Trung tâm Quyền riêng tư

Trung tâm Bảo mật Thông tin

HEINEKEN Việt Nam đặc biệt coi trọng việc bảo vệ dữ liệu cá nhân mà chúng tôi được tin tưởng giao phó. Chúng tôi luôn nỗ lực xử lý dữ liệu cá nhân một cách cẩn trọng, tuân thủ các tiêu chuẩn nội bộ và quy định pháp luật địa phương hiện hành, đồng thời đảm bảo minh bạch về cách chúng tôi sử dụng dữ liệu cá nhân và cách cá nhân có thể thực hiện các quyền bảo mật dữ liệu của mình.

NỘI DUNG:

I. 6 NGUYÊN TẮC BẢO MẬT DỮ LIỆU CỦA HEINEKEN

II. THÔNG BÁO ĐIỀU KHOẢN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA ỨNG VIÊN

III. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÀ PHÂN PHỐI

IV. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA KHÁCH HÀNG

V. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÀ CUNG CẤP

VI. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN KHI ÁP DỤNG QUY TRÌNH QUẢN LÝ VIỆC RA VÀO TẠI NƠI LÀM VIỆC CỦA CÔNG TY

VII. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA KHÁCH VÃNG LAI KHI RA VÀO NƠI LÀM VIỆC

VIII. THÔNG BÁO VỀ ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI HỆ THỐNG CAMERA GIÁM SÁT

IX. CHÍNH SÁCH VỀ QUYỀN CỦA CHỦ THỂ DỮ LIỆU CỦA HEINEKEN VIỆT NAM

(“CHÍNH SÁCH DSR”)

X. CHÍNH SÁCH THÔNG BÁO VI PHẠM DỮ LIỆU CÁ NHÂN CỦA HEINEKEN VIETNAM

XI. THÔNG TIN LIÊN LẠC

   

I. 6 NGUYÊN TẮC BẢO MẬT DỮ LIỆU CỦA HEINEKEN

Mỗi thành viên tại HEINEKEN Việt Nam đều có trách nhiệm tuân thủ “6 Nguyên tắc Bảo mật Dữ liệu của HEINEKEN” và đưa các nguyên tắc này vào thực tiễn công việc hằng ngày.

Nguyên tắc 1: Giới hạn Mục đích Sử dụng
Xác định rõ mục đích kinh doanh trước khi bắt đầu thu thập dữ liệu cá nhân. Chỉ sử dụng dữ liệu cá nhân trong phạm vi cần thiết để đạt được các mục đích đó.

Nguyên tắc 2: Tối thiểu hóa Dữ liệu
Chỉ sử dụng dữ liệu cá nhân thực sự cần thiết cho mục đích kinh doanh và giới hạn quyền truy cập theo nguyên tắc “cần biết”. Xóa dữ liệu cá nhân khi không còn cần thiết. Đảm bảo dữ liệu được cập nhật và chính xác.

Nguyên tắc 3: Dữ liệu Nhạy cảm
Thận trọng đặc biệt khi xử lý dữ liệu nhạy cảm như thông tin sức khỏe, tôn giáo, số an sinh xã hội. Tham khảo ý kiến của Bộ phận Bảo mật Dữ liệu nếu bạn muốn sử dụng loại dữ liệu này.

Nguyên tắc 4: Minh bạch & Quyền của Cá nhân
Thông tin rõ ràng về cách thức xử lý dữ liệu cá nhân thông qua các thông báo bảo mật và tài liệu công bố liên quan. Tạo điều kiện để cá nhân thực hiện các quyền của họ đối với dữ liệu cá nhân.

Nguyên tắc 5: An ninh
Áp dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi truy cập hoặc sử dụng trái phép, không mong muốn. Nhân viên được phép truy cập dữ liệu phải cam kết giữ bí mật.

Nguyên tắc 6: Truy cập của Bên thứ ba
Đảm bảo có các biện pháp bảo vệ cần thiết khi cho phép bên thứ ba tiếp cận dữ liệu cá nhân. Trường hợp dữ liệu được chuyển ra quốc tế, có thể cần thêm các biện pháp bổ sung.

 

II. THÔNG BÁO ĐIỀU KHOẢN VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA ỨNG VIÊN

Căn cứ theo pháp luật hiện hành về việc bảo vệ dữ liệu cá nhân (“quy định pháp luật”), Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam ban hành Thông báo điều khoản & điều kiện về bảo vệ dữ liệu cá nhân của Ứng viên (“Thông báo”).

Hiệu lực từ 01/01/2026

1. GIỚI THIỆU

Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam, cùng với các chi nhánh và các Công ty liên kết của mình (sau đây gọi là "HEINEKEN" hoặc “Công ty” hoặc "Chúng tôi") là Bên kiểm soát dữ liệu cá nhân của Ứng viên (hoặc “bạn”).

Công ty HEINEKEN, nơi có khả năng tuyển dụng bạn, sẽ là nơi kiểm soát và xử lý dữ liệu cá nhân của bạn. Khi một Ứng viên truy cập trang web nghề nghiệp của HEINEKEN hoặc sử dụng trang thông tin tuyển dụng nội bộ, HEINEKEN sẽ thu thập thông tin (dữ liệu cá nhân) về Ứng viên: thông qua các form mẫu của trang đó; thông qua Sơ yếu lý lịch hoặc thư ứng tuyển của Ứng viên nộp trực tiếp hoặc qua các trang tuyển dụng chính thức của HEINEKEN hoặc từ các nguồn khác mà HEINEKEN có thể thu thập được và nhận được sự đồng ý của Ứng viên; thông qua buổi phỏng vấn, trao đổi giữa Ứng viên với HEINEKEN; thông qua các hình thức khác để thu thập thông tin cá nhân của Ứng viên được Ứng viên đồng ý. HEINEKEN sử dụng dữ liệu cá nhân của Ứng viên một cách hợp pháp và hợp lý; điều đó có nghĩa là HEINEKEN sẽ thu thập và xử lý dữ liệu cá nhân tuân thủ theo quy định hiện hành về bảo vệ dữ liệu cá nhân. Bảo vệ sự riêng tư và dữ liệu cá nhân của Ứng viên là việc tối quan trọng đối với HEINEKEN và là cách thức quan trọng mà HEINEKEN khởi tạo, tổ chức và thực hiện các hoạt động tuyển dụng của mình.

Thông báo này nhằm thông tin tới Ứng viên về cách HEINEKEN xử lý dữ liệu tuyển dụng và áp dụng cho các hoạt động tuyển dụng và sàng lọc của HEINEKEN.

Thông báo này có thể được cập nhật theo thời gian, sau đó sẽ được thông báo tới bạn. Nếu có bất kì sửa đổi, bổ sung hay cập nhật nào về Thông báo này, Ứng viên hoàn toàn có thể lựa chọn tiếp tục cho Công ty lưu trữ dữ liệu cá nhân của Ứng viên hoặc hạn chế quyền đó của Công ty theo quy định pháp luật.

2. MỤC ĐÍCH

Thông tin cá nhân (dữ liệu Ứng viên) do Ứng viên cung cấp cho HEINEKEN hoặc do HEINEKEN thu thập được qua bất kì nguồn nào và có sự đồng ý của Ứng viên sẽ được HEINEKEN sử dụng để hỗ trợ quy trình tuyển dụng và sàng lọc một cách có trách nhiệm, hợp pháp và có hiệu quả. HEINEKEN sẽ thu thập và xử lý dữ liệu Ứng viên từ những hồ sơ ứng tuyển tự nguyện; thông qua các buổi phỏng vấn, trao đổi; hoặc các thông tin có được từ các phương thức hợp pháp khác và nhận được sự đồng ý của Ứng viên. HEINEKEN sẽ xử lý Dữ liệu Ứng viên cho các mục đích tuyển dụng. Các mục đích này bao gồm: đánh giá hồ sơ ứng tuyển, ghép hồ sơ ứng tuyển với các vị trí HEINEKEN hiện đang mở và liên lạc Ứng viên cho các vị trí trong tương lai phù hợp hơn với kỹ năng và năng lực của Ứng viên, đánh giá việc bạn làm việc cho HEINEKEN có hợp pháp không (ví dụ như bạn có đủ tuổi để làm việc hay không), thông báo quy trình tuyển dụng và sàng lọc của HEINEKEN, liên lạc với Ứng viên để lên kế hoạch phỏng vấn/kiểm tra và trả lời các câu hỏi có thể phát sinh từ phía Ứng viên, kiểm tra thông tin nhận được qua hồ sơ ứng tuyển và nhằm thực hiện sàng lọc trước khi tuyển dụng.

Bên cạnh đó, HEINEKEN sẽ xử lý dữ liệu cá nhân của bạn cho những mục đích như sau:

• Mục đích cá nhân hóa, ví dụ như cung cấp thông tin về những vị trí tuyển dụng có liên quan (Thông báo Việc làm) trên cơ sở hồ sơ mà bạn đã khởi tạo. Việc này bao gồm gửi email Thông báo việc làm và các Tin nhắn tuyển dụng có liên quan;
• Thông tin về việc bạn đã truy cập và sử dụng Website/kênh tuyển dụng chính thức của Chúng tôi. Chúng tôi thu thập các thông tin nhất định khi bạn truy cập Website của Chúng tôi, ví dụ như địa chỉ IP, các trang web khác mà bạn đã truy cập, loại thiết bị, trình duyệt, loại trình duyệt Internet, những lần “click and view”... Thông tin về việc bạn sử dụng Website và các dịch vụ của Chúng tôi giúp Chúng tôi xây dựng các phân khúc người sử dụng, đó là những nhóm người truy cập Website hoặc những khách hàng có chung đặc điểm như nhóm độ tuổi hoặc khu vực. Chúng tôi có thể sẽ bổ sung bạn vào một trong những phân khúc đó. Các phân khúc được Chúng tôi sử dụng để tùy biến Website và để thay đổi trật tự tìm kiếm, hoặc là nơi Chúng tôi đặt các lời mời tìm kiếm nhất định để bạn có thể nhìn thấy dễ dàng hơn. Bên cạnh đó, Chúng tôi có thể phân tích việc đo lường các phản hồi không định danh tới các vị trí trống của Chúng tôi;
• Trước khi được nhận vào làm việc tại HEINEKEN, bạn sẽ được yêu cầu kiểm tra sức khỏe. Mục đích của việc này nhằm đánh giá sức khỏe của bạn có đáp ứng với môi trường làm việc hay không, cũng như tránh nguy cơ lây lan các bệnh truyền nhiễm tại Công ty. Để thực hiện, Công ty sẽ gửi một bản hướng dẫn và lấy sự đồng ý của bạn trước khi kiểm tra và tư vấn sức khỏe.

3. DỮ LIỆU ỨNG VIÊN

HEINEKEN thu thập và xử lý dữ liệu Ứng viên (bắt buộc và lựa chọn) do Ứng viên cung cấp trực tiếp, thông qua việc khởi tạo hồ sơ và bằng cách đính kèm những tài liệu có liên quan (ví dụ Sơ yếu lý lịch), trên hệ thống tuyển dụng của HEINEKEN. Chúng tôi cũng thu thập và xử lý dữ liệu Ứng viên thông qua các Nhà cung cấp dịch vụ tuyển dụng, các giới thiệu cá nhân, các cuộc gọi điện thoại email, hoặc các cá nhân tham vấn được Ứng viên đồng ý cho chia sẻ thông tin, các cuộc phỏng vấn, trao đổi với Ứng viên và các hình thức hợp pháp khác được sự đồng ý của Ứng viên. Ví dụ về dữ liệu Ứng viên được thu thập và xử lý bởi HEINEKEN cho các mục đích đã được liệt kê ở mục 2, bao gồm nhưng không giới hạn:

• Các chi tiết cá nhân (ví dụ: tên, chi tiết liên lạc, ngôn ngữ sử dụng, độ tuổi làm việc hợp pháp, quốc tịch);
• Các thông tin liên quan đến công việc (ví dụ: các chi tiết trong Thư xin việc và Sơ yếu lý lịch, các chi tiết về giáo dục, phát triển và lịch sử công việc);
• Vị trí (ví dụ: vị trí quan tâm, chức danh, vị trí, các điều khoản tuyển dụng toàn thời gian/ bán thời gian);
• Đãi ngộ (ví dụ: mức lương hiện tại, mức lương mong muốn, loại tiền);
• Tình trạng nhập cư (ví dụ: tình trạng công dân, chi tiết cư trú hoặc giấy phép công việc).

4. DỮ LIỆU CÁ NHÂN NHẠY CẢM CỦA ỨNG VIÊN

Trong quá trình tuyển dụng và sàng lọc, Chúng tôi có thể cần phải thu thập một số dữ liệu được coi là “nhạy cảm” theo quy định pháp luật do chúng có thể phản ánh những tính cách riêng tư, bí mật đời tư. Những dữ liệu nhạy cảm này sẽ chỉ được sử dụng bởi Chúng tôi, trong giới hạn nghiêm ngặt được quy định bởi quy định pháp luật.

Các thông tin cá nhân nhạy cảm trong quy trình tuyển dụng có thể bao gồm một hoặc toàn bộ thông tin được liệt kê dưới đây:

• Tình trạng sức khỏe: Nhằm kiểm tra sức khỏe của Ứng viên có đáp ứng các tiêu chuẩn về sức khỏe lao động theo quy định của pháp luật có liên quan hay không;
• Thông tin liên quan đến nguồn gốc dân tộc: Khi luật cho phép, các thông tin cá nhân của Ứng viên có thể được sử dụng nhằm loại trừ hoặc giảm thiểu sự bất bình đẳng có thể xảy ra hoặc nhằm đảm bảo tính đa dạng trong tuyển dụng đối với những Ứng viên đến từ các nhóm sắc tộc/dân tộc thiểu số, tuy nhiên việc sử dụng các thông tin cá nhân này phải đảm bảo các quyết định tuyển dụng khách quan và không làm trái các bước trong quy trình tuyển dụng của Công ty;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Thông tin Ứng viên mà Chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và không vượt quá những mục đích cụ thể. Những thông tin từ Ứng viên cần chính xác nhất có thể và cần tuân thủ theo quy định pháp luật hiện hành, cũng như cần luôn được cập nhật bởi Ứng viên.

5. THAM VẤN CÁ NHÂN CÓ LIÊN QUAN

Tham vấn cá nhân có liên quan là một quy trình được HEINEKEN áp dụng cho một số trường hợp tuyển dụng cụ thể theo chính sách của Công ty. Theo đó, khi rơi vào các trường hợp này, Ứng viên sẽ được yêu cầu cung cấp thông tin của người tham vấn. Người tham vấn sẽ là những người có liên quan đến lịch sử công việc của Ứng viên (ví dụ như: đồng nghiệp cũ, sếp cũ,…). Ứng viên sẽ được gửi một đường dẫn truy cập và chuyển tiếp cho các cá nhân tham vấn để họ tự điền thông tin liên lạc của mình sau khi đã đọc và chấp nhận các điều khoản về bảo mật thông tin của HEINEKEN. Các thông tin thu thâp từ người tham vấn bao gồm:

• Xác nhận về các thông tin cơ bản của Ứng viên: tên tuổi, thông tin liên lạc;
• Các thông tin liên quan đến công việc: vị trí, chức danh tại công ty cũ, quá trình và hiệu quả làm việc tại công ty cũ, nhận xét về tính cách của Ứng viên;
• Các thông tin khác liên quan đến công việc của Ứng viên được sự chấp nhận cho thu thập của Ứng viên.

Khi nhận được đường dẫn để nhập thông tin, người tham vấn chỉ có thể điền các thông tin cơ bản như được nêu ở trên sau khi đã đồng ý với thông báo bảo mật dữ liệu. Một bản hướng dẫn thao tác trên myHR cho các mục đích nêu trên sẽ được gửi đến email đăng ký của người tham vấn. Thông tin về người tham vấn sẽ bao gồm: Họ và tên, công ty, mối quan hệ với người lao động được tham vấn, số điện thoại, email. 

Bằng cách đọc, chấp nhận thông báo này và chuyển tiếp đường dẫn truy cập để điền thông tin cho người tham vấn, Ứng viên đã đồng ý để các cá nhân này cung cấp dữ liệu cá nhân của Ứng viên cho HEINEKEN và cho phép HEINEKEN chia sẻ những thông tin giới hạn liên quan đến thông tin cơ bản, lịch sử công việc của Ứng viên. Những trao đổi, chia sẻ này sẽ được kiểm soát một cách có trách nhiệm, hợp pháp, và hiệu quả, đảm bảo an toàn về thông tin cho Ứng viên. Những thông tin được cung cấp bởi người tham vấn sẽ được sử dụng để tham khảo và sẽ được đánh giá, sàng lọc kĩ lưỡng và có trách nhiệm bởi đội ngũ tuyển dụng của HEINEKEN. Các thông tin này không có giá trị quyết định việc đậu hay rớt của Ứng viên cho vị trí đang ứng tuyển. Thông tin của người tham vấn sẽ được tự động xóa sau 06 tháng kể từ khi kết thúc hoạt động tham vấn.

6. COOKIES HAY NHỮNG CÔNG NGHỆ TƯƠNG TỰ

Trang web của Chúng tôi sử dụng “cookies“ là những tệp văn bản nhỏ được lưu trữ trong thiết bị của bạn, những tệp này giúp vận hành trang web và thu thập thông tin về những hoạt động trực tuyến của bạn. Trang web sử dụng cookies cho nhiều mục đích, trong đó bao gồm:

• Lưu trữ những mục Tùy chọn và Cài đặt của bạn;
• Xác định tuổi;
• Việc đăng nhập và tính xác thực;
• Phân tích trang;
• Quảng cáo có mục tiêu.

Thông qua cookies hay những công nghệ tương tự, Chúng tôi có thể thu thập được những dữ liệu cá nhân như:

• Địa chỉ IP; 
• Dữ liệu tuổi (qua ngày sinh của bạn);
• Dữ liệu cookie;
• Loại trình duyệt;
• Cài đặt ngôn ngữ;
• Trang web bạn thoát ra và trang web bạn truy cập; và
• Đường link khi bạn nhấp vào trang web và các dịch vụ trên trang của Chúng tôi.

Bạn có thể tìm hiểu thêm về chính sách dữ liệu trên trang web của Chúng tôi.

7. CHẤT LƯỢNG VÀ ĐỘ TIN CẬY

Khi bạn cung cấp dữ liệu cá nhân tới HEINEKEN, bạn sẽ chịu trách nhiệm về tính chính xác của những dữ liệu cá nhân này và phải đảm bảo rằng thông tin của bạn phải chính xác và cập nhật. Ngoại trừ lý do sơ xuất hoặc ý định trái pháp luật, HEINEKEN không chịu trách nhiệm cho những sai lầm, hậu quả hoặc hoạt động phát sinh từ những thông tin không chính xác hoặc không đầy đủ mà bạn cung cấp cho Chúng tôi.

