top of page

Chính sách—Chính sách bảo vệ dữ liệu GDPR

 

Bạn phải đọc chính sách này vì nó cung cấp thông tin quan trọng về:

 

  • các nguyên tắc bảo vệ dữ liệu mà Công ty phải tuân thủ;

  • thông tin (hoặc dữ liệu) cá nhân và thông tin (hoặc dữ liệu) cá nhân nhạy cảm có nghĩa là gì;

  • cách chúng tôi thu thập, sử dụng và (cuối cùng) xóa thông tin cá nhân và thông tin cá nhân nhạy cảm theo các nguyên tắc bảo vệ dữ liệu;

  • nơi có thể tìm thấy thông tin chi tiết hơn về quyền riêng tư, ví dụ: về thông tin cá nhân mà chúng tôi thu thập và sử dụng về bạn, cách sử dụng, lưu trữ và chuyển giao thông tin đó, cho mục đích gì, các bước thực hiện để bảo mật thông tin đó và thời gian lưu giữ thông tin đó;

  • quyền và nghĩa vụ của bạn liên quan đến bảo vệ dữ liệu; và

  • hậu quả của việc không tuân thủ chính sách này.

 

  1. Giới thiệu

 

  1. Công ty thu thập, lưu giữ và sử dụng thông tin cá nhân (còn được gọi là dữ liệu) về người xin việc và về nhân viên hiện tại và trước đây, nhân viên tạm thời và đại lý, nhà thầu, thực tập sinh, tình nguyện viên và người học việc cho một số mục đích hợp pháp cụ thể, như được nêu trong Thông báo Quyền riêng tư về Bảo vệ Dữ liệu của Công ty liên quan đến tuyển dụng và việc làm.

 

  1. Chính sách này đưa ra cách chúng tôi tuân thủ các nghĩa vụ bảo vệ dữ liệu của mình và tìm cách bảo vệ thông tin cá nhân liên quan đến lực lượng lao động của chúng tôi. Mục đích của nó cũng là để đảm bảo rằng nhân viên hiểu và tuân thủ các quy tắc quản lý việc thu thập, sử dụng và xóa thông tin cá nhân mà họ có thể có quyền truy cập trong quá trình làm việc.

 

  1. Chúng tôi cam kết tuân thủ các nghĩa vụ bảo vệ dữ liệu của mình, đồng thời trình bày ngắn gọn, rõ ràng và minh bạch về cách chúng tôi thu thập và sử dụng thông tin cá nhân liên quan đến lực lượng lao động của mình cũng như cách thức (và thời điểm) chúng tôi xóa thông tin đó sau khi không còn cần thiết.

 

  1. Cán bộ bảo vệ dữ liệu của Công ty, chịu trách nhiệm thông báo và tư vấn cho Công ty và nhân viên của Công ty về nghĩa vụ bảo vệ dữ liệu của mình, đồng thời giám sát việc tuân thủ các nghĩa vụ đó và chính sách của Công ty. Nếu bạn có bất kỳ câu hỏi hoặc nhận xét nào về nội dung của chính sách này hoặc nếu bạn cần thêm thông tin, bạn nên liên hệ với Nhân viên bảo vệ dữ liệu qua email:dpo@confirmsend.co.

 

  1. Phạm vi

 

  1. Chính sách này áp dụng cho thông tin cá nhân của người xin việc và nhân viên hiện tại và trước đây, bao gồm nhân viên, nhân viên tạm thời và đại lý, thực tập sinh, tình nguyện viên và người học việc.

 

  1. Nhân viên nên tham khảo Thông báo quyền riêng tư bảo vệ dữ liệu của Công ty và, nếu thích hợp, các chính sách liên quan khác của Công ty bao gồm liên quan đến internet, email và thông tin liên lạc, giám sát, phương tiện truyền thông xã hội, bảo mật thông tin, lưu giữ dữ liệu và thông tin hồ sơ tội phạm, trong đó có thêm thông tin liên quan đến việc bảo vệ thông tin cá nhân trong những bối cảnh đó.

 

  1. Chúng tôi sẽ xem xét và cập nhật chính sách này thường xuyên theo nghĩa vụ bảo vệ dữ liệu của chúng tôi. Nó không phải là một phần của hợp đồng lao động của bất kỳ nhân viên nào và chúng tôi có thể sửa đổi, cập nhật hoặc bổ sung nó theo thời gian. Chúng tôi sẽ lưu hành bất kỳ chính sách mới hoặc sửa đổi nào cho nhân viên trước khi chính sách đó được thông qua.

