Giảm 20% Găng tay Nữ
Kho Hàng Nam - Giảm đến 50%
Outlet Nữ - Giảm đến 50%
NHẬN GIẢM GIÁ 10% CHO ĐƠN HÀNG ĐẦU TIÊN KHI BẠN ĐĂNG KÝ NHẬN BẢN TIN CỦA CHÚNG TÔI
Dents Dents
Tìm kiếm
Đăng nhập
Tìm kiếm
Tìm kiếm
Túi của tôi
Túi của tôi
Túi của tôi
Tìm kiếm
Close

Lời nói đầu

Chính sách Bảo vệ Dữ liệu Doanh nghiệp của chúng tôi đưa ra các yêu cầu nghiêm ngặt cho việc xử lý dữ liệu cá nhân liên quan đến khách hàng, khách hàng tiềm năng, đối tác kinh doanh và nhân viên. Nó đáp ứng các yêu cầu của Chỉ thị Bảo vệ Dữ liệu Châu Âu (GDPR) và đảm bảo tuân thủ các nguyên tắc của luật bảo vệ dữ liệu quốc gia và quốc tế.

Chính sách này đặt ra các tiêu chuẩn bảo vệ dữ liệu và an ninh áp dụng cho công ty chúng tôi và điều chỉnh việc chia sẻ thông tin giữa các công ty trong Tập đoàn. Chúng tôi đã thiết lập bảy nguyên tắc bảo vệ dữ liệu – trong đó có tính minh bạch, tiết kiệm dữ liệu và an ninh dữ liệu – làm hướng dẫn của mình.

Các nhà quản lý và nhân viên của chúng tôi có nghĩa vụ tuân thủ Chính sách và quan sát các luật bảo vệ dữ liệu địa phương của họ.

Là người chịu trách nhiệm về Bảo vệ Dữ liệu Doanh nghiệp, nhiệm vụ của tôi là đảm bảo các quy tắc và nguyên tắc bảo vệ dữ liệu tại Dents được tuân thủ.

Robert Yentob

Chủ tịch

23/5/18

Mục lục

I. Mục tiêu của Chính sách Bảo vệ Dữ liệu

II. Phạm vi của Chính sách Bảo vệ Dữ liệu

III. Áp dụng luật quốc gia

IV. Nguyên tắc xử lý dữ liệu cá nhân

1. Công bằng và hợp pháp

2. Giới hạn cho một mục đích cụ thể

3. Minh bạch

4. Giảm thiểu dữ liệu và tiết kiệm dữ liệu

5. Xóa dữ liệu

6. Độ chính xác thực tế; dữ liệu cập nhật

7. Bảo mật và an ninh dữ liệu

V. Độ tin cậy của xử lý dữ liệu

1. Dữ liệu khách hàng và đối tác

1.1 Xử lý dữ liệu cho mối quan hệ hợp đồng

1.2 Xử lý dữ liệu cho mục đích quảng cáo

1.3 Sự đồng ý cho việc xử lý dữ liệu

1.4 Xử lý dữ liệu theo ủy quyền pháp lý

1.5 Xử lý dữ liệu theo lợi ích hợp pháp

1.6 Xử lý dữ liệu nhạy cảm cao

1.7 Các quyết định cá nhân tự động

1.8 Dữ liệu người dùng và internet

2. Dữ liệu nhân viên

2.1 Xử lý dữ liệu cho mối quan hệ lao động

2.2 Xử lý dữ liệu theo ủy quyền pháp lý

2.3 Sự đồng ý cho việc xử lý dữ liệu

2.4 Xử lý dữ liệu theo lợi ích hợp pháp

2.5 Xử lý dữ liệu nhạy cảm cao

2.6 Quyết định tự động

2.7 Viễn thông và internet

VI. Truyền dữ liệu cá nhân

VII. Xử lý dữ liệu theo hợp đồng

VIII. Quyền của chủ thể dữ liệu

IX. Bảo mật trong xử lý

X. An ninh xử lý

XI. Kiểm soát bảo vệ dữ liệu

XII. Sự cố bảo vệ dữ liệu

XIII. Trách nhiệm và hình phạt

  1. I. Mục tiêu của Chính sách Bảo vệ Dữ liệu

Là một phần của trách nhiệm xã hội, Tập đoàn Dewhurst Dent (Tập đoàn) cam kết tuân thủ các luật bảo vệ dữ liệu. Chính sách Bảo vệ Dữ liệu này áp dụng trên toàn thế giới cho Tập đoàn và dựa trên các nguyên tắc cơ bản được chấp nhận toàn cầu về bảo vệ dữ liệu. Đảm bảo bảo vệ dữ liệu là nền tảng của các mối quan hệ kinh doanh đáng tin cậy và danh tiếng của tất cả các công ty trong Tập đoàn như một nhà tuyển dụng hấp dẫn.

Chính sách Bảo vệ Dữ liệu cung cấp một trong những điều kiện khung cần thiết cho việc truyền dữ liệu xuyên biên giới

truyền dữ liệu giữa các công ty trong Tập đoàn. Nó đảm bảo mức độ bảo vệ dữ liệu phù hợp

được quy định bởi GDPR và các luật quốc gia về truyền dữ liệu xuyên biên giới, bao gồm cả ở các quốc gia chưa có luật bảo vệ dữ liệu đầy đủ.

