sức khỏe theo yêu cầu của pháp luật về an toàn sức khỏe nhân viên và có thể sử dụng các thông tin này nhằm mục đích tư vấn cho nhân viên về sức khỏe của họ;
- Dân tộc (không bắt buộc): nhằm đáp ứng các quy định theo pháp luật lao động, loại trừ hoặc giảm thiểu sự bất bình đẳng có thể xảy ra liên quan đến các nhóm dân tộc khác nhau;
- Đặc điểm sinh học riêng của cá nhân: do yêu cầu cung cấp hình ảnh CCCD nhằm đối chiếu với các thông tin mà nhân viên cung cấp, Công ty có thể thu thập các thông tin trên CCCD đó, bao gồm đặc điểm sinh học riêng biệt của cá nhân;
- Thông tin về tài khoản ngân hàng: nhằm trả lương thưởng và các phúc lợi khác cho nhân viên;
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị: khi nhân viên/nhân viên thuê ngoài giữ vai trò tài xế/vận chuyển/các công việc khác được giao có sử dụng phương tiện di chuyển theo như hợp đồng lao động, mà phương tiện đó có gắn thiết bị định vị của Công ty; và các nhân viên khác khi sử dụng phương tiện di chuyển có gắn thiết bị định vị của Công ty sẽ phải chia sẻ về hành trình di chuyển của mình. Những dữ liệu này chỉ được xử lý khi các chủ thể dữ liệu trên đã đọc và đồng ý với tuyên bố sử dụng ứng dụng Telematic Driver của Công ty;
- Dữ liệu sinh trắc học: nhằm quản lý/kiểm soát hiệu quả ra vào văn phòng, bao gồm dữ liệu nhận diện khuôn mặt hoặc dấu vân tay;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết;
Thông tin nhân viên mà Chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và chỉ phục vụ cho những mục đích cụ thể. Những thông tin từ nhân viên cần chính xác nhất có thể và cần tuân thủ theo luật pháp hiện hành về bảo vệ dữ liệu cá nhân.
Ai có thể truy cập vào dữ liệu cá nhân của bạn?
Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho các mục đích có chủ đích và cho các nhân viên có liên quan để thực hiện công việc của họ. Những người quản lý của bạn tại Opco, tại vùng và toàn cầu, Bộ phận Nhân sự tại Opco và toàn cầu (bao gồm các nhân viên hỗ trợ hệ thống SuccessFactors (MyHR) và các Giám Đốc Phát triển Năng lực Nguồn Nhân lực toàn cầu), liên quan đến việc hỗ trợ hệ thống, thực hiện các quy trình Nhân sự tại Opco và toàn cầu, chẳng hạn như việc di chuyển toàn cầu (global mobility) và các dịch vụ phúc lợi cao cấp, các dịch vụ phát triển cá nhân, quản lý tài năng và lên kế hoạch, báo cáo và quản lý lực lượng kế thừa, truy cập vào dữ liệu cá nhân của bạn trên hệ thống, nhưng chỉ với các mục đích được tham chiếu từ Thông báo này. Bằng việc điền đầy đủ vào Hồ sơ nghề nghiệp (ví dụ: nguyện vọng nghề nghiệp, thuyên chuyển địa điểm làm việc), bạn bày tỏ mong muốn được xem xét các vị trí khác của HEINEKEN, trong hoặc ngoài Opco của bạn. Theo đó, nhân viên Nhân sự tại Opco của bạn và Nhân sự toàn cầu có thể nhìn thấy Hồ sơ Nghề nghiệp của bạn. Ngoài ra, nhân viên của các phòng ban khác trong Công ty có thể truy cập vì bản chất toàn cầu của các hoạt động của HEINEKEN, chẳng hạn như Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Tất cả quyền truy cập đều bị hạn chế về thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban hoặc bộ phận có quyền truy cập. Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiện hành.
Đối với các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như hệ thống quản lý lương thưởng HRIS, Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng…), chỉ bộ phận nhân sự tại Opco mà bạn chịu sự quản lý mới có thể truy cập các dữ liệu giới hạn, phù hợp với vai trò của họ để thực hiện các công việc liên quan. Các dữ liệu này chỉ được truy cập và xử lý bên trong lãnh thổ Việt Nam và tuân thủ các quy định của pháp luật hiện hành về lao động, thuế, y tế và các quy định có liên quan. Tuy nhiên, quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định pháp luật hiện hành.
SuccessFactors là một ứng dụng trên đám mây dữ liệu của SAP và được lưu trữ trên các máy chủ ở Đức và các máy sao lưu đặt tại Hà Lan, và do đó, dữ liệu cá nhân của bạn sẽ được chuyển ra ngoài lãnh thổ Việt Nam. Phía SuccessFactors sẽ truy cập hệ thống khi cung cấp các dịch vụ lưu trữ, bảo trì và hỗ trợ, nhưng khi dữ liệu cá nhân của bạn trên hệ thống được mã hóa, phía SuccessFactors sẽ không thể xem dữ liệu cá nhân của bạn. Chỉ trong những trường hợp ngoại lệ và được sự chấp thuận của HEINEKEN, phía SuccessFactors mới có quyền truy cập vào các dữ liệu cá nhân đã được mã hóa của bạn để hỗ trợ kỹ thuật và hỗ trợ về quản lý hệ thống SuccessFactors. Chúng tôi cũng đã có những thoản thuận với phía SuccessFactors để đảm bảo sự an toàn và bảo mật của dữ liệu cá nhân.
Theo thời gian, Chúng tôi có thể cần cung cấp các dữ liệu cá nhân cho các bên thứ ba chẳng hạn như các nhà cung cấp dịch vụ (công ty cung cấp sản phẩm và dịch vụ cho Chúng tôi như nhà cung cấp dịch vụ quản lý lương, phúc lợi và hưu trí, công ty cung cấp dịch vụ CNTT, dịch vụ du lịch và đi lại, quản lý kết quả công việc, đào tạo, quản lý chi phí hoặc các công ty thẻ tín dụng, các chuyên gia y yế/sức khỏe và các công ty chuyên về điều tra lý lịch), các nhà tư vấn chuyên nghiệp (như kế toán, kiểm soát viên hoặc luật sư), các cơ quan nhà nước (các cơ quan nhà nước có thẩm quyền như các cơ quan quản lý, thực thi pháp luật, cơ quan công luận và tư pháp), tổ chức Công Đoàn Cơ sở hoặc trong bối cảnh các giao dịch doanh nghiệp (một bên thứ ba có liên quan đến bất cứ sự tái cấu trúc, sáp nhập hoặc mua bán lại trên thực tế hoặc được đề xuất). Chúng tôi sẽ ký các thỏa thuận với các nhà cung cấp dịch vụ và các nhà tư vấn chuyên nghiệp để đảm bảo quyền lợi bảo vệ dữ liệu của bạn.
Đảm bảo an toàn dữ liệu cá nhân
Chúng tôi coi dữ liệu cá nhân của nhân viên là tài sản quan trọng của Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:
- Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của nhân viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;
- Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, đội ngũ nhân viên bảo vệ đầy đủ và chất lượng;
- Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị ủy quyền quản lý truy cập và Tường lửa (Firewall),…;
- Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình và dữ liệu chung của Công ty: hạn chế sử dụng các thiết bị khác ngoài thiết bị được Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu; nếu sử dụng các thiết bị không phải Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu thì phải đảm bảo việc cài đặt các công cụ hỗ trợ (diệt virus, quản lý,…) để đảm bảo thiết bị an toàn theo khuyến cáo của bộ phận bảo vệ dữ liệu cá nhân của Công ty; không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác và khuyến cáo nhân viên Công ty tham gia đầy đủ các khóa học về nhận thức an ninh thông tin theo khuyến cáo của Công ty.
Công ty cam kết sẽ đảm bảo các biện pháp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu được triển khai thực hiện và tuân thủ tối đa. Tuy nhiên, do các hoạt động xử lý các loại dữ liệu này chủ yếu được thực hiện trên môi trường không gian mạng nên không thể đảm bảo tuyệt đối rằng các rủi ro tiềm năng, hậu quả, thiệt hại không mong muốn không xảy ra. Dưới đây là một số ví dụ về những hậu quả và thiệt hại không mong muốn có thể xảy ra:
- Lộ thông tin cá nhân: Khi dữ liệu cá nhân bị tiết lộ một cách trái phép, chủ thể dữ liệu có thể chịu rủi ro liên quan đến đời sống riêng tư có thể bị ảnh hưởng và các thiệt hại khác;
- Dữ liệu cá nhân bị đánh cắp: Khi dữ liệu cá nhân bị đánh cắp, các tội phạm có thể sử dụng dữ liệu bị đánh cắp để lừa đảo hoặc thực hiện các hoạt động bất hợp pháp;
- Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu;
Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.
Sự lưu giữ và toàn vẹn dữ liệu
Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng các hệ thống của Công ty, dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của nhân viên được xóa an toàn hoặc ẩn danh khỏi hệ thống sau 10 (mười) năm hoặc sớm hơn tùy loại hệ thống, kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm nhân viên chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.
Thời gian bắt đầu xử lý dữ liệu được tính từ lúc chủ thể dữ liệu đồng ý thông báo bảo mật dữ liệu này và cung cấp dữ liệu cho Công ty. Thời gian kết thúc việc xử lý dữ liệu là thời gian thực tế Công ty không còn lưu trữ dữ liệu của chủ thể dữ liệu trên hệ thống nữa (dữ liệu được xóa an toàn hoặc ẩn danh) theo thời gian được mô tả ở trên.
Quyền và nghĩa vụ của nhân viên
Nhân viên có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Nhân viên có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
PHẦN II: DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN THUÊ NGOÀI
Chúng tôi sẽ sữ dụng dữ liệu cá nhân của nhân viên thuê ngoài cho mục đích gì?
SuccessFactors và các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bao gồm nhưng không giới hạn các hệ thống như Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng) có thể chứa một số dữ liệu cá nhân của nhân viên thuê ngoài. Dữ liệu cá nhân này sẽ được dùng cho các mục đích giới hạn như: báo cáo nội bộ khi cần tổng hợp thông tin nhân viên nội bộ và nhân viên bên ngoài, các mục đích truyền thông nội bộ và liên quan đến việc tạo điều kiện và cung cấp quyền truy cập vào hệ thống của Chúng tôi.
Các dữ liệu cá nhân nào của nhân viên thuê ngoài được lưu trữ trên hệ thống?
Nếu có bất kỳ dữ liệu cá nhân nào của nhân viên thuê ngoài được lưu trên hệ thống thì có thể là các loại thông tin sau:
Các dữ liệu cá nhân nhạy cảm được xử lý nhằm đảm bảo tuân thủ pháp luật lao động và tư vấn về sức khỏe của nhân viên thuê ngoài khi cần thiết. Bên cạnh đó, để đảm bảo việc chi trả lương và phúc lợi cho nhân viên thuê ngoài, Công ty cũng sẽ thu thập thông tin về tài khoản ngân hàng của họ. Việc sử dụng các thông tin này phải bảo đảm tính khách quan, chính xác và phù hợp với quy định của pháp luật. Các thông tin nhạy cảm của nhân viên được Công ty xử lý trên hệ thống bao gồm:
- Thông tin về tài khoản ngân hàng: nhằm trả lương, thưởng và các phúc lợi khác cho nhân viên;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
- Thông tin nhân viên mà Chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và không vượt quá những mục đích cụ thể. Những thông tin từ nhân viên cần chính xác nhất có thể và cần tuân thủ theo luật pháp hiện hành về bảo vệ dữ liệu cá nhân.
Ai có thể truy cập dữ liệu cá nhân của nhân viên thuê ngoài trên hệ thống?
Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho mục đích có chủ đích và cho các nhân viên có liên quan để thực hiện công việc của họ. Những người quản lý Bộ phận thuê ngoài Nhân sự, Bộ phận Nhân sự tại Opco và toàn cầu liên quan đến việc hỗ trợ hệ thống, thực hiện các quy trình và báo cáo Nhân sự toàn cầu có quyền truy cập vào dữ liệu cá nhân của nhân viên thuê ngoài trên hệ thống, nhưng chỉ với các mục đích được tham chiếu từ Thông báo này. Ngoài ra, nhân viên của các phòng ban khác trong Công ty có thể truy cập vì bản chất toàn cầu của các hoạt động của HEINEKEN, chẳng hạn như Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Tất cả quyền truy cập đều bị hạn chế đối với thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban hoặc bộ phận có quyền truy cập. Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.
Đối với các hệ thống/quy trình khác được Công ty triển khai, áp dụng và điều chỉnh theo thời gian (bBao gồm nhưng không giới hạn các hệ thống như hệ thống quản lý lương thưởng HRIS, Telematic Driver, CCTV, quản lý hồ sơ sức khỏe, thiết bị kiểm soát hiệu quả việc ra vào văn phòng…), chỉ bộ phận nhân sự tại Opco mà bạn chịu sự quản lý mới có thể truy cập các dữ liệu giới hạn, phù hợp với vai trò của họ để thực hiện các công việc liên quan. Các dữ liệu này chỉ được truy cập và xử lý bên trong lãnh thổ Việt Nam và tuân thủ các quy định của pháp luật hiện hành về lao động, thuế, y tế và các quy định có liên quan. Tuy nhiên, quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định pháp luật hiện hành.
Theo thời gian, Chúng tôi có thể cần cung cấp các dữ liệu cá nhân cho các bên thứ ba chẳng hạn như các nhà cung cấp dịch vụ, các nhà tư vấn chuyên nghiệp (như kế toán, kiểm soát viên hoặc luật sư), các cơ quan nhà nước (các cơ quan nhà nước có thẩm quyền như các cơ quan quản lý, thực thi pháp luật, cơ quan công luận và tư pháp), hoặc trong bối cảnh các giao dịch doanh nghiệp (một bên thứ ba có liên quan đến bất cứ sự tái cấu trúc, sáp nhập hoặc mua bán lại trên thực tế hoặc được đề xuất). Chúng tôi sẽ ký các thỏa thuận với các nhà cung cấp dịch vụ và các nhà tư vấn chuyên nghiệp để đảm bảo quyền lợi bảo vệ dữ liệu của bạn.
Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng các hệ thống của Công ty, dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của nhân viên thuê ngoài được xóa an toàn hoặc ẩn danh khỏi hệ thống sau 10 (mười) năm hoặc sớm hơn tùy loại hệ thống và loại dữ liệu, kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm nhân viên chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.