 

  1. Các định nghĩa

 

  1. Thông tin hồ sơ tội phạm

có nghĩa là thông tin cá nhân liên quan đến kết án hình sự và hành vi phạm tội, cáo buộc, thủ tục tố tụng và các biện pháp an ninh liên quan;

 

  1. Vi phạm dữ liệu

có nghĩa là vi phạm an ninh dẫn đến việc vô tình hoặc bất hợp pháp phá hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép thông tin cá nhân;

 

  1. Chủ đề dữ liệu

có nghĩa là cá nhân có liên quan đến thông tin cá nhân;

 

  1. Thông tin cá nhân

(đôi khi được gọi là dữ liệu cá nhân) có nghĩa là thông tin liên quan đến một cá nhân có thể được xác định (trực tiếp hoặc gián tiếp) từ thông tin đó;

 

  1. Xử lý thông tin

có nghĩa là thu thập, ghi lại, sắp xếp, lưu trữ, sửa đổi, truy xuất, tiết lộ và/hoặc hủy thông tin, hoặc sử dụng hoặc làm bất kỳ điều gì với thông tin đó;

 

  1. bút danh

có nghĩa là quá trình thông tin cá nhân được xử lý theo cách mà nó không thể được sử dụng để xác định một cá nhân mà không sử dụng thông tin bổ sung, được lưu giữ riêng và tuân theo các biện pháp kỹ thuật và tổ chức để đảm bảo rằng thông tin cá nhân không thể được quy cho một cá nhân có thể nhận dạng;

 

  1. Thông tin cá nhân nhạy cảm

(đôi khi được gọi là 'các loại dữ liệu cá nhân đặc biệt' hoặc 'dữ liệu cá nhân nhạy cảm') có nghĩa là thông tin cá nhân về chủng tộc, nguồn gốc dân tộc, quan điểm chính trị, niềm tin tôn giáo hoặc triết học của một cá nhân, tư cách thành viên công đoàn (hoặc không phải là thành viên), thông tin di truyền, thông tin sinh trắc học (nơi được sử dụng để nhận dạng một cá nhân) và thông tin liên quan đến sức khỏe, đời sống tình dục hoặc khuynh hướng tình dục của một cá nhân.

 

  1. Nguyên tắc bảo vệ dữ liệu

 

  1. Công ty sẽ tuân thủ các nguyên tắc bảo vệ dữ liệu sau đây khi xử lý thông tin cá nhân:

 

  1. chúng tôi sẽ xử lý thông tin cá nhân một cách hợp pháp, công bằng và minh bạch;

 

  1. chúng tôi sẽ chỉ thu thập thông tin cá nhân cho các mục đích cụ thể, rõ ràng và hợp pháp, đồng thời sẽ không xử lý thông tin đó theo cách không tương thích với các mục đích hợp pháp đó;

 

  1. chúng tôi sẽ chỉ xử lý thông tin cá nhân đầy đủ, phù hợp và cần thiết cho các mục đích liên quan;

 

  1. chúng tôi sẽ giữ thông tin cá nhân chính xác và cập nhật, đồng thời thực hiện các bước hợp lý để đảm bảo rằng thông tin cá nhân không chính xác sẽ bị xóa hoặc chỉnh sửa ngay lập tức;

 

  1. chúng tôi sẽ giữ thông tin cá nhân ở dạng cho phép nhận dạng chủ thể dữ liệu không lâu hơn mức cần thiết cho các mục đích mà thông tin được xử lý; và

 

  1. chúng tôi sẽ thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo rằng thông tin cá nhân được lưu giữ an toàn và được bảo vệ khỏi việc xử lý trái phép hoặc trái pháp luật cũng như chống mất mát, phá hủy hoặc hư hỏng do tai nạn.

 

  1. Cơ sở xử lý thông tin cá nhân

 

  1. Liên quan đến bất kỳ hoạt động xử lý nào, chúng tôi sẽ, trước khi quá trình xử lý bắt đầu lần đầu tiên và sau đó thường xuyên trong khi quá trình này tiếp tục:

 

  1. xem xét các mục đích của hoạt động xử lý cụ thể và chọn cơ sở (hoặc các cơ sở) hợp pháp phù hợp nhất cho việc xử lý đó, nghĩa là:

 

  1. rằng chủ thể dữ liệu đã đồng ý xử lý;

 

  1. rằng việc xử lý là cần thiết để thực hiện hợp đồng mà chủ thể dữ liệu là một bên hoặc để thực hiện các bước theo yêu cầu của chủ thể dữ liệu trước khi ký kết hợp đồng;

 

  1. rằng việc xử lý là cần thiết để tuân thủ nghĩa vụ pháp lý mà Công ty phải tuân theo;

 

  1. rằng việc xử lý là cần thiết để bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc một thể nhân khác;

 

  1. rằng việc xử lý là cần thiết để thực hiện một nhiệm vụ được thực hiện vì lợi ích công cộng

 

  1. rằng việc xử lý là cần thiết cho các mục đích vì lợi ích hợp pháp của Công ty hoặc bên thứ ba, trừ khi những lợi ích đó bị lấn át bởi lợi ích về các quyền và tự do cơ bản của chủ thể dữ liệu—xem điều khoản 5.2 bên dưới.

