Chính sách Bảo vệ Dữ liệu Cá nhân

Giới thiệu

Chính sách Bảo vệ Dữ liệu Doanh nghiệp của Công ty TNHH FPT Smart Cloud (“FPT Smart Cloud”) quy định các yêu cầu nghiêm ngặt đối với việc xử lý dữ liệu cá nhân liên quan đến khách hàng, đối tác kinh doanh, nhân viên hoặc bất kỳ cá nhân nào khác. Chính sách này tuân thủ các nguyên tắc của luật bảo vệ dữ liệu quốc gia và quốc tế như đảm bảo tuân thủ Đạo luật Bảo vệ Dữ liệu Châu Âu. Chính sách này đặt ra một tiêu chuẩn bảo vệ và an toàn dữ liệu áp dụng toàn cầu cho FPT Smart Cloud và điều chỉnh việc chia sẻ thông tin giữa FPT Smart Cloud và các pháp nhân. FPT Smart Cloud đã thiết lập các nguyên tắc bảo vệ dữ liệu – bao gồm tính minh bạch, tiết kiệm dữ liệu và bảo mật dữ liệu – như là Chính sách Bảo vệ Dữ liệu Cá nhân và Hướng dẫn Quản lý An ninh Thông tin của FPT Smart Cloud.

Các nhà quản lý và nhân viên của FPT Smart Cloud có nghĩa vụ tuân thủ Chính sách Bảo vệ Dữ liệu của Công ty và tuân thủ các luật bảo vệ dữ liệu địa phương. Là Cán bộ Bảo vệ Dữ liệu, nhiệm vụ của tôi là đảm bảo rằng các quy tắc và nguyên tắc bảo vệ dữ liệu tại FPT Smart Cloud được tuân thủ trên toàn thế giới.

Tôi sẵn lòng trả lời bất kỳ câu hỏi nào bạn có về bảo vệ dữ liệu và việc chuyển giao dữ liệu cá nhân quốc tế.

PHẠM THẾ MINH

Cán bộ Bảo vệ Dữ liệu, email: Minhpt@fpt.com, điện thoại: +84 913571357

1.1. Mục đích

Chính sách Bảo vệ Dữ liệu này áp dụng trên toàn cầu cho FPT Smart Cloud, các công ty con/ văn phòng đại diện cũng như các pháp nhân và dựa trên các nguyên tắc cơ bản được chấp nhận trên toàn cầu về bảo vệ dữ liệu. Việc đảm bảo bảo vệ dữ liệu là nền tảng của các mối quan hệ kinh doanh đáng tin cậy và danh tiếng của FPT Smart Cloud như một nhà tuyển dụng hàng đầu.

Chính sách Bảo vệ Dữ liệu cung cấp một trong những điều kiện khung cần thiết cho việc chuyển giao dữ liệu xuyên biên giới giữa FPT Smart Cloud, các công ty con/ văn phòng đại diện và các pháp nhân. Chính sách này đảm bảo mức độ bảo vệ dữ liệu phù hợp theo Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu, Nghị định Bảo vệ Dữ liệu Cá nhân số 13/2023/NĐ-CP, hoặc các quy định bảo vệ dữ liệu cá nhân quốc gia khác và luật quốc gia về truyền dữ liệu xuyên biên giới, bao gồm cả các quốc gia chưa có luật bảo vệ dữ liệu phù hợp.

Để chuẩn hóa việc thu thập, xử lý, chuyển giao và sử dụng dữ liệu cá nhân, đồng thời thúc đẩy việc sử dụng dữ liệu cá nhân một cách hợp lý, hợp pháp, công bằng và minh bạch để ngăn chặn dữ liệu cá nhân bị đánh cắp, thay đổi, hủy hoại, mất mát hoặc rò rỉ, FPT Smart Cloud thiết lập chính sách quản lý bảo vệ dữ liệu cá nhân và các chính sách an toàn bảo mật thông tin.

1.2. Phạm vi áp dụng

Tất cả các hoạt động xử lý dữ liệu cá nhân của FPT Smart Cloud đều nằm trong phạm vi của chính sách này.

Điều này có nghĩa là tất cả các quy trình kinh doanh và hệ thống thông tin của FPT Smart Cloud liên quan đến việc thu thập, xử lý, sử dụng và chuyển giao dữ liệu cá nhân, cũng như tất cả nhân viên, nhà thầu và nhà cung cấp bên thứ ba tham gia xử lý dữ liệu cá nhân thay mặt cho FPT Smart Cloud.

Chính sách này có tính ràng buộc đối với tất cả các phòng ban và chức năng trên toàn cầu có liên quan đến việc xử lý thông tin nhận dạng cá nhân. Mọi phòng ban, pháp nhân hoặc công ty con/ văn phòng đại diện của FPT Smart Cloud phải tuân thủ quy trình này.

Phạm vi áp dụng bao gồm tất cả các chủ thể dữ liệu có dữ liệu cá nhân được thu thập, phù hợp với các yêu cầu của GDPR, Nghị định Bảo vệ Dữ liệu Cá nhân số 13/2023/NĐ-CP và các quy định bảo vệ dữ liệu quốc gia/quốc tế khác.

1.3. Áp dụng luật quốc gia

Chính sách Bảo vệ Dữ liệu này bao gồm các nguyên tắc bảo vệ dữ liệu được chấp nhận quốc tế mà không thay thế các luật quốc gia hiện hành. Chính sách này bổ sung cho các luật bảo vệ dữ liệu quốc gia. Luật quốc gia liên quan sẽ được ưu tiên trong trường hợp có xung đột với Chính sách Bảo vệ Dữ liệu này, hoặc nếu luật đó có yêu cầu nghiêm ngặt hơn chính sách này. Nội dung của Chính sách Bảo vệ Dữ liệu này cũng phải được tuân thủ trong trường hợp không có luật quốc gia tương ứng. Các yêu cầu báo cáo về xử lý dữ liệu theo luật quốc gia phải được tuân thủ.

Mỗi công ty con/ văn phòng đại diện hoặc pháp nhân của FPT Smart Cloud chịu trách nhiệm tuân thủ Chính sách Bảo vệ Dữ liệu này và các nghĩa vụ pháp lý. Nếu có lý do để tin rằng các nghĩa vụ pháp lý mâu thuẫn với các nhiệm vụ theo Chính sách Bảo vệ Dữ liệu này, công ty con/ văn phòng đại diện hoặc pháp nhân liên quan phải thông báo cho Cán bộ Bảo vệ Dữ liệu. Trong trường hợp có xung đột giữa luật quốc gia và Chính sách Bảo vệ Dữ liệu, FPT Smart Cloud, thông qua Cán bộ Bảo vệ Dữ liệu, sẽ làm việc với công ty con/ văn phòng đại diện hoặc pháp nhân liên quan để tìm ra giải pháp thực tế đáp ứng mục đích của Chính sách Bảo vệ Dữ liệu.

1.4. Ngăn chặn vi phạm luật bảo vệ dữ liệu quốc gia và quốc tế

Cán bộ Bảo vệ Dữ liệu báo cáo cho thành viên Ban Tổng giám đốc chịu trách nhiệm về Bảo vệ Dữ liệu, giám sát các chức năng tuân thủ và quy định của FPT Smart Cloud, nhằm xác định, giảm thiểu và giám sát tất cả các lĩnh vực có thể xảy ra rủi ro về quy định và danh tiếng liên quan đến xử lý dữ liệu cá nhân.