  1. II. Phạm vi của Chính sách Bảo vệ Dữ liệu

Chính sách Bảo vệ Dữ liệu này áp dụng cho tất cả các công ty và bộ phận của Tập đoàn, tức là Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) và Hersil Fabrics.

Chính sách Bảo vệ Dữ liệu mở rộng đến tất cả các xử lý dữ liệu cá nhân

  1. III. Áp dụng luật quốc gia

Chính sách Bảo vệ Dữ liệu này bao gồm các nguyên tắc bảo mật dữ liệu được chấp nhận trên toàn cầu

mà không thay thế các luật quốc gia hiện hành. Nó bổ sung cho các luật bảo mật dữ liệu quốc gia. The

luật quốc gia liên quan sẽ được ưu tiên áp dụng trong trường hợp có xung đột với Chính sách Bảo vệ Dữ liệu này

Chính sách, hoặc có các yêu cầu nghiêm ngặt hơn Chính sách này. Nội dung của Chính sách Bảo vệ Dữ liệu này

cũng phải được tuân thủ khi không có luật quốc gia tương ứng. Việc báo cáo

phải tuân thủ các yêu cầu xử lý dữ liệu theo luật quốc gia.

Mỗi công ty trong Tập đoàn chịu trách nhiệm tuân thủ Chính sách Bảo vệ Dữ liệu này và các nghĩa vụ pháp lý. Tất cả nhân viên phải đọc, hiểu và tuân thủ chính sách này cũng như các chính sách liên quan khi xử lý dữ liệu cá nhân và bất kỳ vi phạm nào có thể dẫn đến hành động kỷ luật.

  1. IV. Nguyên tắc xử lý dữ liệu cá nhân

1. Công bằng và hợp pháp

Khi xử lý dữ liệu cá nhân, quyền cá nhân của người được thu thập dữ liệu phải được bảo vệ.

Dữ liệu cá nhân phải được thu thập và xử lý một cách hợp pháp và công bằng. Luật bảo vệ dữ liệu cho phép xử lý cho các mục đích cụ thể, được nêu trong chính sách này. Người được thu thập dữ liệu sẽ được thông báo về các mục đích xử lý dữ liệu cá nhân của họ, chi tiết có thể tìm thấy trong Thông báo Quyền riêng tư của nhân viên công ty.

2. Giới hạn cho một mục đích cụ thể, rõ ràng và hợp pháp

Dữ liệu cá nhân chỉ có thể được xử lý cho các mục đích cụ thể, rõ ràng và hợp pháp và sẽ không được xử lý theo bất kỳ cách nào không tương thích với các mục đích đó. Việc thay đổi mục đích sau đó chỉ có thể thực hiện ở mức độ hạn chế và cần có cơ sở chứng minh.


3. Minh bạch

Người được thu thập dữ liệu phải được thông báo về cách dữ liệu của họ được xử lý. [Nhân viên sẽ được cung cấp Thông báo Quyền riêng tư thông báo cho họ về cách dữ liệu của họ được xử lý.] Thông tin sẽ ngắn gọn, minh bạch, dễ tiếp cận và bằng ngôn ngữ rõ ràng, đơn giản.

Nói chung, dữ liệu cá nhân sẽ được thu thập trực tiếp từ cá nhân liên quan. Khi dữ liệu được thu thập, người được thu thập dữ liệu phải nhận thức hoặc được thông báo về:

» Danh tính của Người kiểm soát Dữ liệu

» Mục đích xử lý dữ liệu

» Các bên thứ ba hoặc các loại bên thứ ba mà dữ liệu có thể được truyền cho

Dữ liệu cá nhân cũng có thể được thu thập gián tiếp (ví dụ, từ bên thứ ba hoặc các nguồn công khai). Người được thu thập dữ liệu sẽ được thông báo về các thông tin trên càng sớm càng tốt sau khi thu thập/nhận dữ liệu.

4. Giảm thiểu dữ liệu và tiết kiệm dữ liệu

Dữ liệu cá nhân phải đầy đủ, liên quan và giới hạn trong phạm vi cần thiết liên quan đến các mục đích mà nó được xử lý. Trước khi xử lý dữ liệu cá nhân, bạn phải xác định liệu việc xử lý dữ liệu cá nhân có cần thiết và ở mức độ nào để đạt được mục đích mà nó được thực hiện.

Khi mục đích cho phép và khi chi phí liên quan phù hợp với mục tiêu đang theo đuổi, dữ liệu ẩn danh hoặc dữ liệu thống kê phải được sử dụng. Dữ liệu cá nhân không được thu thập trước và lưu trữ cho các mục đích tiềm năng trong tương lai trừ khi được yêu cầu hoặc cho phép bởi luật quốc gia.

5. Xóa dữ liệu

Khi dữ liệu cá nhân không còn cần thiết, nó sẽ được xóa theo hướng dẫn và chính sách lưu trữ dữ liệu của Công ty. Chủ thể dữ liệu sẽ được thông báo về khoảng thời gian dữ liệu được lưu trữ và cách xác định khoảng thời gian đó trong Chính sách Quyền riêng tư.

Các bên thứ ba phải được yêu cầu xóa dữ liệu không còn cần thiết khi áp dụng.

6. Độ chính xác thực tế; dữ liệu cập nhật

Dữ liệu cá nhân lưu trữ phải chính xác và – nếu cần – được cập nhật. Các bước phù hợp phải được thực hiện để đảm bảo dữ liệu không chính xác hoặc không đầy đủ được xóa, sửa chữa, bổ sung hoặc cập nhật.