 

  1. trừ khi việc xử lý dựa trên sự đồng ý, hãy tự đảm bảo rằng việc xử lý là cần thiết cho mục đích của cơ sở hợp pháp có liên quan (nghĩa là không có cách hợp lý nào khác để đạt được mục đích đó);

 

  1. ghi lại quyết định của chúng tôi về cơ sở hợp pháp nào được áp dụng, để giúp chứng minh sự tuân thủ của chúng tôi với các nguyên tắc bảo vệ dữ liệu;

 

 

  1. bao gồm thông tin về cả mục đích xử lý và cơ sở hợp pháp cho nó trong (các) thông báo bảo mật có liên quan của chúng tôi;

 

  1. nơi thông tin cá nhân nhạy cảm được xử lý, đồng thời xác định điều kiện đặc biệt hợp pháp để xử lý thông tin đó (xem đoạn 6.2.2 bên dưới) và ghi lại điều đó; và

 

  1. nơi thông tin tội phạm hình sự được xử lý, đồng thời xác định điều kiện hợp pháp để xử lý thông tin đó và ghi lại thông tin đó.

 

  1. Khi xác định liệu lợi ích hợp pháp của Công ty có phải là cơ sở phù hợp nhất để xử lý hợp pháp hay không, chúng tôi sẽ:

 

  1. tiến hành đánh giá lợi ích hợp pháp (LIA) và lưu giữ hồ sơ về đánh giá đó, để đảm bảo rằng chúng tôi có thể biện minh cho quyết định của mình;

 

  1. nếu LIA xác định tác động đáng kể đến quyền riêng tư, hãy xem xét liệu chúng tôi có cần tiến hành đánh giá tác động bảo vệ dữ liệu (DPIA) hay không

 

  1. giữ LIA được xem xét và lặp lại nó nếu hoàn cảnh thay đổi; và

 

  1. bao gồm thông tin về lợi ích hợp pháp của chúng tôi trong (các) thông báo bảo mật có liên quan của chúng tôi.

 

  1. Thông tin cá nhân nhạy cảm

 

  1. Thông tin cá nhân nhạy cảm đôi khi được gọi là "các loại dữ liệu cá nhân đặc biệt" hoặc "dữ liệu cá nhân nhạy cảm".

 

  1. Đôi khi, Công ty có thể cần xử lý thông tin cá nhân nhạy cảm. Chúng tôi sẽ chỉ xử lý thông tin cá nhân nhạy cảm nếu:

 

  1. chúng tôi có cơ sở hợp pháp để làm như vậy như được nêu trong đoạn 5.1.1 ở trên, ví dụ: điều đó là cần thiết để thực hiện hợp đồng lao động, tuân thủ các nghĩa vụ pháp lý của Công ty hoặc vì các mục đích lợi ích hợp pháp của Công ty; và

 

  1. một trong những điều kiện đặc biệt để xử lý thông tin cá nhân nhạy cảm được áp dụng, ví dụ:

 

  1. chủ thể dữ liệu đưa ra đã đồng ý rõ ràng;

 

  1. việc xử lý là cần thiết cho mục đích thực hiện các quyền hoặc nghĩa vụ theo luật lao động của Công ty hoặc chủ thể dữ liệu;

 

  1. việc xử lý là cần thiết để bảo vệ lợi ích thiết yếu của chủ thể dữ liệu và chủ thể dữ liệu không có khả năng đưa ra sự đồng ý về mặt vật lý;

 

  1. xử lý liên quan đến dữ liệu cá nhân được chủ thể dữ liệu công khai rõ ràng;

 

  1. việc xử lý là cần thiết để thiết lập, thực hiện hoặc bảo vệ các khiếu nại pháp lý; hoặc

 

  1. việc xử lý là cần thiết vì lý do lợi ích công cộng đáng kể.

 

  1. Trước khi xử lý bất kỳ thông tin cá nhân nhạy cảm nào, nhân viên phải thông báo cho Nhân viên bảo vệ dữ liệu về quá trình xử lý được đề xuất, để Nhân viên bảo vệ dữ liệu có thể đánh giá xem việc xử lý có tuân thủ các tiêu chí nêu trên hay không.