Thời gian bắt đầu xử lý dữ liệu được tính từ lúc chủ thể dữ liệu đồng ý thông báo bảo mật dữ liệu này và cung cấp dữ liệu cho Công ty. Thời gian kết thúc việc xử lý dữ liệu là thời gian thực tế Công ty không còn lưu trữ dữ liệu của chủ thể dữ liệu trên hệ thống nữa (dữ liệu được xóa an toàn hoặc ẩn danh) theo như thời gian được miêu tả bên trên.
Quyền và nghĩa vụ của nhân viên thuê ngoài
Nhân viên thuê ngoài có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Nhân viên thuê ngoài có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
PHẦN III: THÔNG TIN CỦA CÁC CÁ NHÂN CÓ LIÊN QUAN ĐẾN NHÂN VIÊN
1. DỮ LIỆU CỦA NGƯỜI LIÊN HỆ KHẨN CẤP
Chúng tôi sẽ sữ dụng dữ liệu cá nhân của bạn cho mục đích gì?
Để đảm bảo an toàn tại nơi làm việc và báo cáo các trường hợp khẩn cấp về nhân viên trong thời gian làm việc hoặc tại nơi làm việc, Công ty có thể sẽ xử lý thông tin của những người liên hệ khẩn cấp, thông qua việc nhân viên có liên quan đến những chủ thể này, điền thông tin của họ trên hệ thống MyHR. Theo đó:
Những loại dữ liệu cá nhân nào được xử lý trên hệ thống?
Các thông tin của người liên hệ khẩn cấp được Công ty xử lý bao gồm: họ và tên, số điện thoại, mối quan hệ với nhân viên. Đây là các thông tin cung cấp theo sự lựa chọn của nhân viên và nhằm phục vụ lợi ích hợp pháp của họ. Do vậy, nhân viên sẽ tự điền các thông tin này trên hệ thống MyHR trên cơ sở nhận được sự đồng ý của người liên hệ khẩn cấp.
Bằng cách chấp nhận thông báo bảo mật dữ liệu của Công ty, Chúng tôi sẽ thu thập, lưu trữ và liên hệ với người liên hệ khẩn cấp khi nhân viên đang trong các tình huống khẩn cấp trong phạm vi quan hệ lao động. Nhân viên cần đảm bảo về tính chính xác, trung thực của dữ liệu do mình cung cấp. Nhân viên cũng sẽ chịu mọi trách nhiệm, rủi ro do các sai sót về tính chính xác, trung thực, không nhận được sự đồng ý của chủ thể dữ liệu hoặc bất kì lỗi nào khác do Nhân viên hoặc người liên hệ khẩn cấp gây ra. Công ty sẽ không chịu trách nhiệm cho bất kì sai sót nào không phải do lỗi của Công ty.
Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho việc bảo đảm về an toàn lao động theo quy định của pháp luật lao động. Chỉ những cá nhân ở Bộ phận nhân sự tại OpCo mà Nhân viên chịu sự quản lý mới có thể truy cập và sử dụng thông tin liên hệ khẩn cấp theo các mục đích đã được nêu ở trên. Ngoài ra, vì mục đích khẩn cấp và các vấn đề pháp lý hoặc các vấn đề phát sinh khác, Bộ phận nhân sự tại OpCo đó có thể chia sẻ thông tin này đến các bộ phận liên quan để giải quyết những tình huống phát sinh cụ thể đúng với quy định pháp luật, ví dụ như: Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Tất cả quyền truy cập đều bị hạn chế đối với thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban hoặc bộ phận có quyền truy cập. Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiện hành.
Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng các hệ thống của Công ty, dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của người liên hệ khẩn cấp sẽ được xóa khỏi hệ thống sau 06 tháng kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm người liên hệ khẩn cấp chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.
Quyền và nghĩa vụ của người liên hệ khẩn cấp
Người liên hệ khẩn cấp có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Người liên hệ khẩn cấp có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
2. DỮ LIỆU CỦA NGƯỜI PHỤ THUỘC/VỢ HOẶC CHỒNG CỦA NHÂN VIÊN
Để đảm bảo các quy định của pháp luật về kê khai thuế và các quy định khác có liên quan đến việc yêu cầu cung cấp thông tin của người phụ thuộc, Công ty sẽ xử lý thông tin của những chủ thể này thông qua các hình thức: thu thập, lưu trữ, chia sẻ cho cơ quan nhà nước. Ngoài ra, Công ty còn xử lý thông tin người phụ thuộc/vợ hoặc chồng của nhân Viên để đăng ký bảo hiểm không bắt buộc, được xem như là một phúc lợi dành cho nhân viên và người phụ thuộc/vợ hoặc chồng của họ tại Công ty. Việc đăng ký bảo hiểm không bắt buộc chỉ được thực hiện khi có sự đồng ý của chính người được đăng ký bảo hiểm và nhân viên.
Nhân viên cần đảm bảo về tính chính xác, trung thực của dữ liệu do mình cung cấp. Nhân viên cũng sẽ chịu mọi trách nhiệm, rủi ro do các sai sót về tính chính xác, trung thực hoặc bất kì lỗi nào khác do họ gây ra. Công ty sẽ không chịu trách nhiệm cho bất kì sai sót nào không phải do lỗi của Công ty.
Những thông tin của người phụ thuộc/vợ hoặc chồng được công ty xử lý bao gồm: họ và tên, ngày tháng năm sinh, mối quan hệ với Nhân viên, các thông tin trên giấy tờ được cung cấp đính kèm theo quy định của pháp luật. Những thông tin này sẽ do chính Nhân viên cung cấp.
Việc truy cập vào dữ liệu cá nhân của bạn chỉ được cấp trong trường hợp quyền truy cập đó là cần thiết để phục vụ cho việc kê khai thuế và thực hiện các công việc khác liên quan đến thuế, tài chính của công ty và tuân thủ các quy định của pháp luật về dữ liệu của người phụ thuộc. Chỉ những cá nhân ở Bộ phận nhân sự tại OpCo mà Nhân viên chịu sự quản lý mới có thể truy cập và sử dụng thông tin người phụ thuộc theo các mục đích đã được nêu ở trên. Ngoài ra, vì mục đích tuân thủ pháp luật thuế, pháp luật lao động và các vấn đề pháp lý hoặc các vấn đề phát sinh khác, Bộ phận nhân sự tại OpCo có thể chia sẻ thông tin này đến các bộ phận liên quan để giải quyết những tình huống phát sinh cụ thể đúng với quy định pháp luật, ví dụ như: Bộ phận Pháp lý, Công nghệ thông tin, Tài chính và Báo cáo và đội ngũ của các bộ phận khác tại văn phòng chính có quyền truy cập, ví dụ như bộ phận Kiểm soát nội bộ. Bên cạnh đó, nếu người phụ thuộc và Nhân viên đồng ý làm bảo hiểm không bắt buộc, công ty sẽ chia sẻ thông tin của họ cho các tổ chức bảo hiểm mà công ty đã ký kết. Tất cả quyền truy cập đều bị hạn chế đối với thông tin cụ thể và cần thiết đến các vai trò liên quan của phòng ban, bộ phận hoặc tổ chức có quyền truy cập. Ngoài ra, khi người phụ thuộc/vợ hoặc chồng của Nhân viên mong muốn đăng ký bảo hiểm không bắt buộc, Chúng tôi cũng sẽ hỗ trợ chuyển các thông tin của người phụ thuộc/vợ hoặc chồng cho phía công ty bảo hiểm Quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.
Đối với hệ thống khác (ví dụ như HRIS), chỉ bộ phận nhân sự tại Opco mà bạn chịu sự quản lý mới có thể truy cập các dữ liệu giới hạn, phù hợp với vai trò của họ để thực hiện các công việc liên quan đến lương thưởng. Các dữ liệu này chỉ được truy cập và xử lý bên trong lãnh thổ Việt Nam và tuân thủ các quy định của pháp luật hiện hành về lao động, thuế và các quy định có liên quan. Tuy nhiên, quyền truy cập này cũng có thể được cung cấp cho các cơ quan hữu quan theo quy định của pháp luật hiệnhành.
Công ty sẽ thực hiện các bước hợp lý để đảm bảo rằng khi sử dụng SuccessFactors và các hệ thống khác (Ví dụ như HRIS), dữ liệu cá nhân được xử lý là đáng tin cậy cho mục đích sử dụng của nó và chính xác, đầy đủ và được cập nhật để thực hiện các mục đích được mô tả trong Thông báo này. Công ty sẽ chỉ lưu giữ dữ liệu cá nhân cần thiết cho các mục đích liên quan mà dữ liệu được sử dụng trong hệ thống hoặc theo yêu cầu về mặt pháp lý hoặc được khuyến nghị theo quy định giới hạn về thời hạn áp dụng. Nhìn chung, dữ liệu cá nhân của người phụ thuộc/vợ hoặc chồng của Nhân viên sẽ được xóa hoặc ẩn danh khỏi hệ thống sau 10 (mười) năm kể từ khi nhân viên có liên quan chấm dứt quan hệ lao động hoặc sau một khoảng thời gian luật định kể từ thời điểm người phụ thuộc/vợ hoặc chồng chủ động yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý về việc xử lý dữ liệu, trừ những trường hợp Công ty phải tiếp tục xử lý dữ liệu để thực hiện nghĩa vụ của Công ty theo quy định của pháp luật hiện hành.
Quyền và nghĩa vụ của người phụ thuộc/vợ hoặc chồng của Nhân viên
Người phụ thuộc/vợ hoặc chồng của Nhân viên có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Những chủ thể này có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Người phụ thuộc được cha, mẹ, người đại diện, người giám hộ cung cấp thông tin cho Công ty thì quyền và nghĩa vụ của họ được thực hiện thông qua cha, mẹ, người đại diện, người giám hộ đó.
Căn cứ theo pháp luật hiện hành về việc bảo vệ dữ liệu cá nhân (“quy định pháp luật”), Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam ban hành Thông báo điều khoản & điều kiện về bảo vệ dữ liệu cá nhân của Ứng viên (“Thông báo”).
Hiệu lực từ 01/07/2023
1. GIỚI THIỆU
Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam, cùng với các chi nhánh và các Công ty liên kết của mình (sau đây gọi là "HEINEKEN" hoặc “Công ty” hoặc "Chúng tôi") là Bên kiểm soát dữ liệu cá nhân của Ứng viên (hoặc “bạn”).
Công ty HEINEKEN, nơi có khả năng tuyển dụng bạn, sẽ là nơi kiểm soát và xử lý dữ liệu cá nhân của bạn. Khi một Ứng viên truy cập trang web nghề nghiệp của HEINEKEN hoặc sử dụng trang thông tin tuyển dụng nội bộ, HEINEKEN sẽ thu thập thông tin (dữ liệu cá nhân) về Ứng viên: thông qua các form mẫu của trang đó; thông qua Sơ yếu lý lịch hoặc thư ứng tuyển của Ứng viên nộp trực tiếp hoặc qua các trang tuyển dụng chính thức của HEINEKEN hoặc từ các nguồn khác mà HEINEKEN có thể thu thập được và nhận được sự đồng ý của Ứng viên; thông qua buổi phỏng vấn, trao đổi giữa Ứng viên với HEINEKEN; thông qua các hình thức khác để thu thập thông tin cá nhân của Ứng viên được Ứng viên đồng ý. HEINEKEN sử dụng dữ liệu cá nhân của Ứng viên một cách hợp pháp và hợp lý; điều đó có nghĩa là HEINEKEN sẽ thu thập và xử lý dữ liệu cá nhân tuân thủ theo quy định hiện hành về bảo vệ dữ liệu cá nhân. Bảo vệ sự riêng tư và dữ liệu cá nhân của Ứng viên là việc tối quan trọng đối với HEINEKEN và là cách thức quan trọng mà HEINEKEN khởi tạo, tổ chức và thực hiện các hoạt động tuyển dụng của mình.
Thông báo này nhằm thông tin tới Ứng viên về cách HEINEKEN xử lý dữ liệu tuyển dụng và áp dụng cho các hoạt động tuyển dụng và sàng lọc của HEINEKEN.
Thông báo này có thể được cập nhật theo thời gian, sau đó sẽ được thông báo tới bạn. Nếu có bất kì sửa đổi, bổ sung hay cập nhật nào về Thông báo này, Ứng viên hoàn toàn có thể lựa chọn tiếp tục cho Công ty lưu trữ dữ liệu cá nhân của Ứng viên hoặc hạn chế quyền đó của Công ty theo quy định pháp luật.
2. MỤC ĐÍCH
Thông tin cá nhân (dữ liệu Ứng viên) do Ứng viên cung cấp cho HEINEKEN hoặc do HEINEKEN thu thập được qua bất kì nguồn nào và có sự đồng ý của Ứng viên sẽ được HEINEKEN sử dụng để hỗ trợ quy trình tuyển dụng và sàng lọc một cách có trách nhiệm, hợp pháp và có hiệu quả. HEINEKEN sẽ thu thập và xử lý dữ liệu Ứng viên từ những hồ sơ ứng tuyển tự nguyện; thông qua các buổi phỏng vấn, trao đổi; hoặc các thông tin có được từ các phương thức hợp pháp khác và nhận được sự đồng ý của Ứng viên. HEINEKEN sẽ xử lý Dữ liệu Ứng viên cho các mục đích tuyển dụng. Các mục đích này bao gồm: đánh giá hồ sơ ứng tuyển, ghép hồ sơ ứng tuyển với các vị trí HEINEKEN hiện đang mở và liên lạc Ứng viên cho các vị trí trong tương lai phù hợp hơn với kỹ năng và năng lực của Ứng viên, đánh giá việc bạn làm việc cho HEINEKEN có hợp pháp không (ví dụ như bạn có đủ tuổi để làm việc hay không), thông báo quy trình tuyển dụng và sàng lọc của HEINEKEN, liên lạc với Ứng viên để lên kế hoạch phỏng vấn/kiểm tra và trả lời các câu hỏi có thể phát sinh từ phía Ứng viên, kiểm tra thông tin nhận được qua hồ sơ ứng tuyển và nhằm thực hiện sàng lọc trước khi tuyển dụng.