7. Bảo mật và an ninh dữ liệu

Dữ liệu cá nhân phải được giữ bí mật. Nó phải được xử lý như thông tin bí mật ở cấp độ cá nhân và được bảo vệ bằng các biện pháp tổ chức và kỹ thuật phù hợp để ngăn chặn truy cập trái phép, xử lý hoặc phân phối bất hợp pháp, cũng như mất mát, hư hỏng, sửa đổi hoặc phá hủy tình cờ. Chúng tôi đã áp dụng các biện pháp bảo vệ phù hợp với quy mô, phạm vi, nguồn lực và các rủi ro đã xác định, sẽ được đánh giá và kiểm tra định kỳ. Chúng tôi đã thiết lập các thủ tục để xử lý bất kỳ nghi ngờ vi phạm dữ liệu cá nhân nào và sẽ thông báo cho chủ thể dữ liệu hoặc cơ quan quản lý có thẩm quyền khi pháp luật yêu cầu.

Dữ liệu cá nhân chỉ được chuyển cho các nhà cung cấp dịch vụ bên thứ ba đồng ý tuân thủ các chính sách và thủ tục yêu cầu của chúng tôi và đồng ý áp dụng các biện pháp thích hợp để duy trì an ninh dữ liệu. Dữ liệu cá nhân sẽ không được chuyển sang quốc gia khác nếu không có các biện pháp bảo vệ thích hợp.

  1. V. Độ tin cậy của việc xử lý dữ liệu

Việc thu thập, xử lý và sử dụng dữ liệu cá nhân chỉ được phép dựa trên các cơ sở pháp lý sau đây.

Một trong những cơ sở pháp lý này cũng được yêu cầu nếu mục đích thu thập, xử lý và sử dụng dữ liệu cá nhân được thay đổi so với mục đích ban đầu

1. Dữ liệu khách hàng và đối tác

1.1 Xử lý dữ liệu cho mối quan hệ hợp đồng

Dữ liệu cá nhân của các khách hàng tiềm năng, khách hàng và đối tác liên quan có thể được xử lý nhằm thiết lập, thực hiện và chấm dứt hợp đồng. Điều này cũng bao gồm dịch vụ tư vấn cho đối tác theo hợp đồng nếu điều này liên quan đến mục đích hợp đồng. Trước khi ký hợp đồng – trong giai đoạn khởi tạo hợp đồng – dữ liệu cá nhân có thể được xử lý để chuẩn bị báo giá hoặc đơn đặt hàng hoặc để thực hiện các yêu cầu khác của khách hàng tiềm năng liên quan đến việc ký kết hợp đồng. Khách hàng tiềm năng có thể được liên hệ trong quá trình chuẩn bị hợp đồng bằng cách sử dụng thông tin mà họ đã cung cấp. Mọi hạn chế do khách hàng tiềm năng yêu cầu phải được tuân thủ.

1.2 Xử lý dữ liệu cho mục đích quảng cáo

Nếu chủ thể dữ liệu liên hệ với một công ty trong Nhóm để yêu cầu thông tin (ví dụ: yêu cầu nhận tài liệu thông tin về một sản phẩm), việc xử lý dữ liệu để đáp ứng yêu cầu này được phép.

Các biện pháp giữ chân khách hàng hoặc quảng cáo phải tuân thủ các yêu cầu pháp lý bổ sung. Dữ liệu cá nhân có thể được xử lý cho mục đích quảng cáo hoặc nghiên cứu thị trường và ý kiến, với điều kiện phù hợp với mục đích mà dữ liệu ban đầu được thu thập. Chủ thể dữ liệu phải được thông báo về việc sử dụng dữ liệu của họ cho mục đích quảng cáo. Nếu dữ liệu chỉ được thu thập cho mục đích quảng cáo, việc cung cấp dữ liệu từ chủ thể là tự nguyện. Chủ thể dữ liệu sẽ được thông báo rằng việc cung cấp dữ liệu cho mục đích này là tự nguyện. Khi giao tiếp với chủ thể dữ liệu, phải lấy được sự đồng ý của họ để xử lý dữ liệu cho mục đích quảng cáo. Khi cho phép đồng ý, chủ thể dữ liệu nên được lựa chọn giữa các hình thức liên lạc có sẵn như thư thường, email và điện thoại (Xem V.1.3 về Đồng ý). Nếu chủ thể dữ liệu từ chối việc sử dụng dữ liệu của họ cho mục đích quảng cáo, dữ liệu đó không còn được sử dụng cho mục đích này và phải bị chặn khỏi việc sử dụng cho mục đích này. Bất kỳ hạn chế nào khác từ các quốc gia cụ thể liên quan đến việc sử dụng dữ liệu cho mục đích quảng cáo cũng phải được tuân thủ.

1.3 Sự đồng ý cho việc xử lý dữ liệu

Dữ liệu có thể được xử lý sau khi có sự đồng ý của chủ thể dữ liệu. Trước khi cho phép, chủ thể dữ liệu phải được thông báo theo mục IV.3. của Chính sách Bảo vệ Dữ liệu này. Tuyên bố đồng ý phải được thu thập bằng văn bản hoặc điện tử để làm tài liệu. Trong một số trường hợp, như cuộc gọi điện thoại, sự đồng ý có thể được đưa ra bằng lời nói. Việc cấp phép đồng ý phải được ghi lại.