 

  1. Thông tin cá nhân nhạy cảm sẽ không được xử lý cho đến khi:

 

  1. đánh giá được đề cập trong đoạn 6.3 đã diễn ra; và

 

  1. cá nhân đó đã được thông báo chính xác (bằng thông báo quyền riêng tư hoặc cách khác) về bản chất của quá trình xử lý, mục đích mà quá trình này được thực hiện và cơ sở pháp lý cho quá trình đó.

 

  1. Công ty sẽ không thực hiện việc ra quyết định tự động (bao gồm lập hồ sơ) dựa trên thông tin cá nhân nhạy cảm của bất kỳ cá nhân nào.

 

  1. Thông báo Quyền riêng tư về Bảo vệ Dữ liệu của Công ty đưa ra các loại thông tin cá nhân nhạy cảm mà Công ty xử lý, mục đích sử dụng thông tin đó và cơ sở pháp lý cho việc xử lý.

 

  1. Liên quan đến thông tin cá nhân nhạy cảm, Công ty sẽ tuân thủ các quy trình được nêu trong đoạn 6.8 và 6.9 bên dưới để đảm bảo rằng nó tuân thủ các nguyên tắc bảo vệ dữ liệu được nêu trong đoạn 4 ở trên.

 

  1. Trong quá trình tuyển dụng: Người quản lý viên chức, với sự hướng dẫn của Viên chức bảo vệ dữ liệu, sẽ đảm bảo rằng (trừ khi luật cho phép khác):

 

  1. trong giai đoạn lựa chọn danh sách ngắn, phỏng vấn và ra quyết định, không được đặt câu hỏi nào liên quan đến thông tin cá nhân nhạy cảm, ví dụ như chủng tộc hoặc nguồn gốc dân tộc, tư cách thành viên công đoàn hoặc sức khỏe;

 

  1. nếu nhận được thông tin cá nhân nhạy cảm, ví dụ như ứng viên cung cấp thông tin đó mà không được yêu cầu cung cấp thông tin đó trong CV của họ hoặc trong cuộc phỏng vấn, thì không có hồ sơ nào được lưu giữ và mọi tham chiếu đến thông tin đó sẽ bị xóa hoặc biên tập lại ngay lập tức

 

  1. mọi biểu mẫu giám sát cơ hội bình đẳng đã hoàn thành được giữ riêng biệt với mẫu đơn đăng ký của cá nhân và không được nhìn thấy bởi người lọt vào danh sách rút gọn, phỏng vấn hoặc đưa ra quyết định tuyển dụng;

 

  1. kiểm tra 'quyền được làm việc' được thực hiện trước khi đưa ra lời mời làm việc vô điều kiện, chứ không phải trong giai đoạn lập danh sách ngắn, phỏng vấn hoặc ra quyết định trước đó;

 

  1. chúng tôi sẽ không hỏi các câu hỏi về sức khỏe liên quan đến tuyển dụng hoặc chỉ hỏi các câu hỏi về sức khỏe sau khi đã có lời mời làm việc.

 

  1. Trong thời gian làm việc: Người quản lý văn phòng, với sự hướng dẫn của Nhân viên bảo vệ dữ liệu, sẽ xử lý:

 

  1. thông tin sức khỏe cho các mục đích quản lý tiền lương ốm đau, lưu giữ hồ sơ vắng mặt ốm đau, theo dõi sự có mặt của nhân viên và tạo điều kiện thuận lợi cho các quyền lợi ốm đau và sức khỏe liên quan đến việc làm;

 

  1. thông tin cá nhân nhạy cảm cho mục đích theo dõi cơ hội bình đẳng và báo cáo bình đẳng. Nếu có thể, thông tin này sẽ được ẩn danh; và

 

  1. thông tin thành viên công đoàn cho các mục đích quản lý nhân viên và quản lý 'kiểm tra'.

 

 

  1. Thông tin lý lịch tư pháp

 

  1. Thông tin hồ sơ tội phạm sẽ được xử lý theo Chính sách thông tin hồ sơ tội phạm của Công ty.

 

  1. Đánh giá tác động bảo vệ dữ liệu (DPIA)

 

  1. Khi quá trình xử lý có khả năng dẫn đến rủi ro cao đối với quyền bảo vệ dữ liệu của một cá nhân (ví dụ: khi Công ty dự định sử dụng một dạng công nghệ mới), trước khi bắt đầu xử lý, chúng tôi sẽ thực hiện DPIA để đánh giá:

 

  1. liệu việc xử lý có cần thiết và phù hợp với mục đích của nó hay không;

 

  1. rủi ro đối với cá nhân; và

 

  1. những biện pháp nào có thể được đưa ra để giải quyết những rủi ro đó và bảo vệ thông tin cá nhân.

 

  1. Trước khi bất kỳ hình thức công nghệ mới nào được giới thiệu, do đó, người quản lý chịu trách nhiệm nên liên hệ với Nhân viên bảo vệ dữ liệu để có thể thực hiện DPIA.