Chính sách và hướng dẫn Bảo vệ Dữ liệu Cá nhân, các quy trình, mẫu được sửa đổi và bổ sung mỗi năm một lần. Cán bộ Bảo vệ Dữ liệu và thành viên Ban Tổng giám đốc xem xét và phê duyệt Chính sách và các tài liệu hỗ trợ kịp thời trong trường hợp có bất kỳ thay đổi quan trọng nào trong luật, quy định hoặc thực tiễn kinh doanh.

Cán bộ Bảo vệ Dữ liệu định kỳ cung cấp các chương trình giáo dục bảo vệ dữ liệu cá nhân trực tuyến trên nền tảng đào tạo trực tuyến để giữ cho nhân viên được cập nhật về các phát triển quy định hiện tại, cập nhật chính sách và quy trình, cũng như các yêu cầu pháp lý.

Nếu xảy ra vi phạm các chính sách, hướng dẫn, quy trình, mẫu bảo vệ dữ liệu cá nhân, hoặc xác định sơ bộ rằng có thể đã xảy ra vi phạm, báo cáo phải được gửi đến Cán bộ Bảo vệ Dữ liệu và Ban điều hành.

Ban điều hành nên áp dụng các biện pháp xử lý kỷ luật thích hợp đối với nhân viên vi phạm các chính sách. Các biện pháp xử lý kỷ luật có thể bao gồm bất kỳ hoặc tất cả các biện pháp sau: thư khiển trách, bồi thường thiệt hại do hành vi vi phạm gây ra, tạm đình chỉ công việc, chấm dứt hợp đồng lao động, hoặc bất kỳ biện pháp xử lý kỷ luật nào khác được Ban điều hành coi là phù hợp.

Chính sách

2.1. Nguyên tắc định hướng

2.2.1 Quy tắc bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân phải được xử lý theo quy định của pháp luật.
Chủ thể dữ liệu được thông báo về các hoạt động liên quan đến việc xử lý dữ liệu cá nhân của họ, trừ khi luật pháp có quy định khác.
Dữ liệu cá nhân phải được xử lý cho các mục đích đã được đăng ký và khai báo bởi Bên Kiểm soát Dữ liệu, Bên xử lý Dữ liệu Cá nhân, Bên kiểm soát kiêm xử lý Dữ liệu và Bên thứ ba.
Dữ liệu cá nhân thu thập được phải phù hợp với phạm vi và mục đích xử lý. Việc mua bán dữ liệu cá nhân bị cấm dưới mọi hình thức, trừ khi luật pháp có quy định khác.
Dữ liệu cá nhân phải được cập nhật và bổ sung cho các mục đích xử lý.
Dữ liệu cá nhân phải được bảo vệ và bảo mật trong suốt quá trình xử lý. Cụ thể, dữ liệu cá nhân phải được bảo vệ khỏi các vi phạm đối với quy định về bảo vệ dữ liệu cá nhân và ngăn chặn mất mát, hủy hoại hoặc thiệt hại do các sự cố và sử dụng các biện pháp kỹ thuật.
Dữ liệu cá nhân phải được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý, trừ khi luật pháp có quy định khác.
Bên Kiểm soát Dữ liệu và Bên Kiểm soát Dữ liệu kiêm Xử lý dữ liệu phải tuân thủ các quy tắc xử lý dữ liệu được quy định trong các Khoản từ 1 đến 7 của Điều này và chứng minh sự tuân thủ của mình.

2.2.2 Đảm bảo quyền của chủ thể dữ liệu

Quyền được thông báo: Chủ thể dữ liệu có quyền được thông báo về việc xử lý dữ liệu cá nhân của mình, trừ khi luật pháp có quy định khác.
Quyền đồng ý: Chủ thể dữ liệu có quyền đồng ý với việc xử lý dữ liệu cá nhân của mình, trừ các trường hợp được quy định tại Điều 17 của Nghị định số 13/2023/NĐ-CP.
Quyền truy cập dữ liệu cá nhân: Chủ thể dữ liệu có quyền truy cập dữ liệu cá nhân của mình để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân, trừ khi luật pháp có quy định khác.
Quyền rút lại đồng ý: Chủ thể dữ liệu có quyền rút lại đồng ý của mình, trừ khi luật pháp có quy định khác.
Quyền xóa dữ liệu cá nhân: Chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ khi luật pháp có quy định khác.
Quyền hạn chế xử lý: Chủ thể dữ liệu có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ khi luật pháp có quy định khác. Việc hạn chế xử lý dữ liệu phải được thực hiện trong vòng 72 giờ sau khi nhận được yêu cầu của chủ thể dữ liệu, đối với tất cả dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu, trừ khi luật pháp có quy định khác.
Quyền nhận dữ liệu cá nhân: Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát Dữ liệu và Bên Kiểm soát Dữ liệu kiêm Xử lý dữ liệu cung cấp dữ liệu cá nhân của mình, trừ khi luật pháp có quy định khác.
Quyền phản đối xử lý:
1. Chủ thể dữ liệu có quyền phản đối Bên Kiểm soát Dữ liệu và Bên Kiểm soát Dữ liệu kiêm Xử lý dữ liệu xử lý dữ liệu cá nhân của mình để ngăn chặn hoặc hạn chế việc tiết lộ dữ liệu cá nhân hoặc sử dụng dữ liệu cá nhân cho mục đích quảng cáo và tiếp thị, trừ khi luật pháp có quy định khác.
2. Bên Kiểm soát Dữ liệu và Bên Kiểm soát Dữ liệu kiêm Xử lý dữ liệu phải tuân thủ yêu cầu của chủ thể dữ liệu trong vòng 72 giờ sau khi nhận được yêu cầu, trừ khi luật pháp có quy định khác.
Quyền khiếu nại, tố cáo và khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo và khởi kiện theo quy định của pháp luật.
Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi có vi phạm đối với quy định về bảo vệ dữ liệu cá nhân của mình, trừ khi các bên có thỏa thuận khác hoặc luật pháp có quy định khác.
Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo các quy định trong Bộ luật Dân sự, các luật liên quan khác và Nghị định số 13/2023/NĐ-CP, hoặc yêu cầu các cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 của Bộ luật Dân sự.

2.2. Dữ liệu khách hàng và nhà cung cấp (bên thứ ba)

2.2.1 Xử lý dữ liệu cho mối quan hệ hợp đồng

Dữ liệu cá nhân của khách hàng và nhà cung cấp (bên thứ ba) có thể được xử lý để thiết lập, thực hiện và chấm dứt hợp đồng. Trước khi ký hợp đồng – trong giai đoạn khởi tạo hợp đồng – dữ liệu cá nhân có thể được xử lý để chuẩn bị chào giá hoặc đơn đặt hàng hoặc để đáp ứng các yêu cầu khác liên quan đến việc ký kết hợp đồng. Khách hàng hoặc nhà cung cấp có thể được liên hệ trong quá trình chuẩn bị hợp đồng bằng cách sử dụng thông tin mà họ đã cung cấp. Mọi hạn chế được khách hàng hoặc nhà cung cấp yêu cầu phải được tuân thủ.

FPT Smart Cloud không cần sự đồng ý của chủ thể dữ liệu để thực hiện các nghĩa vụ hợp đồng.