8. CHUYỂN GIAO VÀ TRUY CẬP DỮ LIỆU ỨNG VIÊN

Để vận hành như một tập đoàn toàn cầu và để thúc đẩy việc phát triển sự nghiệp đối với Ứng viên của HEINEKEN, đây là lợi ích của cả hai bên khi HEINEKEN đưa dữ liệu Ứng viên lên cơ sở dữ liệu quốc tế của tập đoàn – cơ sở dữ liệu này có thể được chia sẻ tất cả/có giới hạn với những người tuyển dụng của HEINEKEN trên toàn cầu. Một bên cung cấp dịch vụ thứ ba của HEINEKEN cũng có thể nằm ngoài khu vực pháp lý ở nước sở tại của bạn. Nếu dữ liệu của bạn được chuyển đến một quốc gia có chế độ khác về bảo vệ dữ liệu, HEINEKEN sẽ đảm bảo việc chuyển dữ liệu sẽ không ảnh hưởng tiêu cực đến việc bảo vệ dữ liệu cá nhân của bạn. Trong trường hợp được yêu cầu, HEINEKEN sẽ thông báo cho bạn những chi tiết cụ thể về việc chuyển thông tin của bạn trên mạng dữ liệu quốc tế của HEINEKEN.

Như một phần của quy trình ứng tuyển, Ứng viên sẽ được hỏi để lựa chọn một trong những phương án sau:

1. Chỉ những người tuyển dụng HEINEKEN quản lý các công việc liên quan;
2. Bất kỳ nhà tuyển dụng HEINEKEN tại quốc gia cư trú của Ứng viên;
3. Bất kỳ nhà tuyển dụng HEINEKEN nào trên toàn thế giới.

Bằng cách đọc và chấp nhận tuyên bố bảo mật tuyển dụng này, Ứng viên đồng ý cho HEINEKEN đăng tải thông tin cá nhân của Ứng viên lên hệ thống SuccessFactors – dịch vụ lưu trữ dữ liệu của HEINEKEN theo như tuyên bố bên dưới. Tuy nhiên, với sự lựa chọn của Ứng viên ở trên, chỉ những cá nhân giới hạn theo sự lựa chọn đó mới có quyền truy cập dữ liệu cá nhân của Ứng viên và được xử lý những mục đích được ghi nhận trong Thông báo này. HEINEKEN sẽ đảm bảo những biện pháp an ninh an toàn và cơ chế chuyển dữ liệu có hiệu lực cho quá trình chuyển giao và xử lý dữ liệu Ứng viên tại các quốc gia khác nhau nới HEINEKEN vận hành.

Trong quá trình tuyển dụng, thông tin của Ứng viên sẽ chỉ được truy cập nội bộ bởi những nhân viên của HEINEKEN có tham gia vào quá trình tuyển dụng (bao gồm cả nhân viên các Công ty con của HEINEKEN). Bất kỳ khi nào thông tin của bạn được nộp cho hoặc được xử lý bởi một bên cung cấp dịchvụ thứ ba có hợp đồng với HEINEKEN, Chúng tôi ký thỏa thuận với nhà cung cấp dịch vụ đó về việc bảo mật dữ liệu của Ứng viên. Nhà cung cấp dịch vụ chỉ có thể sử dụng thông tin của Ứng viên cho việc xử lý hồ sơ ứng tuyển vào làm việc tại HEINEKEN và không dành cho bất cứ mục đích nào khác của nhà cung cấp dịch vụ.

Trang web tuyển dụng được vận hành trên SuccessFactors. SuccessFactors là một ứng dụng đám mây của SAP và được lưu trữ trên các máy chủ tại Đức và các máy chủ sao lưu tại Hà Lan. SuccessFactors truy cập vào hệ thống nơi cung cấp các dịch vụ về lưu trữ, bảo trì và hỗ trợ. Chúng tôi đã có thỏa thuận với SuccessFactors về tính bảo mật và an toàn cho dữ liệu cá nhân của bạn.

Theo thời gian, Chúng tôi có thể cần cung cấp dữ liệu cá nhân cho những nhà cung cấp dịch vụ khác, như các công ty tuyển dụng hay những bên cung cấp dịch vụ về hệ thống IT, những cố vấn chuyên nghiệp (bao gồm kế toán, kiểm toán, luật sư), những tổ chức công cộng và chính phủ (các cơ quan có thẩm quyền đối với Chúng tôi như cơ quan quản lý, thực thi pháp luật, cơ quan công cộng và cơ quan tư pháp), hoặc trong bối cảnh giao dịch của Công ty (một bên thứ ba liên quan đến bất kỳ sự tái cấu trúc tổ chức, sáp nhập hoặc kinh doanh được đề xuất hoặc thực tế nào). Chúng tôi yêu cầu nhà cung cấp dịch vụ hoặc cố vấn chuyên nghiệp sử dụng những phương thức phù hợp để đảm bảo tính bảo mật và an toàn cho dữ liệu cá nhân. Nếu việc chuyển giao thông tin diễn ra từ một quốc gia thuộc Khối kinh tế châu Âu đến người nhận tại một quốc gia có chế độ bảo vệ dữ liệu thông tin khác biệt, Chúng tôi sẽ đảm bảo không gây ảnh hưởng tiêu cực đến an toàn bảo mật dữ liệu, và việc chuyển giao thông tin được dựa trên các biện pháp bảo vệ phù hợp bao gồm các điều khoản của pháp luật hiện hành, bao gồm Điều khoản Mẫu của EU hoặc Nội quy ràng buộc của công ty.

9. LƯU GIỮ THÔNG TIN

HEINEKEN sẽ lưu giữ thông tin Ứng viên trong quá trình tuyển dụng và sàng lọc. HEINEKEN sẽ chỉ lưu giữ thông tin Ứng viên cho một vị trí cụ thể trong thời gian tối đa theo quy định pháp luật sau quá trình tuyển dụng và sàng lọc. Nếu có nghĩa vụ pháp lý để lưu giữ thông tin cá nhân lâu hơn, HEINEKEN sẽ làm như vậy (ví dụ: yêu cầu về cơ hội bình đẳng trong luật lao động tại địa phương).

HEINEKEN cũng sẽ lưu giữ thông tin Ứng viên cho một vị trí trống cụ thể nếu Ứng viên cho phép giữ lại thông tin, như việc lưu trữ hồ sơ của Ứng viên nếu vị trí phù hợp phát sinh. Ngoài ra, bạn có thể tạo một hồ sơ mà không cần thực sự ứng tuyển vào một vị trí cụ thể. Trong những trường hợp như vậy, HEINEKEN sẽ xóa thông tin của bạn sau 05 (năm) - hoặc ngắn hơn theo yêu cầu của luật địa phương – nếu hồ sơ của bạn không hoạt động trong hệ thống tuyển dụng của Chúng tôi (nghĩa là sau khi bạn không đăng nhập vào tài khoản/hồ sơ của bạn). Bên cạnh đó, Ứng viên cũng có thể yêu cầu Công ty xóa dữ liệu và thực hiện các quyền xin rút lại sự đồng ý của Ứng viên trong một khoảng thời gian luật định kể từ ngày nhận được yêu cầu. Tuy nhiên, Ứng viên vẫn sẽ được hỏi (trong mỗi 06 tháng) về việc có cho phép HEINEKEN lưu trữ dữ liệu của Ứng viên trong tương lai hay không. Bằng cách chấp nhận hoặc từ chối, HEINEKEN sẽ tiếp tục lưu trữ hoặc xóa an toàn dữ liệu của Ứng viên trên hệ thống theo đúng quy định của pháp luật.

Thời gian bắt đầu xử lý dữ liệu được tính từ lúc chủ thể dữ liệu đồng ý thông báo bảo mật dữ liệu này và cung cấp dữ liệu cho Công ty. Thời gian kết thúc việc xử lý dữ liệu là thời gian thực tế Công ty không còn lưu trữ dữ liệu của chủ thể dữ liệu trên hệ thống nữa theo như thời gian được miêu tả bên trên.

Sau giai đoạn lưu giữ, thông tin của Ứng viên sẽ được xóa hoàn toàn khỏi hệ thống của HEINEKEN. Ứng viên được quyền yêu cầu xóa dữ liệu cá nhân bất cứ lúc nào.

10. BẢO MẬT

HEINEKEN sử dụng một số biện pháp an ninh kỹ thuật, vật lý và tổ chức để đảm bảo tính toàn vẹn, bảo mật và sẵn có của dữ liệu Ứng viên, cân nhắc đến tính chất, phạm vi, bối cảnh, mục đích và rủi ro liên quan. HEINEKEN đã triển khai các công nghệ bảo mật để bảo vệ dữ liệu của Ứng viên được lưu trữ khỏi bị truy cập trái phép, sử dụng, thay đổi không đúng cách, phá hủy bất hợp pháp hoặc vô tình và mất mát do tai nạn.

HEINEKEN tiếp tục tăng cường các quy trình bảo mật khi có công nghệ mới. Ứng viên có vai trò quan trọng trong việc hỗ trợ HEINEKEN bảo mật dữ liệu của Ứng viên. Ứng viên phải luôn giữ bí mật mật khẩu của mình và sử dụng đúng quy trình để đăng nhập và đăng xuất khỏi hệ thống tuyển dụng HEINEKEN.

Công ty cam kết sẽ đảm bảo các biện pháp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu được triển khai thực hiện và tuân thủ tối đa. Tuy nhiên, do các hoạt động xử lý các loại dữ liệu này chủ yếu được thực hiện trên môi trường không gian mạng nên không thể đảm bảo tuyệt đối rằng các rủi ro tiềm năng, hậu quả, thiệt hại không mong muốn không xảy ra. Dưới đây là một số ví dụ về những hậu quả và thiệt hại không mong muốn có thể xảy ra:

• Lộ thông tin cá nhân: Khi dữ liệu cá nhân bị tiết lộ một cách trái phép, chủ thể dữ liệu có thể chịu rủi ro liên quan đến đời sống riêng tư có thể bị ảnh hưởng và các thiệt hại khác;
• Dữ liệu cá nhân bị đánh cắp: Khi dữ liệu cá nhân bị đánh cắp, các tội phạm có thể sử dụng dữ liệu bị đánh cắp để lừa đảo hoặc thực hiện các hoạt động bất hợp pháp;
• Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu.

Vì vậy, Chúng tôi coi dữ liệu cá nhân của bạn là rất quan trọng và Chúng tôi sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

• Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của Ứng viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;
• Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, và đội ngũ nhân viên bảo vệ đầy đủ và chất lượng;
• Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị Ủy quyền Quản lý Truy cập và Tường lửa (Firewall),…vv;
• Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình: không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác.

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

11. QUYỀN VÀ NGHĨA VỤ CỦA ỨNG VIÊN

Ứng viên có quyền yêu cầu truy cập vào thông tin ứng tuyển của bản thân mà HEINEKEN đang nắm giữ. Ứng viên cũng có quyền sửa chữa, xóa và hạn chế dữ liệu (nếu hợp lý). Ứng viên có thể chỉnh sửa hay xóa thông tin ứng tuyển của mình bằng cách thay đổi hồ sơ. Ứng viên cũng có quyền hạn chế truy cập vào thông tin của họ (nếu hợp lý) hoặc từ chối việc HEINEKEN sử dụng thông tin của họ. Xin lưu ý rằng những yêu cầu không phù hợp với luật hiện hành hay hướng dẫn của HEINEKEN có thể được yêu cầu thực hiện lại hoặc bị từ chối, và dữ liệu cá nhân đó có thể được miễn trừ khỏi yêu cầu của Ứng viên dựa trên luật hiện hành về bảo vệ dữ liệu hoặc các luật và quy định khác.

Chúng tôi sẽ đưa vào sử dụng các tính năng mới theo thời gian và thông báo đến bạn sớm nhất. Bạn cũng có quyền nộp đơn khiếu nại với cơ quan Nhà nước về bảo vệ dữ liệu theo luật & quy định hiện hành tại địa phương của bạn.

Bạn có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Quá trình đăng ký có thể bao gồm cả việc hồ sơ ứng tuyển của bạn bị từ chối tự động. Trong trường hợp này, các tiêu chí cho những quyết định tự động như vậy thường đã được đưa vào yêu cầu công việc có liên quan. Bạn có quyền đòi hỏi Chúng tôi kiểm tra lại hồ sơ ứng tuyển của bạn dù đã có phản hồi tự động, hoặc thông báo cho Chúng tôi biết rằng bạn không đồng ý với việc từ chối hồ sơ ứng tuyển của bạn và yêu cầu được biết lý do cho vấn đề này.

 

III. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÀ PHÂN PHỐI

Thông báo điều khoản bảo vệ dữ liệu cá nhân của Nhà phân phối (sau đây viết tắt là “Thông báo”) được áp dụng từ ngày 01 tháng 7 năm 2026 đối với các nhà phân phối sản phẩm (sau đây viết tắt là “NPP” hoặc “bạn”) của Công ty TNHH Bia & Nước giải khát HEINEKEN Việt Nam (sau đây viết tắt là “HVBB” hoặc “Chúng tôi” hoặc “Công ty”). Đối tượng áp dụng là (i) cá nhân, và/hoặc (ii) người đại diện hoặc người liên hệ của các NPP nếu NPP là pháp nhân. Bạn nhận được Thông báo này vì HVBB đang và sẽ xử lý thông tin cá nhân của bạn (sau đây viết tắt là “Dữ liệu cá nhân”) với tư cách là bên kiểm soát và/hoặc bên xử lý dữ liệu. Vui lòng đọc kỹ Thông báo này vì nó nêu rõ bối cảnh chúng tôi xử lý dữ liệu cá nhân của bạn và giải thích các uyền và nghĩa vụ của bạn và chúng tôi khi thực hiện xử lý dữ liệu cá nhân.

Chúng tôi tôn trọng quyền riêng tư của bạn và chúng tôi cam kết bảo mật và quản lý Dữ liệu Cá nhân của bạn tuân thủ các trách nhiệm pháp lý của chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành. 

1. Dữ liệu cá nhân nào chúng tôi xử lý và cách xử lý 

Chúng tôi có thể thu thập một số loại Dữ liệu cá nhân của bạn như sau:

• Thông tin chung và thông tin nhận dạng của bạn (ví dụ: tên, giới tính, ngày và nơi sinh, quốc tịch, số CMND/CCCD, email và/hoặc địa chỉ, số điện thoại);
• Thông tin tài khoản ngân hàng;
• Tình trạng hôn nhân, thông tin về mối quan hệ gia đình;
• Giọng nói (nếu được ghi âm thông qua dịch vụ tổng đài chăm sóc khách hàng và hoặc hotline của Công ty);
• Hình ảnh (nếu được chụp trong các hội nghị khách hàng thường niên và/hoặc các sự kiện khác do Công ty tổ chức);
• Thông tin vị trí, thông tin định vị;
• Chữ ký.

Nếu bạn có ý định cung cấp cho chúng tôi dữ liệu cá nhân về các cá nhân khác (tức là đồng nghiệp của bạn), bạn phải cung cấp bản sao Thông báo này cho các cá nhân có liên quan, để nhận được sự đồng ý của họ.

Các hoạt động xử lý Dữ liệu cá nhân có thể được Chúng tôi thực hiện theo cách thức tự động hoặc không tự động, bằng các phương tiện điện tử hoặc các cách thức thủ công hoặc bất kỳ cách thức nào khác mà Chúng tôi cho là phù hợp.

2. Mục đích chúng tôi xử lý dữ liệu cá nhân của bạn 

Chúng tôi luôn xử lý Dữ liệu cá nhân của bạn cho một hoặc một vài mục đích cụ thể và chỉ xử lý Dữ liệu Cá nhân có liên quan để đạt được mục đích đó. Cụ thể, chúng tôi xử lý Dữ liệu Cá nhân của bạn cho các mục đích sau:

• Quản lý các NPP của chúng tôi trong suốt chuỗi cung ứng;
• Tổ chức đấu thầu, thực hiện các công việc chuẩn bị hoặc thực hiện các hợp đồng hiện có;
• Tổ chức hội nghị khách hàng thường niên;
• Để giám sát các hoạt động tại các cơ sở của chúng tôi, bao gồm việc tuân thủ các chính sách hiện hành cũng như các quy định về sức khỏe và an toàn tại chỗ;
• Để cấp cho bạn quyền truy cập vào các ứng dụng/quy trình của chúng tôi;
• Để quản lý tài nguyên CNTT của chúng tôi, bao gồm quản lý cơ sở hạ tầng và tính liên tục trong kinh doanh;
• Để bảo vệ và thực hiện các quyền hợp pháp của chúng tôi, đồng thời đảm bảo tuân thủ và báo cáo (chẳng hạn như tuân thủ các chính sách của chúng tôi và các quy định pháp luật, thuế và các khoản khấu trừ, quản lý các trường hợp bị cáo buộc có hành vi sai trái gian lận, tiến hành kiểm toán và các quy trình kiện tụng);
• Để triển khai, áp dụng và điều chỉnh các ứng dụng/hệ thống/quy trình phục vụ cho các hoạt động quản lý kinh doanh, quy trình thanh toán và tuân thủ các chính sách nội bộ & quy định có liên quan của Công ty (bao gồm nhưng không giới hạn: hồ sơ quản lý khách hàng, DIS, HVN đặt hàng, Nhà phân phối 2.0, dịch vụ tổng đài chăm sóc khách hàng (Call Center), Base, Mendix và các ứng dụng khác được Công ty triển khai, áp dụng và điều chỉnh tuỳ theo từng thời điểm);
• Lưu trữ (bao gồm cả lưu trữ tại địa phương và/hoặc lưu trữ trên dịch vụ điện toán đám mây) và theo dõi hồ sơ;
• Bất kỳ mục đích nào khác do pháp luật và cơ quan có thẩm quyền quy định.

3. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân của bạn

Thời gian xử lý dữ liệu cá nhân bắt đầu khi bạn cung cấp dữ liệu cá nhân cho Chúng tôi và kéo dài tới khi Dữ liệu cá nhân được xóa, hủy theo các quy định của pháp luật và/hoặc quy định, quyết định tại từng thời điểm của Chúng tôi. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng Dữ liệu cá nhân mà chúng tôi giữ nếu không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ được xác định. 