 

  1. Trong quá trình thực hiện bất kỳ DPIA nào, Đối tác sẽ xin lời khuyên của Cán bộ bảo vệ dữ liệu và quan điểm của bất kỳ bên liên quan nào khác.

 

  1. Tài liệu và hồ sơ

 

  1. Chúng tôi sẽ lưu giữ hồ sơ bằng văn bản về các hoạt động xử lý có rủi ro cao, tức là có thể dẫn đến rủi ro đối với quyền và tự do của cá nhân hoặc liên quan đến thông tin cá nhân nhạy cảm hoặc thông tin hồ sơ tội phạm, bao gồm:

 

  1. tên và thông tin chi tiết về tổ chức của người sử dụng lao động (và nếu có, của các kiểm soát viên khác, đại diện của người sử dụng lao động và DPO)

 

  1. mục đích của việc xử lý;

 

  1. mô tả về danh mục cá nhân và danh mục dữ liệu cá nhân;

 

  1. danh mục người nhận dữ liệu cá nhân;

 

  1. nếu có liên quan, thông tin chi tiết về việc chuyển giao cho các nước thứ ba, bao gồm cả tài liệu về cơ chế chuyển giao các biện pháp bảo vệ được áp dụng;

 

  1. nếu có thể, lịch trình lưu giữ; và

 

  1. nếu có thể, mô tả các biện pháp an ninh kỹ thuật và tổ chức.

 

  1. Là một phần trong hồ sơ của chúng tôi về các hoạt động xử lý, chúng tôi ghi lại hoặc liên kết đến tài liệu về:

 

  1. thông tin cần thiết cho thông báo bảo mật;

 

  1. biên bản đồng ý;

 

  1. hợp đồng bộ điều khiển-bộ xử lý;

 

  1. vị trí của thông tin cá nhân;

 

  1. DPIA; và

 

  1. hồ sơ vi phạm dữ liệu.

 

  1. Nếu chúng tôi xử lý thông tin cá nhân nhạy cảm hoặc thông tin hồ sơ tội phạm, chúng tôi sẽ lưu giữ hồ sơ bằng văn bản về:

 

  1. (các) mục đích liên quan mà quá trình xử lý diễn ra, bao gồm (khi được yêu cầu tại sao cần thiết cho mục đích đó;

 

  1. cơ sở hợp pháp cho việc xử lý của chúng tôi; và

 

  1. liệu chúng tôi có giữ lại và xóa thông tin cá nhân theo tài liệu chính sách của chúng tôi hay không và nếu không, lý do không tuân theo chính sách của chúng tôi.

 

  1. Chúng tôi sẽ tiến hành đánh giá thường xuyên thông tin cá nhân mà chúng tôi xử lý và cập nhật tài liệu của chúng tôi cho phù hợp. Điều này có thể bao gồm:

 

  1. tiến hành kiểm tra thông tin để tìm hiểu thông tin cá nhân nào mà Công ty nắm giữ;

 

  1. phân phối bảng câu hỏi và nói chuyện với nhân viên trong toàn Công ty để có được bức tranh toàn cảnh hơn về các hoạt động xử lý của chúng tôi; và

 

  1. xem xét các chính sách, thủ tục, hợp đồng và thỏa thuận của chúng tôi để giải quyết các lĩnh vực như lưu giữ, bảo mật và chia sẻ dữ liệu.

 

  1. Thông báo về quyền riêng tư

 

  1. Đôi khi, Công ty sẽ đưa ra các thông báo về quyền riêng tư, thông báo cho bạn về thông tin cá nhân mà chúng tôi thu thập và lưu giữ liên quan đến bạn, cách bạn có thể mong đợi thông tin cá nhân của mình được sử dụng và cho mục đích gì.

 

  1. Chúng tôi sẽ thực hiện các biện pháp thích hợp để cung cấp thông tin trong các thông báo về quyền riêng tư ở dạng ngắn gọn, minh bạch, dễ hiểu và dễ truy cập, sử dụng ngôn ngữ rõ ràng và dễ hiểu.