Công chúng, tức là mọi khách hàng, nhà cung cấp, chủ thể dữ liệu, phải có quyền truy cập thông tin về các nguyên tắc và hoạt động Bảo vệ Dữ liệu Cá nhân của FPT Smart Cloud và phải có thể liên lạc với Cán bộ Bảo vệ Dữ liệu của FPT Smart Cloud một cách dễ dàng:

Phạm Thế Minh | Cán bộ Bảo vệ Dữ liệu | FPT Smart Cloud

Địa chỉ: FPT Tower, 10 Pham Van Bach Street, Cau Giay Ward, Ha Noi, Vietnam

Điện thoại: +84 913571357 | Tel: 1900638399

URL: https://fptsmartcloud.com/

2.2.2 Đồng ý xử lý dữ liệu

Dữ liệu có thể được xử lý sau khi có sự đồng ý của chủ thể dữ liệu. Trước khi đồng ý, chủ thể dữ liệu phải được thông báo theo Chính sách Bảo vệ Dữ liệu Cá nhân của công ty. Để có được sự đồng ý của chủ thể dữ liệu, các nội dung sau phải được thông báo cho chủ thể dữ liệu:

a) Loại dữ liệu cá nhân sẽ được xử lý;

b) Mục đích xử lý dữ liệu cá nhân;

c) Các tổ chức và cá nhân có thể xử lý dữ liệu cá nhân;

d) Quyền và nghĩa vụ của chủ thể dữ liệu.

Tuyên bố đồng ý phải được lấy bằng văn bản hoặc điện tử để phục vụ mục đích lưu trữ. Trong một số trường hợp, như cuộc trò chuyện qua điện thoại, sự đồng ý có thể được đưa ra bằng lời nói. Việc cấp đồng ý phải được ghi lại.

2.2.3 Xử lý dữ liệu theo ủy quyền pháp lý

Việc xử lý dữ liệu cá nhân cũng được phép nếu luật quốc gia yêu cầu, đòi hỏi hoặc cho phép điều này. Loại và phạm vi xử lý dữ liệu phải cần thiết cho hoạt động xử lý dữ liệu được ủy quyền hợp pháp và phải tuân thủ các quy định pháp luật liên quan.

2.2.4 Xử lý dữ liệu theo lợi ích hợp pháp

Dữ liệu cá nhân cũng có thể được xử lý nếu cần thiết cho lợi ích hợp pháp của FPT Smart Cloud. Lợi ích hợp pháp thường mang tính chất pháp lý (ví dụ: thu hồi các khoản phải thu chưa thanh toán) hoặc thương mại (ví dụ: tránh vi phạm hợp đồng). Dữ liệu cá nhân không được xử lý cho các mục đích lợi ích hợp pháp nếu, trong các trường hợp cụ thể, có bằng chứng cho thấy lợi ích của chủ thể dữ liệu cần được bảo vệ và điều này được ưu tiên. Trước khi xử lý dữ liệu, cần xác định liệu có những lợi ích nào cần được bảo vệ.

2.2.5 Dữ liệu người dùng và internet

Nếu dữ liệu cá nhân được thu thập, xử lý và sử dụng trên các trang web hoặc ứng dụng, chủ thể dữ liệu phải được thông báo về điều này trong một tuyên bố bảo mật và, nếu có, thông tin về cookie. Tuyên bố bảo mật và bất kỳ thông tin cookie nào phải được tích hợp sao cho dễ xác định, dễ truy cập trực tiếp và luôn có sẵn cho các chủ thể dữ liệu.

Nếu các hồ sơ sử dụng (theo dõi) được tạo để đánh giá việc sử dụng các trang web và ứng dụng, các chủ thể dữ liệu phải luôn được thông báo tương ứng trong tuyên bố bảo mật.

Nếu các trang web hoặc ứng dụng có thể truy cập dữ liệu cá nhân trong khu vực hạn chế đối với người dùng đã đăng ký, việc xác định và xác thực chủ thể dữ liệu phải cung cấp đủ sự bảo vệ trong quá trình truy cập.

2.3. Dữ liệu nhân viên

2.3.1 Xử lý dữ liệu cho mối quan hệ lao động

Trong các mối quan hệ lao động, dữ liệu cá nhân có thể được xử lý nếu cần để khởi tạo, thực hiện và chấm dứt hợp đồng lao động. Khi khởi tạo mối quan hệ lao động, dữ liệu cá nhân của ứng viên có thể được xử lý. Nếu ứng viên bị từ chối, dữ liệu của họ phải được xóa tuân thủ thời gian lưu giữ bắt buộc, trừ khi ứng viên đồng ý được lưu giữ hồ sơ cho quá trình tuyển chọn trong tương lai. Sự đồng ý phải được mỗi ứng viên cung cấp trước khi xử lý dữ liệu cá nhân của họ trong các hệ thống của FPT Smart Cloud. Sự đồng ý cũng cần thiết để sử dụng dữ liệu cho các quy trình ứng tuyển tiếp theo hoặc trước khi chia sẻ đơn ứng tuyển với các pháp nhân khác của FPT Smart Cloud.

Trong mối quan hệ lao động hiện tại, việc xử lý dữ liệu phải luôn liên quan đến mục đích của hợp đồng lao động nếu không có trường hợp nào sau đây áp dụng cho việc xử lý dữ liệu được ủy quyền.

Nếu cần thiết trong quy trình ứng tuyển để thu thập thông tin về ứng viên từ bên thứ ba, các yêu cầu của luật quốc gia tương ứng phải được tuân thủ. Trong trường hợp nghi ngờ, cần phải có sự đồng ý từ chủ thể dữ liệu.

Phải có ủy quyền pháp lý để xử lý dữ liệu cá nhân liên quan đến mối quan hệ lao động nhưng ban đầu không thuộc về việc thực hiện hợp đồng lao động. Điều này bao gồm các yêu cầu pháp lý, các quy định tập thể với đại diện nhân viên, sự đồng ý của nhân viên, hoặc lợi ích hợp pháp của công ty.

Nhân viên cũng có thể cung cấp thông tin về những người khác, như người phụ thuộc và gia đình của nhân viên, để Công ty có thể cung cấp các lợi ích liên quan hoặc liên hệ với họ trong trường hợp cần thiết. Trước khi nhân viên cung cấp thông tin cho công ty về những người khác, nhân viên phải thông báo cho họ về thông tin mà họ dự định cung cấp cho công ty và phải chịu trách nhiệm thu thập sự đồng ý từ người phụ thuộc và gia đình của họ. Nếu nhân viên chia sẻ thông tin của họ với công ty, họ cũng có thể cần đọc Chính sách này.

2.3.2 Xử lý dữ liệu theo ủy quyền pháp lý

Việc xử lý dữ liệu cá nhân của nhân viên cũng được phép nếu luật quốc gia yêu cầu, đòi hỏi hoặc cho phép điều này. Loại và phạm vi xử lý dữ liệu phải cần thiết cho hoạt động xử lý dữ liệu được ủy quyền hợp pháp và phải tuân thủ các quy định pháp luật liên quan. Nếu có một số linh hoạt pháp lý, lợi ích của nhân viên cần được bảo vệ phải được xem xét.

2.3.3 Thỏa thuận tập thể về xử lý dữ liệu

Nếu một hoạt động xử lý dữ liệu vượt quá mục đích thực hiện hợp đồng, nó có thể được phép nếu được ủy quyền thông qua một thỏa thuận tập thể. Các thỏa thuận tập thể là các thỏa thuận thang lương hoặc thỏa thuận giữa người sử dụng lao động và đại diện nhân viên, trong phạm vi được phép theo luật lao động liên quan. Các thỏa thuận phải bao gồm mục đích cụ thể của hoạt động xử lý dữ liệu dự định và phải được soạn thảo trong các tham số của luật bảo vệ dữ liệu quốc gia.