4. Cách chúng tôi chia sẻ dữ liệu cá nhân của bạn 

Dữ liệu cá nhân của bạn có thể được truy cập hoặc chuyển đến các bên thứ ba sau trên cơ sở cần biết để đạt được các mục đích được liệt kê ở trên. Các bên thứ ba đó có thể là:

• Nhân sự của chúng tôi (bao gồm nhân sự, các phòng ban hoặc các công ty khác thuộc tập đoàn HEINEKEN);
• Đại lý độc lập của chúng tôi (nếu có);
• Các nhà cung cấp dịch vụ tổ chức sự kiện khách hàng thường niên do Chúng tôi lựa chọn tuỳ từng thời điêm;
• Các đơn vị cung cấp dịch vụ tài chính được chúng tôi lựa chọn (ví dụ: ngân hàng), trong trường hợp bạn đồng ý tham gia các dự án hỗ trợ tín dụng của chúng tôi;
• Các đơn vị cung cấp dịch vụ chăm sóc khách hàng, giao hàng của chúng tôi;
• Nhà cung cấp hệ thống CNTT, nhà cung cấp dịch vụ đám mây, nhà cung cấp cơ sở dữ liệu và nhà tư vấn của chúng tôi;
• Trong trường hợp chúng tôi bán toàn bộ hoặc một phần tài sản hoặc cổ phần của một công ty thuộc tập đoàn HEINEKEN mà Dữ liệu Cá nhân được chuyển giao cho bên thứ ba thì Dữ liệu Cá nhân của bạn có thể được cung cấp cho bên thứ ba này;
• Bất kỳ cơ quan thực thi pháp luật quốc gia và/hoặc quốc tế nào (cơ quan quản lý, cơ quan công quyền và cơ quan tư pháp) nhằm tuân thủ mọi nghĩa vụ pháp lý của chúng tôi hoặc lệnh của tòa án.

Các bên này có thể có trụ sở tại Việt Nam, Liên minh Châu Âu hoặc các quốc gia khác trong Khu vực Kinh tế Châu Âu (“EEA”) hoặc bất kỳ nơi nào khác trên thế giới. Nếu chúng tôi chuyển dữ liệu cá nhân của bạn cho các công ty/tổ chức ở các khu vực pháp lý khác, chúng tôi sẽ đảm bảo bảo vệ dữ liệu cá nhân của bạn bằng cách (i) áp dụng mức độ bảo vệ cần thiết theo luật bảo mật dữ liệu hiện hành và (ii) hành động theo chính sách và tiêu chuẩn của chúng tôi.

5. Đảm bảo an toàn dữ liệu cá nhân

Chúng tôi coi dữ liệu cá nhân của nhân viên là tài sản quan trọng của Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

• Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của nhân viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;
• Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, đội ngũ nhân viên bảo vệ đầy đủ và chất lượng;
• Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị ủy quyền quản lý truy cập và Tường lửa (Firewall),…;
• Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình và dữ liệu chung của Công ty: hạn chế sử dụng các thiết bị khác ngoài thiết bị được Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu; nếu sử dụng các thiết bị không phải Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu thì phải đảm bảo việc cài đặt các công cụ hỗ trợ (diệt virus, quản lý,…) để đảm bảo thiết bị an toàn theo khuyến cáo của bộ phận bảo vệ dữ liệu cá nhân của Công ty; không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác và khuyến cáo nhân viên Công ty tham gia đầy đủ các khóa học về nhận thức an ninh thông tin theo khuyến cáo của Công ty.

Công ty cam kết sẽ đảm bảo các biện pháp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu được triển khai thực hiện và tuân thủ tối đa. Tuy nhiên, do các hoạt động xử lý các loại dữ liệu này chủ yếu được thực hiện trên môi trường không gian mạng nên không thể đảm bảo tuyệt đối rằng các rủi ro tiềm năng, hậu quả, thiệt hại không mong muốn không xảy ra. Dưới đây là một số ví dụ về những hậu quả và thiệt hại không mong muốn có thể xảy ra:

• Lộ thông tin cá nhân: Khi dữ liệu cá nhân bị tiết lộ một cách trái phép, chủ thể dữ liệu có thể chịu rủi ro liên quan đến đời sống riêng tư có thể bị ảnh hưởng và các thiệt hại khác;
• Dữ liệu cá nhân bị đánh cắp: Khi dữ liệu cá nhân bị đánh cắp, các tội phạm có thể sử dụng dữ liệu bị đánh cắp để lừa đảo hoặc thực hiện các hoạt động bất hợp pháp;
• Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu;

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

6. Lựa chọn và quyền của bạn

Bạn có quyền đưa ra và rút lại sự đồng ý xử lý dữ liệu cá nhân, truy cập và xóa dữ liệu cá nhân, có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân, lấy dữ liệu cá nhân, nộp đơn khiếu nại, tố cáo và kiện tụng cũng như yêu cầu bồi thường thiệt hại, và các quyền khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Việc xin rút lại sự đồng ý và các quyền khác không ảnh hưởng đến tính hợp pháp của toàn bộ dữ liệu mà Công ty đã và đang xử lý. 

7. Cập nhật

Chúng tôi sẽ rà soát lại và cập nhật Thông báo này theo thời gian. Mọi thay đổi đối với Thông báo này sẽ được thông báo tới bạn qua các kênh liên lạc thông thường của chúng tôi (ví dụ: email). 

 

IV. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA KHÁCH HÀNG

Thông báo điều khoản bảo vệ dữ liệu cá nhân của Khách hàng (sau đây viết tắt là “Thông báo”) được áp dụng từ ngày 01 tháng 7 năm 2023 đối với các điểm bán sản phẩm (sau đây viết tắt là “bạn”) của Công ty TNHH Nhà máy bia HEINEKEN Việt Nam (sau đây viết tắt là “HVN” hoặc “Chúng tôi” hoặc “Công ty”) và các công ty con, chi nhánh và văn phòng đại diện của Công ty. Đối tượng áp dụng là (i) cá nhân, và/hoặc (ii) người đại diện hoặc người liên hệ được uỷ quyền của các Điểm bán nếu Điểm bán là pháp nhân. Bạn nhận được Thông báo này vì HVN đang và sẽ xử lý thông tin cá nhân của bạn (sau đây viết tắt là “Dữ liệu cá nhân”) với tư cách là bên kiểm soát và/hoặc bên xử lý dữ liệu. Vui lòng đọc kỹ Thông báo này vì nó nêu rõ bối cảnh chúng tôi xử lý dữ liệu cá nhân của bạn và giải thích các quyền và nghĩa vụ của bạn và chúng tôi khi thực hiện xử lý dữ liệu cá nhân.

Chúng tôi tôn trọng quyền riêng tư của bạn và chúng tôi cam kết sẽ bảo mật và quản lý Dữ liệu Cá nhân của bạn tuân thủ các trách nhiệm pháp lý của chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành. 

1. Dữ liệu cá nhân nào chúng tôi xử lý và cách xử lý 

Chúng tôi có thể thu thập một số loại Dữ liệu cá nhân của bạn như sau:

• Thông tin chung và thông tin nhận dạng của bạn (ví dụ: tên, giới tính, ngày và nơi sinh, quốc tịch, số CMND/CCCD, email và/hoặc địa chỉ, số điện thoại);
• Giọng nói (nếu được ghi âm thông qua dịch vụ tổng đài chăm sóc khách hàng và hoặc hotline của Công ty);
• Hình ảnh của bạn;
• Thông tin vị trí, định vị.

Nếu bạn có ý định cung cấp cho chúng tôi dữ liệu cá nhân về các cá nhân khác, bạn phải cung cấp bản sao Thông báo này cho các cá nhân có liên quan, để nhận được sự đồng ý của họ.

Các hoạt động xử lý Dữ liệu cá nhân có thể được Chúng tôi thực hiện theo cách thức tự động hoặc không tự động, bằng các phương tiện điện tử hoặc các cách thức thủ công hoặc bất kỳ cách thức nào khác mà Chúng tôi cho là phù hợp.

2. Mục đích chúng tôi xử lý dữ liệu cá nhân của bạn 

Chúng tôi luôn xử lý Dữ liệu cá nhân của bạn cho một hoặc một vài mục đích cụ thể và chỉ xử lý Dữ liệu Cá nhân có liên quan để đạt được mục đích đó. Cụ thể, chúng tôi xử lý Dữ liệu Cá nhân của bạn cho các mục đích sau:

• Quản lý khách hàng của chúng tôi;
• Tổ chức đấu thầu, thực hiện các công việc chuẩn bị hoặc thực hiện các hợp đồng hiện có;
• Tổ chức hội nghị khách hàng thường niên;
• Để giám sát các hoạt động tại các cơ sở của chúng tôi, bao gồm việc tuân thủ các chính sách hiện hành cũng như các quy định về sức khỏe và an toàn tại chỗ;
• Để cấp cho bạn quyền truy cập và tham gia vào các ứng dụng/quy trình của chúng tôi;
• Để quản lý tài nguyên CNTT của chúng tôi, bao gồm quản lý cơ sở hạ tầng và tính liên tục trong kinh doanh;
• Để bảo vệ và thực hiện các quyền hợp pháp của chúng tôi, đồng thời đảm bảo tuân thủ, điều tra, kiểm toán và báo cáo (chẳng hạn như tuân thủ các chính sách của chúng tôi và các quy định pháp luật hiện hành có liên quan, các quy định về thuế và các khoản khấu trừ, quản lý các trường hợp bị cáo buộc có hành vi sai trái gian lận, tiến hành kiểm toán và các quy trình kiện tụng);
• Triển khai, áp dụng và điều chỉnh các hệ thống ứng dụng, quy trình phục vụ cho các hoạt động quản lý kinh doanh, quy trình thanh toán theo quy định pháp luật hiện hành và tuân thủ các chính sách nội bộ & quy định có liên quan của HEINEKEN (bao gồm nhưng không giới hạn những hệ thống ứng dụng: quản lý đặt hàng, hệ thống quản lý hồ sơ khách hàng, quy trình thanh toán, lắp đặt biển hiệu, lắp đặt hệ thống chiết bia tươi, quản lý các chương trình quảng cáo & khuyến mãi, chương trình khách hàng thân thiết, hệ thống lưu trữ và phân tích dữ liệu, quản lý lắp đặt tủ lạnh mang nhãn hiệu của HEINEKEN, dịch vụ tổng đài chăm sóc khách hàng và các hệ thống ứng dụng khác được HEINEKEN triển khai, áp dụng và điều chỉnh tuỳ theo từng thời điểm);
• Lưu trữ và theo dõi hồ sơ;
• Bất kỳ mục đích nào khác được pháp luật hiện hành cho phép.

3. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân của bạn

Thời gian xử lý dữ liệu cá nhân bắt đầu khi bạn cung cấp dữ liệu cá nhân cho Chúng tôi và kéo dài tới khi Dữ liệu cá nhân được xóa, hủy theo các quy định của pháp luật và/hoặc quy định, quyết định tại từng thời điểm của Chúng tôi. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng Dữ liệu cá nhân mà chúng tôi giữ nếu không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ được xác định. 

4. Cách chúng tôi chia sẻ dữ liệu cá nhân của bạn 

Dữ liệu cá nhân của bạn có thể được truy cập hoặc chuyển đến các bên thứ ba sau trên cơ sở cần biết để đạt được các mục đích được liệt kê ở trên. Các bên thứ ba đó có thể là:

• Nhân sự của chúng tôi (bao gồm nhân sự, các phòng ban hoặc các công ty khác thuộc tập đoàn HEINEKEN);
• Nhà phân phối, đại lý thứ cấp;
• Các nhà cung cấp dịch vụ tổ chức sự kiện khách hàng thường niên do Chúng tôi lựa chọn tuỳ từng thời điêm;
• Chúng tôi có thể chia sẻ dữ liệu cá nhân với các công ty khác do chúng tôi kiểm soát hoặc tham gia kiểm soát, các bên thứ ba, chẳng hạn như các đối tác kinh doanh và nhà cung cấp dịch vụ của chúng tôi hoặc khi pháp luật yêu cầu chúng tôi làm như vậy;
• Nhà cung cấp hệ thống CNTT, nhà cung cấp dịch vụ đám mây, nhà cung cấp cơ sở dữ liệu và nhà tư vấn của chúng tôi;
• Trong trường hợp chúng tôi bán toàn bộ hoặc một phần tài sản hoặc cổ phần của một công ty thuộc tập đoàn HEINEKEN mà Dữ liệu Cá nhân được chuyển giao cho bên thứ ba thì Dữ liệu Cá nhân của bạn có thể được cung cấp cho bên thứ ba này;
• Bất kỳ cơ quan thực thi pháp luật quốc gia và/hoặc quốc tế nào (cơ quan quản lý, cơ quan công quyền và cơ quan tư pháp) nhằm tuân thủ mọi nghĩa vụ pháp lý của chúng tôi hoặc lệnh của tòa án.

Các bên này có thể có trụ sở tại Việt Nam, Liên minh Châu Âu hoặc các quốc gia khác trong Khu vực Kinh tế Châu Âu (“EEA”) hoặc bất kỳ nơi nào khác trên thế giới. Nếu chúng tôi chuyển dữ liệu cá nhân của bạn cho các công ty/tổ chức ở các khu vực pháp lý khác, chúng tôi sẽ đảm bảo bảo vệ dữ liệu cá nhân của bạn bằng cách (i) áp dụng mức độ bảo vệ cần thiết theo luật bảo mật dữ liệu hiện hành và (ii) hành động theo chính sách và tiêu chuẩn của chúng tôi.

5. Đảm bảo an toàn Dữ liệu cá nhân 

Chúng tôi coi dữ liệu cá nhân của nhân viên là tài sản quan trọng của Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

• Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của nhân viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình;
• Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, đội ngũ nhân viên bảo vệ đầy đủ và chất lượng;
• Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị ủy quyền quản lý truy cập và Tường lửa (Firewall),…;
• Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình và dữ liệu chung của Công ty: hạn chế sử dụng các thiết bị khác ngoài thiết bị được Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu; nếu sử dụng các thiết bị không phải Công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu thì phải đảm bảo việc cài đặt các công cụ hỗ trợ (diệt virus, quản lý,…) để đảm bảo thiết bị an toàn theo khuyến cáo của bộ phận bảo vệ dữ liệu cá nhân của Công ty; không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc; báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác và khuyến cáo nhân viên Công ty tham gia đầy đủ các khóa học về nhận thức an ninh thông tin theo khuyến cáo của Công ty.

Công ty cam kết sẽ đảm bảo các biện pháp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu được triển khai thực hiện và tuân thủ tối đa. Tuy nhiên, do các hoạt động xử lý các loại dữ liệu này chủ yếu được thực hiện trên môi trường không gian mạng nên không thể đảm bảo tuyệt đối rằng các rủi ro tiềm năng, hậu quả, thiệt hại không mong muốn không xảy ra. Dưới đây là một số ví dụ về những hậu quả và thiệt hại không mong muốn có thể xảy ra:

• Lộ thông tin cá nhân: Khi dữ liệu cá nhân bị tiết lộ một cách trái phép, chủ thể dữ liệu có thể chịu rủi ro liên quan đến đời sống riêng tư có thể bị ảnh hưởng và các thiệt hại khác;
• Dữ liệu cá nhân bị đánh cắp: Khi dữ liệu cá nhân bị đánh cắp, các tội phạm có thể sử dụng dữ liệu bị đánh cắp để lừa đảo hoặc thực hiện các hoạt động bất hợp pháp;
• Mất dữ liệu: Nếu dữ liệu cá nhân bị mất do sự cố hệ thống, chủ thể dữ liệu có thể bị mất thông tin quan trọng và gặp khó khăn trong việc phục hồi dữ liệu;

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

6. Lựa chọn và quyền của bạn

Bạn có quyền đưa ra và rút lại sự đồng ý xử lý dữ liệu cá nhân, truy cập và xóa dữ liệu cá nhân, có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân, lấy dữ liệu cá nhân, nộp đơn khiếu nại, tố cáo và kiện tụng cũng như yêu cầu bồi thường thiệt hại, và các quyền khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Việc xin rút lại sự đồng ý và các quyền khác không ảnh hưởng đến tính hợp pháp của toàn bộ dữ liệu mà Công ty đã và đang xử lý. 

7. Cập nhật

Chúng tôi sẽ rà soát lại và cập nhật Thông báo này theo thời gian. Mọi thay đổi đối với Thông báo này sẽ được thông báo tới bạn qua các kênh liên lạc thông thường của chúng tôi (ví dụ: email). 

 

V. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÀ CUNG CẤP

Thông báo điều khoản bảo vệ dữ liệu cá nhân cho nhà cung cấp này (“Thông báo”) áp dụng từ ngày 01 tháng 01 năm 2026 đối với các nhà cung cấp sản phẩm và dịch vụ (“NCC”) của Công ty TNHH Nhà máy bia HEINEKEN Việt Nam (“HVN” hoặc “Chúng tôi”). Đối tượng áp dụng là (i) cá nhân và (ii) người đại diện hoặc người liên hệ của các NCC của chúng tôi là pháp nhân. Bạn nhận được Thông báo về quyền riêng tư này vì HVN đang và sẽ xử lý thông tin cá nhân của bạn (“Dữ liệu cá nhân”) với tư cách là bên kiểm soát và/hoặc bên xử lý. Vui lòng đọc kỹ Chính sách bảo vệ quyền riêng tư này vì nó nêu rõ bối cảnh chúng tôi xử lý dữ liệu cá nhân của bạn và giải thích các quyền của bạn cũng như nghĩa vụ của chúng tôi khi thực hiện xử lý dữ liệu.

Chúng tôi tôn trọng quyền riêng tư của bạn và chúng tôi cam kết bảo mật và quản lý Dữ liệu Cá nhân của bạn tuân thủ các trách nhiệm pháp lý của chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành. 

1. Dữ liệu cá nhân nào chúng tôi xử lý và cách xử lý 

Chúng tôi có thể thu thập một số loại Dữ liệu Cá nhân của bạn như sau:

Thông tin chung và thông tin nhận dạng của bạn (ví dụ: tên, ngày và nơi sinh, quốc tịch, số CMND hoặc hộ chiếu, email và/hoặc địa chỉ, số điện thoại cố định và/hoặc di động);

• Bộ phận làm việc của bạn (ví dụ: chức danh, vị trí và tên công ty);
• Đối với các NCC là cá nhân, thông tin tài chính (ví dụ: thông tin tài khoản ngân hàng);
• Dữ liệu này có thể được bạn cung cấp trực tiếp hoặc được cung cấp bởi NCC của chúng tôi.

Nếu bạn có ý định cung cấp cho chúng tôi dữ liệu cá nhân về các cá nhân khác, bạn phải cung cấp bản sao Thông báo này cho các cá nhân có liên quan để nhận được sự đồng ý của họ.

Các hoạt động xử lý Dữ liệu cá nhân có thể được Chúng tôi thực hiện theo cách thức tự động hoặc không tự động, bằng các phương tiện điện tử hoặc các cách thức thủ công hoặc bất kỳ cách thức nào khác mà Chúng tôi cho là phù hợp. 

