Loại hình doanh nghiệp
Linh hoạt, khả năng ứng biến quy mô và thích nghi với nhu cầu kinh doanh theo từng thời điểm
Đáp ứng về quy mô, xây dựng tùy biến theo quy trình kinh doanh, và yêu cầu bảo mật riêng biệt cho doanh nghiệp
CHÍNH SÁCH VỀ QUYỀN RIÊNG TƯ
Chương 1. Mục đích và phạm vi áp dụng
Điều 1. Mục đích
Quy chế này quy định Hệ thống quản lý thông tin cần được thiết lập nhằm mục đích quản lý một cách phù hợp các loại tài sản thông tin.
Điều 2. Phạm vi – Đối tượng áp dụng
- Quy chế này được áp dụng cho toàn thể nhân viên và toàn bộ hoạt động kinh doanh của Công ty.
- Đối tượng được áp dụng của quy chế này là các tài sản được quy định tại Điều 3.6.
Chương 2. Định nghĩa thuật ngữ sử dụng
Điều 3. Định nghĩa thuật ngữ
Các thuật ngữ chính được sử dụng trong quy chế này được định nghĩa như sau.
1. Nghị định
Là Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
2. Dữ liệu cá nhân (hoặc Thông tin cá nhân)
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh, v.v. gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm:
a. Tên đầy đủ, tên đệm, tên khai sinh và tên gọi khác (nếu có)
b. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích
c. Giới tính
d. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, tạm trú, nơi ở hiện tại, địa chỉ liên hệ
e. Quốc tịch
f. Hình ảnh của cá nhân
g. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế
h. Tình trạng hôn nhân
i. Thông tin về mối quan hệ gia đình (cha mẹ, con cái)
j. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động và lịch sử hoạt động trên không gian mạng
k. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể
3. Dữ liệu cá nhân nhạy cảm
Là dữ liệu cá nhân liên quan đến quyền riêng tư của cá nhân mà khi bị bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân, bao gồm:
a. Quan điểm chính trị, quan điểm tôn giáo
b. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin liên về nhóm máu
c. Thông tin liên quan đến nguồn gốc chủng tộc hoặc nguồn gốc dân tộc
d. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân
e. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân
f. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân
g. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật
h. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán
i. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị
j. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết
4. Chủ thể dữ liệu
Chủ thể dữ liệu là cá nhân được Dữ liệu cá nhân phản ánh
5. Xử lý dữ liệu cá nhân
Là một hoặc nhiều hoạt động tác động tới Dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, bao gồm cả chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan.
6. Tài sản
Là cách gọi chung cho những thứ có giá trị đối với Công ty như tài sản thông tin (bao gồm các Dữ liệu cá nhân được sử dụng cho mục đích kinh doanh của Công ty, bất kể ở dạng thức nào), tài sản phần mềm, tài sản vật lý, dịch vụ.
7. An toàn thông tin
Là việc áp dụng các biện pháp quản lý an toàn, duy trì tính khả dụng, tính toàn vẹn và tính bí mật của Tài sản.
8. Bảo vệ thông tin
Là các hoạt động phòng chống, phát hiện, ngăn chặn, xử lý các hành vi vi phạm liên quan đến Dữ liệu cá nhân theo Nghị định.
9. Hệ thống quản lý thông tin
Là hệ thống quản lý bao gồm chính sách, hệ thống, kế hoạch, việc thực thi, kiểm tra và xem xét lại nhằm mục đích đảm bảo việc Bảo vệ thông tin trên cơ sở quan tâm tới tính hữu dụng của Tài sản được sử dụng cho mục đích kinh doanh.
10. Nhân viên
Là toàn bộ nhân viên của Công ty không phân biệt nhân viên đó ký kết hợp đồng lao động xác định thời hạn hay hợp đồng lao động không xác định thời hạn, sau đây gọi chung là “Toàn bộ nhân viên”.