Bên cạnh đó, HEINEKEN sẽ xử lý dữ liệu cá nhân của bạn cho những mục đích như sau:
• Mục đích cá nhân hóa, ví dụ như cung cấp thông tin về những vị trí tuyển dụng có liên quan (Thông báo Việc làm) trên cơ sở hồ sơ mà bạn đã khởi tạo. Việc này bao gồm gửi email Thông báo việc làm và các Tin nhắn tuyển dụng có liên quan;
• Thông tin về việc bạn đã truy cập và sử dụng Website/kênh tuyển dụng chính thức của Chúng tôi. Chúng tôi thu thập các thông tin nhất định khi bạn truy cập Website của Chúng tôi, ví dụ như địa chỉ IP, các trang web khác mà bạn đã truy cập, loại thiết bị, trình duyệt, loại trình duyệt Internet, những lần “click and view”... Thông tin về việc bạn sử dụng Website và các dịch vụ của Chúng tôi giúp Chúng tôi xây dựng các phân khúc người sử dụng, đó là những nhóm người truy cập Website hoặc những khách hàng có chung đặc điểm như nhóm độ tuổi hoặc khu vực. Chúng tôi có thể sẽ bổ sung bạn vào một trong những phân khúc đó. Các phân khúc được Chúng tôi sử dụng để tùy biến Website và để thay đổi trật tự tìm kiếm, hoặc là nơi Chúng tôi đặt các lời mời tìm kiếm nhất định để bạn có thể nhìn thấy dễ dàng hơn. Bên cạnh đó, Chúng tôi có thể phân tích việc đo lường các phản hồi không định danh tới các vị trí trống của Chúng tôi;
• Trước khi được nhận vào làm việc tại HEINEKEN, bạn sẽ được yêu cầu kiểm tra sức khỏe. Mục đích của việc này nhằm đánh giá sức khỏe của bạn có đáp ứng với môi trường làm việc hay không, cũng như tránh nguy cơ lây lan các bệnh truyền nhiễm tại Công ty. Để thực hiện, Công ty sẽ gửi một bản hướng dẫn và lấy sự đồng ý của bạn trước khi kiểm tra và tư vấn sức khỏe.
3. DỮ LIỆU ỨNG VIÊN
HEINEKEN thu thập và xử lý dữ liệu Ứng viên (bắt buộc và lựa chọn) do Ứng viên cung cấp trực tiếp, thông qua việc khởi tạo hồ sơ và bằng cách đính kèm những tài liệu có liên quan (ví dụ Sơ yếu lý lịch), trên hệ thống tuyển dụng của HEINEKEN. Chúng tôi cũng thu thập và xử lý dữ liệu Ứng viên thông qua các Nhà cung cấp dịch vụ tuyển dụng, các giới thiệu cá nhân, các cuộc gọi điện thoại email, hoặc các cá nhân tham vấn được Ứng viên đồng ý cho chia sẻ thông tin, các cuộc phỏng vấn, trao đổi với Ứng viên và các hình thức hợp pháp khác được sự đồng ý của Ứng viên. Ví dụ về dữ liệu Ứng viên được thu thập và xử lý bởi HEINEKEN cho các mục đích đã được liệt kê ở mục 2, bao gồm nhưng không giới hạn:
- Các chi tiết cá nhân (ví dụ: tên, chi tiết liên lạc, ngôn ngữ sử dụng, độ tuổi làm việc hợp pháp, quốc tịch);
- Các thông tin liên quan đến công việc (ví dụ: các chi tiết trong Thư xin việc và Sơ yếu lý lịch, các chi tiết về giáo dục, phát triển và lịch sử công việc);
- Vị trí (ví dụ: vị trí quan tâm, chức danh, vị trí, các điều khoản tuyển dụng toàn thời gian/ bán thời gian);
- Đãi ngộ (ví dụ: mức lương hiện tại, mức lương mong muốn, loại tiền);
- Tình trạng nhập cư (ví dụ: tình trạng công dân, chi tiết cư trú hoặc giấy phép công việc).
4. DỮ LIỆU CÁ NHÂN NHẠY CẢM CỦA ỨNG VIÊN
Trong quá trình tuyển dụng và sàng lọc, Chúng tôi có thể cần phải thu thập một số dữ liệu được coi là “nhạy cảm” theo quy định pháp luật do chúng có thể phản ánh những tính cách riêng tư, bí mật đời tư. Những dữ liệu nhạy cảm này sẽ chỉ được sử dụng bởi Chúng tôi, trong giới hạn nghiêm ngặt được quy định bởi quy định pháp luật.
Các thông tin cá nhân nhạy cảm trong quy trình tuyển dụng có thể bao gồm một hoặc toàn bộ thông tin được liệt kê dưới đây:
- Tình trạng sức khỏe: Nhằm kiểm tra sức khỏe của Ứng viên có đáp ứng các tiêu chuẩn về sức khỏe lao động theo quy định của pháp luật có liên quan hay không;
- Thông tin liên quan đến nguồn gốc dân tộc: Khi luật cho phép, các thông tin cá nhân của Ứng viên có thể được sử dụng nhằm loại trừ hoặc giảm thiểu sự bất bình đẳng có thể xảy ra hoặc nhằm đảm bảo tính đa dạng trong tuyển dụng đối với những Ứng viên đến từ các nhóm sắc tộc/dân tộc thiểu số, tuy nhiên việc sử dụng các thông tin cá nhân này phải đảm bảo các quyết định tuyển dụng khách quan và không làm trái các bước trong quy trình tuyển dụng của Công ty;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết
Thông tin Ứng viên mà Chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và không vượt quá những mục đích cụ thể. Những thông tin từ Ứng viên cần chính xác nhất có thể và cần tuân thủ theo quy định pháp luật hiện hành, cũng như cần luôn được cập nhật bởi Ứng viên.
5. THAM VẤN CÁ NHÂN CÓ LIÊN QUAN
Tham vấn cá nhân có liên quan là một quy trình được HEINEKEN áp dụng cho một số trường hợp tuyển dụng cụ thể theo chính sách của Công ty. Theo đó, khi rơi vào các trường hợp này, Ứng viên sẽ được yêu cầu cung cấp thông tin của người tham vấn. Người tham vấn sẽ là những người có liên quan đến lịch sử công việc của Ứng viên (ví dụ như: đồng nghiệp cũ, sếp cũ,…). Ứng viên sẽ được gửi một đường dẫn truy cập và chuyển tiếp cho các cá nhân tham vấn để họ tự điền thông tin liên lạc của mình sau khi đã đọc và chấp nhận các điều khoản về bảo mật thông tin của HEINEKEN. Các thông tin thu thâp từ người tham vấn bao gồm:
- Xác nhận về các thông tin cơ bản của Ứng viên: tên tuổi, thông tin liên lạc;
- Các thông tin liên quan đến công việc: vị trí, chức danh tại công ty cũ, quá trình và hiệu quả làm việc tại công ty cũ, nhận xét về tính cách của Ứng viên;
- Các thông tin khác liên quan đến công việc của Ứng viên được sự chấp nhận cho thu thập của Ứng viên.
Khi nhận được đường dẫn để nhập thông tin, người tham vấn chỉ có thể điền các thông tin cơ bản như được nêu ở trên sau khi đã đồng ý với thông báo bảo mật dữ liệu. Một bản hướng dẫn thao tác trên myHR cho các mục đích nêu trên sẽ được gửi đến email đăng ký của người tham vấn. Thông tin về người tham vấn sẽ bao gồm: Họ và tên, công ty, mối quan hệ với người lao động được tham vấn, số điện thoại, email.
Bằng cách đọc, chấp nhận thông báo này và chuyển tiếp đường dẫn truy cập để điền thông tin cho người tham vấn, Ứng viên đã đồng ý để các cá nhân này cung cấp dữ liệu cá nhân của Ứng viên cho HEINEKEN và cho phép HEINEKEN chia sẻ những thông tin giới hạn liên quan đến thông tin cơ bản, lịch sử công việc của Ứng viên. Những trao đổi, chia sẻ này sẽ được kiểm soát một cách có trách nhiệm, hợp pháp, và hiệu quả, đảm bảo an toàn về thông tin cho Ứng viên. Những thông tin được cung cấp bởi người tham vấn sẽ được sử dụng để tham khảo và sẽ được đánh giá, sàng lọc kĩ lưỡng và có trách nhiệm bởi đội ngũ tuyển dụng của HEINEKEN. Các thông tin này không có giá trị quyết định việc đậu hay rớt của Ứng viên cho vị trí đang ứng tuyển. Thông tin của người tham vấn sẽ được tự động xóa sau 06 tháng kể từ khi kết thúc hoạt động tham vấn.
6. COOKIES HAY NHỮNG CÔNG NGHỆ TƯƠNG TỰ
Trang web của Chúng tôi sử dụng “cookies“ là những tệp văn bản nhỏ được lưu trữ trong thiết bị của bạn, những tệp này giúp vận hành trang web và thu thập thông tin về những hoạt động trực tuyến của bạn. Trang web sử dụng cookies cho nhiều mục đích, trong đó bao gồm:
- Lưu trữ những mục Tùy chọn và Cài đặt của bạn;
- Xác định tuổi;
- Việc đăng nhập và tính xác thực;
- Phân tích trang;
- Quảng cáo có mục tiêu.
Thông qua cookies hay những công nghệ tương tự, Chúng tôi có thể thu thập được những dữ liệu cá nhân như:
- Địa chỉ IP;
- Dữ liệu tuổi (qua ngày sinh của bạn);
- Dữ liệu cookie;
- Loại trình duyệt;
- Cài đặt ngôn ngữ;
- Trang web bạn thoát ra và trang web bạn truy cập; và
- Đường link khi bạn nhấp vào trang web và các dịch vụ trên trang của Chúng tôi.
Bạn có thể tìm hiểu thêm về chính sách dữ liệu trên trang web của Chúng tôi.
7. CHẤT LƯỢNG VÀ ĐỘ TIN CẬY
Khi bạn cung cấp dữ liệu cá nhân tới HEINEKEN, bạn sẽ chịu trách nhiệm về tính chính xác của những dữ liệu cá nhân này và phải đảm bảo rằng thông tin của bạn phải chính xác và cập nhật. Ngoại trừ lý do sơ xuất hoặc ý định trái pháp luật, HEINEKEN không chịu trách nhiệm cho những sai lầm, hậu quả hoặc hoạt động phát sinh từ những thông tin không chính xác hoặc không đầy đủ mà bạn cung cấp cho Chúng tôi.
8. CHUYỂN GIAO VÀ TRUY CẬP DỮ LIỆU ỨNG VIÊN
Để vận hành như một tập đoàn toàn cầu và để thúc đẩy việc phát triển sự nghiệp đối với Ứng viên của HEINEKEN, đây là lợi ích của cả hai bên khi HEINEKEN đưa dữ liệu Ứng viên lên cơ sở dữ liệu quốc tế của tập đoàn – cơ sở dữ liệu này có thể được chia sẻ tất cả/có giới hạn với những người tuyển dụng của HEINEKEN trên toàn cầu. Một bên cung cấp dịch vụ thứ ba của HEINEKEN cũng có thể nằm ngoài khu vực pháp lý ở nước sở tại của bạn. Nếu dữ liệu của bạn được chuyển đến một quốc gia có chế độ khác về bảo vệ dữ liệu, HEINEKEN sẽ đảm bảo việc chuyển dữ liệu sẽ không ảnh hưởng tiêu cực đến việc bảo vệ dữ liệu cá nhân của bạn. Trong trường hợp được yêu cầu, HEINEKEN sẽ thông báo cho bạn những chi tiết cụ thể về việc chuyển thông tin của bạn trên mạng dữ liệu quốc tế của HEINEKEN.
Như một phần của quy trình ứng tuyển, Ứng viên sẽ được hỏi để lựa chọn một trong những phương án sau:
Bằng cách đọc và chấp nhận tuyên bố bảo mật tuyển dụng này, Ứng viên đồng ý cho HEINEKEN đăng tải thông tin cá nhân của Ứng viên lên hệ thống SuccessFactors – dịch vụ lưu trữ dữ liệu của HEINEKEN theo như tuyên bố bên dưới. Tuy nhiên, với sự lựa chọn của Ứng viên ở trên, chỉ những cá nhân giới hạn theo sự lựa chọn đó mới có quyền truy cập dữ liệu cá nhân của Ứng viên và được xử lý những mục đích được ghi nhận trong Thông báo này. HEINEKEN sẽ đảm bảo những biện pháp an ninh an toàn và cơ chế chuyển dữ liệu có hiệu lực cho quá trình chuyển giao và xử lý dữ liệu Ứng viên tại các quốc gia khác nhau nới HEINEKEN vận hành.
Trong quá trình tuyển dụng, thông tin của Ứng viên sẽ chỉ được truy cập nội bộ bởi những nhân viên của HEINEKEN có tham gia vào quá trình tuyển dụng (bao gồm cả nhân viên các Công ty con của HEINEKEN). Bất kỳ khi nào thông tin của bạn được nộp cho hoặc được xử lý bởi một bên cung cấp dịchvụ thứ ba có hợp đồng với HEINEKEN, Chúng tôi ký thỏa thuận với nhà cung cấp dịch vụ đó về việc bảo mật dữ liệu của Ứng viên. Nhà cung cấp dịch vụ chỉ có thể sử dụng thông tin của Ứng viên cho việc xử lý hồ sơ ứng tuyển vào làm việc tại HEINEKEN và không dành cho bất cứ mục đích nào khác của nhà cung cấp dịch vụ.
Trang web tuyển dụng được vận hành trên SuccessFactors. SuccessFactors là một ứng dụng đám mây của SAP và được lưu trữ trên các máy chủ tại Đức và các máy chủ sao lưu tại Hà Lan. SuccessFactors truy cập vào hệ thống nơi cung cấp các dịch vụ về lưu trữ, bảo trì và hỗ trợ. Chúng tôi đã có thỏa thuận với SuccessFactors về tính bảo mật và an toàn cho dữ liệu cá nhân của bạn.
Theo thời gian, Chúng tôi có thể cần cung cấp dữ liệu cá nhân cho những nhà cung cấp dịch vụ khác, như các công ty tuyển dụng hay những bên cung cấp dịch vụ về hệ thống IT, những cố vấn chuyên nghiệp (bao gồm kế toán, kiểm toán, luật sư), những tổ chức công cộng và chính phủ (các cơ quan có thẩm quyền đối với Chúng tôi như cơ quan quản lý, thực thi pháp luật, cơ quan công cộng và cơ quan tư pháp), hoặc trong bối cảnh giao dịch của Công ty (một bên thứ ba liên quan đến bất kỳ sự tái cấu trúc tổ chức, sáp nhập hoặc kinh doanh được đề xuất hoặc thực tế nào). Chúng tôi yêu cầu nhà cung cấp dịch vụ hoặc cố vấn chuyên nghiệp sử dụng những phương thức phù hợp để đảm bảo tính bảo mật và an toàn cho dữ liệu cá nhân. Nếu việc chuyển giao thông tin diễn ra từ một quốc gia thuộc Khối kinh tế châu Âu đến người nhận tại một quốc gia có chế độ bảo vệ dữ liệu thông tin khác biệt, Chúng tôi sẽ đảm bảo không gây ảnh hưởng tiêu cực đến an toàn bảo mật dữ liệu, và việc chuyển giao thông tin được dựa trên các biện pháp bảo vệ phù hợp bao gồm các điều khoản của pháp luật hiện hành, bao gồm Điều khoản Mẫu của EU hoặc Nội quy ràng buộc của công ty.