2. Mục đích chúng tôi xử lý dữ liệu cá nhân của bạn 

Chúng tôi luôn xử lý Dữ liệu Cá nhân của bạn cho một hoặc một vài mục đích cụ thể và chỉ xử lý Dữ liệu Cá nhân có liên quan để đạt được mục đích đó. Cụ thể, chúng tôi xử lý Dữ liệu Cá nhân của bạn cho các mục đích sau:

• Để quản lý các NCC của chúng tôi;
• Tổ chức đấu thầu, thực hiện các công việc chuẩn bị hoặc thực hiện các hợp đồng hiện có;
• Để giám sát các hoạt động tại các cơ sở của chúng tôi, bao gồm việc tuân thủ các chính sách hiện hành cũng như các quy định về sức khỏe và an toàn tại chỗ;
• Để cấp cho bạn quyền truy cập vào các chương trình đào tạo của chúng tôi, cho phép bạn cung cấp cho chúng tôi một số dịch vụ nhất định;
• Để quản lý tài nguyên CNTT của chúng tôi, bao gồm quản lý cơ sở hạ tầng và tính liên tục trong kinh doanh;
• Để bảo vệ và thực hiện các quyền hợp pháp của chúng tôi, đồng thời đảm bảo tuân thủ và báo cáo (chẳng hạn như tuân thủ các chính sách của chúng tôi và các quy định pháp luật, thuế và các khoản khấu trừ, quản lý các trường hợp bị cáo buộc có hành vi sai trái gian lận, tiến hành kiểm toán và các quy trình kiện tụng);
• Lưu trữ (bao gồm cả lưu trữ tại địa phương và/hoặc trên dịch vụ điện toán đám mây có máy chủ đặt ngoài lãnh thổ Việt Nam) và theo dõi hồ sơ;
• Để thanh toán và lập hoá đơn;
• Bất kỳ mục đích nào khác do pháp luật và cơ quan có thẩm quyền quy định.

3. Thời gian bắt đầu, thời gian kết thúc xử lý Dữ liệu cá nhân của bạn

Thời gian xử lý dữ liệu cá nhân bắt đầu khi bạn cung cấp dữ liệu cá nhân cho Chúng tôi và kéo dài tới khi Dữ liệu cá nhân được xóa, hủy theo các quy định của pháp luật và/hoặc quy định, quyết định tại từng thời điểm của Chúng tôi. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng Dữ liệu cá nhân mà chúng tôi giữ nếu không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ được xác định. 

4. Cách chúng tôi chia sẻ dữ liệu cá nhân của bạn 

Dữ liệu Cá nhân của bạn có thể được truy cập hoặc chuyển đến các bên thứ ba sau trên cơ sở cần biết để đạt được các mục đích được liệt kê ở trên. Các bên thứ ba đó có thể là:

• Nhân sự của chúng tôi (bao gồm nhân sự, các phòng ban hoặc các công ty khác thuộc tập đoàn HEINEKEN)
• Đại lý độc lập của chúng tôi (nếu có);
• Nhà cung cấp hệ thống CNTT, nhà cung cấp dịch vụ đám mây, nhà cung cấp cơ sở dữ liệu và nhà tư vấn của chúng tôi;
• Trong trường hợp chúng tôi bán toàn bộ hoặc một phần tài sản hoặc cổ phần của một công ty thuộc tập đoàn HEINEKEN mà Dữ liệu Cá nhân được chuyển giao cho bên thứ ba thì Dữ liệu Cá nhân của bạn có thể được cung cấp cho bên thứ ba này;
• Bất kỳ cơ quan thực thi pháp luật quốc gia và/hoặc quốc tế nào (cơ quan quản lý, cơ quan công quyền và cơ quan tư pháp) nhằm tuân thủ mọi nghĩa vụ pháp lý của chúng tôi hoặc lệnh của tòa án.

Các bên này có thể có trụ sở tại Việt Nam, Liên minh Châu Âu hoặc các quốc gia khác trong Khu vực Kinh tế Châu Âu (“EEA”) hoặc bất kỳ nơi nào khác trên thế giới. Nếu chúng tôi chuyển dữ liệu cá nhân của bạn cho các công ty/tổ chức ở các khu vực pháp lý khác, chúng tôi sẽ đảm bảo bảo vệ dữ liệu cá nhân của bạn bằng cách (i) áp dụng mức độ bảo vệ cần thiết theo luật bảo mật dữ liệu hiện hành và (ii) hành động theo chính sách và tiêu chuẩn của chúng tôi.

5. Đảm bảo an toàn Dữ liệu cá nhân 

Chúng tôi đã đưa ra các biện pháp bảo mật thích hợp để ngăn chặn Dữ liệu Cá nhân của bạn vô tình bị mất, sử dụng hoặc truy cập một cách trái phép, bị thay đổi hoặc tiết lộ. Ngoài ra, chúng tôi cũng giới hạn quyền truy cập vào Dữ liệu Cá nhân của bạn đối với những nhân viên, đại lý, nhà thầu và các bên thứ ba khác trên cơ sở cần biết để thực hiện công việc và những bên thứ ba này phải chịu trách nhiệm bảo mật.

6. Lựa chọn và quyền của bạn

Bạn có quyền đưa ra và rút lại sự đồng ý xử lý dữ liệu cá nhân, truy cập và xóa dữ liệu cá nhân, có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân, lấy dữ liệu cá nhân, nộp đơn khiếu nại, tố cáo và kiện tụng cũng như yêu cầu bồi thường thiệt hại, và các quyền khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

7. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra 

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, chúng tôi đã thực hiện các biện pháp nội bộ để đảm bảo rằng những sự cố đó được xác định và giải quyết không chậm trễ. Chúng tôi nỗ lực ngăn chặn hành vi vi phạm dữ liệu cá nhân của bạn vì những hành vi này có thể ảnh hưởng đến quyền và lợi ích hợp pháp của bạn, chẳng hạn như phân biệt đối xử; tổn hại đến danh tiếng; thua lỗ; hoặc mất tính bảo mật hoặc bất kỳ bất lợi đáng kể nào về kinh tế hoặc xã hội. 

8. Cập nhật

Chúng tôi sẽ rà soát lại và cập nhật Chính sách bảo vệ quyền riêng tư này theo thời gian. Mọi thay đổi đối với Chính sách này sẽ được thông báo tới bạn qua các kênh liên lạc thông thường của chúng tôi (ví dụ: email).

VI. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NHÂN VIÊN KHI ÁP DỤNG QUY TRÌNH QUẢN LÝ VIỆC RA VÀO TẠI NƠI LÀM VIỆC CỦA CÔNG TY

Công ty TNHH Nhà máy Bia HEINEKEN Việt Nam và các công ty liên kết, các chi nhánh và văn phòng đại diện của HVN (Sau đây viết tắt là "HVN" hoặc "Chúng tôi" hoặc “Công ty”) cam kết bảo vệ quyền riêng tư của Nhân viên.  

Nhằm đảm bảo An toàn và Sức khỏe của nhân viên, an ninh tại các văn phòng và địa điểm làm việc của Công ty (sau đây viết tắt là “Nơi làm việc”), HVN cần lắp đặt thiết bị quản lý việc ra vào và hệ thống camera giám sát tại các địa điểm này. Để triển khai thiết bị này, Chúng tôi cần thu thập và xử lý một số thông tin cá nhân của nhân viên HVN làm việc tại các địa điểm làm việc của HVN và nhân viên hợp đồng với đối tác thứ ba và nhân viên nhà thầu làm việc tại các địa điểm làm việc tại HVN (Sau đây viết tắt là “Nhân viên” hoặc ”bạn”). Trước khi Chúng tôi xử lý thông tin của bạn, Chúng tôi cần bạn xác nhận đồng ý cho HVN được xử lý những thông tin này cho những mục đích được liệt kê dưới đây và phù hợp với quy định hiện hành về bảo vệ dữ liệu cá nhân. 

Thiết bị quản lý này đưa ra ba lựa chọn khi đăng ký ra vào Nơi làm việc: (1) Nhận diện gương mặt, (2) dấu vân tay và (3) quẹt thẻ. Nhân viên có quyền được lựa chọn một trong ba cách thức để đăng ký ra vào Nơi làm việc của HVN.

Hệ thống camera giám sát (“hệ thống CCTV”) được lắp đặt để đảm bảo an toàn và an ninh tại Nơi làm việc của Chúng tôi. Chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát được đính kèm như là một phần không thể tách rời của Thông báo này: 2023_CCTV Privacy notice_VN.docx. Bạn được yêu cầu đọc kỹ nội dung Thông báo này trước khi xác nhận đồng ý cho Chúng tôi xử lý dữ liệu cá nhân của bạn đối với hệ thống camera giám sát.

Chúng tôi tôn trọng quyền riêng tư của bạn và cam kết bảo mật Dữ liệu Cá nhân của bạn và quản lý dữ liệu bằng trách nhiệm pháp lý của Chúng tôi theo quy định hiện hành về bảo vệ dữ liệu cá nhân.

Trong Thông báo này, Chúng tôi mô tả cách Chúng tôi xử lý và bảo vệ dữ liệu cá nhân của bạn thông qua việc sử dụng thiết bị thông minh quản lý việc ra vào Nơi làm việc. Chúng tôi là Người kiểm soát dữ liệu cá nhân của bạn.

1. Chúng tôi sử dụng dữ liệu cá nhân của bạn cho mục đích gì?

Chúng tôi sử dụng dữ liệu cá nhân của bạn nhằm các mục đích sau đây:

• Nhằm đảm bảo An toàn Sức khỏe cho nhân viên và đáp ứng với nhu cầu áp dụng công nghệ trong việc quản lý việc ra vào Nơi làm việc một cách hiệu quả.
• Đảm bảo an ninh khi ra vào Nơi làm việc, bảo vệ tài sản của nhân viên và Công ty.
• Bảo vệ lợi ích hợp pháp của HVN và nhân viên của HVN.

2. Chúng tôi sử dụng loại dữ liệu cá nhân nào?

Để đăng ký sử dụng thiết bị này, Chúng tôi cần nhân viên cung cấp những thông tin sau: họ và tên, mã số nhân viên, và phòng ban. Ngoài ra, thông qua hệ thống kiểm soát ra vào, chúng tôi còn có thể thu thập và xử lý lịch sử hoạt động của bạn, chẳng hạn như thời điểm bạn ra/vào khu vực làm việc.

Nếu bạn đăng ký lựa chọn Nhận diện khuôn mặt, Chúng tôi sẽ yêu cầu bạn cung cấp thêm dữ liệu nhận diện khuôn mặt. 

Nếu bạn đăng ký lựa chọn Nhận diện dấu vân tay, Chúng tôi sẽ yêu cầu bạn cung cấp thêm dữ liệu nhận diện vân tay. 

Nơi làm việc của HVN có hệ thống camera giám sát nhằm đảm bảo an ninh và an toàn tại nơi làm việc. Do đó, những hình ảnh của bạn cũng sẽ được hệ thống CCTV quay lại và lưu trữ trong một khoảng thời gian nhất định. Mời bạn xem chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát tại 2023_CCTV Privacy notice_VN.docx.

Thông tin của bạn mà chúng tôi thu thập và xử lý sẽ đầy đủ, có liên quan và chỉ phục vụ cho những mục đích cụ thể được nêu ở mục 1 của Thông báo này. Những thông tin của bạn cần chính xác nhất có thể và cần tuân thủ theo quy định hiện hành về bảo vệ dữ liệu cá nhân.

Các dữ liệu cá nhân nhạy cảm mà chúng tôi có thể xử lý bao gồm:

• Đặc điểm sinh học riêng của cá nhân: đặc điểm nhận dạng trên CCCD/CMND, hình dạng dấu vân tay, dữ liệu nhận diện khuôn mặt
• Các dữ liệu khác được xem là dữ liệu cá nhân nhạy cảm theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

3. Phương thức xử lý dữ liệu cá nhân của bạn 

Bằng cách đọc và lựa chọn phương thức nhận diện bằng khuôn mặt hoặc dấu vân tay hoặc quét thẻ, bạn đồng ý rằng thông tin của mình sẽ được thu thập, lưu trữ, và sử dụng bằng bất kỳ phương thức nào theo các chính sách và/hoặc tình hình hoạt động của Công ty được điều chỉnh theo thời gian, bao gồm nhưng không giới hạn, thu thập, ghi, xác nhận, lưu trữ, chỉnh sửa, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chuyển giao, xóa, hủy và các hành động khác có liên quan. Tất cả phương thức này phải được phù hợp với mục đích đề ra tại mục 1 của Thông báo này.

4. Ai có quyền truy cập dữ liệu cá nhân của bạn

Chỉ thành viên thuộc bộ phận quản lý thiết bị ra vào mới có quyền truy cập vào dữ liệu cá nhân của bạn để thực hiện công việc thuộc trách nhiệm của mình và thực hiện bất kỳ mục đích nào được mô tả trong Thông báo này.

Bên cạnh đó, một số nơi làm việc được đặt bên trong tòa nhà phức hợp/tòa nhà văn phòng/các khu vực hạn chế ra vào do bên thứ ba quản lý, chúng tôi cũng sẽ chia sẻ dữ liệu của bạn cho những bên này để kiểm soát việc ra vào những nơi hạn chế đó. Việc chia sẻ này sẽ gồm những dữ liệu giới hạn, phục vụ cho mục đích kiểm soát, an ninh và các mục đích được nêu ra tại Thông báo này. Bất kỳ khi nào dữ liệu của bạn được chia sẻ cho hoặc xử lý bởi một bên cung cấp dịch vụ thứ ba có hợp đồng với Công ty, Chúng tôi ký thỏa thuận với nhà cung cấp dịch vụ đó về việc bảo mật dữ liệu của bạn theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

5. Bảo mật 

Chúng tôi xem các dữ liệu cá nhân của các bạn như là tài sản quan trọng của Công ty và Chúng tôi sẽ đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, và hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra (bao gồm nhưng không giới hạn: rò rỉ dữ liệu hoặc xử lý dữ liệu không phù hợp gây tổn hại đến quyền và lợi ích hợp pháp của bạn).

Vì không loại trừ các khả năng không mong muốn như trên, chúng tôi coi dữ liệu cá nhân của bạn là rất quan trọng đối với Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

• Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của nhân viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình.
• Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, đội ngũ nhân viên bảo vệ đầy đủ và chất lượng.
• Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị ủy quyền quản lý truy cập và Tường lửa (Firewall)…
• Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình và dữ liệu chung của Công ty: hạn chế sử dụng các thiết bị khác ngoài thiết bị được công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu; nếu sử dụng các thiết bị không phải công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu thì phải đảm bảo việc cài đặt các công cụ hỗ trợ (diệt virus, quản lý,…) để đảm bảo thiết bị an toàn theo khuyến cáo của bộ phận bảo vệ dữ liệu cá nhân của Công ty. Không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc. Báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác và khuyến cáo nhân viên Công ty tham gia đầy đủ các khóa học về nhận thức an ninh dữ liệu theo khuyến cáo của Công ty.

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

6. Chúng tôi lưu trữ dữ liệu cá nhân của bạn trong bao lâu

Chúng tôi sẽ lưu trữ dữ liệu cá nhân của bạn trong khoảng thời gian pháp luật yêu cầu hoặc khoảng thời gian cần thiết cho bất kỳ mục đích nào được liệt kê trong Thông báo này, hoặc để tuân thủ các yêu cầu pháp lý mà Chúng tôi phải tuân theo, miễn là cần thiết một cách hợp lý cho mục đích lưu trữ hoặc miễn là phù hợp với thời hiệu áp dụng. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng dữ liệu cá nhân mà Chúng tôi lưu trữ nếu dữ liệu đó không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu trữ đã xác định.

Thời gian chúng tôi bắt đầu xử lý những dữ liệu cá nhân: sau khi chủ thể dữ liệu đồng ý với Thông báo này. 

Thời gian kết thúc việc xử lý những dữ liệu cá nhân mà nhân viên cung cấp: khi nhân viên nghỉ việc, nhân viên nhà thầu kết thúc công việc tại Công ty thì Chúng tôi sẽ xóa dữ liệu trong vòng 30 ngày kể từ khi nhân viên hoàn thành bàn giao công việc vào ngày làm việc cuối cùng ngoại trừ dữ liệu camera giám sát. Thời gian kết thúc việc xử lý dữ liệu camera giám sát sẽ tuân theo quy định của Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát (2023_CCTV Privacy notice_VN.docx).

7. Quyền và nghĩa vụ của bạn 

Bạn có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Bạn có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

8. Hiệu lực của thông báo

Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sự khác biệt về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.

Thời hạn áp dụng Thông báo này sẽ được áp dụng từ ngày 01 tháng 01 năm 2026. Thông báo có thể được điều chỉnh tùy theo tình hình hoạt động và việc cập nhật Thông báo sẽ được gửi cho bạn đọc và xác nhận đồng ý.

 

VII. THÔNG BÁO ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA KHÁCH VÃNG LAI KHI RA VÀO NƠI LÀM VIỆC

Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam  và các công ty liên kết, chi nhánh & văn phòng đại diện của HVN ("HVN”, "Chúng tôi" hoặc “Công ty”) cam kết bảo vệ quyền riêng tư của khách vãng lai (khách đến liên hệ công việc, khách tham quan, các cá nhân khác đến Công ty không phải với tư cách nhân viên hoặc nhân viên thuê ngoài của HVN – sau đây viết tắt là “bạn”). 

Nơi làm việc theo Thông báo Điều khoản & Điều kiện Bảo vệ Dữ liệu Cá nhân của Khách vãng lai khi ra vào Nơi làm việc (sau đây viết tắt là “Thông báo”) bao gồm nhưng không giới hạn: các công ty con, chi nhánh, văn phòng chính, văn phòng các khu vực, văn phòng tiêu thụ, nhà máy, nhà kho, và những nơi làm việc khác hạn chế việc ra vào đối với khách vãng lai (sau đây viết tắt là “Nơi làm việc”). 

Nhằm đảm bảo An toàn và An ninh tại nơi làm việc của Công ty, bạn phải đăng ký với quản trị viên tại nơi làm việc mình cần đến trước khi vào nơi làm việc đó. Nhằm phục vụ mục đích này, Chúng tôi cần thu thập và xử lý một số dữ liệu của bạn. Trước khi xử lý, Chúng tôi cần bạn xác nhận đồng ý cho phép sử dụng những dữ liệu này. Chúng tôi tôn trọng quyền riêng tư của bạn và cam kết bảo mật Dữ liệu Cá nhân của bạn và quản lý dữ liệu bằng trách nhiệm pháp lý của Chúng tôi theo quy định về bảo vệ dữ liệu cá nhân hiện hành.

Ngoài ra, Chúng tôi có lắp đặt hệ thống camera giám sát (“hệ thống giám sát CCTV”) nhằm mục đích đảm bảo an toàn, an ninh tại những khu vực đã được xác định của Chúng tôi. Khi bạn tới Nơi làm việc của Chúng tôi, những hình ảnh của bạn cũng sẽ được hệ thống CCTV quay lại và lưu trữ theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát được đính kèm như là một phần không thể tách rời của Thông báo này: 2023_CCTV Privacy notice_VN.docx. Bạn được yêu cầu đọc kỹ nội dung Thông báo này trước khi xác nhận đồng ý cho Chúng tôi xử lý dữ liệu cá nhân của bạn đối với hệ thống camera giám sát. Nếu bạn không đồng ý để hình ảnh của bạn bị quay lại và lưu trữ bởi hệ thống camera giám sát, bạn có thể không bước vào các khu vực có lắp camera của Chúng tôi.