1.4 Xử lý dữ liệu theo ủy quyền pháp lý

Việc xử lý dữ liệu cá nhân cũng được phép nếu luật quốc gia yêu cầu, bắt buộc hoặc cho phép điều này. Loại và phạm vi xử lý dữ liệu phải cần thiết cho hoạt động xử lý dữ liệu được pháp luật cho phép và phải tuân thủ các quy định pháp lý liên quan.

1.5 Xử lý dữ liệu theo lợi ích hợp pháp

Dữ liệu cá nhân cũng có thể được xử lý nếu cần thiết cho lợi ích hợp pháp của Tập đoàn. Lợi ích hợp pháp thường mang tính pháp lý (ví dụ: thu hồi các khoản phải thu chưa thanh toán) hoặc thương mại (ví dụ: tránh vi phạm hợp đồng). Dữ liệu cá nhân không được xử lý cho mục đích lợi ích hợp pháp nếu trong từng trường hợp cụ thể có bằng chứng cho thấy lợi ích của chủ thể dữ liệu cần được bảo vệ và điều này được ưu tiên hơn. Trước khi dữ liệu được xử lý, cần xác định xem có lợi ích nào cần được bảo vệ hay không.

1.6 Xử lý dữ liệu nhạy cảm cao

Dữ liệu cá nhân nhạy cảm cao chỉ có thể được xử lý nếu luật pháp yêu cầu hoặc chủ thể dữ liệu đã cho phép rõ ràng. Dữ liệu này cũng có thể được xử lý nếu việc đó là bắt buộc để khẳng định, thực hiện hoặc bảo vệ các yêu cầu pháp lý liên quan đến chủ thể dữ liệu. Nếu có kế hoạch xử lý dữ liệu nhạy cảm cao, Chủ tịch hoặc CEO của công ty liên quan (người chịu trách nhiệm bảo vệ dữ liệu) phải được thông báo trước.

1.7 Các quyết định cá nhân tự động

Việc xử lý tự động dữ liệu cá nhân được sử dụng để đánh giá một số khía cạnh nhất định (ví dụ: khả năng tín dụng) không thể là cơ sở duy nhất cho các quyết định có hậu quả pháp lý tiêu cực hoặc có thể gây ảnh hưởng đáng kể đến chủ thể dữ liệu. Chủ thể dữ liệu phải được thông báo về các sự kiện và kết quả của các quyết định cá nhân tự động và khả năng phản hồi. Để tránh các quyết định sai lầm, phải có kiểm tra và đánh giá tính hợp lý bởi một nhân viên.

1.8 Dữ liệu người dùng và internet

Nếu dữ liệu cá nhân được thu thập, xử lý và sử dụng trên các trang web hoặc trong ứng dụng, chủ thể dữ liệu phải được thông báo về điều này trong tuyên bố bảo mật và, nếu có, thông tin về cookie. Tuyên bố bảo mật và bất kỳ thông tin cookie nào phải được tích hợp sao cho dễ nhận biết, truy cập trực tiếp và luôn sẵn có cho chủ thể dữ liệu. Nếu tạo hồ sơ sử dụng (theo dõi) để đánh giá việc sử dụng trang web và ứng dụng, chủ thể dữ liệu phải luôn được thông báo tương ứng trong tuyên bố bảo mật. Việc theo dõi cá nhân chỉ được thực hiện nếu được phép theo luật quốc gia hoặc có sự đồng ý của chủ thể dữ liệu. Nếu việc theo dõi sử dụng bí danh, chủ thể dữ liệu nên được cho cơ hội từ chối trong tuyên bố bảo mật. Nếu các trang web hoặc ứng dụng có thể truy cập dữ liệu cá nhân trong khu vực giới hạn cho người dùng đã đăng ký, việc nhận dạng và xác thực chủ thể dữ liệu phải cung cấp sự bảo vệ đủ trong quá trình truy cập.

2. Dữ liệu nhân viên

2.1 Xử lý dữ liệu cho mối quan hệ lao động

Trong các mối quan hệ lao động, dữ liệu cá nhân có thể được xử lý nếu cần thiết để thực hiện hợp đồng lao động, bao gồm khởi đầu, thực hiện và chấm dứt việc làm. Khi bắt đầu một mối quan hệ lao động, dữ liệu cá nhân của ứng viên có thể được xử lý. Nếu ứng viên bị từ chối, dữ liệu của họ phải được xóa trong vòng 6 tháng trừ khi ứng viên đã đồng ý để dữ liệu được lưu giữ cho quá trình tuyển chọn trong tương lai.

Trong mối quan hệ lao động hiện tại, việc xử lý dữ liệu có thể cần thiết cho mục đích thực hiện hợp đồng lao động, nhưng cũng có thể có các cơ sở hợp pháp khác cho việc xử lý, như được nêu dưới đây. Nếu trong quá trình tuyển dụng cần thu thập thông tin về ứng viên từ bên thứ ba, phải tuân thủ các yêu cầu của luật quốc gia tương ứng. Trong trường hợp nghi ngờ, phải có sự đồng ý của chủ thể dữ liệu. Có thể có các cơ sở pháp lý thay thế để xử lý dữ liệu cá nhân liên quan đến mối quan hệ lao động. Điều này có thể bao gồm các yêu cầu pháp lý, sự đồng ý của nhân viên hoặc lợi ích hợp pháp của công ty.