9. LƯU GIỮ THÔNG TIN
HEINEKEN sẽ lưu giữ thông tin Ứng viên trong quá trình tuyển dụng và sàng lọc. HEINEKEN sẽ chỉ lưu giữ thông tin Ứng viên cho một vị trí cụ thể trong thời gian tối đa theo quy định pháp luật sau quá trình tuyển dụng và sàng lọc. Nếu có nghĩa vụ pháp lý để lưu giữ thông tin cá nhân lâu hơn, HEINEKEN sẽ làm như vậy (ví dụ: yêu cầu về cơ hội bình đẳng trong luật lao động tại địa phương).
HEINEKEN cũng sẽ lưu giữ thông tin Ứng viên cho một vị trí trống cụ thể nếu Ứng viên cho phép giữ lại thông tin, như việc lưu trữ hồ sơ của Ứng viên nếu vị trí phù hợp phát sinh. Ngoài ra, bạn có thể tạo một hồ sơ mà không cần thực sự ứng tuyển vào một vị trí cụ thể. Trong những trường hợp như vậy, HEINEKEN sẽ xóa thông tin của bạn sau 05 (năm) năm - hoặc ngắn hơn theo yêu cầu của luật địa phương – nếu hồ sơ của bạn không hoạt động trong hệ thống tuyển dụng của Chúng tôi (nghĩa là sau khi bạn không đăng nhập vào tài khoản/hồ sơ của bạn). Bên cạnh đó, Ứng viên cũng có thể yêu cầu Công ty xóa dữ liệu và thực hiện các quyền xin rút lại sự đồng ý của Ứng viên trong một khoảng thời gian luật định kể từ ngày nhận được yêu cầu. Tuy nhiên, Ứng viên vẫn sẽ được hỏi (trong mỗi 06 tháng) về việc có cho phép HEINEKEN lưu trữ dữ liệu của Ứng viên trong tương lai hay không. Bằng cách chấp nhận hoặc từ chối, HEINEKEN sẽ tiếp tục lưu trữ hoặc xóa an toàn dữ liệu của Ứng viên trên hệ thống theo đúng quy định của pháp luật.
Thời gian bắt đầu xử lý dữ liệu được tính từ lúc chủ thể dữ liệu đồng ý thông báo bảo mật dữ liệu này và cung cấp dữ liệu cho Công ty. Thời gian kết thúc việc xử lý dữ liệu là thời gian thực tế Công ty không còn lưu trữ dữ liệu của chủ thể dữ liệu trên hệ thống nữa theo như thời gian được miêu tả bên trên.
Sau giai đoạn lưu giữ, thông tin của Ứng viên sẽ được xóa hoàn toàn khỏi hệ thống của HEINEKEN. Ứng viên được quyền yêu cầu xóa dữ liệu cá nhân bất cứ lúc nào.
10. BẢO MẬT
HEINEKEN sử dụng một số biện pháp an ninh kỹ thuật, vật lý và tổ chức để đảm bảo tính toàn vẹn, bảo mật và sẵn có của dữ liệu Ứng viên, cân nhắc đến tính chất, phạm vi, bối cảnh, mục đích và rủi ro liên quan. HEINEKEN đã triển khai các công nghệ bảo mật để bảo vệ dữ liệu của Ứng viên được lưu trữ khỏi bị truy cập trái phép, sử dụng, thay đổi không đúng cách, phá hủy bất hợp pháp hoặc vô tình và mất mát do tai nạn.
HEINEKEN tiếp tục tăng cường các quy trình bảo mật khi có công nghệ mới. Ứng viên có vai trò quan trọng trong việc hỗ trợ HEINEKEN bảo mật dữ liệu của Ứng viên. Ứng viên phải luôn giữ bí mật mật khẩu của mình và sử dụng đúng quy trình để đăng nhập và đăng xuất khỏi hệ thống tuyển dụng HEINEKEN.
- Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu.
Vì vậy, Chúng tôi coi dữ liệu cá nhân của bạn là rất quan trọng và Chúng tôi sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:
- Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của Ứng viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;
- Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, và đội ngũ nhân viên bảo vệ đầy đủ và chất lượng;
- Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị Ủy quyền Quản lý Truy cập và Tường lửa (Firewall),…vv;
- Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình: không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác.
11. QUYỀN VÀ NGHĨA VỤ CỦA ỨNG VIÊN
Ứng viên có quyền yêu cầu truy cập vào thông tin ứng tuyển của bản thân mà HEINEKEN đang nắm giữ. Ứng viên cũng có quyền sửa chữa, xóa và hạn chế dữ liệu (nếu hợp lý). Ứng viên có thể chỉnh sửa hay xóa thông tin ứng tuyển của mình bằng cách thay đổi hồ sơ. Ứng viên cũng có quyền hạn chế truy cập vào thông tin của họ (nếu hợp lý) hoặc từ chối việc HEINEKEN sử dụng thông tin của họ. Xin lưu ý rằng những yêu cầu không phù hợp với luật hiện hành hay hướng dẫn của HEINEKEN có thể được yêu cầu thực hiện lại hoặc bị từ chối, và dữ liệu cá nhân đó có thể được miễn trừ khỏi yêu cầu của Ứng viên dựa trên luật hiện hành về bảo vệ dữ liệu hoặc các luật và quy định khác.
Chúng tôi sẽ đưa vào sử dụng các tính năng mới theo thời gian và thông báo đến bạn sớm nhất. Bạn cũng có quyền nộp đơn khiếu nại với cơ quan Nhà nước về bảo vệ dữ liệu theo luật & quy định hiện hành tại địa phương của bạn.
Bạn có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Quá trình đăng ký có thể bao gồm cả việc hồ sơ ứng tuyển của bạn bị từ chối tự động. Trong trường hợp này, các tiêu chí cho những quyết định tự động như vậy thường đã được đưa vào yêu cầu công việc có liên quan. Bạn có quyền đòi hỏi Chúng tôi kiểm tra lại hồ sơ ứng tuyển của bạn dù đã có phản hồi tự động, hoặc thông báo cho Chúng tôi biết rằng bạn không đồng ý với việc từ chối hồ sơ ứng tuyển của bạn và yêu cầu được biết lý do cho vấn đề này.
Thông báo điều khoản bảo vệ dữ liệu cá nhân của Nhà phân phối (sau đây viết tắt là “Thông báo”) được áp dụng từ ngày 01 tháng 7 năm 2023 đối với các nhà phân phối sản phẩm (sau đây viết tắt là “NPP” hoặc “bạn”) của Công ty TNHH Bia & Nước giải khát HEINEKEN Việt Nam (sau đây viết tắt là “HVBB” hoặc “Chúng tôi” hoặc “Công ty”). Đối tượng áp dụng là (i) cá nhân, và/hoặc (ii) người đại diện hoặc người liên hệ của các NPP nếu NPP là pháp nhân. Bạn nhận được Thông báo này vì HVBB đang và sẽ xử lý thông tin cá nhân của bạn (sau đây viết tắt là “Dữ liệu cá nhân”) với tư cách là bên kiểm soát và/hoặc bên xử lý dữ liệu. Vui lòng đọc kỹ Thông báo này vì nó nêu rõ bối cảnh chúng tôi xử lý dữ liệu cá nhân của bạn và giải thích các uyền và nghĩa vụ của bạn và chúng tôi khi thực hiện xử lý dữ liệu cá nhân.
Chúng tôi tôn trọng quyền riêng tư của bạn và chúng tôi cam kết bảo mật và quản lý Dữ liệu Cá nhân của bạn tuân thủ các trách nhiệm pháp lý của chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành.
1. Dữ liệu cá nhân nào chúng tôi xử lý và cách xử lý
Chúng tôi có thể thu thập một số loại Dữ liệu cá nhân của bạn như sau:
Nếu bạn có ý định cung cấp cho chúng tôi dữ liệu cá nhân về các cá nhân khác (tức là đồng nghiệp của bạn), bạn phải cung cấp bản sao Thông báo này cho các cá nhân có liên quan, để nhận được sự đồng ý của họ.
Các hoạt động xử lý Dữ liệu cá nhân có thể được Chúng tôi thực hiện theo cách thức tự động hoặc không tự động, bằng các phương tiện điện tử hoặc các cách thức thủ công hoặc bất kỳ cách thức nào khác mà Chúng tôi cho là phù hợp.
2. Mục đích chúng tôi xử lý dữ liệu cá nhân của bạn
Chúng tôi luôn xử lý Dữ liệu cá nhân của bạn cho một hoặc một vài mục đích cụ thể và chỉ xử lý Dữ liệu Cá nhân có liên quan để đạt được mục đích đó. Cụ thể, chúng tôi xử lý Dữ liệu Cá nhân của bạn cho các mục đích sau:
3. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân của bạn
Thời gian xử lý dữ liệu cá nhân bắt đầu khi bạn cung cấp dữ liệu cá nhân cho Chúng tôi và kéo dài tới khi Dữ liệu cá nhân được xóa, hủy theo các quy định của pháp luật và/hoặc quy định, quyết định tại từng thời điểm của Chúng tôi. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng Dữ liệu cá nhân mà chúng tôi giữ nếu không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ được xác định.
4. Cách chúng tôi chia sẻ dữ liệu cá nhân của bạn
Dữ liệu cá nhân của bạn có thể được truy cập hoặc chuyển đến các bên thứ ba sau trên cơ sở cần biết để đạt được các mục đích được liệt kê ở trên. Các bên thứ ba đó có thể là:
Các bên này có thể có trụ sở tại Việt Nam, Liên minh Châu Âu hoặc các quốc gia khác trong Khu vực Kinh tế Châu Âu (“EEA”) hoặc bất kỳ nơi nào khác trên thế giới. Nếu chúng tôi chuyển dữ liệu cá nhân của bạn cho các công ty/tổ chức ở các khu vực pháp lý khác, chúng tôi sẽ đảm bảo bảo vệ dữ liệu cá nhân của bạn bằng cách (i) áp dụng mức độ bảo vệ cần thiết theo luật bảo mật dữ liệu hiện hành và (ii) hành động theo chính sách và tiêu chuẩn của chúng tôi.
5. Đảm bảo an toàn dữ liệu cá nhân
6. Lựa chọn và quyền của bạn
Bạn có quyền đưa ra và rút lại sự đồng ý xử lý dữ liệu cá nhân, truy cập và xóa dữ liệu cá nhân, có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân, lấy dữ liệu cá nhân, nộp đơn khiếu nại, tố cáo và kiện tụng cũng như yêu cầu bồi thường thiệt hại, và các quyền khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Việc xin rút lại sự đồng ý và các quyền khác không ảnh hưởng đến tính hợp pháp của toàn bộ dữ liệu mà Công ty đã và đang xử lý.
7. Cập nhật
Chúng tôi sẽ rà soát lại và cập nhật Thông báo này theo thời gian. Mọi thay đổi đối với Thông báo này sẽ được thông báo tới bạn qua các kênh liên lạc thông thường của chúng tôi (ví dụ: email).
Thông báo điều khoản bảo vệ dữ liệu cá nhân của Khách hàng (sau đây viết tắt là “Thông báo”) được áp dụng từ ngày 01 tháng 7 năm 2023 đối với các điểm bán sản phẩm (sau đây viết tắt là “bạn”) của Công ty TNHH Nhà máy bia HEINEKEN Việt Nam (sau đây viết tắt là “HVN” hoặc “Chúng tôi” hoặc “Công ty”) và các công ty con, chi nhánh và văn phòng đại diện của Công ty. Đối tượng áp dụng là (i) cá nhân, và/hoặc (ii) người đại diện hoặc người liên hệ được uỷ quyền của các Điểm bán nếu Điểm bán là pháp nhân. Bạn nhận được Thông báo này vì HVN đang và sẽ xử lý thông tin cá nhân của bạn (sau đây viết tắt là “Dữ liệu cá nhân”) với tư cách là bên kiểm soát và/hoặc bên xử lý dữ liệu. Vui lòng đọc kỹ Thông báo này vì nó nêu rõ bối cảnh chúng tôi xử lý dữ liệu cá nhân của bạn và giải thích các quyền và nghĩa vụ của bạn và chúng tôi khi thực hiện xử lý dữ liệu cá nhân.
Chúng tôi tôn trọng quyền riêng tư của bạn và chúng tôi cam kết sẽ bảo mật và quản lý Dữ liệu Cá nhân của bạn tuân thủ các trách nhiệm pháp lý của chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành.
Nếu bạn có ý định cung cấp cho chúng tôi dữ liệu cá nhân về các cá nhân khác, bạn phải cung cấp bản sao Thông báo này cho các cá nhân có liên quan, để nhận được sự đồng ý của họ.
5. Đảm bảo an toàn Dữ liệu cá nhân
Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam và các công ty liên kết, các chi nhánh và văn phòng đại diện của HVN (Sau đây viết tắt là "HVN" hoặc "Chúng tôi" hoặc “Công ty”) cam kết bảo vệ quyền riêng tư của Nhân viên.
Nhằm đảm bảo An toàn và Sức khỏe của nhân viên, an ninh tại các văn phòng và địa điểm làm việc của Công ty (sau đây viết tắt là “Nơi làm việc”), HVN cần lắp đặt thiết bị quản lý việc ra vào và hệ thống camera giám sát tại các địa điểm này. Để triển khai thiết bị này, Chúng tôi cần thu thập và xử lý một số thông tin cá nhân của nhân viên HVN làm việc tại các địa điểm làm việc của HVN và nhân viên hợp đồng với đối tác thứ ba và nhân viên nhà thầu làm việc tại các địa điểm làm việc tại HVN (Sau đây viết tắt là “Nhân viên” hoặc ”bạn”). Trước khi Chúng tôi xử lý thông tin của bạn, Chúng tôi cần bạn xác nhận đồng ý cho HVN được xử lý những thông tin này cho những mục đích được liệt kê dưới đây và phù hợp với quy định hiện hành về bảo vệ dữ liệu cá nhân.
Thiết bị quản lý này đưa ra ba lựa chọn khi đăng ký ra vào Nơi làm việc: (1) Nhận diện gương mặt, (2) dấu vân tay và (3) quẹt thẻ. Nhân viên có quyền được lựa chọn một trong ba cách thức để đăng ký ra vào Nơi làm việc của HVN.