 

  1. Quyền cá nhân

 

  1. Bạn (cùng với các chủ thể dữ liệu khác) có các quyền sau liên quan đến thông tin cá nhân của bạn:

 

  1. để được thông báo về cách thức, lý do và cơ sở mà thông tin đó được xử lý—hãy xem Thông báo Quyền riêng tư về Bảo vệ Dữ liệu của Công ty;

 

  1. để có được xác nhận rằng thông tin của bạn đang được xử lý và để có quyền truy cập vào thông tin đó cũng như một số thông tin khác, bằng cách đưa ra yêu cầu quyền truy cập đối tượng—hãy xem Chính sách yêu cầu quyền truy cập đối tượng của Công ty;

 

  1. chỉnh sửa dữ liệu nếu dữ liệu không chính xác hoặc không đầy đủ;

 

  1. xóa dữ liệu nếu không còn cần thiết cho mục đích mà dữ liệu được thu thập/xử lý ban đầu hoặc nếu không có cơ sở hợp pháp quan trọng nào cho việc xử lý (điều này đôi khi được gọi là 'quyền được lãng quên');

 

  1. để hạn chế việc xử lý thông tin cá nhân khi tính chính xác của thông tin bị tranh cãi hoặc việc xử lý là bất hợp pháp (nhưng bạn không muốn dữ liệu bị xóa) hoặc khi chủ lao động không còn cần thông tin cá nhân nhưng bạn yêu cầu dữ liệu để thiết lập, thực hiện hoặc bảo vệ khiếu nại pháp lý; và

 

  1. để tạm thời hạn chế việc xử lý thông tin cá nhân khi bạn không cho rằng thông tin đó chính xác (và nhà tuyển dụng đang xác minh xem thông tin đó có chính xác hay không) hoặc khi bạn phản đối việc xử lý (và nhà tuyển dụng đang xem xét liệu các cơ sở hợp pháp của tổ chức có ảnh hưởng đến lợi ích của bạn hay không) ).

 

  1. Nếu bạn muốn thực hiện bất kỳ quyền nào trong các đoạn 11.1.3 đến 11.1.6, vui lòng liên hệ với Nhân viên bảo vệ dữ liệu.

 

  1. nghĩa vụ cá nhân

 

  1. Các cá nhân có trách nhiệm giúp Công ty cập nhật thông tin cá nhân của họ. Bạn nên cho Giám đốc Văn phòng biết nếu thông tin bạn đã cung cấp cho Công ty thay đổi, chẳng hạn như nếu bạn chuyển nhà hoặc thay đổi chi tiết về tài khoản ngân hàng hoặc hiệp hội xây dựng mà bạn được trả tiền.

 

  1. Bạn có thể có quyền truy cập vào thông tin cá nhân của các thành viên khác trong đội ngũ nhân viên, nhà cung cấp và khách hàng của Công ty trong quá trình làm việc hoặc tham gia của bạn. Nếu vậy, Công ty mong bạn giúp đáp ứng các nghĩa vụ bảo vệ dữ liệu của mình đối với những cá nhân đó. Ví dụ: bạn nên biết rằng họ cũng có thể được hưởng các quyền được nêu trong đoạn 11.1 ở trên

 

 

  1. Nếu bạn có quyền truy cập vào thông tin cá nhân, bạn phải:

 

  1. chỉ truy cập thông tin cá nhân mà bạn có quyền truy cập và chỉ cho các mục đích được ủy quyền;

 

  1. chỉ cho phép các nhân viên khác của Công ty truy cập thông tin cá nhân nếu họ được phép thích hợp;

 

  1. chỉ cho phép những cá nhân không phải là nhân viên của Công ty truy cập thông tin cá nhân nếu bạn có thẩm quyền cụ thể để làm như vậy từ Nhân viên bảo vệ dữ liệu;

 

  1. giữ an toàn cho thông tin cá nhân (ví dụ: bằng cách tuân thủ các quy tắc về quyền truy cập vào cơ sở, truy cập máy tính, bảo vệ bằng mật khẩu và lưu trữ và hủy tệp an toàn cũng như các biện pháp phòng ngừa khác được nêu trong Chính sách bảo mật thông tin của Công ty;

 

  1. không xóa thông tin cá nhân hoặc thiết bị chứa thông tin cá nhân (hoặc có thể được sử dụng để truy cập thông tin đó) khỏi cơ sở của Công ty trừ khi có các biện pháp bảo mật thích hợp (chẳng hạn như bút danh, mã hóa hoặc bảo vệ bằng mật khẩu) để bảo mật thông tin và thiết bị; và

 

  1. không lưu trữ thông tin cá nhân trên ổ đĩa cục bộ hoặc trên thiết bị cá nhân được sử dụng cho mục đích công việc;

 

  1. Bạn nên liên hệ với Nhân viên bảo vệ dữ liệu nếu bạn lo ngại hoặc nghi ngờ rằng một trong những điều sau đây đã xảy ra (hoặc đang diễn ra hoặc có khả năng xảy ra):

 

  1. xử lý dữ liệu cá nhân mà không có cơ sở hợp pháp để xử lý hoặc, trong trường hợp thông tin cá nhân nhạy cảm, không đáp ứng một trong các điều kiện trong đoạn 6.2.2;

 

  1. bất kỳ vi phạm dữ liệu nào như được nêu trong đoạn 15.1 bên dưới;

 

  1. truy cập thông tin cá nhân mà không có sự cho phép thích hợp;

 

  1. thông tin cá nhân không được lưu giữ hoặc xóa một cách an toàn;

 

  1. xóa thông tin cá nhân hoặc thiết bị chứa thông tin cá nhân (hoặc có thể được sử dụng để truy cập thông tin đó) khỏi cơ sở của Công ty mà không có biện pháp bảo mật thích hợp;

 

  1. bất kỳ vi phạm nào khác đối với chính sách này hoặc bất kỳ nguyên tắc bảo vệ dữ liệu nào được nêu trong đoạn 4.1 ở trên.