2.2 Xử lý dữ liệu theo nghĩa vụ pháp lý

Việc xử lý dữ liệu cá nhân của nhân viên cũng được phép nếu luật quốc gia yêu cầu, bắt buộc hoặc cho phép điều này. Loại và phạm vi xử lý dữ liệu phải cần thiết cho hoạt động xử lý dữ liệu được pháp luật cho phép và phải tuân thủ các quy định pháp lý liên quan.

2.3 Sự đồng ý cho việc xử lý dữ liệu

Dữ liệu nhân viên có thể được xử lý khi có sự đồng ý của người liên quan. Tuyên bố đồng ý phải được nộp tự nguyện. Sự đồng ý không tự nguyện là vô hiệu. Tuyên bố đồng ý phải được thu thập bằng văn bản hoặc điện tử nhằm mục đích lưu trữ tài liệu. Trong một số trường hợp nhất định, sự đồng ý có thể được đưa ra bằng lời nói, trong trường hợp đó phải được ghi chép đầy đủ.

Người lao động đồng ý xử lý dữ liệu cá nhân của họ nếu họ thể hiện sự đồng ý rõ ràng bằng tuyên bố hoặc hành động tích cực đối với việc xử lý. Nếu sự đồng ý được đưa ra trong một tài liệu liên quan đến các vấn đề khác, sự đồng ý phải được giữ riêng biệt với các vấn đề đó. Người lao động phải có khả năng dễ dàng rút lại sự đồng ý bất cứ lúc nào.

Trừ khi có cơ sở pháp lý khác để xử lý, phải có sự đồng ý rõ ràng để xử lý các loại dữ liệu đặc biệt (xem đoạn 2.5 bên dưới). Thông thường Công ty sẽ dựa vào cơ sở pháp lý khác và sẽ không yêu cầu sự đồng ý rõ ràng để xử lý dữ liệu thuộc loại đặc biệt.

2.4 Xử lý dữ liệu theo lợi ích hợp pháp

Dữ liệu cá nhân cũng có thể được xử lý nếu điều đó cần thiết cho mục đích lợi ích hợp pháp của Tập đoàn hoặc bên thứ ba. Lợi ích hợp pháp thường mang tính pháp lý (ví dụ: lưu trữ, thực thi hoặc bảo vệ chống lại các yêu cầu pháp lý), tài chính (ví dụ: định giá công ty) hoặc bản chất khác (ví dụ: Cần thiết để bảo vệ lợi ích sống còn của cá nhân hoặc người khác hoặc Cần thiết cho việc thực hiện nhiệm vụ được thực hiện vì lợi ích công cộng)

Dữ liệu cá nhân không được xử lý dựa trên lợi ích hợp pháp nếu, trong từng trường hợp cụ thể, những lợi ích đó bị vượt qua bởi lợi ích hoặc quyền và tự do cơ bản của chủ thể dữ liệu đòi hỏi phải bảo vệ dữ liệu cá nhân. Các lợi ích hợp pháp được dựa vào sẽ được nêu trong các Thông báo Quyền riêng tư áp dụng. Hơn nữa, bất kỳ yêu cầu bổ sung nào theo luật quốc gia (ví dụ: quyền đồng quyết định của đại diện người lao động và quyền thông tin của chủ thể dữ liệu) phải được xem xét.

2.5 Xử lý dữ liệu nhạy cảm cao

Dữ liệu cá nhân nhạy cảm cao chỉ có thể được xử lý dưới một số điều kiện nhất định. Dữ liệu nhạy cảm cao là dữ liệu về nguồn gốc chủng tộc và dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, thành viên công đoàn, dữ liệu di truyền, dữ liệu sinh trắc học, dữ liệu sức khỏe và dữ liệu về đời sống tình dục và xu hướng của người chịu tác động. Theo luật quốc gia, các loại dữ liệu khác có thể được coi là nhạy cảm cao hoặc nội dung của các loại dữ liệu có thể được xác định khác đi. Hơn nữa, dữ liệu liên quan đến các bản án và vi phạm hình sự thường chỉ có thể được xử lý theo các yêu cầu đặc biệt theo luật quốc gia. Việc xử lý phải được phép rõ ràng hoặc được quy định theo luật quốc gia. Ngoài ra, việc xử lý có thể được cho phép nếu cần thiết để cơ quan có thẩm quyền thực hiện các quyền và nghĩa vụ trong lĩnh vực luật lao động. Nhân viên cũng có thể đồng ý rõ ràng cho việc xử lý. Nếu có kế hoạch xử lý dữ liệu nhạy cảm cao, Quản lý Bảo vệ Dữ liệu phải được thông báo trước.

Dữ liệu nhạy cảm cao có thể được xử lý trong các trường hợp sau:

  • Với sự đồng ý rõ ràng từ người chịu tác động
  • Khi việc xử lý là cần thiết để thực hiện hoặc thực thi các nghĩa vụ hoặc quyền do pháp luật áp đặt lên người kiểm soát dữ liệu hoặc người chịu tác động liên quan đến việc làm, an sinh xã hội hoặc bảo vệ xã hội và nhà tuyển dụng có tài liệu chính sách phù hợp cùng các biện pháp bảo vệ bổ sung
  • Khi việc xử lý là cần thiết để bảo vệ lợi ích sống còn của cá nhân hoặc người khác và cá nhân không có khả năng cho phép
  • Khi việc xử lý liên quan đến dữ liệu cá nhân mà cá nhân đó đã công khai
  • Khi việc xử lý là cần thiết để thiết lập, thực hiện hoặc bảo vệ các yêu cầu pháp lý
  • Khi việc xử lý là cần thiết vì lý do lợi ích công cộng quan trọng, với điều kiện nhà tuyển dụng có tài liệu chính sách phù hợp và các biện pháp bảo vệ bổ sung. Điều này có thể bao gồm việc xử lý dữ liệu nhằm mục đích thúc đẩy sự bình đẳng trong đối xử
  • Khi việc xử lý là cần thiết để đánh giá khả năng làm việc của cá nhân hoặc theo yêu cầu của một chuyên gia y tế, và tuân thủ các biện pháp bảo mật