Hệ thống camera giám sát (“hệ thống CCTV”) được lắp đặt để đảm bảo an toàn và an ninh tại Nơi làm việc của Chúng tôi. Chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát được đính kèm như là một phần không thể tách rời của Thông báo này: 2023_CCTV Privacy notice_VN.docx. Bạn được yêu cầu đọc kỹ nội dung Thông báo này trước khi xác nhận đồng ý cho Chúng tôi xử lý dữ liệu cá nhân của bạn đối với hệ thống camera giám sát.
Chúng tôi tôn trọng quyền riêng tư của bạn và cam kết bảo mật Dữ liệu Cá nhân của bạn và quản lý dữ liệu bằng trách nhiệm pháp lý của Chúng tôi theo quy định hiện hành về bảo vệ dữ liệu cá nhân.
Trong Thông báo này, Chúng tôi mô tả cách Chúng tôi xử lý và bảo vệ dữ liệu cá nhân của bạn thông qua việc sử dụng thiết bị thông minh quản lý việc ra vào Nơi làm việc. Chúng tôi là Người kiểm soát dữ liệu cá nhân của bạn.
1. Chúng tôi sử dụng dữ liệu cá nhân của bạn cho mục đích gì?
Chúng tôi sử dụng dữ liệu cá nhân của bạn nhằm các mục đích sau đây:
2. Chúng tôi sử dụng loại dữ liệu cá nhân nào?
Để đăng ký sử dụng thiết bị này, Chúng tôi cần nhân viên cung cấp những thông tin sau: họ và tên, mã số nhân viên, và phòng ban. Ngoài ra, thông qua hệ thống kiểm soát ra vào, chúng tôi còn có thể thu thập và xử lý lịch sử hoạt động của bạn, chẳng hạn như thời điểm bạn ra/vào khu vực làm việc.
Nếu bạn đăng ký lựa chọn Nhận diện khuôn mặt, Chúng tôi sẽ yêu cầu bạn cung cấp thêm dữ liệu nhận diện khuôn mặt.
Nếu bạn đăng ký lựa chọn Nhận diện dấu vân tay, Chúng tôi sẽ yêu cầu bạn cung cấp thêm dữ liệu nhận diện vân tay.
Nơi làm việc của HVN có hệ thống camera giám sát nhằm đảm bảo an ninh và an toàn tại nơi làm việc. Do đó, những hình ảnh của bạn cũng sẽ được hệ thống CCTV quay lại và lưu trữ trong một khoảng thời gian nhất định. Mời bạn xem chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát tại 2023_CCTV Privacy notice_VN.docx.
Thông tin của bạn mà chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và chỉ phục vụ cho những mục đích cụ thể được nêu ở mục 1 của Thông báo này. Những thông tin của bạn cần chính xác nhất có thể và cần tuân thủ theo quy định hiện hành về bảo vệ dữ liệu cá nhân.
Các dữ liệu cá nhân nhạy cảm mà chúng tôi có thể xử lý bao gồm:
3. Phương thức xử lý dữ liệu cá nhân của bạn
Bằng cách đọc và lựa chọn phương thức nhận diện bằng khuôn mặt hoặc dấu vân tay hoặc quét thẻ, bạn đồng ý rằng thông tin của mình sẽ được thu thập, lưu trữ, và sử dụng bằng bất kỳ phương thức nào theo các chính sách và/hoặc tình hình hoạt động của Công ty được điều chỉnh theo thời gian, bao gồm nhưng không giới hạn, thu thập, ghi, xác nhận, lưu trữ, chỉnh sửa, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chuyển giao, xóa, hủy và các hành động khác có liên quan. Tất cả phương thức này phải được phù hợp với mục đích đề ra tại mục 1 của Thông báo này.
4. Ai có quyền truy cập dữ liệu cá nhân của bạn
Chỉ thành viên thuộc bộ phận quản lý thiết bị ra vào mới có quyền truy cập vào dữ liệu cá nhân của bạn để thực hiện công việc thuộc trách nhiệm của mình và thực hiện bất kỳ mục đích nào được mô tả trong Thông báo này.
Bên cạnh đó, một số nơi làm việc được đặt bên trong tòa nhà phức hợp/tòa nhà văn phòng/các khu vực hạn chế ra vào do bên thứ ba quản lý, chúng tôi cũng sẽ chia sẻ dữ liệu của bạn cho những bên này để kiểm soát việc ra vào những nơi hạn chế đó. Việc chia sẻ này sẽ gồm những dữ liệu giới hạn, phục vụ cho mục đích kiểm soát, an ninh và các mục đích được nêu ra tại Thông báo này. Bất kỳ khi nào dữ liệu của bạn được chia sẻ cho hoặc xử lý bởi một bên cung cấp dịch vụ thứ ba có hợp đồng với Công ty, Chúng tôi ký thỏa thuận với nhà cung cấp dịch vụ đó về việc bảo mật dữ liệu của bạn theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
5. Bảo mật
Chúng tôi xem các dữ liệu cá nhân của các bạn như là tài sản quan trọng của Công ty và Chúng tôi sẽ đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, và hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra (bao gồm nhưng không giới hạn: rò rỉ dữ liệu hoặc xử lý dữ liệu không phù hợp gây tổn hại đến quyền và lợi ích hợp pháp của bạn).
Vì không loại trừ các khả năng không mong muốn như trên, chúng tôi coi dữ liệu cá nhân của bạn là rất quan trọng đối với Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:
6. Chúng tôi lưu trữ dữ liệu cá nhân của bạn trong bao lâu
Chúng tôi sẽ lưu trữ dữ liệu cá nhân của bạn trong khoảng thời gian pháp luật yêu cầu hoặc khoảng thời gian cần thiết cho bất kỳ mục đích nào được liệt kê trong Thông báo này, hoặc để tuân thủ các yêu cầu pháp lý mà Chúng tôi phải tuân theo, miễn là cần thiết một cách hợp lý cho mục đích lưu trữ hoặc miễn là phù hợp với thời hiệu áp dụng. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng dữ liệu cá nhân mà Chúng tôi lưu trữ nếu dữ liệu đó không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu trữ đã xác định.
Thời gian chúng tôi bắt đầu xử lý những dữ liệu cá nhân: sau khi chủ thể dữ liệu đồng ý với Thông báo này.
Thời gian kết thúc việc xử lý những dữ liệu cá nhân mà nhân viên cung cấp: khi nhân viên nghỉ việc, nhân viên nhà thầu kết thúc công việc tại Công ty thì Chúng tôi sẽ xóa dữ liệu trong vòng 30 ngày kể từ khi nhân viên hoàn thành bàn giao công việc vào ngày làm việc cuối cùng ngoại trừ dữ liệu camera giám sát. Thời gian kết thúc việc xử lý dữ liệu camera giám sát sẽ tuân theo quy định của Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát (2023_CCTV Privacy notice_VN.docx).
7. Quyền và nghĩa vụ của bạn
Bạn có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Bạn có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
8. Hiệu lực của thông báo
Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sự khác biệt về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.
Thời hạn áp dụng Thông báo này sẽ được áp dụng từ ngày 01 tháng 07 năm 2023. Thông báo có thể được điều chỉnh tùy theo tình hình hoạt động và việc cập nhật Thông báo sẽ được gửi cho bạn đọc và xác nhận đồng ý.
Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam và các công ty liên kết, chi nhánh & văn phòng đại diện của HVN ("HVN”, "Chúng tôi" hoặc “Công ty”) cam kết bảo vệ quyền riêng tư của khách vãng lai (khách đến liên hệ công việc, khách tham quan, các cá nhân khác đến Công ty không phải với tư cách nhân viên hoặc nhân viên thuê ngoài của HVN – sau đây viết tắt là “bạn”).
Nơi làm việc theo Thông báo Điều khoản & Điều kiện Bảo vệ Dữ liệu Cá nhân của Khách vãng lai khi ra vào Nơi làm việc (sau đây viết tắt là “Thông báo”) bao gồm nhưng không giới hạn: các công ty con, chi nhánh, văn phòng chính, văn phòng các khu vực, văn phòng tiêu thụ, nhà máy, nhà kho, và những nơi làm việc khác hạn chế việc ra vào đối với khách vãng lai (sau đây viết tắt là “Nơi làm việc”).
Nhằm đảm bảo An toàn và An ninh tại nơi làm việc của Công ty, bạn phải đăng ký với quản trị viên tại nơi làm việc mình cần đến trước khi vào nơi làm việc đó. Nhằm phục vụ mục đích này, Chúng tôi cần thu thập và xử lý một số dữ liệu của bạn. Trước khi xử lý, Chúng tôi cần bạn xác nhận đồng ý cho phép sử dụng những dữ liệu này. Chúng tôi tôn trọng quyền riêng tư của bạn và cam kết bảo mật Dữ liệu Cá nhân của bạn và quản lý dữ liệu bằng trách nhiệm pháp lý của Chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành.
Ngoài ra, Chúng tôi có lắp đặt hệ thống camera giám sát (“hệ thống giám sát CCTV”) nhằm mục đích đảm bảo an toàn, an ninh tại những khu vực đã được xác định của Chúng tôi. Khi bạn tới Nơi làm việc của Chúng tôi, những hình ảnh của bạn cũng sẽ được hệ thống CCTV quay lại và lưu trữ theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát được đính kèm như là một phần không thể tách rời của Thông báo này: 2023_CCTV Privacy notice_VN.docx. Bạn được yêu cầu đọc kỹ nội dung Thông báo này trước khi xác nhận đồng ý cho Chúng tôi xử lý dữ liệu cá nhân của bạn đối với hệ thống camera giám sát. Nếu bạn không đồng ý để hình ảnh của bạn bị quay lại và lưu trữ bởi hệ thống camera giám sát, bạn có thể không bước vào các khu vực có lắp camera của Chúng tôi.
Trong Thông báo này, Chúng tôi mô tả cách Chúng tôi xử lý và bảo vệ dữ liệu cá nhân của bạn thông qua việc đăng ký và ra vào nơi làm việc. Chúng tôi là bên kiểm soát và xử lý dữ liệu cá nhân của bạn.
1. Chúng tôi sử dụng dữ liệu cá nhân của bạn nhằm các mục đích sau đây
2. Chúng tôi xử lý loại dữ liệu cá nhân nào?
Để có thể ra vào nơi làm việc bạn phải đăng ký với bộ phận quản trị tại nơi làm việc. Trong quá trình đăng ký, chúng tôi có thể sẽ thu thập và xử lý một số dữ liệu sau đây:
3. Chúng tôi có xử lý các dữ liệu cá nhân nhạy cảm không?
Do trên hình ảnh CCCD/CMND có chứa các dữ liệu cá nhân được xem là nhạy cảm theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Chúng tôi cũng sẽ xử lý các dữ liệu đó như là một phần của việc đăng ký ra vào nơi làm việc và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Các dữ liệu cá nhân nhạy cảm mà chúng tôi xử lý bao gồm:
4. Phương thức xử lý dữ liệu cá nhân của bạn
Bằng cách đọc và đồng ý với Thông báo này, bạn chấp nhận rằng dữ liệu của mình sẽ được thu thập, lưu trữ, sử dụng bằng bất kỳ phương thức nào theo các chính sách và/hoặc tình hình hoạt động của Công ty được điều chỉnh tuỳ theo từng thời điểm, bao gồm nhưng không giới hạn: thu thập, ghi, xác nhận, lưu trữ, mã hóa, giải mã, sao chép, xóa, hủy và các hành động khác có liên quan. Tất cả phương thức này phù hợp với những mục đích đề ra tại mục 1 của Thông báo này.
5. Ai có quyền truy cập dữ liệu cá nhân của bạn?
Chỉ thành viên thuộc bộ phận quản trị tại nơi làm việc mà bạn đăng ký đến mới có quyền truy cập vào dữ liệu cá nhân của bạn để thực hiện công việc thuộc trách nhiệm của mình và thực hiện bất kỳ mục đích nào được mô tả trong Thông báo này.
6. Bảo mật
7. Chúng tôi lưu trữ dữ liệu cá nhân của bạn trong bao lâu?
Chúng tôi sẽ lưu trữ dữ liệu cá nhân của bạn trong khoảng thời gian pháp luật yêu cầu hoặc khoảng thời gian cần thiết cho bất kỳ mục đích nào được liệt kê trong Thông báo này, hoặc để tuân thủ các yêu cầu pháp lý mà Chúng tôi phải tuân theo, miễn là cần thiết một cách hợp lý cho mục đích lưu trữ hoặc miễn là phù hợp với thời hiệu áp dụng. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng dữ liệu cá nhân mà Chúng tôi lưu trữ nếu dữ liệu đó không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ đã xác định.
Thời gian chúng tôi bắt đầu xử lý những dữ liệu cá nhân: sau khi bạn đồng ý với Thông báo này.
Thời gian kết thúc việc xử lý những dữ liệu cá nhân mà bạn cung cấp: Chúng tôi sẽ xóa dữ liệu trong vòng 30 ngày kể từ khi bạn hoàn tất các công việc và rời khỏi văn phòng của chúng tôi, ngoại trừ dữ liệu camera giám sát. Thời gian kết thúc việc xử lý dữ liệu camera giám sát sẽ tuân theo quy định của Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát (2023_CCTV Privacy notice_VN.docx).
8. Quyền và nghĩa vụ của bạn
9. Hiệu lực của thông báo
Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam, các chi nhánh, văn phòng đại diện và công ty liên kết (sau đây viết tắt là “HVN” hoặc “Chúng tôi” hoặc “Công ty” hoặc “Bên Kiểm soát và Xử lý dữ liệu”) chịu trách nhiệm về việc xử lý dữ liệu cá nhân của bạn. HVN ban hành “Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát”. Thông báo này cung cấp thông tin về mục đích và các loại dữ liệu được thu thập từ hệ thống camera giám sát (gọi tắt là “dữ liệu”), cách dữ liệu được sử dụng và bảo mật, làm rõ quyền riêng tư tại nơi làm việc và thông tin liên hệ trong trường hợp cần thiết.
Thông báo này tuân thủ theo quy định pháp luật hiện hành và chính sách nội bộ của HVN về bảo vệ dữ liệu cá nhân. Thông báo này sẽ được thông báo tại các cổng và các vị trí trước khi vào khu vực được giám sát. Tất cả nhân viên, nhân viên nhà thầu & đối tác thứ ba và khách (sau đây viết tắt là “bạn”) đồng ý vào nhà máy xem như đã đọc và đồng ý với thông báo giám sát này. Nhân viên mới cần được thông báo trước khi bắt đầu công việc của họ tại nhà máy.