2.3.4 Đồng ý xử lý dữ liệu

Dữ liệu nhân viên có thể được xử lý khi có sự đồng ý của người liên quan. Tuyên bố đồng ý phải được gửi tự nguyện. Sự đồng ý không tự nguyện là vô hiệu. Tuyên bố đồng ý phải được lấy bằng văn bản hoặc điện tử để phục vụ mục đích lưu trữ. Trong một số trường hợp, sự đồng ý có thể được đưa ra bằng lời nói, trong trường hợp này phải được ghi lại đúng cách. Trong trường hợp cung cấp dữ liệu tự nguyện, được thông báo của bên liên quan, sự đồng ý có thể được giả định nếu luật quốc gia không yêu cầu sự đồng ý rõ ràng. Trước khi đưa ra sự đồng ý, chủ thể dữ liệu phải được thông báo theo Chính sách Bảo vệ Dữ liệu này.

2.3.5 Xử lý dữ liệu theo lợi ích hợp pháp

2.3.6 Viễn thông và Internet

Thiết bị điện thoại, địa chỉ email, intranet, và internet cùng với các mạng xã hội nội bộ được công ty cung cấp chủ yếu cho các nhiệm vụ liên quan đến công việc. Chúng là các công cụ và tài nguyên của công ty. Chúng có thể được sử dụng trong các quy định pháp luật áp dụng và các chính sách nội bộ của công ty. Trong trường hợp sử dụng được phép cho mục đích cá nhân, các luật về bí mật viễn thông và các luật viễn thông quốc gia liên quan phải được tuân thủ nếu áp dụng.

Sẽ không có giám sát tổng quát về liên lạc qua điện thoại và email hoặc sử dụng intranet/internet. Để phòng thủ chống lại các cuộc tấn công vào cơ sở hạ tầng CNTT hoặc người dùng cá nhân, các biện pháp bảo vệ có thể được triển khai cho các kết nối đến mạng của FPT Smart Cloud để chặn nội dung kỹ thuật có hại hoặc phân tích các mẫu tấn công. Vì lý do bảo mật, việc sử dụng thiết bị điện thoại, địa chỉ email, intranet/internet và các mạng xã hội nội bộ có thể được ghi lại trong một khoảng thời gian tạm thời. Việc đánh giá dữ liệu này từ một người cụ thể chỉ có thể được thực hiện trong trường hợp cụ thể, có căn cứ nghi ngờ vi phạm luật hoặc chính sách của FPT Smart Cloud. Các đánh giá chỉ có thể được thực hiện bởi các bộ phận điều tra trong khi đảm bảo rằng nguyên tắc tỷ lệ được đáp ứng. Các luật quốc gia liên quan phải được tuân thủ.

2.4. Yêu cầu truy cập của cơ quan nhà nước/chính phủ hoặc cơ quan quản lý khác

Các yêu cầu truy cập dữ liệu cá nhân của cơ quan nhà nước/chính phủ hoặc cơ quan quản lý khác được xử lý theo cách tương tự và theo các điều kiện tương tự như chuyển giao dữ liệu quốc tế bằng cách tuân thủ nghiêm ngặt các yêu cầu của luật quốc gia của quốc gia tương ứng. Tất cả các yêu cầu truy cập được ghi lại trong sổ đăng ký yêu cầu truy cập. Tất cả các yêu cầu được quản lý bởi Cán bộ Bảo vệ Dữ liệu và phải được sự đồng ý của thành viên Ban Tổng giám đốc của FPT Smart Cloud chịu trách nhiệm về bảo vệ dữ liệu. Cán bộ Bảo vệ Dữ liệu chịu trách nhiệm giao tiếp với cơ quan nhà nước/chính phủ hoặc cơ quan quản lý khác. Cán bộ Bảo vệ Dữ liệu chịu trách nhiệm về sổ đăng ký yêu cầu truy cập. FPT Smart Cloud sẽ thông báo cho chủ thể dữ liệu về yêu cầu dữ liệu cá nhân mà không có bất kỳ sự chậm trễ nào nếu điều đó không mâu thuẫn với luật quốc gia.

2.5. Xem xét và đánh giá chính sách

Chính sách này phải được xem xét và đánh giá hai lần một năm để phản ánh trạng thái mới nhất của các tiêu chuẩn quốc tế, quy định pháp luật, công nghệ và kinh doanh, đồng thời đảm bảo tính kịp thời của các thực tiễn quản lý dữ liệu cá nhân.

2.6. Công bố và phát hành

Chính sách này dựa trên một quy trình công bố sẽ giúp nhân viên hiểu các nguyên tắc và quy định liên quan của chính sách quản lý bảo vệ dữ liệu cá nhân để họ có thể tuân thủ.

Chính sách này phải được sửa đổi và xem xét bởi Cán bộ Bảo vệ Dữ liệu và thành viên Ban Tổng giám đốc của FPT Smart Cloud chịu trách nhiệm. Cán bộ Bảo vệ Dữ liệu chịu trách nhiệm thực hiện và kiểm toán nội bộ.

Kiểm soát bảo vệ dữ liệu

Việc tuân thủ Chính sách Bảo vệ Dữ liệu và các luật bảo vệ dữ liệu áp dụng được kiểm tra hàng năm bằng các cuộc kiểm toán bảo vệ dữ liệu và các kiểm soát khác. Việc thực hiện các kiểm soát này là trách nhiệm của các Đại diện Bảo vệ Dữ liệu. Kết quả của các kiểm soát bảo vệ dữ liệu phải được báo cáo cho Cán bộ Bảo vệ Dữ liệu và thành viên Ban Tổng giám đốc của FPT Smart Cloud chịu trách nhiệm. Theo yêu cầu, kết quả của các kiểm soát bảo vệ dữ liệu sẽ được cung cấp cho cơ quan bảo vệ dữ liệu có trách nhiệm. Cơ quan bảo vệ dữ liệu có trách nhiệm có thể thực hiện các kiểm soát riêng của mình về việc tuân thủ các quy định của Chính sách này, theo như luật quốc gia cho phép.

Các biện pháp kỹ thuật và tổ chức

Là một công ty không công khai xử lý dữ liệu cá nhân trong phạm vi thỏa thuận xử lý dữ liệu được ủy quyền, FPT Smart Cloud phải thực hiện các quy trình kỹ thuật và tổ chức để đảm bảo tuân thủ Quy định Bảo vệ Dữ liệu Châu Âu và các luật bảo vệ dữ liệu quốc tế khác. Ngoài các quy trình như vậy, tính bảo mật, toàn vẹn, sẵn có và khả năng phục hồi của các hệ thống và thành phần phải được FPT Smart Cloud đảm bảo.

Các nhóm biện pháp sau đây giải quyết tất cả các khía cạnh của mức độ bảo mật tối thiểu hiện tại. Chúng nhằm đánh giá mức độ bảo vệ dữ liệu của FPT Smart Cloud khi xử lý dữ liệu cá nhân thay mặt cho Bộ điều khiển. Nếu FPT Smart Cloud kết nối với các hệ thống của Bộ điều khiển, FPT Smart Cloud phải hoàn thành ít nhất phần bảo mật, trong đó FPT Smart Cloud sẽ cần hoàn thành các kiểm soát truy cập và ủy quyền truy cập cũng như các kiểm soát phân tách nhiệm vụ (các mục b) c) d) dưới đây).

Dưới đây là các biện pháp kỹ thuật và tổ chức hiện được thực hiện trong FPT Smart Cloud. Một quy trình cải tiến liên tục được triển khai:

4.1. Bảo mật

a) Kiểm soát truy cập / An ninh tòa nhà

Mục tiêu của Kiểm soát Truy cập là ngăn chặn việc sử dụng trái phép các hệ thống xử lý dữ liệu được sử dụng để xử lý và sử dụng dữ liệu cá nhân.