11. Đối tượng dữ liệu được yêu cầu cung cấp
Công ty có quyền đáp ứng tất cả các yêu cầu về việc tiết lộ, rút lại sự đồng ý, chỉnh sửa, bổ sung hoặc xóa nội dung, hạn chế xử lý, đình chỉ, v.v. từ Chủ thể dữ liệu.
Chương 3. Hệ thống quản lý thông tin
Điều 4. Thiết lập Hệ thống quản lý thông tin
Để thực hiện việc quản lý và bảo vệ Tài sản phục vụ cho mục đích kinh doanh một cách phù hợp, Công ty cần quyết định, đầu tư nguồn lực quản lý cần thiết, thiết lập Hệ thống quản lý thông tin đồng thời liên tục tiến hành cập nhật, cải tiến Hệ thống quản lý thông tin.
Điều 5. Chính sách cơ bản
Công ty đã xây dựng chính sách sau đây là chính sách cơ bản liên quan đến hệ thống quản lý thông tin và phổ biến rộng rãi tới Toàn bộ nhân viên.
[Chính sách bảo vệ Thông tin cá nhân]Điều 6. Cơ cấu tổ chức và trách nhiệm
Trách nhiệm, quyền hạn của từng vị trí trong cơ cấu tổ chức liên quan đến Hệ thống quản lý thông tin được quy định như sau:
1. Đại diện doanh nghiệp (Tổng giám đốc)
Để quản lý và bảo vệ Tài sản được sử dụng cho mục đích kinh doanh một cách phù hợp, Tổng giám đốc quyết định, đầu tư các nguồn lực quản lý cần thiết, thiết lập đồng thời liên tục cải tiến Hệ thống quản lý thông tin. Ngoài ra, Tổng giám đốc phân công và phê duyệt các vị trí quản lý cần thiết trong cơ cấu tổ chức, duy trì một cách tích cực Hệ thống quản lý thông tin trong Công ty.
2. Trưởng phòng quản trị hành chính
Căn cứ vào chính sách cơ bản được quy định tại Điều 5, Giám đốc khối quản trị hành chính có trách nhiệm và quyền hạn trong việc triển khai, vận hành Hệ thống quản lý thông tin, đồng thời báo cáo tình trạng hoạt động của Hệ thống quản lý thông tin cho Tổng giám đốc để làm cơ sở xem xét, cải tiến.
3. Trưởng phòng kiểm soát nội bộ
Dựa trên chính sách cơ bản được quy định tại Điều 5, Trưởng phòng kiểm soát nội bộ xây dựng và phát triển cơ chế vận hành Hệ thống quản lý thông tin và cơ chế để Toàn bộ nhân viên hiểu sâu hơn về an toàn thông tin.
Điều 7. Tuân thủ pháp luật và các quy định
- Công ty phải thường xuyên theo dõi, nắm bắt tình hình ban hành, sửa đổi, bãi bỏ các quy định liên quan đến Hệ thống quản lý thông tin, trong trường hợp cần thiết phải sửa đổi chính sách cơ bản, quy chế và các văn bản nội bộ của Công ty tương ứng.
- Đề xuất chỉnh sửa các hợp đồng, các thỏa thuận còn hiệu lực ký kết với đối tác ủy thác phù hợp với tình hình ban hành, sửa đổi, bãi bỏ các quy định pháp luật.
Điều 8. Tuân thủ nội dung hợp đồng
Trừ trường hợp có lý do đặc biệt như có mâu thuẫn với quy định pháp luật, Công ty phải tuân thủ nội dung hợp đồng đã thỏa thuận với các đối tác kinh doanh về bảo mật thông tin hoặc Bảo vệ thông tin.
Chương 4. Quản lý rủi ro
Điều 9. Xác định Dữ liệu cá nhân, phân tích, đánh giá rủi ro
1. Đối với Tài sản là Dữ liệu cá nhân, Công ty thực hiện các chính sách sau:
① Xác định Dữ liệu cá nhân sử dụng cho mục đích kinh doanh, ghi kết quả đó vào Sổ cái về tài sản thông tin.