 

  1. Bảo mật thông tin

 

  1. Công ty sẽ sử dụng các biện pháp kỹ thuật và tổ chức phù hợp theo Chính sách bảo mật thông tin của Công ty để bảo mật thông tin cá nhân và đặc biệt là để bảo vệ chống lại việc xử lý trái phép hoặc bất hợp pháp và chống mất mát, phá hủy hoặc hư hỏng do tai nạn. Chúng có thể bao gồm:

 

  1. đảm bảo rằng, nếu có thể, thông tin cá nhân được đặt tên giả hoặc mã hóa;

 

  1. đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý;

 

  1. đảm bảo rằng, trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật, tính khả dụng và quyền truy cập vào thông tin cá nhân có thể được khôi phục kịp thời; và

 

  1. một quy trình để thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an toàn cho quá trình xử lý.

 

  1. Khi Công ty sử dụng các tổ chức bên ngoài để xử lý thông tin cá nhân thay mặt cho Công ty, các thỏa thuận bảo mật bổ sung cần được thực hiện trong hợp đồng với các tổ chức đó để bảo vệ tính bảo mật của thông tin cá nhân. Cụ thể, hợp đồng với các tổ chức bên ngoài phải quy định rằng:

 

  1. tổ chức chỉ có thể hành động theo hướng dẫn bằng văn bản của Công ty;

 

  1. những người xử lý dữ liệu phải chịu trách nhiệm bảo mật;

 

  1. các biện pháp thích hợp được thực hiện để đảm bảo an toàn cho quá trình xử lý;

 

  1. các nhà thầu phụ chỉ được tham gia với sự đồng ý trước của Công ty và theo hợp đồng bằng văn bản;

 

  1. tổ chức sẽ hỗ trợ Công ty cung cấp quyền truy cập theo chủ đề và cho phép các cá nhân thực hiện các quyền của họ liên quan đến bảo vệ dữ liệu;

 

  1. tổ chức sẽ hỗ trợ Công ty đáp ứng các nghĩa vụ của mình liên quan đến bảo mật xử lý, thông báo về vi phạm dữ liệu và đánh giá tác động bảo vệ dữ liệu;

 

  1. tổ chức sẽ xóa hoặc trả lại tất cả thông tin cá nhân cho Công ty theo yêu cầu khi kết thúc hợp đồng; và

 

  1. tổ chức sẽ đệ trình các cuộc kiểm tra và thanh tra, cung cấp cho Công ty bất kỳ thông tin nào cần thiết để đảm bảo rằng cả hai đều đáp ứng các nghĩa vụ bảo vệ dữ liệu của mình và thông báo cho Công ty ngay lập tức nếu Công ty được yêu cầu làm điều gì đó vi phạm luật bảo vệ dữ liệu.

 

  1. Trước khi bất kỳ thỏa thuận mới nào liên quan đến việc xử lý thông tin cá nhân của một tổ chức bên ngoài được ký kết hoặc một thỏa thuận hiện có bị thay đổi, nhân viên có liên quan phải được Cán bộ bảo vệ dữ liệu chấp thuận các điều khoản của thỏa thuận đó;

 

  1. Lưu trữ và lưu giữ thông tin cá nhân

 

  1. Thông tin cá nhân (và thông tin cá nhân nhạy cảm) sẽ được lưu giữ an toàn theo Chính sách bảo mật thông tin của Công ty.

 

  1. Thông tin cá nhân (và thông tin cá nhân nhạy cảm) không được lưu giữ lâu hơn mức cần thiết. Khoảng thời gian mà dữ liệu sẽ được lưu giữ sẽ tùy thuộc vào hoàn cảnh, bao gồm cả lý do tại sao thông tin cá nhân được lấy. Nhân viên phải tuân theo Chính sách Lưu giữ Hồ sơ của Công ty, trong đó quy định thời gian lưu giữ có liên quan hoặc các tiêu chí nên được sử dụng để xác định thời gian lưu giữ. Trong trường hợp có bất kỳ điều gì không chắc chắn, nhân viên nên tham khảo [Nhân viên bảo vệ dữ liệu;

 

  1. Thông tin cá nhân (và thông tin cá nhân nhạy cảm) không còn cần thiết nữa sẽ bị xóa vĩnh viễn khỏi hệ thống thông tin của chúng tôi và mọi bản sao cứng sẽ bị hủy một cách an toàn.

