Tuyên bố về chính sách
1. Công ty TNHH Savills Việt Nam (“ Savills ”) tôn trọng quyền đối với dữ liệu cá nhân và cam kết thực hiện và tuân thủ các nguyên tắc, quy định bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/ND-CP về bảo vệ dữ liệu cá nhân do Chính phủ ban hành ngày 17 tháng 4 năm 2023, có hiệu lực từ ngày 01 tháng 7 năm 2023 và các văn bản pháp luật thay thế có hiệu lực thi hành theo từng thời kỳ (sau đây gọi tắt là “Nghị định 13/2023/ND-CP”).
Tuyên bố về nguyên tắc thực hiện
Danh mục dữ liệu cá nhân được lưu giữ
2. Savills nắm giữ các loại dữ liệu cá nhân sau –
Hồ sơ lao động bao gồm dữ liệu về đơn xin việc, thông tin cá nhân, trình độ học vấn và chuyên môn, quá trình làm việc, tiền lương và phụ cấp, điều khoản và điều kiện công việc, nhà ở và phúc lợi y tế, hồ sơ nghỉ phép, đào tạo và phát triển, báo cáo đánh giá, hành vi và kỷ luật, …;
Hồ sơ hành chính chung bao gồm dữ liệu cá nhân được thu thập liên quan đến thủ tục quản trị văn phòng, hồ sơ chứa thông tin do chủ thể dữ liệu cung cấp và được thu thập liên quan đến việc xử lý các thắc mắc và khiếu nại gửi đến Savills, v.v.;
Hồ sơ khách hàng bao gồm dữ liệu cá nhân được thu thập trong quá trình xử lý đơn đăng ký thành viên, giao dịch, khiếu nại và thắc mắc của khách hàng, v.v.; Và
Các hồ sơ khác bao gồm hồ sơ hành chính và chương trình có chứa dữ liệu cá nhân.
Bao gồm:
2.1. Dữ liệu cá nhân chung
a. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c. Giới tính;
d. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
e. Quốc tịch;
f. Hình ảnh của cá nhân;
g. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h. Tình trạng hôn nhân;
i. Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
j. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
k. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc trường hợp được xác định là Dữ liệu cá nhân nhạy cảm.
2.2. Dữ liệu cá nhân nhạy cảm
a. Quan điểm chính trị, quan điểm tôn giáo;
b. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c. Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
e. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
f. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản , thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
j. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Mục đích chính của việc lưu trữ dữ liệu cá nhân
3. Mục đích chính của việc lưu trữ dữ liệu cá nhân như sau:
Hồ sơ lao động được lưu trữ cho các mục đích bổ nhiệm và quản lý nhân sự, bao gồm bổ nhiệm và thuyên chuyển, đào tạo và phát triển nghề nghiệp, đánh giá và thăng tiến hiệu quả công việc, kỷ luật, đề nghị phúc lợi, v.v.;
Hồ sơ hành chính chung được lưu trữ nhằm mục đích thực hiện các chức năng hành chính văn phòng khác nhau, trả lời và thực hiện các thủ tục đối với các thắc mắc và khiếu nại, v.v.;
Hồ sơ khách hàng được lưu trữ nhằm mục đích xử lý các đơn đăng ký thành viên, giao dịch, khiếu nại và thắc mắc của khách hàng, v.v.; Và
Các hồ sơ khác được lưu trữ cho nhiều mục đích khác nhau, tùy theo tính chất của hồ sơ, chẳng hạn như mua sắm thiết bị, tổ chức các hoạt động, v.v.
Nguyên tắc thực hành xử lý dữ liệu cá nhân
4. Các biện pháp từ (a) đến (f) dưới đây được thực hiện để đảm bảo rằng dữ liệu cá nhân do Savills nắm giữ được xử lý theo các nguyên tắc bảo vệ dữ liệu được quy định trong Nghị định 13/2023/ND-CP.