Dữ liệu chính của mỗi nhân viên và mã định danh cá nhân được đăng ký trong danh bạ liên lạc. Việc truy cập vào các hệ thống xử lý dữ liệu chỉ có thể thực hiện sau khi xác định và xác thực bằng cách sử dụng mã định danh và mật khẩu cho hệ thống cụ thể.

Hệ thống báo động
Bảo vệ các trục tòa nhà
Hệ thống kiểm soát truy cập tự động
Kiểm soát truy cập bằng thẻ chip
Hệ thống khóa mã
Hệ thống khóa thủ công
Kiểm soát truy cập sinh trắc học
Giám sát video các lối vào
Rào chắn ánh sáng / cảm biến chuyển động
Khóa an toàn
Quy định chuyển giao chìa khóa (giao chìa khóa, v.v.)
Kiểm tra danh tính bởi nhân viên bảo vệ/lễ tân
Ghi nhận khách truy cập
Cam kết của nhân viên vệ sinh được chọn đặc biệt
Cam kết của bảo vệ được chọn đặc biệt
Cam kết đeo thẻ ủy quyền của nhân viên

b) Kiểm soát truy cập vật lý / Bảo vệ hệ thống

Mục tiêu của Kiểm soát Truy cập Vật lý là ngăn chặn những người không được ủy quyền truy cập vật lý vào các thiết bị xử lý dữ liệu xử lý hoặc sử dụng dữ liệu cá nhân.

Do các yêu cầu bảo mật tương ứng, các cơ sở kinh doanh và cơ sở vật chất được chia thành các vùng bảo mật khác nhau với các quyền truy cập khác nhau. Chúng được giám sát bởi nhân viên bảo vệ.

Truy cập vào các khu vực bảo mật đặc biệt như trung tâm dịch vụ để bảo trì từ xa hoặc ODC được bảo vệ thêm bằng một khu vực truy cập riêng. Các tiêu chuẩn bảo mật xây dựng và nội dung tuân thủ các yêu cầu bảo mật cho các trung tâm dữ liệu.

Kiểm soát truy cập nội bộ
Kiểm soát cách ly (quyền cho phép người dùng)
Quy định mật khẩu mạnh
Xác thực sinh trắc học
Xác thực bằng tên người dùng/mật khẩu
Gán hồ sơ người dùng cho các hệ thống CNTT
Khóa vỏ máy chủ/máy tính
Sử dụng công nghệ VPN (truy cập từ xa)
Khóa các giao diện bên ngoài (USB, v.v.)
Mã hóa phương tiện dữ liệu di động
Hệ thống phát hiện xâm nhập
Quản lý điện thoại thông minh tập trung (ví dụ: xóa từ xa)
Mã hóa nội dung điện thoại thông minh
Mật khẩu an toàn cho điện thoại thông minh
Mã hóa phương tiện dữ liệu trên máy tính xách tay
Gán tên người dùng riêng lẻ
Hoặc khác, vui lòng chỉ rõ:

c) Kiểm soát truy cập điện tử / Bảo mật ủy quyền truy cập

Các biện pháp liên quan đến Kiểm soát Truy cập Điện tử nhằm đảm bảo rằng chỉ dữ liệu có quyền truy cập được truy cập, và dữ liệu cá nhân không thể được đọc, sao chép, thay đổi hoặc xóa một cách trái phép trong quá trình xử lý, sử dụng và sau khi lưu trữ.

Truy cập vào dữ liệu cần thiết để thực hiện nhiệm vụ cụ thể được đảm bảo trong các hệ thống và ứng dụng bởi một khái niệm vai trò và ủy quyền tương ứng.

Khái niệm ủy quyền quyền
Quản lý quyền bởi quản trị viên hệ thống
Số lượng quản trị viên hệ thống “giảm xuống mức tối thiểu”
Ghi nhận việc xóa
Ghi lại các sự kiện truy cập hệ thống, đặc biệt là các mục nhập, thay đổi và xóa dữ liệu
Áp dụng bảo vệ chống virus
Xóa vật lý phương tiện trước khi tái sử dụng
Áp dụng tường lửa phần mềm
Lưu trữ an toàn các phương tiện dữ liệu
Chính sách mật khẩu (bao gồm độ dài mật khẩu đã xác định, thay đổi mật khẩu)
Mã hóa các phương tiện dữ liệu
Sử dụng máy hủy tài liệu phù hợp hoặc các nhà cung cấp dịch vụ chuyên biệt
Áp dụng tường lửa phần cứng
Hủy bỏ đúng cách các phương tiện dữ liệu
Hoặc khác, vui lòng chỉ rõ:
Nhật ký truy cập

d) Kiểm soát phân tách / Các biện pháp để bảo vệ sự phân tách các mục đích mà dữ liệu cá nhân được thu thập

Mục tiêu của Kiểm soát Phân tách là đảm bảo rằng dữ liệu được thu thập cho các mục đích khác nhau có thể được xử lý riêng biệt.

Dữ liệu cá nhân chỉ được Bộ xử lý sử dụng cho các mục đích nội bộ. Việc chuyển giao cho bên thứ ba như Nhà thầu phụ chỉ được thực hiện khi xem xét các thỏa thuận hợp đồng và Quy định Bảo vệ Dữ liệu Châu Âu.

Nhân viên của Bộ xử lý được hướng dẫn thu thập, xử lý và sử dụng dữ liệu cá nhân chỉ trong khuôn khổ và cho các mục đích của nhiệm vụ của họ (ví dụ: cung cấp dịch vụ). Ở cấp độ kỹ thuật, khả năng đa khách hàng, phân tách chức năng cũng như phân tách các hệ thống kiểm tra và sản xuất được sử dụng cho mục đích này.

Lưu trữ riêng biệt về mặt vật lý bằng cách sử dụng các hệ thống hoặc phương tiện dữ liệu riêng biệt
Xác định khái niệm ủy quyền
Phân chia giữa các hệ thống sản xuất và kiểm tra
Mã hóa các bản ghi dữ liệu, được xử lý cho cùng một mục đích
Không sử dụng dữ liệu sản xuất trong các hệ thống kiểm tra
Phân tách khách hàng logic (dựa trên phần mềm)
Hoặc khác, vui lòng chỉ rõ:

e) Giấu tên

Việc xử lý dữ liệu cá nhân theo cách mà dữ liệu không thể liên kết với một chủ thể dữ liệu cụ thể mà không cần sự hỗ trợ của thông tin bổ sung, với điều kiện thông tin bổ sung này được lưu trữ riêng biệt và chịu các biện pháp kỹ thuật và tổ chức phù hợp.

Xử lý dữ liệu dưới dạng ẩn danh (hoặc vô danh)
Phân tách tệp gán và lưu trữ trong một hệ thống CNTT riêng biệt, an toàn.

4.2. Tính toàn vẹn

a) Kiểm soát chuyển giao dữ liệu / An ninh chuyển giao dữ liệu

Mục tiêu của Kiểm soát Chuyển giao Dữ liệu là đảm bảo rằng dữ liệu cá nhân không thể được đọc, sao chép, thay đổi hoặc xóa mà không được ủy quyền trong quá trình chuyển giao và có thể giám sát và xác định được các đối tượng nhận dữ liệu cá nhân dự định chuyển giao.