Trong Thông báo này, Chúng tôi mô tả cách Chúng tôi xử lý và bảo vệ dữ liệu cá nhân của bạn thông qua việc đăng ký và ra vào nơi làm việc. Chúng tôi là bên kiểm soát và xử lý dữ liệu cá nhân của bạn.

1. Chúng tôi sử dụng dữ liệu cá nhân của bạn nhằm các mục đích sau đây

• Đảm bảo an ninh khi ra vào nơi làm việc, bảo vệ tài sản của bạn, nhân viên, và Công ty. 
• Bảo vệ lợi ích hợp pháp của bạn, nhân viên, và Công ty.
• Đăng ký ra vào tòa nhà nhằm tuân thủ theo qui định của Ban Quản lý tòa nhà (nếu có). 
• Các mục đích khác tùy vào từng thời điểm và phù hợp với quy định hiện hành của pháp luật về bảo vệ dữ liệu cá nhân.

2. Chúng tôi xử lý loại dữ liệu cá nhân nào?

Để có thể ra vào nơi làm việc bạn phải đăng ký với bộ phận quản trị tại nơi làm việc. Trong quá trình đăng ký, chúng tôi có thể sẽ thu thập và xử lý một số dữ liệu sau đây:

• Hình ảnh Chứng minh nhân dân/Căn cước công dân.
• Các dữ liệu cá nhân khác như: họ và tên, ngày tháng năm sinh, giới tính, quốc tịch, nơi thường trú, ngày tháng năm cấp CCCD/CMND, nơi cấp CCCD/CMND, thời gian hiệu lực của CCCD/CMND, lý do đến nơi làm việc, người liên hệ tại nơi làm việc, dữ liệu về sức khỏe của bạn và các dữ liệu khác được xem là dữ liệu cá nhân theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
• Nơi làm việc của HVN có hệ thống CCTV (Camera giám sát) nhằm đảm bảo an ninh và quản lý tại nơi làm việc. Do đó, những hình ảnh của bạn cũng sẽ được hệ thống CCTV quay lại và lưu trữ trong một khoảng thời gian nhất định. Mời bạn xem chi tiết về Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát tại đường link: 2023_CCTV Privacy notice_VN.docx

3. Chúng tôi có xử lý các dữ liệu cá nhân nhạy cảm không?

Do trên hình ảnh CCCD/CMND có chứa các dữ liệu cá nhân được xem là nhạy cảm theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Chúng tôi cũng sẽ xử lý các dữ liệu đó như là một phần của việc đăng ký ra vào nơi làm việc và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Các dữ liệu cá nhân nhạy cảm mà chúng tôi xử lý bao gồm:

• Đặc điểm sinh học riêng của cá nhân: đặc điểm nhận dạng trên CCCD/CMND, hình dạng dấu vân tay, dữ liệu về sức khỏe của bạn.
• Các dữ liệu khác được xem là dữ liệu cá nhân nhạy cảm theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

4. Phương thức xử lý dữ liệu cá nhân của bạn

Bằng cách đọc và đồng ý với Thông báo này, bạn chấp nhận rằng dữ liệu của mình sẽ được thu thập, lưu trữ, sử dụng bằng bất kỳ phương thức nào theo các chính sách và/hoặc tình hình hoạt động của Công ty được điều chỉnh tuỳ theo từng thời điểm, bao gồm nhưng không giới hạn: thu thập, ghi, xác nhận, lưu trữ, mã hóa, giải mã, sao chép, xóa, hủy và các hành động khác có liên quan. Tất cả phương thức này phù hợp với những mục đích đề ra tại mục 1 của Thông báo này.

5. Ai có quyền truy cập dữ liệu cá nhân của bạn?

Chỉ thành viên thuộc bộ phận quản trị tại nơi làm việc mà bạn đăng ký đến mới có quyền truy cập vào dữ liệu cá nhân của bạn để thực hiện công việc thuộc trách nhiệm của mình và thực hiện bất kỳ mục đích nào được mô tả trong Thông báo này. 

Bên cạnh đó, một số nơi làm việc được đặt bên trong tòa nhà phức hợp/tòa nhà văn phòng/các khu vực hạn chế ra vào do bên thứ ba quản lý, chúng tôi cũng sẽ chia sẻ dữ liệu của bạn cho những bên này để kiểm soát việc ra vào những nơi hạn chế đó. Việc chia sẻ này sẽ gồm những dữ liệu giới hạn, phục vụ cho mục đích kiểm soát, an ninh và các mục đích được nêu ra tại Thông báo này. Bất kỳ khi nào dữ liệu của bạn được chia sẻ cho hoặc xử lý bởi một bên cung cấp dịch vụ thứ ba có hợp đồng với Công ty, Chúng tôi ký thỏa thuận với nhà cung cấp dịch vụ đó về việc bảo mật dữ liệu của bạn theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

6. Bảo mật 

Chúng tôi xem các dữ liệu cá nhân của các bạn như là tài sản quan trọng của Công ty và Chúng tôi sẽ đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, và hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra (bao gồm nhưng không giới hạn: rò rỉ dữ liệu hoặc xử lý dữ liệu không phù hợp gây tổn hại đến quyền và lợi ích hợp pháp của bạn).

Vì không loại trừ các khả năng không mong muốn như trên, chúng tôi coi dữ liệu cá nhân của bạn là rất quan trọng đối với Công ty và Công ty sẽ đảm bảo tính bảo mật, an toàn và tuân thủ quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Cụ thể là:

• Biện pháp tổ chức: Công ty chỉ định đội chuyên trách bảo vệ dữ liệu của nhân viên và phân công cá nhân chịu trách nhiệm cho việc bảo vệ dữ liệu, cá nhân chịu trách nhiệm về dữ liệu cho từng quy trình.
• Biện pháp vật lý: Công ty cam kết sẽ sử dụng các biện pháp vật lý tốt nhất để bảo vệ máy chủ và máy sao lưu dữ liệu, nơi chứa các dữ liệu cá nhân của Công ty. Các biện pháp vật lý này bao gồm: bổ sung các hệ thống camera giám sát, tạo nhiều lớp khóa ngăn cách và giới hạn số người có thể mở, đội ngũ nhân viên bảo vệ đầy đủ và chất lượng.
• Biện pháp kỹ thuật: Công ty cam kết sẽ sử dụng các biện pháp kỹ thuật tốt nhất để bảo vệ dữ liệu cá nhân của Công ty. Các biện pháp kỹ thuật này bao gồm: thanh lọc dữ liệu, chặn dữ liệu, kiểm tra việc thay đổi dữ liệu, mã hóa trước khi gửi trên HTTPS, truyền dữ liệu thông qua TLS, mã hóa bằng giao thức AES trước khi lưu, giao thức SSL, sao lưu tự động, chứng chỉ kỹ thuật số (SSL), Quản trị Tên người dùng/Mật khẩu, Quản trị ủy quyền quản lý truy cập và Tường lửa (Firewall)…
• Bên cạnh đó, Công ty cũng khuyến cáo các đối tượng có liên quan phải có trách nhiệm đối với các dữ liệu cá nhân của mình và dữ liệu chung của Công ty: hạn chế sử dụng các thiết bị khác ngoài thiết bị được công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu; nếu sử dụng các thiết bị không phải công ty cung cấp để tạo, truy cập, chỉnh sửa, thay đổi dữ liệu thì phải đảm bảo việc cài đặt các công cụ hỗ trợ (diệt virus, quản lý,…) để đảm bảo thiết bị an toàn theo khuyến cáo của bộ phận bảo vệ dữ liệu cá nhân của Công ty. Không mở các trình duyệt, thư điện tử không rõ người gửi, ứng dụng,… mà các đối tượng có liên quan nghi ngờ là có chứa mã độc. Báo cáo ngay cho đội chuyên trách bảo vệ dữ liệu khi nghi ngờ bị xâm phạm dữ liệu hoặc phát hiện hành vi vi phạm về bảo mật dữ liệu; thực hiện các biện pháp an toàn bảo mật dữ liệu khác và khuyến cáo nhân viên Công ty tham gia đầy đủ các khóa học về nhận thức an ninh dữ liệu theo khuyến cáo của Công ty.

Công ty sẽ thông báo cho cơ quan nhà nước có thẩm quyền về Vi phạm Bảo mật Dữ liệu trong một khoảng thời gian luật định sau khi phát hiện ra vi phạm đó.

7. Chúng tôi lưu trữ dữ liệu cá nhân của bạn trong bao lâu?

Chúng tôi sẽ lưu trữ dữ liệu cá nhân của bạn trong khoảng thời gian pháp luật yêu cầu hoặc khoảng thời gian cần thiết cho bất kỳ mục đích nào được liệt kê trong Thông báo này, hoặc để tuân thủ các yêu cầu pháp lý mà Chúng tôi phải tuân theo, miễn là cần thiết một cách hợp lý cho mục đích lưu trữ hoặc miễn là phù hợp với thời hiệu áp dụng. Chúng tôi sẽ thực hiện các bước hợp lý để hủy hoặc hủy nhận dạng dữ liệu cá nhân mà Chúng tôi lưu trữ nếu dữ liệu đó không còn cần thiết cho các mục đích nêu trên hoặc sau khi hết thời hạn lưu giữ đã xác định.

Thời gian chúng tôi bắt đầu xử lý những dữ liệu cá nhân: sau khi bạn đồng ý với Thông báo này. 

Thời gian kết thúc việc xử lý những dữ liệu cá nhân mà bạn cung cấp: Chúng tôi sẽ xóa dữ liệu trong vòng 30 ngày kể từ khi bạn hoàn tất các công việc và rời khỏi văn phòng của chúng tôi, ngoại trừ dữ liệu camera giám sát. Thời gian kết thúc việc xử lý dữ liệu camera giám sát sẽ tuân theo quy định của Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát (2023_CCTV Privacy notice_VN.docx).

8. Quyền và nghĩa vụ của bạn

Bạn có quyền đối với dữ liệu cá nhân của mình, trong đó bao gồm: quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu và các quyền khác theo quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Bạn có nghĩa vụ: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; và các nghĩa vụ khác theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

9. Hiệu lực của thông báo

Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sự khác biệt về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.

Thời hạn áp dụng Thông báo này sẽ được áp dụng từ ngày 01 tháng 01 năm 2026. Thông báo có thể được điều chỉnh tùy theo tình hình hoạt động và việc cập nhật Thông báo sẽ được gửi cho bạn đọc và xác nhận đồng ý.

 

VIII. THÔNG BÁO VỀ ĐIỀU KHOẢN BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI HỆ THỐNG CAMERA GIÁM SÁT

Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam, các chi nhánh, văn phòng đại diện và công ty liên kết (sau đây viết tắt là “HVN” hoặc “Chúng tôi” hoặc “Công ty” hoặc “Bên Kiểm soát và Xử lý dữ liệu”) chịu trách nhiệm về việc xử lý dữ liệu cá nhân của bạn. HVN ban hành “Thông báo điều khoản bảo vệ dữ liệu cá nhân đối với hệ thống camera giám sát”. Thông báo này cung cấp thông tin về mục đích và các loại dữ liệu được thu thập từ hệ thống camera giám sát (gọi tắt là “dữ liệu”), cách dữ liệu được sử dụng và bảo mật, làm rõ quyền riêng tư tại nơi làm việc và thông tin liên hệ trong trường hợp cần thiết.

Thông báo này tuân thủ theo quy định pháp luật hiện hành và chính sách nội bộ của HVN về bảo vệ dữ liệu cá nhân. Thông báo này sẽ được thông báo tại các cổng và các vị trí trước khi vào khu vực được giám sát. Tất cả nhân viên, nhân viên nhà thầu & đối tác thứ ba và khách (sau đây viết tắt là “bạn”) đồng ý vào nhà máy xem như đã đọc và đồng ý với thông báo giám sát này. Nhân viên mới cần được thông báo trước khi bắt đầu công việc của họ tại nhà máy.

1. Định nghĩa

Nhân viên không chỉ giới hạn trong các quan hệ dựa trên hợp đồng lao động. “Nhân viên” trong thông báo này đề cập tới tất cả các trường hợp có mối quan hệ lao động theo nghĩa rộng nhất đối với HEINEKEN Việt Nam, bất kể quan hệ này có dựa trên hợp đồng lao động chính thức hay không (Bao gồm: nhân viên chính thức, nhân viên thời vụ, nhân viên đối tác thứ ba,v.v.).

Nhà thầu và khách bao gồm: viên chức nhà nước, nhà tư vấn, công nhân viên nhà thầu, nhà cung cấp, người làm nghề tự do, tình nguyện viên, những thành viên đại diện cho các tổ chức bên ngoài và các cá nhân khác tới tham quan và làm việc tại nhà máy.

Giám sát an ninh bằng hình ảnh là việc sử dụng hệ thống camera đặt tại các vị trí xác định để ghi lại hình ảnh trực quan về các hoạt động trong khu vực nhà máy để đảm bảo các quy định an toàn, an ninh, an toàn thực phẩm. Việc giám sát bằng hình ảnh không bao gồm thu âm thanh.

2. Cơ sở pháp lý:

Chúng tôi chỉ xử lý dữ liệu cá nhân của bạn nếu có một trong các cơ sở pháp lý sau:

• Lợi ích hợp pháp
  Trường hợp chúng tôi có lợi ích kinh doanh hợp pháp. Chúng tôi sẽ luôn làm như vậy nhưng chỉ trong giới hạn cho phép theo quy định hiện hành về bảo vệ dữ liệu áp dụng cho quá trình xử lý hoặc dữ liệu cá nhân của bạn. 

• Nghĩa vụ pháp lý
  Trường hợp chúng tôi tin rằng cần phải sử dụng thông tin của bạn để tuân thủ nghĩa vụ pháp lý mà chúng tôi phải tuân theo. Ví dụ: nếu chúng tôi được yêu cầu hoặc được hướng dẫn sử dụng giám sát camera trong một số khu vực theo luật hiện hành hoặc theo giấy phép, nhượng quyền, sự đồng thuận hành chính mà chúng tôi được yêu cầu để thực hiện hoạt động kinh doanh.

• Sự đồng thuận
  Hoặc với sự đồng thuận của bạn. Chúng tôi sẽ luôn thông báo cho bạn và yêu cầu sự đồng thuận của bạn nếu chúng tôi cần làm như vậy dựa trên quy định hiện hành về bảo vệ dữ liệu cá nhân áp dụng cho việc xử lý dữ liệu của bạn.

3. Loại dữ liệu cá nhân được xử lý

Chúng tôi xử lý thông tin hình ảnh dựa trên đó chúng tôi có thể nhận dạng bạn dựa trên ngoại hình của bạn hoặc các yếu tố cụ thể khác khi bạn bước vào không gian được giám sát. Nói cách khác: chúng tôi xử lý cảnh quay camera của bạn nếu bạn làm việc tại các địa điểm của chúng tôi hoặc đi vào các địa điểm của chúng tôi nơi giám sát camera đang hoạt động. Thông thường, chúng tôi đã tắt các bản ghi âm thanh.

4. Mục đích:

Chúng tôi sử dụng camera giám sát cho các mục đích sau:

• Để bảo vệ tài sản của nhà máy khỏi bị hư hại, phá hoại và các vi phạm khác;
• Hỗ trợ quản lý hàng ngày, bao gồm đảm bảo sức khỏe, tuân thủ cam kết bảo vệ bản thân, an toàn của nhân viên và các bên có liên quan;
• Hỗ trợ điều tra nội bộ về an ninh & an toàn và chất lượng sản phẩm khi cần thiết;
• Hỗ trợ các cơ quan thực thi pháp luật trong việc phòng ngừa, phát hiện và truy tố tội phạm;
• Hỗ trợ giải quyết hiệu quả các tranh chấp phát sinh trong quá trình tố tụng, kỷ luật;
• Hỗ trợ bào chữa, cung cấp bằng chứng cho bất kỳ vụ kiện dân sự nào, bao gồm cả thủ tục tố tụng của tòa án.

5. Phạm vi áp dụng

Đối tượng: Tất cả nhân viên HVN, nhân viên nhà thầu, nhân viên đối tác thứ ba và khách tham quan.

Khu vực: Thông báo này chỉ áp dụng cho các khu vực mà chúng tôi chịu trách nhiệm quản lý hệ thống giám sát: bao gồm lối đi nội bộ, hành lang, văn phòng làm việc, khu vực sản xuất, các nhà kho, bãi cỏ, căn tin, v.v. (Ngoại trừ khu vực cần quyền riêng tư chính đáng như: nhà vệ sinh, phòng thay đồ).

Thời gian giám sát: 24/7

6. Biện pháp bảo vệ quyền riêng tư của bạn

Chúng tôi cố gắng giảm thiểu tác động của việc sử dụng giám sát camera đối với quyền riêng tư của bạn càng nhiều càng tốt. Các biện pháp chúng tôi đã thực hiện để đạt được điều này bao gồm:

• Nơi đặt camera ghi hình tại các địa điểm của chúng tôi, chúng tôi sẽ đảm bảo rằng các biển báo được hiển thị ở lối vào của khu vực giám sát để thông tin tới bạn rằng hình ảnh của bạn có thể bị ghi lại. Những thông tin trên các biển báo sẽ chứa chi tiết liên hệ của chúng tôi, mục đích sử dụng hệ thống giám sát và người cần liên hệ để biết thêm thông tin. 
• Vị trí của thiết bị camera giám sát sẽ được hiển thị rõ ràng và sẽ có thông báo cho bạn biết sự hiện diện của thiết bị.
• Hệ thống camera giám sát sẽ không sử dụng tính năng thu âm thanh.
• Dữ liệu ghi nhận từ hệ thống giám sát sẽ tự động bị xóa sau 180 ngày đối với các khu vực lắp camera giám sát cho mục đích đảm bảo an toàn thực phẩm và 30 ngày đối với các khu vực còn lại. Điều này để phục vụ các cuộc điều tra kỷ luật, các vấn đề khiếu nại, khiếu kiện và điều tra chất lượng hàng hóa, sản phẩm. Hình ảnh được ghi chỉ được xem bởi các cá nhân thực hiện nhiệm vụ có liên quan hoặc tại các văn phòng được chỉ định.
• Chúng tôi sẽ đảm bảo rằng nguồn cấp dữ liệu trực tiếp từ camera và hình ảnh được ghi lại chỉ được xem bởi các nhân viên được phê duyệt có quyền truy cập vào dữ liệu đó. Điều này có thể bao gồm một số nhân viên có liên quan đến các cuộc điều tra kỷ luật hoặc các vấn đề khiếu kiện. Hình ảnh đã ghi sẽ chỉ được xem trong các văn phòng an toàn được chỉ định.
• Nhân viên sử dụng hệ thống giám sát đã được đào tạo để đảm bảo họ hiểu và tuân thủ các yêu cầu pháp lý liên quan đến việc xử lý dữ liệu.
• Sẽ không có camera giám sát nào được đặt ở những khu vực có mong đợi chính đáng và khách quan về sự riêng tư (ví dụ: trong phòng thay đồ hoặc nhà vệ sinh).