2.6 Quyết định tự động

Nếu dữ liệu cá nhân được xử lý tự động như một phần của quan hệ lao động, và các chi tiết cá nhân cụ thể được đánh giá (ví dụ như trong quá trình tuyển dụng nhân sự hoặc đánh giá hồ sơ kỹ năng), việc xử lý tự động này không thể là cơ sở duy nhất cho các quyết định có thể gây hậu quả tiêu cực hoặc ảnh hưởng đáng kể đến nhân viên bị ảnh hưởng. Để tránh các quyết định sai lầm, quy trình tự động phải đảm bảo rằng một người tự nhiên đánh giá nội dung tình huống, và đánh giá này là cơ sở cho quyết định. Người chịu tác động cũng phải được thông báo về các sự kiện và kết quả của việc xử lý tự động cũng như khả năng phản hồi. Công ty không dự kiến sử dụng quyết định tự động nhưng sẽ thông báo cho nhân viên bằng văn bản nếu có thay đổi về vị trí này.

2.7 Viễn thông và internet

Thiết bị điện thoại, địa chỉ email, mạng nội bộ và internet cùng với các mạng xã hội nội bộ được công ty cung cấp chủ yếu cho các nhiệm vụ liên quan đến công việc. Chúng là công cụ và tài nguyên của công ty. Chúng có thể được sử dụng trong phạm vi các quy định pháp luật áp dụng và chính sách nội bộ của công ty. Trong trường hợp sử dụng được phép cho mục đích cá nhân, các luật về bí mật viễn thông và các luật viễn thông quốc gia liên quan phải được tuân thủ nếu có. Sẽ không có việc giám sát chung các cuộc gọi điện thoại và email hoặc việc sử dụng mạng nội bộ/internet. Để phòng chống các cuộc tấn công vào hạ tầng CNTT hoặc người dùng cá nhân, các biện pháp bảo vệ có thể được thực hiện cho các kết nối đến mạng của các công ty trong Nhóm nhằm chặn các nội dung có hại về mặt kỹ thuật hoặc phân tích các mẫu tấn công. Vì lý do an ninh, việc sử dụng thiết bị điện thoại, địa chỉ email, mạng nội bộ/internet và các mạng xã hội nội bộ có thể được ghi lại trong một khoảng thời gian tạm thời. Việc đánh giá dữ liệu này của một người cụ thể chỉ có thể được thực hiện trong trường hợp nghi ngờ vi phạm pháp luật hoặc chính sách của Nhóm. Các luật quốc gia liên quan phải được tuân thủ tương tự như các quy định của Nhóm.

  1. VI. Việc truyền dữ liệu cá nhân

Việc truyền dữ liệu cá nhân cho người nhận bên ngoài hoặc bên trong Nhóm phải tuân theo các yêu cầu cấp phép cho việc xử lý dữ liệu cá nhân theo Mục V. Dữ liệu cá nhân sẽ không được chia sẻ với bên thứ ba trừ khi các biện pháp bảo vệ và thỏa thuận hợp đồng nhất định đã được thiết lập. Người nhận dữ liệu phải được yêu cầu chỉ sử dụng dữ liệu cho các mục đích đã định và theo hướng dẫn của chúng tôi.

Trong trường hợp dữ liệu được truyền cho người nhận bên ngoài Nhóm đến một quốc gia thứ ba, bao gồm cả quốc gia ngoài EU, chúng tôi sẽ đảm bảo rằng có mức độ bảo vệ thích hợp ở quốc gia đó để bảo vệ dữ liệu cá nhân tương đương với các mức độ bảo vệ được nêu trong Chính sách Bảo vệ Dữ liệu này. Nếu dữ liệu được truyền bởi bên thứ ba cho một công ty trong Nhóm, phải đảm bảo rằng dữ liệu sẽ được sử dụng cho mục đích dự định.

  1. VII. Hợp đồng xử lý dữ liệu

Xử lý dữ liệu thay mặt có nghĩa là một nhà cung cấp được thuê để xử lý dữ liệu cá nhân, mà không

được giao trách nhiệm cho quy trình kinh doanh liên quan. Trong những trường hợp này, một thỏa thuận

về Xử lý Dữ liệu thay mặt phải được ký kết với các nhà cung cấp bên ngoài và giữa các công ty

trong Nhóm. Khách hàng giữ toàn bộ trách nhiệm về việc thực hiện đúng việc xử lý dữ liệu. Nhà cung cấp chỉ có thể xử lý dữ liệu cá nhân theo hướng dẫn từ khách hàng. Khi phát hành đơn đặt hàng, các yêu cầu sau phải được tuân thủ; bộ phận đặt hàng phải đảm bảo rằng các yêu cầu này được đáp ứng.