Việc chuyển giao dữ liệu cá nhân bởi FPT Smart Cloud cho bên thứ ba (ví dụ: khách hàng, nhà thầu phụ, nhà cung cấp dịch vụ) chỉ được thực hiện nếu có hợp đồng tương ứng và chỉ cho một mục đích cụ thể. Nếu dữ liệu cá nhân được chuyển giao đến các công ty có trụ sở ngoài EU/EEA hoặc quốc gia ban đầu, FPT Smart Cloud đảm bảo rằng mức độ bảo vệ dữ liệu phù hợp tồn tại tại vị trí hoặc tổ chức đích theo Quy định Bảo vệ Dữ liệu của Liên minh Châu Âu, ví dụ: bằng cách sử dụng các hợp đồng dựa trên các điều khoản hợp đồng mẫu của EU.

Thiết lập các đường dây chuyên dụng hoặc đường hầm VPN
Mã hóa email
Ghi nhận các đối tượng nhận dữ liệu cũng như các khoảng thời gian truyền theo lịch trình hoặc các khoảng thời gian xóa đã thỏa thuận
Vận chuyển vật lý: lựa chọn nhân viên vận chuyển đặc biệt và nhà vận chuyển

Hoặc khác, vui lòng chỉ rõ:

Chuyển giao dữ liệu dưới dạng ẩn danh hoặc giả danh
Tạo tổng quan về các yêu cầu dữ liệu thường xuyên cũng như chuyển giao dữ liệu
Vận chuyển vật lý: Sử dụng các container/bao bì vận chuyển an toàn
Sử dụng các thiết bị bên ngoài được mã hóa khi chuyển giao dữ liệu (CD, USB, v.v.)

b) Kiểm soát đầu vào

Mục tiêu của Kiểm soát Đầu vào là đảm bảo rằng các trường hợp nhập dữ liệu có thể được xem xét và giám sát hồi tố bằng các biện pháp phù hợp.

Các đầu vào hệ thống được ghi lại dưới dạng tệp nhật ký. Bằng cách này, có thể xem xét sau này liệu dữ liệu cá nhân đã được nhập, thay đổi hoặc xóa bởi ai.

Tạo tổng quan chứng minh ứng dụng nào cho phép nhập, sửa đổi hoặc xóa dữ liệu nào
Cài đặt quyền để nhập, sửa đổi và xóa dữ liệu theo khái niệm phân bổ quyền
Ghi lại liên tục các đầu vào, sửa đổi và xóa dữ liệu
Sử dụng tên người dùng được gán riêng để đảm bảo kiểm soát truy cập hoặc nhập, sửa đổi hoặc xóa dữ liệu
Duy trì một hệ thống lưu trữ để đánh giá nguồn gốc của dữ liệu được truyền đến dữ liệu được xử lý tự động
Nhật ký hoạt động

Hoặc khác, vui lòng chỉ rõ.

4.3. Tính sẵn có và khả năng phục hồi

a) Kiểm soát tính sẵn có và bảo vệ để ngăn chặn sự hủy hoại hoặc mất mát ngẫu nhiên hoặc cố ý

Mục tiêu của kiểm soát tính sẵn có là đảm bảo rằng dữ liệu cá nhân được bảo vệ khỏi sự hủy hoại và mất mát ngẫu nhiên.

Nếu dữ liệu cá nhân không còn cần thiết cho các mục đích mà nó được xử lý, nó sẽ được xóa ngay lập tức. Cần lưu ý rằng với mỗi lần xóa, dữ liệu cá nhân chỉ được khóa trước tiên và sau đó được xóa hoàn toàn sau một khoảng thời gian nhất định. Điều này được thực hiện để ngăn chặn các lần xóa ngẫu nhiên hoặc thiệt hại có chủ ý có thể xảy ra.

Phòng máy chủ được trang bị máy điều hòa không khí, phích cắm bảo vệ, bình chữa cháy
Sao lưu được lưu trữ riêng biệt ở nơi an toàn
Kế hoạch khẩn cấp
Kế hoạch liên tục kinh doanh
Không có phòng máy chủ dưới các cơ sở vệ sinh
Sao lưu tệp dữ liệu định kỳ
Kế hoạch khẩn cấp giám sát

Hoặc khác, vui lòng chỉ rõ:

b) Phục hồi nhanh

Phục hồi theo khái niệm sao lưu và phục hồi
Kiểm tra phục hồi
Kế hoạch khẩn cấp giám sát

4.4. Quy trình xử lý đánh giá, định giá và xem xét định kỳ

a) Quản lý bảo vệ dữ liệu

Các nguyên tắc liên quan đến việc xử lý dữ liệu cá nhân (thu thập, xử lý hoặc sử dụng) chịu sự điều chỉnh của chính sách nội bộ công ty
Cán bộ Bảo vệ Dữ liệu đã được chỉ định bằng văn bản
Nhân viên cam kết giữ bí mật dữ liệu/xử lý dữ liệu cá nhân
Nhân viên cam kết tuân thủ các quy định về bí mật viễn thông
Có sẵn danh sách nội bộ các hoạt động xử lý
Cán bộ Bảo vệ Dữ liệu tham gia vào đánh giá tác động bảo vệ dữ liệu
Cán bộ Bảo vệ Dữ liệu là thành viên của sơ đồ tổ chức
Các khóa đào tạo nhân viên
Thực hiện hệ thống kiểm soát được thiết kế để phát hiện truy cập trái phép vào dữ liệu cá nhân

Hoặc khác, vui lòng chỉ rõ:

b) Quản lý phản ứng sự cố

Nó tương ứng với quản lý sự cố trong trường hợp phát hiện hoặc nghi ngờ các sự cố bảo mật hoặc thất bại liên quan đến lĩnh vực CNTT.

Quy trình xử lý cho quản lý sự cố
Nhóm thực hành các bài tập thực tế
Nhóm bảo mật được chỉ định và đào tạo

Hoặc khác, vui lòng chỉ rõ:

c) Bảo vệ dữ liệu bằng việc thực hiện các biện pháp kỹ thuật phù hợp và cài đặt bảo mật mặc định (theo Quy định EU)

Tuân thủ bảo mật theo thiết kế/bảo vệ dữ liệu bằng các công nghệ phù hợp
Lựa chọn các công nghệ tăng cường bảo mật cho các yêu cầu trong tương lai
Tuân thủ bảo mật mặc định/bảo vệ dữ liệu bằng các cài đặt phù hợp

Hoặc khác, vui lòng chỉ rõ:

d) Giám sát/Tham gia của nhà thầu phụ

Không được thực hiện xử lý dữ liệu mà không có sự ủy quyền cụ thể trước của Bộ điều khiển, ví dụ: nghĩa vụ hợp đồng rõ ràng, quản lý đơn hàng chính thức, lựa chọn nghiêm ngặt nhà cung cấp dịch vụ, nghĩa vụ kiểm tra trước, kiểm tra tiếp theo.

Lựa chọn (nhà thầu phụ) theo sự cẩn trọng nghề nghiệp (đặc biệt liên quan đến bảo mật dữ liệu)
Các hướng dẫn được soạn thảo cho bộ xử lý được ghi lại bằng văn bản (ví dụ: bằng thỏa thuận xử lý dữ liệu)
Bộ xử lý chỉ định Cán bộ Bảo vệ Dữ liệu (nếu cần)
Quyền giám sát hiệu quả của bộ điều khiển đã được thỏa thuận
Trước khi tham gia, xác minh các biện biện bảo mật được ghi lại bởi nhà thầu phụ
Nhân viên của bộ xử lý cam kết ký thỏa thuận bí mật/bảo mật
Đảm bảo xóa hoặc hủy dữ liệu sau khi chấm dứt hợp đồng
Xem xét liên tục bộ xử lý và các hoạt động của họ

Hoặc khác, vui lòng chỉ rõ:

Đào tạo bảo vệ dữ liệu cá nhân

Mọi nhân viên mới phải tham gia đào tạo Bảo vệ Dữ liệu Cá nhân vào ngày đầu tiên.