7. Thời gian lưu trữ dữ liệu:

Dữ liệu ghi nhận từ hệ thống giám sát sẽ tự động bị xóa sau 180 ngày đối với các khu vực lắp camera giám sát cho mục đích bảo đảm về an toàn thực phẩm và 30 ngày đối với các khu vực còn lại. Điều này để phục vụ các cuộc điều tra kỷ luật, các vấn đề khiếu kiện và điều tra chất lượng hàng hóa, sản phẩm. Hình ảnh được ghi chỉ được xem bởi các cá nhân hoặc tại các văn phòng được chỉ định.

Khi hết thời hạn sử dụng, tất cả hình ảnh được lưu trữ ở bất kỳ định dạng nào sẽ bị xóa vĩnh viễn và theo cách an toàn. Các thiết bị lưu trữ dữ liệu như băng hoặc đĩa sẽ được thải bỏ như rác thải bí mật. Mọi ảnh tĩnh và bản in ra giấy sẽ được thải bỏ như rác thải bí mật.

Thời gian bắt đầu xử lý dữ liệu được tính từ thời điểm ghi nhận đầu tiên vào khu vực có camera giám sát và thời gian kết thúc xử lý dữ liệu là thời điểm xóa dữ liệu theo thời hạn đã nêu trên. 

8. Đánh giá rủi ro về quyền cá nhân 

Trước khi giới thiệu bất kỳ hệ thống giám sát mới nào, bao gồm cả việc đặt một camera mới ở bất kỳ vị trí nào tại nơi làm việc, chúng tôi sẽ xem xét cẩn thận quy định hiện hành về bảo vệ dữ liệu cá nhân và thực hiện đánh giá tác động của việc xử lý dữ liệu cá nhân khi cần thiết. Việc đánh giá như vậy nhằm hỗ trợ chúng tôi trong việc quyết định xem liệu camera giám sát mới có cần thiết và có nên sử dụng không hoặc liệu có nên đặt ra bất kỳ giới hạn nào đối với việc sử dụng chúng hay không. Chúng tôi sẽ xem xét bản chất của vấn đề mà chúng tôi đang tìm cách giải quyết tại thời điểm đó và liệu camera giám sát có khả năng là một giải pháp hiệu quả, hoặc liệu có một giải pháp nào tốt hơn hay không. Chúng tôi sẽ xem xét ảnh hưởng của camera giám sát đối với các cá nhân và để cân nhắc kỹ lưỡng về sự phù hợp của việc sử dụng nó đối với vấn đề đã được xác định.

Chúng tôi sẽ đảm bảo rằng việc sử dụng hệ thống camera giám sát liên tục hiện có được xem xét thường xuyên, và trong trường hợp có bất kỳ thay đổi nào, để đảm bảo rằng việc sử dụng chúng vẫn cần thiết và phù hợp, và rằng bất kỳ hệ thống giám sát nào cũng đang tiếp tục giải quyết các nhu cầu làm cơ sở cho sự ra đời của hệ thống đó. 

9. Chia sẻ dữ liệu

Dữ liệu camera giám sát có thể được chia sẻ và chuyển giao cho những đối tượng sau đây:

• Tập đoàn HEINEKEN: Chúng tôi là thành viên của HEINEKEN toàn cầu. Chúng tôi có thể chia sẻ thông tin của bạn trong tập đoàn HEINEKEN (www.heinekencompany.com) nếu điều đó là cần thiết để đạt được mục đích mà chúng tôi đã thu thập dữ liệu của bạn. Trong tập đoàn HEINEKEN, ít nhất chúng tôi có thể chia sẻ dữ liệu camera với Proseco BV. Proseco là tổ chức an ninh toàn cầu (nội bộ) của HEINEKEN và cung cấp dịch vụ bảo mật chuyên gia và hỗ trợ cho các công ty liên kết thuộc tập đoàn HEINEKEN.
• Các tổ chức và nhà cung cấp dịch vụ mà chúng tôi đang hợp tác Với lượng lớn dữ liệu do hệ thống giám sát tạo ra, chúng tôi có thể lưu trữ bằng hệ thống điện toán đám mây. Chúng tôi sẽ thực hiện tất cả các bước hợp lý để đảm bảo bất kỳ nhà cung cấp dịch vụ đám mây nào cũng duy trì tính bảo mật thông tin phù hợp với các tiêu chuẩn, quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.
• Các cố vấn chuyên nghiệp của chúng tôi;
• Bất kỳ cơ quan thực thi pháp luật, tòa án, cơ quan quản lý, cơ quan chính phủ hoặc bên thứ ba chúng tôi tin rằng điều này là cần thiết để tuân thủ nghĩa vụ pháp lý hoặc để bảo vệ quyền hợp pháp của chúng tôi và bất kỳ bên thứ ba nào

10. Chuyển dữ liệu của bạn sang các quốc gia khác

Dữ liệu cá nhân của bạn có thể được chuyển sang một quốc gia khác. Ví dụ: nếu dữ liệu của bạn đang được lưu trữ trong một trung tâm dữ liệu bên ngoài quốc gia của bạn, nếu chúng tôi có thể truy cập từ xa vào dữ liệu của bạn từ nước ngoài hoặc một trong những nhà cung cấp CNTT của chúng tôi cung cấp dịch vụ hỗ trợ và bảo trì tại cơ sở từ bên ngoài quốc gia của bạn. Các quốc gia mà chúng tôi chuyển dữ liệu cá nhân đến có thể có các tiêu chuẩn về quyền riêng tư khác với quốc gia của bạn. Chúng tôi sẽ luôn tuân thủ các yêu cầu theo quy định hiện hành về bảo vệ dữ liệu cá nhân tại quốc gia của bạn đối với việc chuyển dữ liệu ra nước ngoài.

Nếu chúng tôi chuyển dữ liệu cá nhân của bạn đến một quốc gia không cung cấp mức độ bảo vệ thích hợp, chúng tôi sẽ đảm bảo rằng chúng tôi sẽ áp dụng các biện pháp bảo vệ thích hợp để bảo vệ dữ liệu cá nhân của bạn hoặc đảm bảo rằng chúng tôi có thể chuyển thông tin của bạn tuân thủ quy định hiện hành về bảo vệ dữ liệu cá nhân.

11. Bảo mật dữ liệu

Chúng tôi sẽ thực hiện các biện pháp kỹ thuật, vật lý và tổ chức phù hợp để bảo vệ thông tin cá nhân của bạn được thu thập thông qua hệ thống camera giám sát khỏi bị lạm dụng hoặc phá hủy, mất mát, thay đổi, tiết lộ, mua lại hoặc truy cập một cách vô tình hoặc bất hợp pháp, phù hợp với các thông lệ và quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Khi chúng tôi ký hợp đồng với bất kỳ nhà cung cấp dịch vụ nào, chúng tôi yêu cầu và ràng buộc các nhà cung cấp dịch vụ sử dụng các biện pháp thích hợp để bảo vệ tính bí mật và an toàn thông tin cá nhân của bạn.

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, chúng tôi đã, đang và sẽ thực hiện các biện pháp nội bộ để đảm bảo rằng những sự cố đó được xác định và giải quyết không chậm trễ. Chúng tôi sẽ nỗ lực ngăn chặn hành vi vi phạm dữ liệu cá nhân của bạn vì những hành vi này có thể ảnh hưởng đến quyền và lợi ích hợp pháp của bạn, chẳng hạn như phân biệt đối xử; tổn hại đến danh tiếng; tổn thất tài chính; hoặc bất kỳ bất lợi đáng kể nào đối với bạn và/hoặc về kinh tế hoặc xã hội. 

12. Quyền và nghĩa vụ của bạn:

12.1 Quyền của bạn:

Bạn có các quyền liên quan đến thông tin cá nhân của bạn theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. Chúng tôi dựa vào sự đồng thuận của bạn để xử lý dữ liệu của bạn. Bạn có thể rút lại sự đồng thuận của mình bất kỳ lúc nào và có thể phản đối một số cách chúng tôi xử lý dữ liệu cá nhân của bạn. Bạn có thể yêu cầu chúng tôi bằng cách sử dụng các chi tiết liên lạc được đề cập bên dưới bất kỳ lúc nào:

• Để truy cập thông tin cá nhân của bạn (tức là có được tổng quan về dữ liệu cá nhân của bạn mà chúng tôi xử lý).
• Để thông tin cá nhân của bạn được sửa chữa, cập nhật, chỉnh sửa hoặc xóa hoặc để hạn chế việc xử lý thông tin cá nhân của bạn.
• Để nhận một bản sao thông tin cá nhân của bạn ở định dạng máy thông thường có thể đọc được hoặc để thông tin này được truyền trực tiếp đến một tổ chức khác (nếu có thể về mặt kỹ thuật).
• Khiếu nại với cơ quan nhà nước có thẩm quyền.

Chúng tôi có quyền che khuất, tạo pixel hoặc làm mờ hình ảnh của bên thứ ba khi tiết lộ dữ liệu giám sát camera cho bạn như một phần của yêu cầu truy cập hoặc nhận dữ liệu của bạn.

Để xác định vị trí các cảnh quay có liên quan một cách hiệu quả và đáp ứng yêu cầu của bạn càng sớm càng tốt, mọi yêu cầu về bản sao của các hình ảnh đã ghi tốt nhất phải bao gồm:

• Thông tin thời gian rõ ràng;
• Vị trí ghi lại cảnh quay; 
• Thông tin cá nhân (Khi cần thiết).

Để đảm bảo rằng chúng tôi không cung cấp thông tin về bạn cho người khác, chúng tôi có thể yêu cầu nhận dạng của bạn trước khi có thể xử lý yêu cầu của bạn.

12.2 Nghĩa vụ của bạn

Bạn có nghĩa vụ tuân thủ quy định về bảo vệ dữ liệu cá nhân theo quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân. 

13. Hiệu lực của Thông báo 

Thông báo này được làm bằng hai ngôn ngữ Tiếng Việt và Tiếng Anh. Trong trường hợp có sự khác nhau về nghĩa giữa bản Tiếng Việt và Tiếng Anh thì bản Tiếng Việt sẽ có giá trị áp dụng.

Thời hạn áp dụng Thông báo này sẽ được áp dụng từ ngày 01 tháng 01 năm 2026. Thông báo có thể được điều chỉnh tùy theo tình hình hoạt động và việc cập nhật Thông báo sẽ được gửi cho bạn đọc và xác nhận. 

 

IX. CHÍNH SÁCH VỀ QUYỀN CỦA CHỦ THỂ DỮ LIỆU CỦA HEINEKEN VIỆT NAM (“Chính sách DSR”)

1. Giới thiệu 

Chính sách về quyền của Chủ thể dữ liệu này (“Chính sách DSR” hoặc “Chính sách”) nêu rõ cách Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam và các chi nhánh, văn phòng đại diện và các công ty liên kết của Công ty TNHH Nhà Máy Bia HEINEKEN Việt Nam (Sau đây viết tắt là “HEINEKEN Việt Nam” hoặc “HEINEKEN” “HVN” hoặc “Công ty” hoặc “Chúng tôi”) tiếp nhận và xử lý các yêu cầu các Chủ thể dữ liệu khác thực hiện các quyền của họ theo chính sách bảo vệ dữ liệu Nhân viên và chính sách bảo vệ dữ liệu khách hàng, nhà cung cấp và đối tác kinh doanh (“Chính sách bảo vệ Dữ liệu”) của HEINEKEN và quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân . Chính sách DSR này bao gồm các nghĩa vụ đối với HVN trong việc thực thi quyền của Chủ thể dữ liệu.

“Chủ thể dữ liệu” là những cá nhân được dữ liệu cá nhân phản ánh. Trong phạm vi hoạt động của HVN, ví dụ: nhân viên HVN, cựu nhân viên, ứng viên xin việc, người tiêu dùng, nhà cung cấp cá nhân hoặc đối tác kinh doanh hoặc người liên hệ với khách hàng kinh doanh hoặc nhà cung cấp.

Chính sách DSR được HEINEKEN Việt Nam ban hành để hướng dẫn các Chủ thể dữ liệu thực hiện quyền đối với dữ liệu cá nhân của mình theo chính sách nội bộ của tập đoàn HEINEKEN và quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể (Chủ thể dữ liệu), bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.

Chi tiết về các quyền, nghĩa vụ của Chủ thể dữ liệu và trách nhiệm tương ứng của HVN trong quá trình xử lý dữ liệu được quy định cụ thể tại Phụ lục 3 đính kèm Chính sách này

2. Nội dung Chính sách DSR và nghĩa vụ của HVN

HVN sẽ được yêu cầu đảm bảo phản hồi tổng thể kịp thời và phù hợp với yêu cầu của Chủ thể dữ liệu để thực hiện các quyền của mình theo Chính sách bảo vệ Dữ liệu.

HVN sẽ đảm bảo rằng các Chủ thể dữ liệu được thông báo đầy đủ về địa điểm và cách thức gửi yêu cầu thực hiện bất kỳ quyền nào trong phạm vi Chính sách DSR này. Thông tin có thể được cung cấp theo một tùy chọn cụ thể trên trang web hoặc thông qua địa chỉ email dành riêng cho các yêu cầu về quyền của Chủ thể dữ liệu, hoặc cho nhân viên thông qua một đầu mối liên hệ chuyên dụng tại bộ phận Nhân sự HVN hoặc toàn cầu. Trong mọi trường hợp, các tuyên bố và thông báo về bảo vệ dữ liệu cá nhân phải bao gồm tham chiếu đến đầu mối liên hệ liên quan để gửi yêu cầu.

Chính sách DSR này này mô tả các bước cần thực hiện trong trường hợp Chủ thể dữ liệu có yêu cầu thực hiện bất kỳ quyền nào của mình, cũng như vai trò và trách nhiệm của họ liên quan đến việc xử lý yêu cầu ( Phụ lục 1. bao gồm sơ đồ phản ánh các bước và vai trò liên quan), tiêu chí để quyết định xem đó có phải là yêu cầu hợp lệ hay không và tiêu chí để xác minh danh tính (Phụ lục 2) và bất kỳ trường hợp ngoại lệ nào có thể áp dụng hoặc các giới hạn có liên quan khi đáp ứng bất kỳ yêu cầu nào như vậy (Phụ lục 3).

3. Vai trò và Trách nhiệm của HVN

Người liên hệ: có vai trò liên quan trong HVN, các Chủ thể dữ liệu biết đến người liên hệ này (Chủ thể dữ liệu trong trường hợp này có thể là: nhân viên, nhân viên cũ, nhân viên đã nghỉ hưu hoặc ứng viên), làm đầu mối liên hệ để gửi yêu cầu về quyền của Chủ thể dữ liệu.

Đầu mối liên hệ đầu tiên: là đầu mối liên hệ chuyên dụng của HVN, có thể bao gồm một email cụ thể hoặc địa chỉ khác được nêu trong thông báo về bảo vệ dữ liệu cá nhân, trên trang web hoặc mạng nội bộ của HVN hoặc được các Chủ thể dữ liệu biết đến. Đây là kênh để các Chủ thể dữ liệu gửi các yêu cầu liên quan. Những đầu mối liên hệ này là (1) đường link yêu cầu thực hiện quyền Chủ thể dữ liệu (2) địa chỉ email privacyvn@heineken.com, hoặc (3) đường dây nóng 19001845.

Người xử lý yêu cầu: nhân sự thuộc bộ phận Bộ phận Bảo mật Thông tin/D&T hoặc các bộ phận liên quan tại HVN, được cấp quyền truy cập vào hệ thống CNTT để thực hiện các thao tác kỹ thuật đối với dữ liệu cá nhân theo đúng phạm vi yêu cầu được nhận từ nhân viên phụ trách bảo vệ dữ liệu cá nhân.

Nhân viên phụ trách bảo mật thông tin (Information Security Officer): có vai trò giám sát và đảm bảo biện pháp bảo mật đạt tiêu chuẩn an toàn kỹ thuật và tính toàn vẹn của dữ liệu trong các hoạt động xử lý dữ liệu.

Nhân viên phụ trách bảo vệ dữ liệu cá nhân (“Privacy Officer”) (“PO”): người sẽ chịu những trách nhiệm được liệt kê dưới đây.

Văn phòng quyền riêng tư toàn cầu (Global Privacy Officer): sẽ được tham khảo ý kiến trong trường hợp PO có câu hỏi về một yêu cầu cụ thể và sẽ là đầu mối liên hệ ở mức tiếp theo cho các yêu cầu từ Chủ thể dữ liệu cũng như trong trường hợp Chủ thể dữ liệu có khiếu nại về việc xử lý yêu cầu của họ.

Nhóm Bảo vệ Dữ liệu cá nhân (“Local Personal Data Protection Team”): được Ban điều hành (MT) của HVN chỉ định để đảm bảo tuân thủ HeiRule về Bảo vệ Dữ liệu , HeiRule về Bảo mật Thông tin và các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân.(*)

4. Thời gian phản hồi và xử lý

HVN sẽ phản hồi và xử lý yêu cầu quyền của Chủ thể dữ liệu trong vòng thời hạn luật định kể từ khi nhận được yêu cầu thực hiện quyền từ Chủ thể dữ liệu.

Nếu Chủ thể dữ liệu từ chối thông báo cho HVN về lý do đưa ra yêu cầu của họ hoặc từ chối cung cấp thêm bất kỳ thông tin chi tiết nào về yêu cầu của họ  hoặc (nếu có) chưa thanh toán phí thực hiện yêu cầu, HVN vẫn phải tiếp tục quá trình xử lý yêu cầu, trừ khi a) danh tính của Chủ thể dữ liệu chưa được xác minh chính xác hoặc b) không rõ yêu cầu đó nhằm mục đích gì (xem Phụ lục 2) hoặc c) yêu cầu rõ ràng là vô căn cứ hoặc quá mức.

5. Xác định chủ thể dữ liệu

HVN cần xác minh danh tính của từng Chủ thể dữ liệu để đảm bảo rằng hành động chính xác được thực hiện trên đúng dữ liệu cá nhân. Phụ lục 2 bao gồm các tiêu chí để xác minh danh tính của Chủ thể dữ liệu gửi yêu cầu. PO sẽ thực hiện xác minh danh tính của Chủ thể dữ liệu gửi yêu cầu theo Phụ lục 2.