(a)Thu thập dữ liệu cá nhân
5. Khi thu thập dữ liệu cá nhân, Savills sẽ đáp ứng những điều sau:
i.mục đích thu thập dữ liệu là hợp pháp và liên quan trực tiếp đến chức năng hoặc hoạt động của Savills;
ii. cách thức thu thập là hợp pháp và công bằng trong hoàn cảnh của vụ việc; Và
iii. dữ liệu cá nhân được thu thập là cần thiết nhưng không quá mức cho (các) mục đích mà dữ liệu đó được thu thập;
iv. thực hiện các biện pháp tổ chức, kỹ thuật và các biện pháp an toàn, an ninh phù hợp để chứng minh dữ liệu cá nhân được xử lý phù hợp với quy định của pháp luật về bảo vệ dữ liệu cá nhân, xem xét và cập nhật các biện pháp này khi cần thiết;
v. ghi lại và lưu trữ nhật ký xử lý dữ liệu cá nhân;
vi. thông báo các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định 13/2023/ND- CP;
vii. chọn Bộ xử lý dữ liệu cá nhân phù hợp với các nhiệm vụ cụ thể và chỉ làm việc với Bộ xử lý dữ liệu cá nhân có các biện pháp thích hợp để bảo vệ dữ liệu cá nhân;
viii. bảo vệ quyền lợi của chủ thể dữ liệu theo quy định của Nghị định 13/2023/ND- CP;
ix. chịu trách nhiệm trước chủ thể dữ liệu về thiệt hại do việc xử lý dữ liệu cá nhân gây ra;
x. phối hợp với Bộ Công an và cơ quan có thẩm quyền trong việc bảo vệ dữ liệu cá nhân và cung cấp thông tin phục vụ điều tra, xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
6. Trước khi Savills thu thập dữ liệu cá nhân từ một cá nhân, cá nhân đó sẽ được cung cấp Tuyên bố về chính sách xử lý dữ liệu cá nhân và chủ thể dữ liệu cần đưa ra sự đồng ý theo hình thức và cách thức phù hợp. Các bước thực tế sẽ được thực hiện để đảm bảo rằng –
i. chủ thể dữ liệu được thông báo về việc anh ấy/cô ấy có bắt buộc hay tự nguyện cung cấp dữ liệu và, nếu bắt buộc, hậu quả đối với anh ấy/cô ấy nếu anh ấy/cô ấy không làm như vậy; Và
ii. chủ thể dữ liệu được thông báo rõ ràng về mục đích sử dụng dữ liệu cá nhân của họ; các nhóm người mà dữ liệu có thể được chuyển giao hoặc tiết lộ; quyền của chủ thể dữ liệu trong việc yêu cầu quyền truy cập và chỉnh sửa dữ liệu cũng như chi tiết liên hệ của cá nhân mà bất kỳ yêu cầu nào có thể được đưa ra; Loại dữ liệu cá nhân cần thu thập; Tổ chức hoặc cá nhân được phép xử lý dữ liệu cá nhân; Quyền và nghĩa vụ của chủ thể dữ liệu;
iii. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
(b) Độ chính xác và việc lưu trữ dữ liệu cá nhân
7. Dữ liệu cá nhân được Savills thu thập và lưu trữ phải chính xác, đầy đủ và cập nhật khi cần thiết cho mục đích sử dụng dữ liệu đó.
8. Savills duy trì kho dữ liệu cá nhân, trong đó chứa các loại dữ liệu cá nhân mà Savills nắm giữ; mục đích thu thập, sử dụng và tiết lộ dữ liệu cá nhân; và cách dữ liệu cá nhân được lưu trữ. Việc kiểm kê dữ liệu cá nhân sẽ được xem xét hàng năm để đảm bảo rằng nó chính xác và cập nhật.
9. Dữ liệu cá nhân sẽ không được lưu trữ lâu hơn mức cần thiết để hoàn thành mục đích thu thập hoặc sử dụng dữ liệu. Dữ liệu cá nhân không còn cần thiết phải bị xóa trừ khi việc xóa dữ liệu cá nhân đó bị cấm theo bất kỳ luật nào hoặc việc không xóa dữ liệu đó là vì lợi ích chung. Nếu cần lưu trữ dữ liệu cá nhân cho mục đích thống kê, dữ liệu đó sẽ được ẩn danh để không thể nhận dạng được các cá nhân liên quan nữa.
10. Việc tiêu hủy hồ sơ chứa dữ liệu cá nhân sẽ được tiến hành khi cần thiết và tuân theo các hướng dẫn và quy trình quản lý hồ sơ của Savills. Việc tiêu hủy hồ sơ giấy sẽ được thực hiện bằng các biện pháp không thể đảo ngược và hồ sơ điện tử sẽ bị xóa hoặc tiêu hủy khỏi phương tiện lưu trữ trước khi xử lý bằng phương pháp khử trùng hoặc tiêu hủy vật lý.