  1. Nhà cung cấp phải được lựa chọn dựa trên khả năng đáp ứng các biện pháp bảo vệ kỹ thuật và tổ chức cần thiết.
  2. Đơn đặt hàng phải được lập bằng văn bản. Các hướng dẫn về xử lý dữ liệu và trách nhiệm của khách hàng và nhà cung cấp phải được ghi lại.
  3. Các tiêu chuẩn hợp đồng về bảo vệ dữ liệu do Quản lý Bảo vệ Dữ liệu cung cấp phải được xem xét.
  4. Trước khi bắt đầu xử lý dữ liệu, khách hàng phải tin tưởng rằng nhà cung cấp sẽ tuân thủ các nghĩa vụ. Một nhà cung cấp có thể chứng minh sự tuân thủ các yêu cầu bảo mật dữ liệu trong

đặc biệt bằng cách trình bày chứng nhận phù hợp. Tùy thuộc vào rủi ro của việc xử lý dữ liệu, các đánh giá phải được lặp lại định kỳ trong thời hạn hợp đồng.

  1. Chỉ sử dụng nhân viên và những người khác có nghĩa vụ bảo mật liên quan đến dữ liệu.
  2. Tuân thủ các nghĩa vụ bảo mật tương đương với những nghĩa vụ áp đặt lên người sử dụng lao động theo GDPR.
  3. Thông báo cho người sử dụng lao động về bất kỳ vi phạm nào liên quan đến dữ liệu cá nhân được chia sẻ bởi người sử dụng lao động.
  4. Chỉ thuê một nhà xử lý phụ với sự cho phép trước của người sử dụng lao động.
    1. Trong trường hợp xử lý dữ liệu theo hợp đồng xuyên biên giới, các yêu cầu quốc gia liên quan để tiết lộ dữ liệu cá nhân ra nước ngoài phải được đáp ứng. Đặc biệt, dữ liệu cá nhân từ Khu vực Kinh tế Châu Âu chỉ có thể được xử lý ở một nước thứ ba nếu nhà cung cấp có thể chứng minh rằng họ có tiêu chuẩn bảo vệ dữ liệu tương đương với Chính sách Bảo vệ Dữ liệu này. Các công cụ phù hợp có thể là:
      1. Thỏa thuận về các điều khoản hợp đồng tiêu chuẩn của EU cho việc xử lý dữ liệu theo hợp đồng ở các nước thứ ba với nhà cung cấp và bất kỳ nhà thầu phụ nào.
      2. Sự tham gia của nhà cung cấp trong hệ thống chứng nhận được EU công nhận để cung cấp mức độ bảo vệ dữ liệu đủ.
      3. Công nhận các quy tắc doanh nghiệp ràng buộc của nhà cung cấp để tạo ra mức độ bảo vệ dữ liệu phù hợp bởi các cơ quan giám sát chịu trách nhiệm về bảo vệ dữ liệu.

  1. VIII. Quyền của người được bảo vệ dữ liệu

Mỗi người được bảo vệ dữ liệu có các quyền sau;

  1. Người được bảo vệ dữ liệu có thể yêu cầu thông tin về dữ liệu cá nhân liên quan đến anh/chị đã được lưu trữ, cách dữ liệu được thu thập và mục đích sử dụng. Nếu có các quyền khác liên quan đến

xem các tài liệu của người sử dụng lao động (ví dụ: hồ sơ nhân sự) cho mối quan hệ lao động theo

các luật lao động liên quan, những điều này sẽ không bị ảnh hưởng.

  1. Nếu dữ liệu cá nhân được truyền cho bên thứ ba, phải cung cấp thông tin về danh tính

của người nhận hoặc các loại người nhận.

  1. Nếu dữ liệu cá nhân không chính xác hoặc không đầy đủ, người được dữ liệu có thể yêu cầu được chỉnh sửa

hoặc bổ sung.

  1. Người được dữ liệu có thể phản đối việc xử lý dữ liệu của họ cho mục đích quảng cáo hoặc nghiên cứu thị trường/ý kiến. Dữ liệu phải được chặn khỏi các loại sử dụng này.
  2. Người được dữ liệu có thể yêu cầu xóa dữ liệu của họ nếu việc xử lý dữ liệu đó không có cơ sở pháp lý, hoặc nếu cơ sở pháp lý đã không còn hiệu lực. Điều này cũng áp dụng nếu mục đích xử lý dữ liệu đã hết hạn hoặc không còn phù hợp vì lý do khác. Phải tuân thủ các thời hạn lưu giữ hiện có và các lợi ích mâu thuẫn cần được bảo vệ.
  3. Người được dữ liệu thường có quyền phản đối việc xử lý dữ liệu của họ khi chúng tôi dựa vào lợi ích hợp pháp (hoặc lợi ích của bên thứ ba) để xử lý và có điều gì đó trong tình huống cá nhân của người được dữ liệu khiến họ muốn phản đối việc xử lý trên cơ sở này. Điều này phải được xem xét nếu việc bảo vệ lợi ích của họ được ưu tiên hơn lợi ích của người kiểm soát dữ liệu do tình huống cá nhân đặc biệt. Điều này không áp dụng nếu có quy định pháp luật yêu cầu xử lý dữ liệu hoặc nếu việc xử lý cần thiết cho việc thiết lập, thực hiện hoặc bảo vệ các quyền pháp lý.
  4. Người được dữ liệu có thể yêu cầu hạn chế việc xử lý thông tin cá nhân của họ. Điều này cho phép người được dữ liệu yêu cầu tạm dừng việc xử lý thông tin cá nhân, ví dụ nếu họ muốn nhà tuyển dụng xác minh tính chính xác hoặc lý do xử lý dữ liệu đó.
  5. Người được dữ liệu có thể yêu cầu chuyển thông tin cá nhân của họ cho bên khác trong một số trường hợp.