1. Định nghĩa
Nhân viên không chỉ giới hạn trong các quan hệ dựa trên hợp đồng lao động. “Nhân viên” trong thông báo này đề cập tới tất cả các trường hợp có mối quan hệ lao động theo nghĩa rộng nhất đối với HEINEKEN Việt Nam, bất kể quan hệ này có dựa trên hợp đồng lao động chính thức hay không (Bao gồm: nhân viên chính thức, nhân viên thời vụ, nhân viên đối tác thứ ba,v.v.).
Nhà thầu và khách bao gồm: viên chức nhà nước, nhà tư vấn, công nhân viên nhà thầu, nhà cung cấp, người làm nghề tự do, tình nguyện viên, những thành viên đại diện cho các tổ chức bên ngoài và các cá nhân khác tới tham quan và làm việc tại nhà máy.
Giám sát an ninh bằng hình ảnh là việc sử dụng hệ thống camera đặt tại các vị trí xác định để ghi lại hình ảnh trực quan về các hoạt động trong khu vực nhà máy để đảm bảo các quy định an toàn, an ninh, an toàn thực phẩm. Việc giám sát bằng hình ảnh không bao gồm thu âm thanh.
2. Cơ sở pháp lý:
Chúng tôi chỉ xử lý dữ liệu cá nhân của bạn nếu có một trong các cơ sở pháp lý sau:
Trường hợp chúng tôi có lợi ích kinh doanh hợp pháp. Chúng tôi sẽ luôn làm như vậy nhưng chỉ trong giới hạn cho phép theo quy định hiện hành về bảo vệ dữ liệu áp dụng cho quá trình xử lý hoặc dữ liệu cá nhân của bạn.
Trường hợp chúng tôi tin rằng cần phải sử dụng thông tin của bạn để tuân thủ nghĩa vụ pháp lý mà chúng tôi phải tuân theo. Ví dụ: nếu chúng tôi được yêu cầu hoặc được hướng dẫn sử dụng giám sát camera trong một số khu vực theo luật hiện hành hoặc theo giấy phép, nhượng quyền, sự đồng thuận hành chính mà chúng tôi được yêu cầu để thực hiện hoạt động kinh doanh.
Hoặc với sự đồng thuận của bạn. Chúng tôi sẽ luôn thông báo cho bạn và yêu cầu sự đồng thuận của bạn nếu chúng tôi cần làm như vậy dựa trên quy định hiện hành về bảo vệ dữ liệu cá nhân áp dụng cho việc xử lý dữ liệu của bạn.
3. Loại dữ liệu cá nhân được xử lý
Chúng tôi xử lý thông tin hình ảnh dựa trên đó chúng tôi có thể nhận dạng bạn dựa trên ngoại hình của bạn hoặc các yếu tố cụ thể khác khi bạn bước vào không gian được giám sát. Nói cách khác: chúng tôi xử lý cảnh quay camera của bạn nếu bạn làm việc tại các địa điểm của chúng tôi hoặc đi vào các địa điểm của chúng tôi nơi giám sát camera đang hoạt động. Thông thường, chúng tôi đã tắt các bản ghi âm thanh.
4. Mục đích:
Chúng tôi sử dụng camera giám sát cho các mục đích sau:
5. Phạm vi áp dụng
Đối tượng: Tất cả nhân viên HVN, nhân viên nhà thầu, nhân viên đối tác thứ ba và khách tham quan.
Khu vực: Thông báo này chỉ áp dụng cho các khu vực mà chúng tôi chịu trách nhiệm quản lý hệ thống giám sát: bao gồm lối đi nội bộ, hành lang, văn phòng làm việc, khu vực sản xuất, các nhà kho, bãi cỏ, căn tin, v.v. (Ngoại trừ khu vực cần quyền riêng tư chính đáng như: nhà vệ sinh, phòng thay đồ).
Thời gian giám sát: 24/7
6. Biện pháp bảo vệ quyền riêng tư của bạn
Chúng tôi cố gắng giảm thiểu tác động của việc sử dụng giám sát camera đối với quyền riêng tư của bạn càng nhiều càng tốt. Các biện pháp chúng tôi đã thực hiện để đạt được điều này bao gồm:
7. Thời gian lưu trữ dữ liệu:
Dữ liệu ghi nhận từ hệ thống giám sát sẽ tự động bị xóa sau 180 ngày đối với các khu vực lắp camera giám sát cho mục đích bảo đảm về an toàn thực phẩm và 30 ngày đối với các khu vực còn lại. Điều này để phục vụ các cuộc điều tra kỷ luật, các vấn đề khiếu kiện và điều tra chất lượng hàng hóa, sản phẩm. Hình ảnh được ghi chỉ được xem bởi các cá nhân hoặc tại các văn phòng được chỉ định.
Khi hết thời hạn sử dụng, tất cả hình ảnh được lưu trữ ở bất kỳ định dạng nào sẽ bị xóa vĩnh viễn và theo cách an toàn. Các thiết bị lưu trữ dữ liệu như băng hoặc đĩa sẽ được thải bỏ như rác thải bí mật. Mọi ảnh tĩnh và bản in ra giấy sẽ được thải bỏ như rác thải bí mật.
Thời gian bắt đầu xử lý dữ liệu được tính từ thời điểm ghi nhận đầu tiên vào khu vực có camera giám sát và thời gian kết thúc xử lý dữ liệu là thời điểm xóa dữ liệu theo thời hạn đã nêu trên.
8. Đánh giá rủi ro về quyền cá nhân
Trước khi giới thiệu bất kỳ hệ thống giám sát mới nào, bao gồm cả việc đặt một camera mới ở bất kỳ vị trí nào tại nơi làm việc, chúng tôi sẽ xem xét cẩn thận quy định hiện hành về bảo vệ dữ liệu cá nhân và thực hiện đánh giá tác động của việc xử lý dữ liệu cá nhân khi cần thiết. Việc đánh giá như vậy nhằm hỗ trợ chúng tôi trong việc quyết định xem liệu camera giám sát mới có cần thiết và có nên sử dụng không hoặc liệu có nên đặt ra bất kỳ giới hạn nào đối với việc sử dụng chúng hay không. Chúng tôi sẽ xem xét bản chất của vấn đề mà chúng tôi đang tìm cách giải quyết tại thời điểm đó và liệu camera giám sát có khả năng là một giải pháp hiệu quả, hoặc liệu có một giải pháp nào tốt hơn hay không. Chúng tôi sẽ xem xét ảnh hưởng của camera giám sát đối với các cá nhân và để cân nhắc kỹ lưỡng về sự phù hợp của việc sử dụng nó đối với vấn đề đã được xác định.
Chúng tôi sẽ đảm bảo rằng việc sử dụng hệ thống camera giám sát liên tục hiện có được xem xét thường xuyên, và trong trường hợp có bất kỳ thay đổi nào, để đảm bảo rằng việc sử dụng chúng vẫn cần thiết và phù hợp, và rằng bất kỳ hệ thống giám sát nào cũng đang tiếp tục giải quyết các nhu cầu làm cơ sở cho sự ra đời của hệ thống đó.
9. Chia sẻ dữ liệu
Dữ liệu camera giám sát có thể được chia sẻ và chuyển giao cho những đối tượng sau đây:
10. Chuyển dữ liệu của bạn sang các quốc gia khác
Dữ liệu cá nhân của bạn có thể được chuyển sang một quốc gia khác. Ví dụ: nếu dữ liệu của bạn đang được lưu trữ trong một trung tâm dữ liệu bên ngoài quốc gia của bạn, nếu chúng tôi có thể truy cập từ xa vào dữ liệu của bạn từ nước ngoài hoặc một trong những nhà cung cấp CNTT của chúng tôi cung cấp dịch vụ hỗ trợ và bảo trì tại cơ sở từ bên ngoài quốc gia của bạn. Các quốc gia mà chúng tôi chuyển dữ liệu cá nhân đến có thể có các tiêu chuẩn về quyền riêng tư khác với quốc gia của bạn. Chúng tôi sẽ luôn tuân thủ các yêu cầu theo quy định hiện hành về bảo vệ dữ liệu cá nhân tại quốc gia của bạn đối với việc chuyển dữ liệu ra nước ngoài.
Nếu chúng tôi chuyển dữ liệu cá nhân của bạn đến một quốc gia không cung cấp mức độ bảo vệ thích hợp, chúng tôi sẽ đảm bảo rằng chúng tôi sẽ áp dụng các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân của bạn hoặc đảm bảo rằng chúng tôi có thể chuyển thông tin của bạn tuân thủ quy định hiện hành về bảo vệ dữ liệu cá nhân.
11. Bảo mật dữ liệu
Chúng tôi sẽ thực hiện các biện pháp kỹ thuật, vật lý và tổ chức phù hợp để bảo vệ thông tin cá nhân của bạn được thu thập thông qua hệ thống camera giám sát khỏi bị lạm dụng hoặc phá hủy, mất mát, thay đổi, tiết lộ, mua lại hoặc truy cập một cách vô tình hoặc bất hợp pháp, phù hợp với các thông lệ và quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
Khi chúng tôi ký hợp đồng với bất kỳ nhà cung cấp dịch vụ nào, chúng tôi yêu cầu và ràng buộc các nhà cung cấp dịch vụ sử dụng các biện pháp thích hợp để bảo vệ tính bí mật và an toàn thông tin cá nhân của bạn.
Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, chúng tôi đã, đang và sẽ thực hiện các biện pháp nội bộ để đảm bảo rằng những sự cố đó được xác định và giải quyết không chậm trễ. Chúng tôi sẽ nỗ lực ngăn chặn hành vi vi phạm dữ liệu cá nhân của bạn vì những hành vi này có thể ảnh hưởng đến quyền và lợi ích hợp pháp của bạn, chẳng hạn như phân biệt đối xử; tổn hại đến danh tiếng; tổn thất tài chính; hoặc bất kỳ bất lợi đáng kể nào đối với bạn và/hoặc về kinh tế hoặc xã hội.
12. Quyền và nghĩa vụ của bạn:
12.1 Quyền của bạn:
Bạn có các quyền liên quan đến thông tin cá nhân của bạn theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Chúng tôi dựa vào sự đồng thuận của bạn để xử lý dữ liệu của bạn. Bạn có thể rút lại sự đồng thuận của mình bất kỳ lúc nào và có thể phản đối một số cách chúng tôi xử lý dữ liệu cá nhân của bạn. Bạn có thể yêu cầu chúng tôi bằng cách sử dụng các chi tiết liên lạc được đề cập bên dưới bất kỳ lúc nào:
Chúng tôi có quyền che khuất, tạo pixel hoặc làm mờ hình ảnh của bên thứ ba khi tiết lộ dữ liệu giám sát camera cho bạn như một phần của yêu cầu truy cập hoặc nhận dữ liệu của bạn.
Để xác định vị trí các cảnh quay có liên quan một cách hiệu quả và đáp ứng yêu cầu của bạn càng sớm càng tốt, mọi yêu cầu về bản sao của các hình ảnh đã ghi tốt nhất phải bao gồm:
Để đảm bảo rằng chúng tôi không cung cấp thông tin về bạn cho người khác, chúng tôi có thể yêu cầu nhận dạng của bạn trước khi có thể xử lý yêu cầu của bạn.
12.2 Nghĩa vụ của bạn
Bạn có nghĩa vụ tuân thủ quy định về bảo vệ dữ liệu cá nhân theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
13. Hiệu lực của Thông báo
Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sự khác nhau về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.
Thời hạn áp dụng Thông báo này sẽ được áp dụng từ ngày 01 tháng 07 năm 2023. Thông báo có thể được điều chỉnh tùy theo tình hình hoạt động và việc cập nhật Thông báo sẽ được gửi cho bạn đọc và xác nhận.
1. Giới thiệu
1.1. Chính sách về quyền của chủ thể dữ liệu này (“Chính sách DSR” hoặc “Chính sách”) nêu rõ cách HEINEKEN Việt Nam (“HVN”) xử lý các yêu cầu của nhân viên và các chủ thể dữ liệu khác thực hiện các quyền của họ theo Quy trình Bảo mật HEINEKEN đối với Dữ liệu Nhân viên và Quy trình Bảo mật HEINEKEN dành cho Dữ liệu Khách hàng, Nhà cung cấp và Đối tác Kinh doanh (“Quy trình Bảo mật ”) và luật hiện hành, bao gồm Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân. Chính sách DSR này bao gồm các nghĩa vụ đối với HVN trong việc thực thi quyền của chủ thể dữ liệu. “Chủ thể dữ liệu” là những cá nhân sở hữu dữ liệu cá nhân là đối tượng được nhắm đến. Ví dụ: nhân viên HVN, cựu nhân viên, ứng viên xin việc, người tiêu dùng, nhà cung cấp cá nhân hoặc đối tác kinh doanh hoặc người liên hệ với khách hàng kinh doanh hoặc nhà cung cấp.
1.2. Chính sách DSR bao gồm các quyền sau của chủ thể dữ liệu: quyền được thông báo, quyền đưa ra và rút lại sự đồng ý, quyền truy cập/chỉnh sửa và xóa dữ liệu cá nhân, quyền hạn chế và phản đối việc xử lý, quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại, quyền tự bảo vệ và/hoặc quyền di chuyển dữ liệu cá nhân. Mô tả chi tiết hơn về những quyền này của chủ thể dữ liệu và tiêu chí về thời điểm đáp ứng và đáp ứng ở mức độ nào có thể được tìm thấy trong Phụ lục 3 của Chính sách DSR này.
1.3. “Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (“chủ thể dữ liệu”). Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
2. Nội dung Chính sách DSR và nghĩa vụ của HVN
2.1. HVN sẽ được yêu cầu đảm bảo phản hồi tổng thể kịp thời và phù hợp với yêu cầu của chủ thể dữ liệu để thực hiện các quyền của mình theo Quy trình Bảo mật.
2.2. HVN sẽ đảm bảo rằng các chủ thể dữ liệu được thông báo đầy đủ về địa điểm và cách thức gửi yêu cầu thực hiện bất kỳ quyền nào trong phạm vi Chính sách DSR này. Thông tin có thể được cung cấp theo một tùy chọn cụ thể trên trang web hoặc thông qua địa chỉ email dành riêng cho các yêu cầu về quyền của chủ thể dữ liệu, hoặc cho nhân viên thông qua một đầu mối liên hệ chuyên dụng tại bộ phận Nhân sự HVN hoặc toàn cầu. Trong mọi trường hợp, các tuyên bố và thông báo về bảo vệ dữ liệu cá nhân phải bao gồm tham chiếu đến đầu mối liên hệ liên quan để gửi yêu cầu.