(c) Sử dụng dữ liệu cá nhân
11. Tất cả dữ liệu cá nhân được thu thập sẽ chỉ được sử dụng cho các mục đích liên quan trực tiếp đến việc thực hiện nghĩa vụ và trách nhiệm của Savills. Dữ liệu cá nhân được thu thập có thể được chuyển cho bên thứ ba trong quá trình Savills thực hiện chức năng khi cần thiết. Dữ liệu cá nhân liên quan cũng có thể được tiết lộ cho các tổ chức khác được ủy quyền nhận thông tin nhằm mục đích thực thi pháp luật, truy tố hoặc xem xét các quyết định. Chủ thể dữ liệu sẽ được thông báo về những người có thể chuyển giao dữ liệu cá nhân của họ khi dữ liệu cá nhân của họ được thu thập.
12. Nếu dữ liệu cá nhân được sử dụng cho mục đích khác với mục đích thu thập dữ liệu, thì phải nhận được sự đồng ý trước bằng văn bản chủ thể dữ liệu. Để có được sự đồng ý của chủ thể dữ liệu, tất cả các bước có thể thực hiện được sẽ được thực hiện để đảm bảo rằng (i) thông tin được cung cấp cho chủ thể dữ liệu rõ ràng và dễ đọc; và (ii) chủ thể dữ liệu được thông báo rằng họ có quyền từ chối sự đồng ý của mình hoặc rút lại sự đồng ý của mình sau đó bằng cách đưa ra thông báo bằng văn bản.
(d)Bảo mật dữ liệu cá nhân
13. Savills tuân thủ nghiêm ngặt các tiêu chuẩn và quy định bảo mật có liên quan. Các thỏa thuận bảo mật cũng sẽ được xem xét thường xuyên để đảm bảo rằng dữ liệu cá nhân được bảo vệ khỏi bị mất mát và truy cập, sử dụng, tiết lộ, sửa đổi và xóa trái phép hoặc vô tình. Các thỏa thuận an ninh được thông qua bao gồm nhưng không giới hạn ở những điều sau:
i. hạn chế quyền truy cập vào dữ liệu cá nhân trên cơ sở chỉ truy cập khi cần thiết;
ii. thường xuyên xem xét và tăng cường các biện pháp bảo mật để bảo vệ dữ liệu cá nhân trong máy chủ, máy tính người dùng, truyền tin nhắn điện tử, v.v.;
iii. thay đổi mật khẩu thường xuyên đối với các cơ sở CNTT, hệ thống kế toán, nhân sự ...;
iv. mã hóa tất cả các thiết bị lưu trữ dự phòng sẽ được chuyển đến bộ lưu trữ bên ngoài;
v. quyền truy cập hạn chế của nhân viên vào các khu vực văn phòng lưu trữ thông tin bí mật; Và
vi. cung cấp hướng dẫn rõ ràng cho nhân viên về các loại dữ liệu có thể được tiết lộ hoặc không được tiết lộ cho người yêu cầu qua điện thoại và thực hiện các thủ tục xác minh danh tính phù hợp để xác nhận danh tính của người yêu cầu.
(e) Tính minh bạch của chính sách và việc bảo vệ dữ liệu cá nhân
14. chính sách và việc bảo vệ dữ liệu cá nhân có thể được công khai trên trang web của Savills.
(f) Quyền và nghĩa vụ của Chủ thể Dữ liệu
15. Chủ thể dữ liệu có quyền được biết; Quyền đồng ý; rút lại sự đồng ý; Quyền truy cập; xóa Dữ liệu Cá nhân; hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; phản đối việc xử lý; khiếu nại, tố cáo và khởi kiện; yêu cầu bồi thường thiệt hại; tự bảo vệ.
16. Chủ thể Dữ liệu có nghĩa vụ bảo vệ dữ liệu cá nhân của mình; yêu cầu tổ chức, cá nhân có liên quan bảo vệ dữ liệu cá nhân của mình; tôn trọng và bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ và chính xác dữ liệu cá nhân của mình khi đồng ý cho phép xử lý dữ liệu cá nhân; tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân; tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân và ngăn chặn các hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân.
17. Savills công nhận mọi quyền của Chủ thể Dữ liệu theo Nghị định 13/2023/ND-CP (sau đây gọi tắt là “Quyền của Chủ thể Dữ liệu” ) . Để thực hiện Quyền của Chủ thể Dữ liệu, một cá nhân phải hoàn thành biểu mẫu theo Nghị định 13/2023/ND-CP và gửi biểu mẫu đã điền đầy đủ cho Savills theo bất kỳ cách nào liệt kê sau đây –
Qua email: [email protected]
Qua đường bưu điện hoặc trực tiếp: Savills Vietnam – Tầng 18, Doji Tower, 81-85 Hàm Nghi, đường Nguyễn Thái Bình, Tp. HCM – Bộ phận Tuân thủ & Quản lý Rủi ro.