  1. IX. Bảo mật trong xử lý

Dữ liệu cá nhân được bảo mật. Mọi việc thu thập, xử lý hoặc sử dụng dữ liệu này không được phép bởi nhân viên đều bị cấm. Bất kỳ việc xử lý dữ liệu nào do nhân viên thực hiện mà không được ủy quyền trong phạm vi nhiệm vụ hợp pháp của họ đều là không được phép. Nguyên tắc “cần biết” được áp dụng. Nhân viên chỉ được truy cập thông tin cá nhân phù hợp với loại và phạm vi công việc liên quan. Điều này đòi hỏi phải phân chia và tách biệt cẩn thận, cũng như thực hiện các vai trò và trách nhiệm. Nhân viên bị cấm sử dụng dữ liệu cá nhân cho mục đích riêng tư hoặc thương mại, tiết lộ cho người không được phép, hoặc cung cấp theo bất kỳ cách nào khác. Người giám sát phải thông báo cho nhân viên của họ ngay khi bắt đầu quan hệ lao động về nghĩa vụ bảo vệ bí mật dữ liệu. Nghĩa vụ này vẫn có hiệu lực ngay cả sau khi kết thúc hợp đồng lao động.

  1. X. Bảo mật xử lý

Dữ liệu cá nhân phải được bảo vệ khỏi truy cập trái phép và xử lý hoặc tiết lộ bất hợp pháp, cũng như mất mát, sửa đổi hoặc phá hủy ngẫu nhiên. Điều này áp dụng bất kể dữ liệu được xử lý điện tử hay dưới dạng giấy. Trước khi áp dụng các phương pháp xử lý dữ liệu mới, đặc biệt là các hệ thống CNTT mới, các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân phải được xác định và thực hiện. Các biện pháp này phải dựa trên công nghệ hiện đại, các rủi ro của việc xử lý và nhu cầu bảo vệ dữ liệu (được xác định bởi quy trình phân loại thông tin). Đặc biệt, bộ phận chịu trách nhiệm có thể tham khảo ý kiến với Người Quản lý Bảo vệ Dữ liệu của mình.

  1. XI. Kiểm soát bảo vệ dữ liệu

Tuân thủ Chính sách Bảo vệ Dữ liệu và các quy định bảo vệ dữ liệu áp dụng luật được kiểm tra định kỳ. Kết quả của các kiểm soát bảo vệ dữ liệu phải được báo cáo cho Người Quản lý Bảo vệ Dữ liệu.

  1. XII. Sự cố bảo vệ dữ liệu

Tất cả nhân viên phải thông báo ngay cho người giám sát hoặc người quản lý bảo vệ dữ liệu về các trường hợp vi phạm Chính sách Bảo vệ Dữ liệu này hoặc các quy định khác về bảo vệ dữ liệu cá nhân (sự cố bảo vệ dữ liệu). Người quản lý chịu trách nhiệm về chức năng hoặc đơn vị phải thông báo ngay cho Người Quản lý Bảo vệ Dữ liệu chịu trách nhiệm về các sự cố bảo vệ dữ liệu.

Trong các trường hợp

» truyền dữ liệu cá nhân không đúng cho bên thứ ba,

» truy cập không đúng của bên thứ ba vào dữ liệu cá nhân, hoặc

» mất dữ liệu cá nhân

các báo cáo công ty cần thiết (Quản lý Sự cố An ninh Thông tin) phải được thực hiện

ngay lập tức để có thể tuân thủ các nghĩa vụ báo cáo theo luật quốc gia.

  1. XIII. Trách nhiệm và hình phạt

Các cơ quan điều hành của các công ty trong Tập đoàn chịu trách nhiệm xử lý dữ liệu trong phạm vi trách nhiệm của họ. Do đó, họ phải đảm bảo rằng các yêu cầu pháp lý, cũng như những yêu cầu được nêu trong Chính sách Bảo vệ Dữ liệu, về bảo vệ dữ liệu được tuân thủ (ví dụ: nghĩa vụ báo cáo quốc gia). Nhân viên quản lý chịu trách nhiệm đảm bảo rằng các biện pháp tổ chức, nhân sự và kỹ thuật được thiết lập để bất kỳ việc xử lý dữ liệu nào cũng được thực hiện phù hợp với bảo vệ dữ liệu. Việc tuân thủ các yêu cầu này là trách nhiệm của các nhân viên liên quan. Nếu các cơ quan chính thức thực hiện kiểm soát bảo vệ dữ liệu, Người Quản lý Bảo vệ Dữ liệu phải được thông báo ngay lập tức. Việc xử lý dữ liệu cá nhân không đúng cách, hoặc các vi phạm khác đối với luật bảo vệ dữ liệu, có thể bị truy cứu trách nhiệm hình sự ở nhiều quốc gia và dẫn đến các yêu cầu bồi thường thiệt hại. Các vi phạm mà từng nhân viên chịu trách nhiệm có thể dẫn đến các hình phạt theo luật lao động.