HVN sẽ không bắt buộc phải xác minh danh tính của Chủ thể dữ liệu trong trường hợp họ yêu cầu thực hiện quyền phản đối đối với các mục đích tiếp thị trực tiếp. Trên thực tế, đây là khi Chủ thể dữ liệu sử dụng tùy chọn từ chối hoặc hủy đăng ký đối với thông tin liên lạc có liên quan (ví dụ: bản tin hoặc cảnh báo). Đối với những yêu cầu này, không cần xác minh danh tính vì nguy cơ hủy đăng ký cho sai người khá thấp. Ngoài ra, Chủ thể dữ liệu phải có lựa chọn thực hiện quyền từ chối/hủy đăng ký một cách dễ dàng.

Trong trường hợp Chủ thể dữ liệu không cung cấp thông tin nhận dạng cần thiết, HVN sẽ từ chối yêu cầu như được mô tả thêm trong quy trình (Phụ lục 1) và như Phụ lục 2.

6. Chi phí (nếu có), hình thức yêu cầu và phản hồi

Về nguyên tắc, HVN sẽ thực hiện miễn phí mọi quyền. Tuy nhiên, đối với các yêu cầu phát sinh chi phí thực tế phục vụ việc cung cấp hoặc chuyển giao dữ liệu (ví dụ: phí chuyển phát bưu chính hồ sơ dữ liệu), Chủ thể dữ liệu sẽ chịu trách nhiệm thanh toán các khoản phí phát sinh này.

HVN cam kết thiết lập cơ chế thông báo minh bạch về dự toán chi phí trước khi thực hiện. Trên cơ sở đó, Chủ thể dữ liệu có quyền lựa chọn: 

• Tiếp tục thực hiện yêu cầu và xác nhận thanh toán phí.
• Thay đổi phương thức tiếp nhận dữ liệu để tối ưu hóa chi phí.
• Rút lại yêu cầu nếu thấy các chi phí phát sinh không phù hợp với nhu cầu của mình.

HVN sẽ trả lời bằng ngôn ngữ mà Chủ thể dữ liệu đã viết yêu cầu liên quan, ngoại trừ trường hợp HVN muốn trả lời bằng ngôn ngữ khác mà HVN tin rằng Chủ thể dữ liệu sẽ hiểu và thường được chấp nhận ở Việt Nam hoặc quốc gia liên quan. HEINEKEN sẽ hướng tới việc nhận và phản hồi yêu cầu về quyền đối với dữ liệu dưới dạng văn bản điện tử, sử dụng các mẫu được cung cấp trong Chính sách này. HEINEKEN sẽ chỉ phản hồi yêu cầu qua đường bưu điện hoặc fax khi Chủ thể dữ liệu cho biết rõ ràng rằng họ muốn liên lạc qua đường bưu điện hoặc fax.

Trong trường hợp thông tin được cung cấp cho Chủ thể dữ liệu bao gồm dữ liệu cá nhân của các Chủ thể dữ liệu khác và/hoặc thông tin bí mật của HVN, HVN sẽ che giấu thông tin đó trước khi tiết lộ tài liệu liên quan cho Chủ thể dữ liệu yêu cầu.

Trong trường hợp có yêu cầu về quyền truy cập hoặc khả năng di chuyển dữ liệu, khi HVN cần gửi dữ liệu cá nhân đến Chủ thể dữ liệu, Chủ thể dữ liệu sẽ được cung cấp tùy chọn cho biết liệu họ có muốn nhận dữ liệu cá nhân thông qua phương thức liên lạc an toàn hay không. HVN sẽ đảm bảo chỉ sử dụng phương thức liên lạc an toàn được yêu cầu, trong phạm vi có thể (về mặt kỹ thuật).

Trong các trường hợp cụ thể đang được đề cập, HVN có thể bác bỏ hoặc từ chối yêu cầu của Chủ thể dữ liệu như được quy định chi tiết trong Phụ lục 3, kể cả trong trường hợp có 'lợi ích vượt trội', là khi một nhu cầu cấp thiết đối với HVN có thể tồn tại lớn hơn lợi ích của Chủ thể dữ liệu.

7. Quản lý và lưu trữ từng yêu cầu

PO chịu trách nhiệm duy trì một kho lưu trữ cho từng yêu cầu về quyền của chủ thể dữ liệu và tất cả thông tin liên lạc được trao đổi theo yêu cầu, bao gồm xác minh danh tính và phản hồi để xác nhận rằng yêu cầu đã được xử lý, bao gồm tên của chủ thể dữ liệu đã gửi yêu cầu. 

PO đảm bảo rằng kho lưu trữ là chính xác và được cập nhật cũng như thời hạn lưu giữ được chỉ định và trong thời gian đó các yêu cầu và tất cả thông tin trao đổi sẽ được lưu giữ.

Quá trình xử lý yêu cầu của Chủ thể dữ liệu:

PHỤ LỤC 1. QUY TRÌNH NHÂN VÀ XỬ LÝ YÊU CẦU 

MẪU YÊU CẦU THỰC HIỆN QUYỀN ĐỐI VỚI DỮ LIỆU CÁ NHÂN CHO CHỦ THỂ DỮ LIỆU: 

*Bạn cần cung cấp chính xác những thông tin này để yêu cầu của bạn có hiệu lực và HVN có thể phản hồi trong khung thời gian yêu cầu”

1. Thông tin của bạn:

• Họ và tên *
• Số điện thoại *
• Email *
• Chức vụ (nếu chủ thể dữ liệu là nhân viên HVN)

2. Vai trò của bạn*: Bạn là: (i) nhân viên, (ii) người tiêu dùng, (iii) khách hàng, (iv) nhà cung cấp, (v) đối tác kinh doanh, (vi) khác (vui lòng nêu rõ)
3. Sự đồng ý: Nếu trong quá khứ bạn đã từng đồng ý cho chúng tôi xử lý dữ liệu cá nhân của bạn:

• Bạn đồng ý với chúng tôi khi nào:
• Bạn đã đồng ý với chúng tôi bằng cách nào (vd:  thông qua một trong các ứng dụng/hệ thống của chúng tôi, bằng văn bản,…):
• Bạn đã đồng ý cho chúng tôi ở đâu (vd: tại các sự kiện trực tiếp của chúng tôi;…)
• Đối với dữ liệu cá nhân nào*: (vd: tên, ngày sinh, số CMND, địa chỉ,….)
• Vì mục đích gì*:

4. Nội dung: Yêu cầu của bạn là gì: ……………………………….. …………..
5. Giấy tờ tùy thân: Đính kèm giấy tờ chứng minh danh tính của bạn (CMND, hộ chiếu, mã số nhân viên, ….)
6. Phương thức phản hồi: Bạn muốn chúng tôi liên hệ lại với bạn bằng cách nào (ví dụ: email, điện thoại, bài đăng,…):
7. Thông báo: Toàn bộ những thông tin này chỉ phục vụ cho mục đích thực hiền quyền của anh/chị theo quy định về bảo vệ dữ liệu cá nhân. Sau khi yêu cầu của anh/chị đã được giải quyết, thông tin của anh/chị sẽ được Heineken lưu trữ tối đa 2 năm trước khi xóa.  

Ví dụ: Quá trình xử lý yêu cầu của chủ thể dữ liệu qua email privacyvn@heineken.com : .

PHỤ LỤC 2. XÁC MINH DANH TÍNH VÀ ĐÁNH GIÁ YÊU CẦU

Phụ lục này bao gồm quy trình và tiêu chí để xác minh danh tính của chủ thể dữ liệu và để đánh giá xem yêu cầu có đủ cụ thể, có căn cứ và hợp lý hay không.

Giai đoạn	Tiêu chí đánh giá	Hành động
1. Xác minh danh tính	Số điện thoại không thể xác minh (không nhận được mã OTP, liên lạc,…); Bản sao không rõ ràng, không đọc được các thông tin của Chủ thể dữ liệu; Tài liệu không còn giá trị, đã hết hạn.	Từ chối xử lý + thông báo lý do
2. Kiểm tra nội dung	Yêu cầu chỉ rõ: Loại dữ liệu nào? Khoảng thời gian nào? Mô tả chung chung (VD: không đầy đủ chi tiết và/hoặc không cung cấp bằng chứng hoặc lý do hợp lý cho những yêu cầu nhất định theo luật định)	Từ chối + thông báo lý do
3. Đối chiếu pháp lý	Kiểm tra dữ liệu có thuộc trường hợp ngoại lệ (thuế, kế toán,…) mà công ty buộc phải giữ lại dữ liệu không?	Chuyển tiếp tới PO để quyết định từ chối
4. Đánh giá	Yêu cầu có lặp đi lặp lại trong thời gian ngắn không? Yêu cầu này có mang tính cố tình gây khó dễ cho hoạt động của Công ty hay không?	Chuyển tiếp tới PO để quyết định từ chối

PHỤ LỤC 3. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU

Chính sách DSR này bao gồm các nghĩa vụ và quyền sau của Chủ thể dữ liệu:

1. Nghĩa vụ của Chủ thể dữ liệu:

Chịu toàn bộ trách nhiệm về tính đầy đủ, hợp pháp, chính xác, cập nhật thay đổi nhanh chóng và đầy đủ của bất kỳ và tất cả dữ liệu cá nhân cung cấp cho Công ty dưới bất kỳ hình thức hoặc định dạng nào. Công ty có quyền cho rằng dữ liệu cá nhân mà Chủ thể dữ liệu cung cấp là hợp pháp, đúng sự thật, chính xác, cập nhật, và đầy đủ về mọi mặt và Công ty không cần phải xác minh dữ liệu cá nhân đó, trừ trường hợp việc xác minh là nghĩa vụ của Công ty theo quy định của pháp luật. Công ty không chịu trách nhiệm pháp lý đối với bất kỳ tổn thất hoặc thiệt hại trực tiếp và/hoặc gián tiếp nào gây ra cho bất kỳ bên nào do dữ liệu cá nhân được cung cấp bởi Chủ thể dữ liệu cá nhân không chính xác dưới bất kỳ hình thức nào.

Có trách nhiệm thu thập đầy đủ và hợp pháp sự đồng ý của Chủ thể dữ liệu cá nhân và bảo đảm rằng mọi dữ liệu cá nhân do Chủ thể dữ liệu cung cấp cho Công ty, bao gồm nhưng không giới hạn dữ liệu cá nhân của phụ thuộc, người thân của Chủ thể dữ liệu (bao gồm: con ruột, con nuôi; vợ, chồng; cha mẹ đẻ, cha mẹ nuôi; cha mẹ vợ, cha mẹ chồng; anh, chị, em ruột) và bất kỳ cá nhân nào khác, đều được thu thập, xử lý và cung cấp cho Công ty một cách hợp pháp, phù hợp với quy định của pháp luật về bảo vệ dữ liệu cá nhân hiện hành. Chủ thể dữ liệu cam kết rằng việc cung cấp các dữ liệu cá nhân nêu trên không vi phạm quyền, lợi ích hợp pháp của bất kỳ Chủ thể dữ liệu cá nhân nào. Chủ thể dữ liệu đồng ý miễn trừ/bồi hoàn toàn bộ trách nhiệm cho Công ty đối với mọi khiếu nại, tranh chấp, yêu cầu, tổn thất, thiệt hại, nghĩa vụ pháp lý, xử phạt hành chính hoặc trách nhiệm bồi thường (nếu có) phát sinh liên quan đến hoặc xuất phát từ việc dữ liệu cá nhân do Chủ thể dữ liệu c ung cấp (bao gồm dữ liệu cá nhân của Chủ thể dữ liệu, người phụ thuộc, người thân của Chủ thể dữ liệu hoặc bất kỳ cá nhân nào khác) không được thu thập hợp pháp, không có sự đồng ý hợp lệ của Chủ thể dữ liệu cá nhân, không chính xác, không đầy đủ hoặc vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Tôn trọng và tự bảo vệ dữ liệu cá nhân của mình và của các cá nhân khác.

Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân theo quy định về bảo vệ dữ liệu cá nhân.

Các nghĩa vụ khác của Chủ thể dữ liệu cá nhân theo quy định pháp luật.

2. Quyền của Chủ thể dữ liệu:

Quyền được biết: Được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

Quyền đồng ý: Được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân, trừ trường hợp xử lý dữ liệu cá không cần sự đồng ý của Chủ thể dữ liệu cá nhân theo quy định pháp luật.

Quyền yêu cầu cung cấp, xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân: Được quyền yêu cầu cung cấp, xem, chỉnh sửa thông tin về dữ liệu cá nhân của mình và yêu cầu Công ty chỉnh sửa dữ liệu cá nhân trong trường hợp dữ liệu cá nhân có thay đổi, cập nhật và/hoặc dữ liệu cá nhân mà Công ty đang xử lý không chính xác, trừ trường hợp pháp luật có quy định khác. Trong trường hợp việc cung cấp dữ liệu cá nhân có khả năng gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc để bảo vệ tính mạng, sức khỏe, tài sản của các cá nhân khác, HVN có quyền từ chối cung cấp dữ liệu cá nhân theo yêu cầu của Chủ thể dữ liệu và sẽ nêu rõ lý do.

Quyền rút lại sự đồng ý: Được quyền rút lại sự đồng ý cho phép thu thập và xử lý dữ liệu cá nhân tại văn bản này, trừ trường hợp pháp luật có quy định khác. Khi muốn rút lại sự đồng ý của mình, Chủ thể dữ liệu sẽ gửi yêu cầu tới HVN, nêu lý do và những nội dung mà Chủ thể dữ liệu muốn rút lại sự đồng ý của mình. Việc rút lại sự đồng ý không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm Chủ thể dữ liệu yêu cầu rút lại sự đồng ý.

Quyền yêu cầu xóa, hủy, khử nhận dạng dữ liệu cá nhân: Được quyền yêu cầu xóa, hủy, khử nhận dạng dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác. Nếu yêu cầu xóa, hủy dữ liệu cá nhân của Chủ thể dữ liệu thuộc trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của Chủ thể dữ liệu cá nhân và/hoặc vi phạm các nguyên tắc khi thực hiện quyền và nghĩa vụ của Chủ thể dữ liệu cá nhân theo pháp luật về bảo vệ dữ liệu cá nhân. HVN có quyền không thực hiện yêu cầu của Chủ thể dữ liệu cá nhân về việc xóa, hủy dữ liệu cá nhân và sẽ nêu rõ lý do.

Quyền hạn chế xử lý: Được quyền hạn chế xử lý dữ liệu cá nhân. HVN sẽ tiếp tục lưu trữ dữ liệu cá nhân của Chủ thể dữ liệu nhưng sẽ tạm thời dừng các hành động xử lý khác, trừ trường hợp luật có quy định khác. Khi Chủ thể dữ liệu muốn hạn chế xử lý dữ liệu cá nhân của mình, Chủ thể dữ liệu phải gửi thông báo cho HVN, nêu lý do và những nội dung muốn hạn chế xử lý. Việc hạn chế xử lý không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm Chủ thể dữ liệu yêu cầu hạn chế xử lý dữ liệu cá nhân.

Quyền gửi yêu cầu phản đối xử lý dữ liệu cá nhân: Được quyền phản đối việc xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

Quyền yêu cầu bồi thường thiệt hại: Được quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi có bằng chứng rõ ràng về việc Công ty vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

Quyền khiếu nại, tố cáo, khởi kiện: Được quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

Quyền yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Các quyền khác của Chủ thể dữ liệu cá nhân theo quy định pháp luật.

 

X. CHÍNH SÁCH THÔNG BÁO VI PHẠM DỮ LIỆU CÁ NHÂN CỦA HEINEKEN VIETNAM

1. Lời mở đầu

Mọi cá nhân trong HEINEKEN Việt Nam (“HVN”) đều có nghĩa vụ pháp lý trong việc bảo vệ dữ liệu cá nhân. Chính sách Thông báo Vi phạm Dữ liệu Cá nhân này (“Chính sách”) áp dụng trong trường hợp HVN nhận thức (từ nội bộ hoặc từ bên thứ ba) sự cố bảo mật liên quan đến dữ liệu cá nhân đã xảy ra, hoặc có khả năng xảy ra. 

Việc vi phạm dữ liệu cá nhân: 

• Có thể dẫn đến tổn hại về mặt thể chất, vật chất và/hoặc phi vật chất đến các cá nhân; 
• Có thể khiến HVN chịu mức phạt nặng;
• Khi pháp luật yêu cầu, phải được báo cáo cho Cơ quan Bảo vệ Dữ liệu có liên quan và/hoặc cho những cá nhân bị ảnh hưởng.  

Do đó, nếu HVN phát hiện ra việc vi phạm dữ liệu cá nhân đã xảy ra, hoặc có thể xảy ra, HVN phải ngay lập tức thực hiện tất cả biện pháp công nghệ và tổ chức cần thiết để khắc phục sự cố và đảm bảo an toàn cho các dữ liệu cá nhân. Trong mọi trường hợp, Văn phòng Quyền riêng tư Toàn Cầu (GPO) sẽ được thông báo về hành vi vi phạm dữ liệu cá nhân một cách nhanh chóng. Ngoài ra, với yêu cầu các vi phạm phải được báo cáo cho Bộ Công an (“Cơ quan chức năng về Bảo vệ Dữ liệu”).  

Điều quan trọng là mọi cá nhân tại HVN đều biết cách nhận diện hành vi vi phạm dữ liệu cá nhân (hoặc vi phạm tiềm ẩn) và những bước cần thực hiện, đồng thời hiểu tầm quan trọng của việc hành động nhanh chóng, cho phép HVN thực hiện các hành động và tuân thủ Quy trình Bảo mật và bất kỳ nghĩa vụ pháp lý hiện hành nào.

2. Dữ liệu cá nhân là gì?

Dữliệucánhânlà dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân cơ bản bao gồm:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số chứng minh nhân dân, số định danh cá nhân (CCCD), số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con cái, vợ, chồng);
• Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc nhóm dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của người đó, bao gồm:

• Quan điểm chính trị, quan điểm tôn giáo;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án (không bao gồm thông tin về nhóm máu);
• Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
• Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân (dữ liệu sinh trắc học);
• Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán (bao gồm thông tin định danh, tài khoản, số dư, tiền gửi, tài sản gửi, giao dịch...);
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần áp dụng biện pháp bảo mật nghiêm ngặt.

Trong các hoạt động kinh doanh hàng ngày của mình, HVN xử lý dữ liệu cá nhân của nhân viên, người tiêu dùng, khách hàng, khách thăm, đối tác kinh doanh và nhà cung cấp của HVN. 