18. Khi xử lý yêu cầu về Quyền của Chủ thể Dữ liệu, Savills sẽ kiểm tra danh tính của người yêu cầu để đảm bảo rằng người đó là người có quyền hợp pháp để thực hiện Quyền của Chủ thể Dữ liệu.
19. Savills lưu trữ các thông tin về Yêu cầu thực hiện Quyền của Chủ thể Dữ liệu được ghi lại khi tiếp nhận yêu cầu thực hiện Quyền của Chủ thể Dữ liệu.
Tổ chức, cá nhân xử lý Dữ liệu Cá nhân
20. Trong trường hợp nhận được sự đồng ý của Chủ thể Dữ liệu và/hoặc phù hợp với quy định của pháp luật, Savills có thể xem xét gửi Dữ liệu Cá nhân cho các tổ chức, cá nhân sau:
i. Tổ chức, cá nhân trên lãnh thổ Việt Nam;
ii. Cơ quan quản lý cơ sở dữ liệu do Chính phủ xây dựng;
iii. Chủ thể có quyền quyết định việc xử lý Dữ liệu cá nhân của người bị tuyên bố mất tích hoặc Dữ liệu cá nhân và/hoặc Dữ liệu cá nhân của trẻ em theo quy định tại Điều 19 và Điều 20 Nghị định 13/2023/ND- CP;
iv. Các tổ chức, cá nhân trong nước cung cấp dịch vụ Xử lý dữ liệu cá nhân;
v. Cơ quan có thẩm quyền theo quy định của pháp luật;
vi. Các tổ chức, cá nhân khác trong nước dựa trên việc tuân thủ pháp luật và được sự đồng ý của Chủ thể dữ liệu.
21. Dữ liệu Cá nhân của bạn có thể được chuyển đến và xử lý ở các quốc gia khác ngoài quốc gia nơi bạn cư trú. Các quốc gia này có thể có luật bảo vệ dữ liệu khác với luật của quốc gia bạn (và trong một số trường hợp, có thể không có tính bảo vệ cao).
22. Tổ chức, cá nhân ngoài lãnh thổ Việt Nam gồm
i.Các tổ chức, công ty và bộ phận quản lý của Savills ở nước ngoài xử lý theo đúng mục đích đã được Chủ thể Dữ liệu đồng ý;
ii. Tổ chức, cá nhân nước ngoài cung cấp dịch vụ Xử lý dữ liệu cá nhân;
iii. Cơ quan có thẩm quyền theo quy định của pháp luật;
iv. Các tổ chức, cá nhân khác tuân thủ quy định của pháp luật và được sự đồng ý của Chủ thể dữ liệu.
23. Các trường hợp gửi Dữ liệu Cá nhân ra ngoài lãnh thổ Việt Nam
i. Trong trường hợp gửi Dữ liệu Cá nhân cho tổ chức, cá nhân theo quy định tại mục 22 trên đây để xử lý theo mục đích đã được Chủ thể Dữ liệu đồng ý;
ii. Trong trường hợp Savills xử lý Dữ liệu Cá nhân bằng hệ thống tự động đặt ngoài lãnh thổ Việt Nam để đáp ứng yêu cầu kỹ thuật, phù hợp với các mục đích quy định tại Mục (c) của Chính sách này và phù hợp với quy định của pháp luật.
24. Chúng tôi thực hiện các bước để bảo vệ Dữ liệu Cá nhân của bạn theo Chính sách Bảo vệ Dữ liệu Cá nhân này. Thông tin chi tiết hơn về việc bảo vệ Dữ liệu Cá nhân của bạn có thể được cung cấp theo yêu cầu bằng cách liên hệ với chúng tôi bằng cách sử dụng các chi tiết trong tài liệu này.
25. Savills chỉ chuyển, xử lý ra nước ngoài sau khi đã lập hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục quy định tại Nghị định 13/ND-CP.
Báo cáo sự cố và xử lý vi phạm
26. Một cơ chế được thiết lập để báo cáo sự cố và xử lý vi phạm trong trường hợp mất mát hoặc rò rỉ dữ liệu cá nhân hoặc có lý do để tin rằng dữ liệu cá nhân do Savills nắm giữ đã bị xâm phạm, tuân thủ Nghị định 13/ND-CP.
Giám sát và đánh giá liên tục
27. Savills sẽ thường xuyên xem xét Chính sách quyền riêng tư và Thông lệ. Các nhân viên chịu trách nhiệm xử lý dữ liệu cá nhân sẽ tham gia các khóa đào tạo có liên quan và cập nhật các chính sách về dữ liệu cá nhân.