2.3. Chính sách DSR này này mô tả các bước cần thực hiện trong trường hợp chủ thể dữ liệu có yêu cầu thực hiện bất kỳ quyền nào của mình, cũng như vai trò và trách nhiệm của họ liên quan đến việc xử lý yêu cầu ( Phụ lục 1. bao gồm sơ đồ phản ánh các bước và vai trò liên quan), tiêu chí để quyết định xem đó có phải là yêu cầu hợp lệ hay không và tiêu chí để xác minh danh tính (Phụ lục 2) và bất kỳ trường hợp ngoại lệ nào có thể áp dụng hoặc các giới hạn có liên quan khi đáp ứng bất kỳ yêu cầu nào như vậy (Phụ lục 3).
3. Vai trò và Trách nhiệm của HVN
3.1. “Đầu mối liên hệ đầu tiên” là đầu mối liên hệ chuyên dụng của HVN, có thể bao gồm một email cụ thể hoặc địa chỉ khác được nêu trong thông báo về bảo vệ dữ liệu cá nhân, trên trang web hoặc mạng nội bộ của HVN hoặc được các chủ thể dữ liệu biết đến. Đây là kênh để các chủ thể dữ liệu gửi các yêu cầu liên quan. Những đầu mối liên hệ này là (1) email privacyvn@heineken.com , hoặc (2) đường dây nóng 19001845, hoặc (3) IT Helpdesk.
3.2. 'Privacy Officer' là Cán bộ quyền riêng tư (PO) của HVN, người sẽ chịu những trách nhiệm được liệt kê dưới đây.
3.3. ‘Local Privacy Team’ là nhóm Bảo vệ Dữ liệu Cá nhân được Ban điều hành (MT) của HVN chỉ định để đảm bảo tuân thủ HeiRule về Bảo vệ Dữ liệu , HeiRule về Bảo mật Thông tin và các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân .
3.4. 'Người liên hệ' có vai trò liên quan trong HVN, các chủ thể dữ liệu biết đến người liên hệ này (chủ thể dữ liệu trong trường hợp này có thể là: nhân viên, nhân viên cũ, nhân viên đã nghỉ hưu hoặc ứng viên), làm đầu mối liên hệ để gửi yêu cầu về quyền của chủ thể dữ liệu. 3.5. 'Người Xử lý Yêu cầu' có vai trò liên quan trong HVN, thuộc Bộ phận Bảo mật Thông tin / D&T của HVN, người có quyền truy cập vào hệ thống CNTT có thể chứa thông tin nằm trong phạm vi yêu cầu của chủ thể dữ liệu. 3.6. 'Global Privacy Officer’ (Văn phòng quyền riêng tư toàn cầu) sẽ được tham khảo ý kiến trong trường hợp PO có câu hỏi về một yêu cầu cụ thể và sẽ là đầu mối liên hệ ở mức tiếp theo cho các yêu cầu từ chủ thể dữ liệu cũng như trong trường hợp chủ thể dữ liệu có khiếu nại về việc xử lý yêu cầu của họ. 3.7. Vai trò và trách nhiệm của Nhóm Bảo vệ Dữ liệu cá nhân (Privacy Champion Group)của HVN trong việc xử lý các yêu cầu về quyền của chủ thể dữ liệu sẽ tùy thuộc vào cách người yêu cầu gửi yêu cầu của họ:
Vai trò
Trách nhiệm
Cán bộ quyền riêng tư (PO)
Điều phối viên Bảo mật – Người xử lý Yêu cầu
Thành viên Nhóm Bảo vệ Dữ liệu cá nhân – Người liên hệ tại các bộ phận
Điều phối viên Bảo mật– Người xử lý Yêu cầu
4. Thời gian
HVN sẽ phản hồi trong vòng 72 giờ kể từ khi nhận được yêu cầu.
4.1. Do thời gian phản hồi có giới hạn là 72 giờ, mỗi bước riêng lẻ trong Chính sách này sẽ được thực hiện nhanh chóng. Việc xử lý yêu cầu thực tế có thể mất thời gian vì dữ liệu cá nhân được phân chia trên một số hệ thống (bên ngoài) và/hoặc giữa các phòng ban khác nhau trong HVN. 4.2. Trong trường hợp yêu cầu về quyền của chủ thể dữ liệu phức tạp hơn, HVN có thể kéo dài thời gian xử lý yêu cầu lên đến 1 tháng kể từ khi nhận được yêu cầu. Thông tin này phải được thông báo đến chủ thể dữ liệu trong khoảng thời gian 72 giờ, bao gồm cả lý do trì hoãn. 4.3. Nếu chủ thể dữ liệu từ chối thông báo cho HVN về lý do đưa ra yêu cầu của họ hoặc từ chối cung cấp thêm bất kỳ thông tin chi tiết nào về yêu cầu của họ hoặc (nếu có) chưa thanh toán phí thực hiện yêu cầu, HVN vẫn phải tiếp tục quá trình xử lý yêu cầu, trừ khi a) danh tính của chủ thể dữ liệu chưa được xác minh chính xác hoặc b) không rõ yêu cầu đó nhằm mục đích gì (xem Phụ lục 2 ) hoặc c) yêu cầu rõ ràng là vô căn cứ hoặc quá mức.
5. Xác định chủ thể dữ liệu
5.1. HVN cần xác minh danh tính của từng chủ thể dữ liệu để đảm bảo rằng hành động chính xác được thực hiện trên đúng dữ liệu cá nhân. Phụ lục 2 bao gồm các tiêu chí để xác minh danh tính của chủ thể dữ liệu gửi yêu cầu. PO sẽ thực hiện xác minh danh tính của chủ thể dữ liệu gửi yêu cầu theo Phụ lục 2.
5.2. HVN sẽ không bắt buộc phải xác minh danh tính của chủ thể dữ liệu trong trường hợp họ yêu cầu thực hiện quyền phản đối đối với các mục đích tiếp thị trực tiếp. Trên thực tế, đây là khi chủ thể dữ liệu sử dụng tùy chọn từ chối hoặc hủy đăng ký đối với thông tin liên lạc có liên quan (ví dụ: bản tin hoặc cảnh báo). Đối với những yêu cầu này, không cần xác minh danh tính vì nguy cơ hủy đăng ký cho sai người khá thấp . Ngoài ra, chủ thể dữ liệu phải có lựa chọn thực hiện quyền từ chối/hủy đăng ký một cách dễ dàng. 5.3. Trong trường hợp chủ thể dữ liệu không cung cấp thông tin nhận dạng cần thiết, HVN sẽ từ chối yêu cầu như được mô tả thêm trong quy trình (Phụ lục 1) và như Phụ lục 2 .
6. Chi phí (nếu có), hình thức yêu cầu và phản hồi
6.1. Về nguyên tắc, HVN sẽ thực hiện miễn phí mọi quyền. HVN sẽ tính một khoản phí hợp lý hoặc từ chối thực hiện các yêu cầu rõ ràng là vô căn cứ hoặc quá mức (lặp đi lặp lại) đối với tất cả các quyền mà Chính sách này áp dụng. HVN sẽ thông báo trước cho chủ thể dữ liệu về các chi phí đó để cung cấp cho chủ thể dữ liệu lựa chọn rút lại yêu cầu của mình nếu họ thấy chi phí đó không thể chấp nhận được. 6.2. HVN sẽ trả lời bằng ngôn ngữ mà chủ thể dữ liệu đã viết yêu cầu liên quan, ngoại trừ trường hợp HVN muốn trả lời bằng ngôn ngữ khác mà HVN tin rằng chủ thể dữ liệu sẽ hiểu và thường được chấp nhận ở Việt Nam hoặc quốc gia liên quan. HEINEKEN sẽ hướng tới việc nhận và phản hồi yêu cầu về quyền đối với dữ liệu dưới dạng văn bản điện tử, sử dụng các mẫu được cung cấp trong Chính sách này. HEINEKEN sẽ chỉ phản hồi yêu cầu qua đường bưu điện hoặc fax khi chủ thể dữ liệu cho biết rõ ràng rằng họ muốn liên lạc qua đường bưu điện hoặc fax. 6.3. Trong trường hợp thông tin được cung cấp cho chủ thể dữ liệu bao gồm dữ liệu cá nhân của các chủ thể dữ liệu khác và/hoặc thông tin bí mật của HVN, HVN sẽ che giấu thông tin đó trước khi tiết lộ tài liệu liên quan cho chủ thể dữ liệu yêu cầu. 6.4. Trong trường hợp có yêu cầu về quyền truy cập hoặc khả năng di chuyển dữ liệu, khi HVN cần gửi dữ liệu cá nhân đến chủ thể dữ liệu, chủ thể dữ liệu sẽ được cung cấp tùy chọn cho biết liệu họ có muốn nhận dữ liệu cá nhân thông qua phương thức liên lạc an toàn hay không. HVN sẽ đảm bảo chỉ sử dụng phương thức liên lạc an toàn được yêu cầu, trong phạm vi có thể (về mặt kỹ thuật). 6.5. Trong các trường hợp cụ thể đang được đề cập, HVN có thể bác bỏ hoặc từ chối yêu cầu của chủ thể dữ liệu như được quy định chi tiết trong Phụ lục 3, kể cả trong trường hợp có 'lợi ích vượt trội', là khi một nhu cầu cấp thiết đối với HVN có thể tồn tại lớn hơn lợi ích của chủ thể dữ liệu.
7. Quản lý và lưu trữ từng yêu cầu
7.1. PO chịu trách nhiệm duy trì một kho lưu trữ cho từng yêu cầu về quyền của chủ thể dữ liệu và tất cả thông tin liên lạc được trao đổi theo yêu cầu, bao gồm xác minh danh tính và phản hồi để xác nhận rằng yêu cầu đã được xử lý, bao gồm tên của chủ thể dữ liệu đã gửi yêu cầu. 7.2. PO đảm bảo rằng kho lưu trữ là chính xác và được cập nhật cũng như thời hạn lưu giữ được chỉ định và trong thời gian đó các yêu cầu và tất cả thông tin trao đổi sẽ được lưu giữ.
PHỤ LỤC 1. QUY TRÌNH NHÂN VÀ XỬ LÝ YÊU CẦU
MẪU YÊU CẦU THỰC HIỆN QUYỀN ĐỐI VỚI DỮ LIỆU CÁ NHÂN CHO CHỦ THỂ DỮ LIỆU:
*Bạn cần cung cấp chính xác những thông tin này để yêu cầu của bạn có hiệu lực và HVN có thể phản hồi trong khung thời gian yêu cầu”
Ví dụ: Quá trình xử lý yêu cầu của chủ thể dữ liệu qua email privacyvn@heineken.com : .
PHỤ LỤC 2. XÁC MINH DANH TÍNH VÀ ĐÁNH GIÁ YÊU CẦU
Phụ lục này bao gồm quy trình và tiêu chí để xác minh danh tính của chủ thể dữ liệu và để đánh giá xem yêu cầu có đủ cụ thể, có căn cứ và hợp lý hay không.
Xác minh: lý do từ chối
Hành động
Từ chối
- Bản sao hộ chiếu hoặc giấy tờ tùy thân khác.
Dành cho nhân viên:
Đối với tất cả các cá nhân bên ngoài không có địa chỉ email HVN:
Chuyển tiếp tới PO để quyết định từ chối.
PHỤ LỤC 3 QUYỀN CỦA CHỦ THỂ DỮ LIỆU
Chính sách DSR này bao gồm các quyền sau của chủ thể dữ liệu: quyền được thông báo, quyền đưa ra và rút lại sự đồng ý, quyền truy cập và xóa dữ liệu cá nhân, quyền hạn chế và phản đối việc xử lý, quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại và tự bảo vệ mình. Mô tả chi tiết hơn về những quyền này của chủ thể dữ liệu và tiêu chí về thời điểm đáp ứng và đáp ứng ở mức độ nào có thể tìm thấy dưới đây:
1. Quyền được thông báo: Chủ thể dữ liệu có quyền được thông báo về quá trình xử lý dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác.
2. Quyền đồng ý: Chủ thể dữ liệu có quyền đồng ý cho việc xử lý dữ liệu cá nhân của mình, trừ các trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.
3. Quyền truy cập dữ liệu cá nhân: Chủ thể dữ liệu có quyền truy cập dữ liệu cá nhân của mình để xem xét, cải chính hoặc yêu cầu cải chính dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý của mình, trừ khi pháp luật có quy định khác.
5. Quyền xóa dữ liệu cá nhân: Chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
6. Quyền hạn chế xử lý: a) Chủ thể dữ liệu có quyền hạn chế xử lý dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác; b) Việc hạn chế xử lý dữ liệu cá nhân được thực hiện trong vòng 72 giờ kể từ khi nhận được yêu cầu của chủ thể dữ liệu và toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp pháp luật có quy định khác.
7. Quyền lấy dữ liệu cá nhân: Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân cung cấp cho họ dữ liệu cá nhân của mình, trừ khi pháp luật có quy định khác.
8. Quyền phản đối việc xử lý: a) Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu từ Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân của mình để ngăn chặn hoặc hạn chế việc tiết lộ dữ liệu cá nhân hoặc việc sử dụng dữ liệu cá nhân cho mục đích quảng cáo và tiếp thị, trừ khi pháp luật có quy định khác; b Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân phải tuân thủ yêu cầu của chủ thể dữ liệu trong vòng 72 giờ kể từ khi nhận được yêu cầu, trừ khi pháp luật có quy định khác.
9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo, khởi kiện theo quy định của pháp luật.
10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc pháp luật có quy định khác.
11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, pháp luật khác có liên quan và Nghị định 13/2023/ND-CP hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện quyền dân sự các biện pháp bảo vệ theo quy định tại Điều 11 Bộ luật Dân sự 2015, sửa đổi bổ sung năm 2017.
12. Quyền di chuyển dữ liệu: Chủ thể dữ liệu có quyền (theo lựa chọn của mình) nhận bản sao dữ liệu cá nhân mà nó đã cung cấp ở định dạng phổ biến mà máy có thể đọc được.
Lời mở đầu
Mọi cá nhân trong HEINEKEN Việt Nam (“HVN”) đều có nghĩa vụ pháp lý trong việc bảo vệ dữ liệu cá nhân. Chính sách Thông báo Vi phạm Dữ liệu Cá nhân này (“Chính sách”) áp dụng trong trường hợp HVN nhận thức (từ nội bộ hoặc từ bên thứ ba) sự cố bảo mật liên quan đến dữ liệu cá nhân đã xảy ra, hoặc có khả năng xảy ra.