② Đối với những Dữ liệu cá nhân đã được xác định tại điểm ①, thực hiện các biện pháp cần thiết để không xử lý sai mục đích.
③ Đối với Dữ liệu cá nhân đã được xác định tại điểm ①, soạn thảo và lưu giữ Hồ sơ đánh giá tác động xử lý Dữ liệu cá nhân, bao gồm cả hồ sơ của Công ty; nộp hồ sơ cho Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trực thuộc Bộ Công an (A05); cập nhật hồ sơ khi có thay đổi và nộp lại cho A05.
Điều 10. Biện pháp quản lý Tài sản
Nhằm đảm bảo An toàn thông tin đối với Tài sản, Công ty thực hiện các biện pháp quản lý An toàn thông tin dưới đây và thực hiện xem xét lại khi cần thiết.
- Thực hiện biện pháp quản lý ra vào nhằm ngăn chặn sự xâm nhập từ bên ngoài, sự xâm nhập trái phép vào những khu vực không được phép và việc rò rỉ thông tin, v.v..
- Thực thi các biện pháp quản lý phù hợp nhằm ngăn chặn việc rò rỉ, mất mát, làm sai lệch, v.v…các thông tin bí mật.
- Thực hiện các biện pháp quản lý phù hợp đối với các thư mục và tệp dữ liệu khi truy cập các thiết bị thông tin và thông tin bí mật, nhằm ngăn chặn việc rò rỉ bí mật, sự cố bất ngờ, hoặc sự phá hủy do bất cẩn.
- Hợp tác với bộ phận kỹ thuật để thực hiện các biện pháp phù hợp đối với virut máy tính nhằm phòng ngừa thiệt hại do virut máy tính gây ra cũng như giảm thiểu thiệt hại xuống mức thấp nhất.
- Thực hiện các biện pháp phù hợp, khi gửi, mang thông tin mật và Dữ liệu cá nhân ra bên ngoài Công ty nhằm ngăn chặn việc rò rỉ thông tin.
Chương 5. Điều khoản tuân thủ liên quan đến việc xử lý Thông tin cá nhân
Điều 11. Xác định mục đích sử dụng
- Khi thu thập Thông tin cá nhân, cần xác định mục đích sử dụng, và tiến hành những việc làm trong phạm vi cần thiết để đạt được mục đích đó.
- Khi xác định mục đích sử dụng cần phải xem xét đến việc làm rõ một cách chi tiết phạm vi của việc xử lý và cung cấp dữ liệu trong phạm vi cho phép, để có thể dự đoán những ảnh hưởng có thể tác động đến Chủ thể dữ liệu gây ra bởi việc xử lý và cung cấp các thông tin đã thu thập.
Điều 12. Thu thập hợp lệ
Việc thu thập Thông tin cá nhân phải dựa trên các cách thức hợp pháp và hợp lệ.
Điều 13. Sự đồng ý khi thu thập Dữ liệu cá nhân
Khi thu thập Thông tin cá nhân, phải thông báo và lấy sự đồng ý từ Chủ thể dữ liệu một cách rõ ràng bằng văn bản hoặc một hình thức có thể sao chép lại bao gồm cả hình thức điện tử đã được xác định trước hoặc định dạng có thể kiểm chứng được. Trừ trường hợp quy định tại các điều từ 15.1.1 đến 15.1.4. Ngoài ra, khi xử lý Dữ liệu cá nhân nhạy cảm phải thông báo cho Chủ thể dữ liệu rằng dữ liệu cần xử lý là Dữ liệu cá nhân nhạy cảm.