3. Vi phạm dữ liệu cá nhân là gì?

Vi phạm dữ liệu cá nhân là một sự cố bảo mật dẫn đến việc thu thập, truy cập, sử dụng hoặc tiết lộ trái phép dữ liệu cá nhân không được mã hóa làm tổn hại đến tính bảo mật hoặc quyền riêng tư của thông tin này.  Chính sách này liên quan đến các sự cố bảo mật dính dáng đến dữ liệu cá nhân được lưu trữ, chuyển giao, kiểm soát hoặc xử lý theo cách khác (nói chung là "xử lý") bởi HVN.  

Việc sử dụng hoặc truy cập có thể bao gồm: 

• Tiêu hủy dữ liệu cá nhân: là khi dữ liệu không còn tồn tại hoặc không còn tồn tại ở dạng thông tin có ích cho HVN.  
• Mất dữ liệu cá nhân: là khi dữ liệu có thể vẫn còn tồn tại, nhưng HVN đã mất quyền kiểm soát hoặc quyền truy cập vào dữ liệu đó, hoặc không còn sở hữu dữ liệu đó.  
• Thay đổi: là khi dữ liệu cá nhân đã bị thay đổi, sai lệch hoặc không còn đầy đủ.  
• Xử lý trái phép hoặc bất hợp pháp: có thể bao gồm tiết lộ dữ liệu cá nhân (hoặc cho phép truy cập bởi) người nhận không được phép nhận (hoặc truy cập) dữ liệu, hoặc bất kỳ cách xử lý dữ liệu cá nhân nào khác vi phạm luật bảo vệ quyền riêng tư hiện hành. 

Ví dụ: 

• Mạng của HVN bị nhiễm ransomware (một phần mềm độc hại mã hõa dữ liệu của HVN cho đến khi  được trả tiền chuộc). 
• Một thiết bị không được mã hóa, ví dụ như thẻ USB, chứa dữ liệu cá nhân bị mất hoặc bị đánh cắp. 
• HVN đã gửi một email đến sai danh sách gửi thư, hoặc HEINEKEN đã mắc lỗi trong quá trình BCC/CC. 
• Một chiếc cặp đựng giấy tờ về dữ liệu cá nhân bị mất hoặc bị đánh cắp. 
• Một trong những thị trường trực tuyến của HEINEKEN bị tấn công mạng và tên người dùng và lịch sử mua hàng bị công bố trên mạng bởi kẻ tấn công. 
• Dữ liệu cá nhân bị tuồn ra từ một trang web bảo mật do HEINEKEN quản lý trong một cuộc tấn công mạng.

4. Trách nhiệm của HEINEKEN’s là gì?

Khi vi phạm dữ liệu cá nhân xảy ra, hoặc có khả năng xảy ra, HVN phải ngay lập tức thực hiện tất cả những biện pháp công nghệ và tổ chức cần thiết để khắc phục sự cố và đảm bảo dữ liệu cá nhân được an toàn. 

Nếu đáp ứng các điều kiện thông báo, HVN phải thông báo vi phạm cho Cơ quan Bảo vệ Dữ liệu liên quan quan và/hoặc các cá nhân bị ảnh hưởng. 

Nếu vi phạm dữ liệu cá nhân đáp ứng các yêu cầu quy định trong Quy trình Bảo mật (sự cố bảo mật – đã xảy ra do sự truy cập trái phép hoặc có mục đích sử dụng dữ liệu cá nhân khác - ảnh hưởng đến tính bảo mật hoặc quyền riêng tư của thông tin đó - gây rủi ro cao cho các cá nhân có dữ liệu liên quan): vi phạm phải được báo cáo cho GPO. GPO cũng có thể yêu cầu HVN thông báo cho các cá nhân liên quan.  

HVN phải lưu giữ hồ sơ của tất cả các vi phạm đã xảy ra trong tổ chức. Hồ sơ này phải bao gồm thông tin về các sự kiện liên quan đến vi phạm, ảnh hưởng của nó và những hành động nào đã được thực hiện để khắc phục vi phạm.

5. Hậu quả của việc không tuân thủ là gì?

HVN đứng trước nguy cơ bị tổn hại uy tín vì không bảo mật dữ liệu cá nhân và sẽ  phải chịu mức phạt rất lớn nếu không tuân thủ theo quy định của pháp luật hiện hành.

6. Trách nhiệm của nhân viên

Mỗi nhân viên đều có trách nhiệm đảm bảo tuân thủ theo quy trình nội bộ để báo cáo vi phạm, hoặc vi phạm tiềm ẩn, được nêu trong chính sách này ngay khi họ nhận thức về nó. Do đó, mỗi đồng nghiệp cần liên hệ ngay lập tức với Bộ phận hỗ trợ dịch vụ IT toàn cầu (Global Service Desk – GSD) hoặc Bộ phận hỗ trợ dịch vụ IT (IT Helpdesk) tại HVN  trong trường hợp có khả năng xảy ra vi phạm dữ liệu cá nhân.  

Để có cái nhìn đầy đủ về quy trình vi phạm dữ liệu cá nhân của HVN, vui lòng xem sơ đồ quy trình tại đây:

7. Báo cáo vi phạm dữ liệu cá nhân nội bộ ở đâu? 

Khi nhân viên nhận thấy có dấu hiệu (nội bộ hoặc từ bên thứ ba) về sự cố bảo mật liên quan đến dữ liệu cá nhân đã xảy ra, hoặc có khả năng xảy ra, nhân viên phải báo cáo về sự cố ngay lập tức. Các sự cố phải được báo cáo ngay lập tức bằng cách tạo một phiếu trong ServiceNow, có thể thông qua cổng GSD Self Service  hoặc bằng cách gọi cho nhóm GSD hoặc giao cho IT Helpdesk của HVN. 

Khi có sự tham gia của Bên Xử lý Dữ liệu, Bên Xử lý Dữ liệu báo cáo ngay lập tức sự cố bảo mật trực tiếp cho IT Helpdesk của HVN hoặc thông qua người liên hệ được đề cập trong thỏa thuận xử lý dữ liệu (DPA). 

Lưu ý quan trọng: Mọi vi phạm dữ liệu nhạy cảm phải được báo cáo tới Bộ Công an chậm nhất 72 giờ sau khi phát hiện. Với vi phạm liên quan đến dữ liệu vị trí và sinh trắc học, tổ chức bắt buộc phải thông báo cho cả Chủ thể dữ liệu về tính chất sự cố và các biện pháp giảm thiểu thiệt hại.

8. Global Service Desk hay HVN IT Helpdesk

Các đồng nghiệp cần báo cáo về sự cố có khả năng liên quan đến dữ liệu cá nhân thông qua GSD Self Service hoặc gọi cho nhóm GSD hoặc IT Helpdesk của HVN: 

• Trong quá trình báo cáo sự cố, người báo cáo được yêu cầu cung cấp các chi tiết cụ thể, nếu có, về vi phạm dữ liệu cá nhân tiềm ẩn hoặc vi phạm dữ liệu cá nhân thực tế, chẳng hạn như sự cố xảy ra khi nào, loại dữ liệu cá nhân nào có thể liên quan, các cá nhân có thể liên quan, v.v.;  
• Khi sự cố đã được đưa ra, một thông báo email sẽ tự động được gửi đến Nhóm xử lý sự cố vi phạm dữ liệu tại HVN, bao gồm Cán bộ quyền riêng tư (PO) của HVN. 

Khi có nhiều hơn một đơn vị HEINEKEN (có khả năng) bị ảnh hưởng bởi vi phạm, HEINEKEN Global Service Desk (GSD) cũng sẽ được chỉ định đến các Nhóm xử lý sự cố an ninh mạng có liên quan, cũng như POs và GPO.

9. Nhóm xử lý sự cố vi phạm dữ liệu

“Nhóm xử lý sự cố vi phạm dữ liệu” bao gồm Nhân viên phụ trách Bảo vệ Dữ liệu Cá nhân (PO) của HVN và Nhân viên an ninh mạng (Cyber Security Officer - CSO)  tùy thuộc vào việc vi phạm bảo mật được xác định ở cấp địa phương (Việt Nam) hay ở cấp Toàn cầu. Nhóm xử lý sự cố vi phạm dữ liệu  chịu trách nhiệm xử lý các vấn đề liên quan đến CNTT của sự cố bảo mật.  

Nhóm xử lý sự cố vi phạm dữ liệu:  

Bộ phận	Trách nhiệm
Bảo mật (CSO)	Thu thập thêm thông tin về vi phạm, bao gồm các trường hợp vi phạm và các cá nhân bị ảnh hưởng (nếu có)   Thực hiện các bước cần thiết để khắc phục vi phạm, theo dõi tiến độ hoàn thành biện pháp khắc phục  Cập nhât tức thì và liên tục và/hoặc tham khảo ý kiến của (PO) (email/cuộc họp) khi có báo cáo và khi thực hiện biện pháp khắc phục  Đảm bảo rằng tất cả tài liệu liên quan đến vi phạm đã được thêm vào Service Now
Pháp lý (PO)	Xác định các bước khắc phục và theo sát tiến độ khắc phục   Báo cáo vi phạm dữ liệu cho Cơ quan Bảo vệ Dữ liệu trong vòng 72 giờ (bao gồm báo cáo về sự chậm trễ trong việc xử lý vi phạm khi không thể cung cấp biện pháp khắc phục trong khung thời gian yêu cầu) đối với trường hợp bắt buộc phải báo cáo theo luật định.
Các bộ phận khác	Hợp tác và hỗ trợ CSO và PO khi cần thiết

10. Nhân viên phụ trách bảo vệ dữ liệu cá nhân (PO) của HVN

‘PO  của HVN’ chịu trách nhiệm xử lý sự cố an ninh. Khi PO  của HVN được thông báo về một sự cố xảy ra, PO  của HVN sẽ cần:  

• Xác thực xem dữ liệu liên quan có thực sự được coi là dữ liệu cá nhân hay không và đánh giá xem sự cố có liên quan đến vi phạm dữ liệu cá nhân tiềm ẩn có cần điều tra thêm và/hoặc cần thông báo không. Nếu có, hãy cảnh báo, kết nối và làm việc cùng với Nhóm xử lý sự cố vi phạm dữ liệu  và những Chuyên gia về vi phạm dữ liệu  có liên quan khác. Nếu không, hãy chỉ dẫn CSO đóng phiếu trong ServiceNow; 
• Xác minh những thông tin liên quan đến việc vi phạm dữ liệu cá nhân, cũng như về khả năng và mức độ nghiêm trọng của rủi ro xảy ra với các cá nhân bị ảnh hưởng. Để thực hiện việc này, PO  sẽ làm việc cùng với CSO và, khi cần, những Chuyên gia về vi phạm dữ liệu có liên quan khác;   
• Đánh giá xem sự cố được xem là vi phạm dữ liệu cá nhân có cần thông báo cho Cơ quan Bảo vệ Dữ liệu hay không;    
• Thông báo cho GPO  về vi phạm dữ liệu cá nhân; 
• Đảm bảo về việc thông báo vi phạm dữ liệu cá nhân theo yêu cầu và trong thời hạn thông báo cho phép;  
• Trong trường hợp các cá nhân phải hoặc cần được thông báo, đảm bảo hợp tác với Bộ phận Đối ngoại của HVN trong việc soạn thảo và truyền đạt thông báo;
• Cùng hợp tác xác định các bước khắc phục với CSO và các nhóm HEINEKEN có liên quan;  
• Đảm bảo luôn có một người dự bị cho vị trí PO trong trường hợp PO không có mặt.  PO dự bị phải được đưa vào Nhóm xử lý sự cố vi phạm dữ liệu trong ServiceNow.

Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, PO tại địa phương cũng sẽ làm việc cùng với các Nhóm xử lý sự cố vi phạm dữ liệu khác, các PO , GPO,  các bộ phận bảo mật toàn cầu hoặc khu vực và (các) Bộ phận Đối ngoại khác có liên quan.  

Khi có sự tham gia của Bên Xử lý Dữ liệu, Nhóm xử lý vi phạm dữ liệu cũng sẽ làm việc với Nhóm Vi phạm Dữ liệu Cá nhân (Personal Data Breach Team) của Bên Xử lý Dữ liệu.

11. Bộ phận Đối ngoại của HVN 

Bộ phận Đối ngoại sẽ làm việc với Privacy Officer để soạn thảo và gửi phản hồi tới các cá nhân khi được yêu cầu. Bộ phận Đối ngoại sẽ sử dụng các mẫu thông báo do PO cung cấp. Bộ phận Đối ngoại luôn có thể liên hệ với Bộ phận Đối ngoại Toàn cầu khi cần hỗ trợ thêm.   

Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, Nhóm xử lý vi phạm dữ liệu sẽ ngay lập tức thông báo và làm việc với các PO  có liên quan  và GPO , đồng thời làm việc với các Nhóm xử lý vi phạm dữ liệu có liên quan khác.  

12. Văn phòng quyền riêng tư toàn cầu (GPO) 

Văn phòng quyền riêng tư toàn cầu , đứng đầu bởi Cán bộ quyền riêng tư toàn cầu , phải được  nhanh chóng thông báo về tất cả vi phạm dữ liệu cá nhân cần được thông báo đến Cơ quan chức năng về Bảo vệ Dữ liệu. GPO  có thể hướng dẫn HVN  thông báo cho các cá nhân bị ảnh hưởng của vi phạm dữ liệu cá nhân, trong trường hợp không có nghĩa vụ pháp lý nào về việc phải thông báo cho các cá nhân theo pháp luật Việt Nam. HVN phải tuân thủ các hướng dẫn của GPO. 

PO của HVN  tham khảo ý kiến của GPO khi cần hỗ trợ thêm và khi vi phạm dữ liệu cá nhân (tiềm ẩn) có khả năng liên quan đến nhiều quốc gia. 

Khi có nhiều hơn một OpCo ở nhiều hơn một quốc gia bị ảnh hưởng bởi vi phạm, GPO phối hợp và cố gắng đảm bảo tính nhất quán trong việc xử lý vi phạm dữ liệu cá nhân giữa PO tại  các OpCo và làm việc với Bộ phận Đối ngoại Toàn cầu hoặc Khu vực trong trường hợp cần liên lạc với các cá nhân bị ảnh hưởng. 

13. Bộ phận Đối ngoại Toàn cầu/Khu vực 

Bộ phận Đối ngoại tại HVN liên hệ Bộ phận Đối ngoại Toàn cầu hoặc Khu vực khi cần hỗ trợ thêm để đánh giá bất kỳ thông tin liên lạc bên ngoài và/hoặc nội bộ nào liên quan đến vi phạm dữ liệu cá nhân.  

Khi có nhiều hơn một OpCobị ảnh hưởng bởi vi phạm, Bộ phận Đối ngoại Toàn cầu hoặc Khu vực phối hợp với các Bộ phận Đối ngoại tại OpCo và làm việc cùng với GPO để xử lý thông tin liên lạc bên ngoài và/hoặc nội bộ. 

14. Quản lý Khủng hoảng 

HEINEKEN có sẵn quy trình Quản lý Khủng hoảng áp dụng cho Chính sách này. Khi được yêu cầu, Nhóm xử lý sự cố vi phạm dữ liệu sẽ áp dụng quy trình Quản lý Khủng hoảng. 

15. Thông báo cho các Cá nhân 

Tất cả các thông báo về vi phạm dữ liệu cá nhân gửi đến các cá nhân bị ảnh hưởng phải được phối hợp soạn thảo bởi Bộ phận Đối ngoại và PO. 

Bộ phận Đối ngoại của HVN sẽ xác định cách thức thông báo cho các cá nhân trong từng trường hợp cụ thể (ví dụ: thông báo sẽ đến từ ai trong HVN, hình thức và thông báo đó được thực hiện bởi cá nhân hay đại chúng). 

Khi thích hợp, thông báo cũng nên bao gồm lời khuyên cụ thể cho các cá nhân để tự bảo vệ bản thân khỏi những hậu quả bất lợi có thể xảy ra từ vi phạm, chẳng hạn như đặt lại mật khẩu trong trường hợp thông tin đăng nhập của họ bị xâm phạm. 

Thông báo cho các cá nhân về vi phạm dữ liệu cá nhân phải tách biệt với mọi thông tin liên lạc khác như các cập nhật thường xuyên, bản tin hoặc những tin nhắn tiêu chuẩn. Thông báo phải rõ ràng và minh bạch.

16. Đăng ký 

PO của HVN có trách nhiệm chung trong việc đảm bảo rằng tất cả thông tin liên quan đến vi phạm dữ liệu cá nhân đều được đăng ký trên OneTrust. Khi không cần điều tra thêm, PO của HVN sẽ hướng dẫn CSO đóng phiếu về sự cố trên ServiceNow. 

Tất cả các vi phạm dữ liệu cá nhân đều tuân theo quy trình đăng ký ở trên, bao gồm cả những vi phạm không được báo cáo cho Cơ quan chức năng về Bảo vệ Dữ liệu liên quan.  

Các thông tin bắt buộc phải  đăng ký trên OneTrust bao gồm: 

• Thông tin chi tiết về hành vi vi phạm, bao gồm: 
  - Thời gian
  - Địa điểm
  - (Các) Nguyên nhân
  - Mô tả sự việc/Vi phạm
  - Tổ chức, cá nhân, loại dữ liệu cá nhân và số lượng dữ liệu cá nhân có liên quan
• Nhân viên phụ trách bảo vệ dữ liệu cá nhân:
  - Họ và tên:
  - Chức vụ:
  - Số điện thoại:
  - E-mail: 
• Ảnh hưởng và hậu quả của hành vi vi phạm; 
• Chi tiết về các bước được thực hiện để khắc phục vi phạm; 
• Pháp luật tại địa phương có quy định về việc yêu cầu thông báo vi phạm dữ liệu cá nhân cho Cơ quan chức năng về Bảo vệ Dữ liệu và/hoặc cá nhân hay không; 
• Nếu quy định tại địa phương đó có yêu cầu: lý do đưa ra quyết định không thông báo hoặc không thông báo trong khoảng thời gian yêu cầu và bằng chứng biện minh cho bất kỳ sự chậm trễ nào; 
• Trong trường hợp vi phạm đã được thông báo cho Cơ quan chức năng về Bảo vệ Dữ liệuliên quan và/hoặc các cá nhân bị ảnh hưởng, sẽ có một bản sao của (các) thông báo và bằng chứng chứng minh rằng thông báo được cung cấp kịp thời, minh bạch và hiệu quả. 

Thông tin này sẽ được lưu giữ trong OneTrust trong thời hạn 3 năm kể từ ngày vi phạm dữ liệu cá nhân được đăng ký, trừ khi luật hiện hành của địa phương quy định thời gian lưu trữ lâu hơn. 

17. Thông tin liên lạc 

Người liên hệ	Nguyễn Lan Hương  HEINEKEN Vietnam Privacy Officer  NguyenLan.Huong@heineken.com
	Bùi Đức Thảo  HEINEKEN Vietnam Data Protection Officer   BuiDuc.Thao@heineken.com
	Nguyễn Đức Phát HEINEKEN Vietnam Security Coordinator  nguyenduc.phat3@heineken.com