Đối với mọi nhân viên xử lý dữ liệu cá nhân, việc tham gia đào tạo Bảo vệ Dữ liệu Cá nhân bao gồm kỳ thi thành công là bắt buộc trước khi bắt đầu xử lý dữ liệu cá nhân. Đào tạo làm mới hàng năm cũng là bắt buộc.

Cán bộ Bảo vệ Dữ liệu

Cán bộ Bảo vệ Dữ liệu, độc lập về mặt chuyên môn trong nội bộ, làm việc để đảm bảo tuân thủ các quy định bảo vệ dữ liệu quốc gia và quốc tế, Chịu trách nhiệm về Chính sách Bảo vệ Dữ liệu và giám sát việc tuân thủ. Cán bộ Bảo vệ Dữ liệu được Ban Tổng giám đốc của FPT Smart Cloud chỉ định.

Bất kỳ chủ thể dữ liệu nào cũng có thể liên hệ với Cán bộ Bảo vệ Dữ liệu bất cứ lúc nào để nêu lên mối quan ngại, đặt câu hỏi, yêu cầu thông tin hoặc đưa ra khiếu nại liên quan đến các vấn đề bảo vệ dữ liệu hoặc an ninh dữ liệu. Nếu được yêu cầu, các mối quan ngại và khiếu nại sẽ được xử lý một cách bảo mật.

Chi tiết liên hệ cho Cán bộ Bảo vệ Dữ liệu và nhân viên như sau:

Công ty TNHH FPT Smart Cloud

Cán bộ Bảo vệ Dữ liệu, Phạm Thế Minh

Điện thoại: +84 913571357 | Tel: 1900638399

URL: https://fptsmartcloud.com

Trách nhiệm và kỷ luật

Ban Điều hành của FPT Smart Cloud, các công ty con/ văn phòng đại diện và các pháp nhân chịu trách nhiệm về xử lý dữ liệu trong lĩnh vực trách nhiệm của họ. Do đó, họ có trách nhiệm đảm bảo rằng các yêu cầu pháp lý và những yêu cầu trong Chính sách Bảo vệ Dữ liệu về bảo vệ dữ liệu được đáp ứng (ví dụ: nghĩa vụ báo cáo quốc gia). Ban Điều hành chịu trách nhiệm đảm bảo rằng các biện pháp tổ chức, nhân sự và kỹ thuật được áp dụng để bất kỳ xử lý dữ liệu nào được thực hiện phù hợp với bảo vệ dữ liệu. Việc tuân thủ các yêu cầu này là trách nhiệm của các nhân viên liên quan. Nếu các cơ quan bên ngoài thực hiện các kiểm soát bảo vệ dữ liệu, Cán bộ Bảo vệ Dữ liệu phải được thông báo ngay lập tức.

Việc xử lý dữ liệu cá nhân không đúng cách hoặc các vi phạm khác của luật bảo vệ dữ liệu có thể bị truy tố hình sự ở nhiều quốc gia và dẫn đến các yêu cầu bồi thường thiệt hại. Các vi phạm mà nhân viên cá nhân chịu trách nhiệm có thể dẫn đến các biện pháp xử lý kỷ luật theo luật lao động.

Nếu bạn không hiểu các tác động của chính sách này hoặc cách nó có thể áp dụng cho bạn, hãy tìm kiếm lời khuyên từ Cán bộ Bảo vệ Dữ liệu qua điện thoại hoặc email (Phạm Thế Minh, email: Minhpt@fpt.com, điện thoại: +84 913571357).

Hướng dẫn và tài liệu bổ sung

Chính sách Bảo vệ Dữ liệu Cá nhân

Mọi nhân viên của FPT Smart Cloud có thể tìm thấy các Chính sách, Hướng dẫn, quy trình và mẫu này trên nền tảng QMS.

Ngoại lệ

Bất kỳ ngoại lệ nào cũng phải được Cán bộ Bảo vệ Dữ liệu xem xét và phê duyệt, đồng thời được thành viên Ban Tổng giám đốc của FPT Smart Cloud chịu trách nhiệm phê duyệt.

Phụ lục

10.1. Định nghĩa

Thuật ngữ/từ viết tắt	Mô tả
Dữ liệu cá nhân, Thông tin định danh cá nhân (PII),	Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm
Dữ liệu cá nhân cơ bản	Bao gồm: a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; c) Giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; đ) Quốc tịch; e) Hình ảnh của cá nhân; g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; h) Tình trạng hôn nhân; i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái); k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể
Dữ liệu cá nhân nhạy cảm	là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: a) Quan điểm chính trị, quan điểm tôn giáo; b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Chủ thể dữ liệu	Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.
Bên kiểm soát dữ liệu	Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
Bên xử lý dữ liệu	Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
Bên Kiểm soát và xử lý dữ liệu	Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
Người nhận	Cá nhân hoặc pháp nhân, cơ quan nhà nước, cơ quan hoặc tổ chức mà dữ liệu cá nhân được tiết lộ, dù là bên thứ ba hay không.
Bên thứ ba	Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Bảo vệ dữ liệu cá nhân	Bảo vệ dữ liệu cá nhân đề cập đến hành động ngăn chặn, phát hiện và xử lý các vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
Xử lý dữ liệu cá nhân	Xử lý dữ liệu cá nhân đề cập đến một hoặc nhiều hoạt động tác động đến dữ liệu cá nhân, bao gồm thu thập, ghi lại, phân tích, xác nhận, lưu trữ, chỉnh sửa, tiết lộ, kết hợp, truy cập, truy vết, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền, cung cấp, chuyển giao, xóa, hủy hoặc các hoạt động liên quan khác
Sự đồng ý	Sự đồng ý của chủ thể dữ liệu đề cập đến hành động mà chủ thể dữ liệu cho phép xử lý dữ liệu cá nhân của mình một cách rõ ràng, tự nguyện và xác nhận
Che giấu dữ liệu	Che giấu dữ liệu là các kỹ thuật được sử dụng để bảo vệ dữ liệu nhạy cảm (ví dụ: dữ liệu cá nhân). Khi cần bảo vệ dữ liệu nhạy cảm, chúng tôi nên xem xét che giấu dữ liệu bằng các kỹ thuật như che giấu dữ liệu, giả danh hoặc ẩn danh.
DPO	Data Protection Officer- Cán bộ bảo vệ dữ liệu

10.2. Tài liệu liên quan

Mã	Tên tài liệu
EU GDPR	Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu
Nghị định Bảo vệ Dữ liệu Cá nhân số 13/2023/NĐ-CP	Nghị định Bảo vệ Dữ liệu Cá nhân số 13/2023/NĐ-CP, được Quốc hội thông qua ngày 17 tháng 4 năm 2023 và có hiệu lực từ ngày 1 tháng 7 năm 2023
PCI DSS	Tiêu chuẩn An ninh Dữ liệu Ngành Thẻ Thanh toán là tập hợp các tiêu chuẩn an ninh được thiết kế để đảm bảo rằng tất cả các công ty chấp nhận, xử lý, lưu trữ hoặc truyền thông tin thẻ tín dụng duy trì một môi trường an toàn

10.3. Tổng quan Luật Bảo vệ Dữ liệu ở Việt Nam

Không có luật bảo vệ dữ liệu duy nhất tại Việt Nam. Các quy định về bảo vệ dữ liệu và quyền riêng tư có thể được tìm thấy trong nhiều văn bản pháp luật khác nhau. Quyền riêng tư và quyền danh dự, nhân phẩm và các nguyên tắc cơ bản của các quyền này hiện được quy định trong Hiến pháp 2013 (“Hiến pháp”) và Bộ luật Dân sự 2015 (“Bộ luật Dân sự”) là bất khả xâm phạm và được pháp luật bảo vệ.