a. Loại dữ liệu
b. Tên cá nhân, pháp nhân xử lý Dữ liệu cá nhân bao gồm cả Công ty
c. Tên, chức danh, bộ phận, địa chỉ liên hệ của người phụ trách quản lý việc bảo vệ Thông tin cá nhân (hoặc người quản lý được Công ty chỉ định)
d. Mục đích xử lý
e. Quyền và nghĩa vụ của Chủ thể dữ liệu
Điều 14. Thông báo trước trong trường hợp xử lý Dữ liệu cá nhân
Khi xử lý Dữ liệu cá nhân, sau khi có được sự đồng ý theo quy định tại Điều 13, Công ty cần phải thông báo các nội dung dưới đây bằng định dạng có thể được in, sao chép bằng văn bản bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
a. Mục đích xử lý dữ liệu
b. Cách thức xử lý dữ liệu
c. Thời gian bắt đầu, kết thúc xử lý dữ liệu
d. Loại dữ liệu được xử lý
e. Tên pháp nhân (công ty) xử lý
f. Thiệt hại, rủi ro có thể phát sinh
Điều 15. Biện pháp xử lý
1. Khi xử lý Thông tin cá nhân, bất kể việc Chủ thể dữ liệu có đồng ý hay không, phải loại bỏ những thông tin có khả năng khuyến khích hoặc dẫn đến hành vi bất hợp pháp hoặc không phù hợp. Việc xử lý thông tin chỉ được tiến hành trong phạm vi cần thiết để đạt được mục đích xử lý đã được xác định.
Trong trường hợp việc xử lý Thông tin cá nhân vượt quá phạm vi mục đích xử lý cần thiết đã được xác định, phải thông báo cho Chủ thể dữ liệu và có được sự đồng ý của Chủ thể dữ liệu theo quy định tại Điều 13 và Điều 14. Trừ khi rơi vào các trường hợp từ a. đến d. dưới đây.
a. Trường hợp cần thiết vì mục đích bảo vệ sức khỏe, tính mạng của con người theo quy định của Nghị định
b.Trường hợp để thực hiện nghĩa vụ của Chủ thể dữ liệu theo hợp đồng giữa Chủ thể dữ liệu và các cơ quan, tổ chức, cá nhân có liên quan theo quy định của Nghị định.
c. Trường hợp phục vụ cho hoạt động của cơ quan nhà nước theo quy định của luật chuyên ngành.
d. Các trường hợp khác theo quy định của Nghị định
2. Khi xử lý Dữ liệu cá nhân, Công ty phải ghi lại và lưu trữ nhật ký hệ thống.
Điều 16. Biện pháp liên quan đến việc cung cấp
Trong trường hợp cung cấp Dữ liệu cá nhân cho bên thứ ba, phải có được sự đồng ý của Chủ thể dữ liệu và thông báo trước cho Chủ thể dữ liệu theo quy định tại Điều 13 và Điều 14. Trừ trường hợp Chủ thể dữ liệu đã đồng ý một các rõ ràng nội dung này từ trước.
Điều 17. Chuyển Dữ liệu cá nhân ra nước ngoài
Trong trường hợp chuyển Dữ liệu cá nhân của công dân Việt Nam cho một bên thứ ba ở nước ngoài, Công ty phải tiến hành soạn thảo, lưu trữ hồ sơ đánh giá theo mẫu đã được quy định tại Nghị định và nộp cho A05. Ngoài ra, trong trường hợp có sự thay đổi trong nội dung hồ sơ, công ty phải sửa đổi và nộp lại cho A05.
Điều 18. Xử lý Dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
Khi xử lý Dữ liệu cá nhân của người bị tuyên bố mất tích hoặc đã chết, phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó. Trong trường hợp người đó không có vợ, chồng hoặc con thành niên thì phải có sự đồng ý của bố, mẹ của người bị tuyên bố mất tích hoặc đã chết.
Điều 19. Xử lý Dữ liệu cá nhân của trẻ em
- Việc xử lý Dữ liệu cá nhân của trẻ em phải được thực hiện theo các nguyên tắc bảo vệ quyền và vì lợi ích tốt nhất của trẻ em.