 

  1. Vi phạm dữ liệu

 

  1. Vi phạm dữ liệu có thể có nhiều hình thức khác nhau, ví dụ:

 

  1. mất mát hoặc đánh cắp dữ liệu hoặc thiết bị lưu trữ thông tin cá nhân;

 

  1. truy cập hoặc sử dụng trái phép thông tin cá nhân của nhân viên hoặc bên thứ ba;

 

  1. mất dữ liệu do lỗi thiết bị hoặc hệ thống (bao gồm cả phần cứng và phần mềm);

 

  1. lỗi của con người, chẳng hạn như vô tình xóa hoặc thay đổi dữ liệu;

 

  1. trường hợp không lường trước được, chẳng hạn như hỏa hoạn hoặc lũ lụt;

 

  1. các cuộc tấn công có chủ ý vào hệ thống CNTT, chẳng hạn như hack, vi rút hoặc lừa đảo; và

 

  1. vi phạm 'blagging', trong đó thông tin có được bằng cách đánh lừa tổ chức nắm giữ thông tin đó.

 

  1. Công ty sẽ:

 

  1. lập báo cáo bắt buộc về vi phạm dữ liệu cho Văn phòng Ủy viên Thông tin ngay lập tức và, nếu có thể trong vòng 72 giờ kể từ khi biết về vi phạm đó, nếu vi phạm đó có khả năng dẫn đến rủi ro đối với các quyền và tự do của cá nhân; và

 

  1. thông báo cho các cá nhân bị ảnh hưởng nếu vi phạm dữ liệu có khả năng dẫn đến rủi ro cao đối với quyền và tự do của họ và thông báo là bắt buộc theo luật.

 

  1. chuyển khoản quốc tế

 

  1. Công ty có thể chuyển thông tin cá nhân ra ngoài Khu vực Kinh tế Châu Âu (EEA) (bao gồm các quốc gia thuộc Liên minh Châu Âu và Iceland, Liechtenstein và Na Uy) trên cơ sở quốc gia, lãnh thổ hoặc tổ chức đó được chỉ định là có mức độ bảo vệ hoặc rằng tổ chức nhận thông tin đã cung cấp các biện pháp bảo vệ đầy đủ bằng cách ràng buộc các quy tắc của công ty hoặc các điều khoản bảo vệ dữ liệu tiêu chuẩn hoặc tuân thủ quy tắc ứng xử đã được phê duyệt hoặc với sự đồng ý rõ ràng của khách hàng.

 

  1. Đào tạo

 

  1. Công ty sẽ đảm bảo rằng nhân viên được đào tạo đầy đủ về trách nhiệm bảo vệ dữ liệu của họ. Những cá nhân có vai trò yêu cầu quyền truy cập thường xuyên vào thông tin cá nhân hoặc những người chịu trách nhiệm thực hiện chính sách này hoặc phản hồi các yêu cầu truy cập đối tượng theo chính sách này sẽ được đào tạo bổ sung để giúp họ hiểu nhiệm vụ của mình và cách tuân thủ chúng.

 

  1. Hậu quả của việc không tuân thủ

 

  1. Công ty rất coi trọng việc tuân thủ chính sách này. Không tuân thủ chính sách:

 

  1. gây rủi ro cho các cá nhân có thông tin cá nhân đang được xử lý; và

 

  1. có nguy cơ bị xử phạt dân sự và hình sự nghiêm trọng đối với cá nhân và Công ty; và

 

  1. trong một số trường hợp, có thể dẫn đến một hành vi phạm tội của cá nhân.

 

  1. Do tầm quan trọng của chính sách này, việc nhân viên không tuân thủ bất kỳ yêu cầu nào trong chính sách này có thể dẫn đến hành động kỷ luật theo thủ tục của chúng tôi và hành động này có thể dẫn đến sa thải vì hành vi sai trái nghiêm trọng. Nếu một người không phải là nhân viên vi phạm chính sách này, họ có thể bị chấm dứt hợp đồng ngay lập tức.

 

  1. Nếu bạn có bất kỳ câu hỏi hoặc thắc mắc nào về bất kỳ điều gì trong chính sách này, vui lòng liên hệ với Nhân viên bảo vệ dữ liệu;

 

 

 

Tôi đã đọc và hiểu chính sách này và đồng ý tuân theo các điều khoản của nó.

 

Đã ký.................................................. .................................................... .

bottom of page