Về dữ liệu cá nhân, các nguyên tắc định hướng về thu thập, lưu trữ, sử dụng, xử lý, tiết lộ hoặc chuyển giao thông tin cá nhân được quy định trong các luật và tài liệu chính sau:

Luật Dữ liệu số 60/2024/QH15, được Quốc hội thông qua ngày 30 tháng 11 năm 2024. Luật này có hiệu lực từ ngày 1 tháng 7 năm 2025.
Bộ luật Hình sự số 100/2015/QH13, được Quốc hội thông qua ngày 27 tháng 11 năm 2015.
Luật An ninh mạng số 24/2018/QH14, được Quốc hội thông qua ngày 12 tháng 6 năm 2018 (“Luật An ninh mạng”).
Luật An toàn thông tin mạng số 86/2015/QH13, được Quốc hội thông qua ngày 19 tháng 11 năm 2015; được sửa đổi bởi Luật số 35/2018/QH14 ngày 20 tháng 11 năm 2018, về sửa đổi một số điều liên quan đến quy hoạch của 37 luật (“Luật An toàn thông tin mạng”).
Luật Bảo vệ quyền lợi người tiêu dùng số 59/2010/QH12, được Quốc hội thông qua ngày 17 tháng 11 năm 2010; được sửa đổi bởi Luật số 35/2018/QH14 ngày 20 tháng 11 năm 2018, về sửa đổi một số điều liên quan đến quy hoạch của 37 luật (“Luật Bảo vệ quyền lợi người tiêu dùng”).
Luật Công nghệ thông tin số 67/2006/QH11, được Quốc hội thông qua ngày 29 tháng 6 năm 2006; được sửa đổi bởi Luật số 21/2017/QH14 ngày 14 tháng 11 năm 2017 về quy hoạch (“Luật Công nghệ thông tin”).
Luật Giao dịch điện tử số 51/2005/QH11, được Quốc hội thông qua ngày 29 tháng 11 năm 2005 (“Luật Giao dịch điện tử”).
Nghị định Bảo vệ Dữ liệu Cá nhân số 13/2023/NĐ-CP, được Quốc hội thông qua ngày 17 tháng 4 năm 2023 và có hiệu lực từ ngày 1 tháng 7 năm 2023.
Nghị định số 85/2016/NĐ-CP ngày 1 tháng 7 năm 2016, về bảo mật hệ thống thông tin theo phân loại (“Nghị định 85”).
Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ, về quản lý, cung cấp và sử dụng dịch vụ Internet và thông tin trực tuyến; được sửa đổi bởi Nghị định số 27/2018/NĐ-CP ngày 1 tháng 3 năm 2018 và Nghị định số 150/2018/NĐ-CP ngày 7 tháng 11 năm 2018 (“Nghị định 72”).
Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm 2013 của Chính phủ; được sửa đổi bởi Nghị định số 08/2018/NĐ-CP ngày 15 tháng 1 năm 2018, về sửa đổi một số nghị định liên quan đến điều kiện kinh doanh dưới sự quản lý nhà nước của Bộ Công Thương và Nghị định số 85/2021/NĐ-CP ngày 25 tháng 9 năm 2021 (“Nghị định 52”).
Nghị định số 15/2020/NĐ-CP của Chính phủ ngày 3 tháng 2 năm 2020 về xử phạt vi phạm hành chính đối với các quy định về bưu chính, viễn thông, tần số vô tuyến, công nghệ thông tin và giao dịch điện tử (“Nghị định 15”).
Thông tư số 03/2017/TT-BTTTT của Bộ Thông tin và Truyền thông ngày 24 tháng 4 năm 2017 về hướng dẫn Nghị định 85 (“Thông tư 03”).
Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ Thông tin và Truyền thông, quy định về phối hợp và phản ứng với các sự cố an ninh thông tin trên toàn quốc (“Thông tư 20”).
Thông tư số 38/2016/TT-BTTTT ngày 26 tháng 12 năm 2016 của Bộ Thông tin và Truyền thông, chi tiết về cung cấp thông tin công cộng xuyên biên giới (“Thông tư 38”).
Thông tư số 24/2015/TT-BTTTT ngày 18 tháng 8 năm 2015 của Bộ Thông tin và Truyền thông, quy định về quản lý và sử dụng tài nguyên Internet, được sửa đổi bởi Thông tư số 06/2019/TT-BTTTT ngày 19 tháng 7 năm 2019 (“Thông tư 25”).
Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16 tháng 3 năm 2017 về các kế hoạch phản ứng khẩn cấp để đảm bảo an ninh thông tin mạng quốc gia (“Quyết định 05”).

Việc áp dụng các văn bản pháp luật sẽ phụ thuộc vào bối cảnh thực tế của từng trường hợp, ví dụ: các doanh nghiệp trong lĩnh vực ngân hàng và tài chính, giáo dục, y tế có thể chịu các quy định bảo vệ dữ liệu chuyên biệt, chưa kể đến các quy định về thông tin cá nhân của nhân viên được quy định trong Bộ luật Lao động 2019 (“Bộ luật Lao động”).

Quy định bảo vệ dữ liệu của Tập đoàn FPT:

Tiếng Việt: Chính sách bảo mật dữ liệu cá nhân (01-CS/TT/HDCV/FPT v1.0)
Tiếng Việt: Chính sách bảo mật dữ liệu cá nhân của cán bộ nhân viên (02-CS/TT/HDCV/FPT v1.0)

Nếu bạn có thêm câu hỏi hoặc cần hỗ trợ thêm, hãy liên hệ với Cán bộ Bảo vệ Dữ liệu qua email hoặc điện thoại được cung cấp.

Cookie	Thời gian	Mô tả
cookielawinfo-checbox-analytics	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với các cookie trong danh mục "Analytics".
cookielawinfo-checbox-functional	11 Tháng	Cookie được đặt bởi sự đồng ý cookie GDPR để ghi lại sự đồng ý của người dùng đối với các cookie trong danh mục "Chức năng".
cookielawinfo-checbox-others	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với các cookie trong danh mục "Khác.
cookielawinfo-checkbox-necessary	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Các cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với các cookie trong danh mục "Cần thiết".
cookielawinfo-checkbox-performance	11 Tháng	Cookie này được đặt bởi plugin GDPR Cookie Consent. Cookie được sử dụng để lưu trữ sự đồng ý của người dùng đối với cookie trong danh mục "Hiệu suất".
viewed_cookie_policy	11 Tháng	Cookie được đặt bởi plugin GDPR Cookie Consent và được sử dụng để lưu trữ liệu người dùng có đồng ý với việc sử dụng cookie hay không. Nó không lưu trữ bất kỳ dữ liệu cá nhân nào.

Chính sách Bảo vệ Dữ liệu Cá nhân

Đăng ký theo dõi ngay!

Tài liệu

Nền tảng điện toán đám mây

Nền tảng trí tuệ nhân tạo

Nền tảng đa đám mây