- Trường hợp xử lý Dữ liệu cá nhân của trẻ em từ 7 tuổi trở lên, phải có sự đồng ý của trẻ. Trường hợp xử lý Thông tin cá nhân của trẻ em dưới 7 tuổi phải có sự đồng ý của cha, mẹ hoặc người giám hộ của trẻ.
- Việc xóa Dữ liệu cá nhân của trẻ em phải được thực hiện theo quy định của Nghị định.
Chương 6. Cung cấp, chỉnh sửa, chấm dứt xử lý Dữ liệu cá nhân
Điều 20. Quyền liên quan đến Dữ liệu cá nhân
- Trong trường hợp có yêu cầu cung cấp, rút lại sự đồng ý, đính chính, bổ sung hoặc xóa nội dung, hạn chế xử lý, đình chỉ việc xử lý của Chủ thể dữ liệu theo các thủ tục của Nghị định liên quan đến Đối tượng dữ liệu được yêu cầu cung cấp, Công ty phải nhanh chóng thực hiện theo các yêu cầu đó theo quy định của Nghị định.
- Công ty phải đảm bảo quyền lợi của Chủ thể dữ liệu theo quy định của Điều 9 Nghị định.
Chương 7. Quản lý phù hợp
Điều 21. Đảm bảo tính chính xác
Công ty cần đảm bảo tính chính xác và tính cập nhật của Dữ liệu cá nhân trong phạm vi cần thiết để đạt được mục đích xử lý và xóa Dữ liệu cá nhân một cách không chậm trễ khi việc xử lý dữ liệu đó không còn cần thiết nữa.
Chương 8. Tuyển dụng, đào tạo và quản lý Nhân viên
Điều 22. Đào tạo, quản lý nhân viên
Công ty phải đào tạo và quản lý Nhân viên một cách phù hợp với những nội dung cần thiết để đảm bảo bảo vệ thông tin khi Nhân viên xử lý tài sản thông tin.
Điều 23. Tuyển dụng và thỏa thuận bảo mật
Trong quá trình tuyển dụng nhân sự, Công ty phải tiến hành xem xét một cách toàn diện, phải yêu cầu Nhân viên ký kết cam kết bảo mật trong đó làm rõ nghĩa vụ bảo mật thông tin khi vào làm tại Công ty, và kể cả sau khi đã chấm dứt hợp đồng lao động, nghĩa vụ bảo mật thông tin vẫn được kéo dài thêm một khoảng thời gian nhất định.
Chương 9. Quản lý đối tác ủy thác
Điều 24. Quản lý đối tác ủy thác
Nhằm quản lý một cách phù hợp đối tác ủy thác liên quan đến tài sản thông tin, Công ty phải kiểm tra một cách kỹ lưỡng khi quyết định đối tác ủy thác, phải ký kết hợp đồng liên quan đến việc bảo mật thông tin với đối tác ủy thác khi ủy thác việc xử lý Dữ liệu cá nhân.
Chương 10. Đối ứng trong trường hợp khẩn cấp
Điều 25. Đối ứng với tình trạng khẩn cấp
1. Trong trường hợp xảy ra sự cố hoặc lỗi an toàn thông tin hoặc rò rỉ, mất mát Thông tin cá nhân (bao gồm cả các vi phạm Nghị định) có ảnh hưởng đáng kể đến hoạt động kinh doanh, Công ty sẽ xem xét đến những bất lợi về mặt kinh tế và tổn hại về uy tín được dự đoán và thực hiện các biện pháp đối ứng để giảm thiểu tối đa tác động đến Chủ thể dữ liệu.
2. Trường hợp phát sinh tình trạng khẩn cấp, cần thực hiện các biện pháp dưới đây theo quyết định của Tổng giám đốc hoặc là Trưởng phòng kiểm soát nội bộ.
a. Thông báo đến Chủ thể dữ liệu
b. Báo cáo đến cơ quan liên quan về tình hình thực tế, nguyên nhân phát sinh, chính sách đối ứng.
Ngoài ra, báo cáo đến A05 phải tuân theo nội dung, phương pháp đã được quy định trong Nghị định.