Việc vi phạm dữ liệu cá nhân:
Do đó, nếu HVN phát hiện ra việc vi phạm dữ liệu cá nhân đã xảy ra, hoặc có thể xảy ra, HVN phải ngay lập tức thực hiện tất cả biện pháp công nghệ và tổ chức cần thiết để khắc phục sự cố và đảm bảo an toàn cho các dữ liệu cá nhân . Trong mọi trường hợp, Văn phòng Quyền riêng tư Toàn Cầu (GPO) sẽ được thông báo về hành vi vi phạm dữ liệu cá nhân một cách nhanh chóng. Ngoài ra, Nghị định 13/2023/NĐ-CP yêu cầu các vi phạm phải được báo cáo cho Bộ Công an (“Cơ quan chức năng về Bảo vệ Dữ liệu”).
Điều quan trọng là mọi cá nhân tại HVN đều biết cách nhận diện hành vi vi phạm dữ liệu cá nhân (hoặc vi phạm tiềm ẩn) và những bước cần thực hiện, đồng thời hiểu tầm quan trọng của việc hành động nhanh chóng, cho phép HVN thực hiện các hành động và tuân thủ Quy trình Bảo mật và bất kỳ nghĩa vụ pháp lý hiện hành nào.
Dữ liệu cá nhân là gì?
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Một số ví dụ về dữ liệu cá nhân bao gồm:
Trong các hoạt động kinh doanh hàng ngày của mình, HVN xử lý dữ liệu cá nhân của nhân viên, người tiêu dùng, khách hàng, khách thăm, đối tác kinh doanh và nhà cung cấp của HVN.
Vi phạm dữ liệu cá nhân là gì?
Vi phạm dữ liệu cá nhân là một sự cố bảo mật dẫn đến việc thu thập, truy cập, sử dụng hoặc tiết lộ trái phép dữ liệu cá nhân không được mã hóa làm tổn hại đến tính bảo mật hoặc quyền riêng tư của thông tin này. Chính sách này liên quan đến các sự cố bảo mật dính dáng đến dữ liệu cá nhân được lưu trữ, chuyển giao, kiểm soát hoặc xử lý theo cách khác (nói chung là "xử lý") bởi HVN.
Việc sử dụng hoặc truy cập có thể bao gồm:
Ví dụ:
Trách nhiệm của HEINEKEN’s là gì?
Khi vi phạm dữ liệu cá nhân xảy ra, hoặc có khả năng xảy ra, HVN phải ngay lập tức thực hiện tất cả những biện pháp công nghệ và tổ chức cần thiết để khắc phục sự cố và đảm bảo dữ liệu cá nhân được an toàn.
Nếu đáp ứng các điều kiện thông báo, HVN phải thông báo vi phạm cho Cơ quan Bảo vệ Dữ liệu liên quan quan và/hoặc các cá nhân bị ảnh hưởng.
Nếu vi phạm dữ liệu cá nhân đáp ứng các yêu cầu quy định trong Quy trình Bảo mật (sự cố bảo mật – đã xảy ra do sự truy cập trái phép hoặc có mục đích sử dụng dữ liệu cá nhân khác - ảnh hưởng đến tính bảo mật hoặc quyền riêng tư của thông tin đó - gây rủi ro cao cho các cá nhân có dữ liệu liên quan): vi phạm phải được báo cáo cho GPO. GPO cũng có thể yêu cầu HVN thông báo cho các cá nhân liên quan.
HVN phải lưu giữ hồ sơ của tất cả các vi phạm đã xảy ra trong tổ chức. Hồ sơ này phải bao gồm thông tin về các sự kiện liên quan đến vi phạm, ảnh hưởng của nó và những hành động nào đã được thực hiện để khắc phục vi phạm.
Hậu quả của việc không tuân thủ là gì?
HVN đứng trước nguy cơ bị tổn hại uy tín vì không bảo mật dữ liệu cá nhân và sẽ phải chịu mức phạt rất lớn nếu không tuân thủ theo quy định của pháp luật hiện hành.
Trách nhiệm của nhân viên
Mỗi nhân viên đều có trách nhiệm đảm bảo tuân thủ theo quy trình nội bộ để báo cáo vi phạm, hoặc vi phạm tiềm ẩn, được nêu trong chính sách này ngay khi họ nhận thức về nó. Do đó, mỗi đồng nghiệp cần liên hệ ngay lập tức với Bộ phận hỗ trợ dịch vụ IT toàn cầu (Global Service Desk – GSD) hoặc Bộ phận hỗ trợ dịch vụ IT (IT Helpdesk) tại HVN trong trường hợp có khả năng xảy ra vi phạm dữ liệu cá nhân.
Giai đoạn
Đăng ký
Phân tích
Sự tham gia của ISC
Đánh giá nội dung
Nghĩa vụ pháp lý
Chấp hành
Đánh giá
Kết thúc
Người báo cáo Sự cố
(ví dụ: Nhân viên, Nhà cung cấp)
Người ghi nhận Sự cố vi phạm dữ liệu
(ví dụ: HVN IT Helpdesk)
Nhóm xử lý sự cố vi phạm dữ liệu
(ví dụ: ISC)
Cán bộ quyền riêng tư toàn câu
Bộ phận Đối ngoại (Toàn cầu)
Báo cáo vi phạm dữ liệu cá nhân nội bộ ở đâu?
Khi nhân viên nhận thấy có dấu hiệu (nội bộ hoặc từ bên thứ ba) về sự cố bảo mật liên quan đến dữ liệu cá nhân đã xảy ra, hoặc có khả năng xảy ra, nhân viên phải báo cáo về sự cố ngay lập tức. Các sự cố phải được báo cáo ngay lập tức bằng cách tạo một phiếu trong ServiceNow, có thể thông qua cổng GSD Self Service hoặc bằng cách gọi cho nhóm GSD hoặc giao cho IT Helpdesk của HVN.
Khi có sự tham gia của Bên Xử lý Dữ liệu, Bên Xử lý Dữ liệu báo cáo ngay lập tức sự cố bảo mật trực tiếp cho IT Helpdesk của HVN hoặc thông qua người liên hệ được đề cập trong thỏa thuận xử lý dữ liệu (DPA).
Global Service Desk hay HVN IT Helpdesk
Các đồng nghiệp nên báo cáo về sự cố có khả năng liên quan đến dữ liệu cá nhân thông qua GSD Self Service hoặc gọi cho nhóm GSD hoặc IT Helpdesk của HVN:
Khi có nhiều hơn một đơn vị HEINEKEN (có khả năng) bị ảnh hưởng bởi vi phạm, HEINEKEN Global Service Desk (GSD) cũng sẽ được chỉ định đến các Nhóm xử lý sự cố an ninh mạng có liên quan, cũng như POs và GPO.
“Nhóm xử lý sự cố vi phạm dữ liệu” bao gồm Cán bộ quyền riêng tư (PO) của HVN và Cán bộ bảo mật mạng (Cyber Security Officer - CSO) tùy thuộc vào việc vi phạm bảo mật được xác định ở cấp địa phương (Việt Nam) hay ở cấp Toàn cầu. Nhóm xử lý sự cố vi phạm dữ liệu chịu trách nhiệm xử lý các vấn đề liên quan đến CNTT của sự cố bảo mật.
Nhóm xử lý sự cố vi phạm dữ liệu:
Bộ phận
Bảo mật (CSO)
Pháp lý (PO)
Các bộ phận khác
Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, Nhóm xử lý vi phạm dữ liệu sẽ ngay lập tức thông báo và làm việc với các PO có liên quan và GPO , đồng thời làm việc với các Nhóm xử lý vi phạm dữ liệu có liên quan khác.
Khi có sự tham gia của Bên Xử lý Dữ liệu, Nhóm xử lý vi phạm dữ liệu cũng sẽ làm việc với Nhóm Vi phạm Dữ liệu Cá nhân (Personal Data Breach Team) của Bên Xử lý Dữ liệu.
Cán bộ quyền riêng tư (PO) của HVN
‘PO của HVN’ chịu trách nhiệm xử lý sự cố an ninh. Khi PO của HVN được thông báo về một sự cố xảy ra, PO của HVN sẽ cần:
Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, PO tại địa phương cũng sẽ làm việc cùng với các Nhóm xử lý sự cố vi phạm dữ liệu khác, các PO , GPO, các bộ phận bảo mật toàn cầu hoặc khu vực và (các) Bộ phận Đối ngoại khác có liên quan.
Bộ phận Đối ngoại của HVN
Bộ phận Đối ngoại sẽ làm việc với Privacy Officer để soạn thảo và gửi phản hồi tới các cá nhân khi được yêu cầu. Bộ phận Đối ngoại sẽ sử dụng các mẫu thông báo do PO cung cấp. Bộ phận Đối ngoại luôn có thể liên hệ với Bộ phận Đối ngoại Toàn cầu khi cần hỗ trợ thêm.
Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, Nhóm xử lý vi phạm dữ liệu sẽ ngay lập tức thông báo và làm việc với các PO có liên quan và GPO, đồng thời làm việc với các Nhóm xử lý vi phạm dữ liệu có liên quan khác.
Văn phòng quyền riêng tư toàn cầu (GPO)
Văn phòng quyền riêng tư toàn cầu, đứng đầu bởi Cán bộ quyền riêng tư toàn cầu, phải được nhanh chóng thông báo về tất cả vi phạm dữ liệu cá nhân cần được thông báo đến Cơ quan chức năng về Bảo vệ Dữ liệu. GPO có thể hướng dẫn HVN thông báo cho các cá nhân bị ảnh hưởng của vi phạm dữ liệu cá nhân, trong trường hợp không có nghĩa vụ pháp lý nào về việc phải thông báo cho các cá nhân theo pháp luật Việt Nam. HVN phải tuân thủ các hướng dẫn của GPO .
PO của HVN tham khảo ý kiến của GPO khi cần hỗ trợ thêm và khi vi phạm dữ liệu cá nhân (tiềm ẩn) có khả năng liên quan đến nhiều quốc gia.
Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, GPO phối hợp và cố gắng đảm bảo tính nhất quán trong việc xử lý vi phạm dữ liệu cá nhân giữa PO tại các OpCo và làm việc với Bộ phận Đối ngoại Toàn cầu hoặc Khu vực trong trường hợp cần liên lạc với các cá nhân bị ảnh hưởng.
Bộ phận Đối ngoại Toàn cầu/Khu vực
Bộ phận Đối ngoại tại HVN liên hệ Bộ phận Đối ngoại Toàn cầu hoặc Khu vực khi cần hỗ trợ thêm để đánh giá bất kỳ thông tin liên lạc bên ngoài và/hoặc nội bộ nào liên quan đến vi phạm dữ liệu cá nhân.
Khi có nhiều hơn một OpCobị ảnh hưởng bởi vi phạm, Bộ phận Đối ngoại Toàn cầu hoặc Khu vực phối hợp với các Bộ phận Đối ngoại tại OpCo và làm việc cùng với GPO để xử lý thông tin liên lạc bên ngoài và/hoặc nội bộ.
Quản lý Khủng hoảng
HEINEKEN có sẵn quy trình Quản lý Khủng hoảng áp dụng cho Chính sách này. Khi được yêu cầu, Nhóm xử lý sự cố vi phạm dữ liệu sẽ áp dụng quy trình Quản lý Khủng hoảng.
Thông báo cho các Cá nhân
Tất cả các thông báo về vi phạm dữ liệu cá nhân gửi đến các cá nhân bị ảnh hưởng phải được phối hợp soạn thảo bởi Bộ phận Đối ngoại và PO.
Bộ phận Đối ngoại của HVN sẽ xác định cách thức thông báo cho các cá nhân trong từng trường hợp cụ thể (ví dụ: thông báo sẽ đến từ ai trong HVN , hình thức và thông báo đó được thực hiện bởi cá nhân hay đại chúng).
Khi thích hợp, thông báo cũng nên bao gồm lời khuyên cụ thể cho các cá nhân để tự bảo vệ bản thân khỏi những hậu quả bất lợi có thể xảy ra từ vi phạm, chẳng hạn như đặt lại mật khẩu trong trường hợp thông tin đăng nhập của họ bị xâm phạm.
Thông báo cho các cá nhân về vi phạm dữ liệu cá nhân phải tách biệt với mọi thông tin liên lạc khác như các cập nhật thường xuyên, bản tin hoặc những tin nhắn tiêu chuẩn. Thông báo phải rõ ràng và minh bạch.
PO của HVN có trách nhiệm chung trong việc đảm bảo rằng tất cả thông tin liên quan đến vi phạm dữ liệu cá nhân đều được đăng ký trên OneTrust . Khi không cần điều tra thêm, PO của HVN sẽ hướng dẫn CSO đóng phiếu về sự cố trên ServiceNow.
Tất cả các vi phạm dữ liệu cá nhân đều tuân theo quy trình đăng ký ở trên, bao gồm cả những vi phạm không được báo cáo cho Cơ quan chức năng về Bảo vệ Dữ liệu liên quan.
Các thông tin bắt buộc phải đăng ký trên OneTrust bao gồm:
Thông tin này sẽ được lưu giữ trong OneTrust trong thời hạn 3 năm kể từ ngày vi phạm dữ liệu cá nhân được đăng ký, trừ khi luật hiện hành của địa phương quy định thời gian lưu trữ lâu hơn.
Thông tin liên lạc
Người liên hệ
Nguyễn Lan Hương
HEINEKEN Vietnam Privacy Officer
NguyenLan.Huong@heineken.com
Bùi Đức Thảo
HEINEKEN Vietnam Data Protection Officer
BuiDuc.Thao@heineken.com
Huỳnh Thiên Phú
HEINEKEN Vietnam Security Coordinator
HuynhThien.Phu@heineken.com
Nếu bạn muốn thực hiện bất kỳ quyền nào được liệt kê ở trên, và/hoặc báo cáo bất kỳ vi phạm quyền riêng tư nào, hoặc có bất kỳ câu hỏi hoặc nhận xét nào về Thông báo này và tiêu chuẩn thực hiện quyền riêng tư của Chúng tôi, bạn có thể liên hệ với chúng tôi theo email privacyvn@heineken.com hoặc hotline 19001845 hoặc gửi thư cho Chúng tôi đến địa chỉ Tầng 18 & 19, Tòa nhà Vietcombank, số 5 Công Trường Mê Linh, Phường Sài Gòn, Tp. Hồ Chí Minh. Xin lưu ý rằng chúng tôi có thể yêu cầu bằng chứng về danh tính.s
