Chính sách xử lý và bảo vệ dữ liệu cá nhân

Chính sách này là văn bản quy phạm nội bộ của Platform Moleculs.ai (sau đây gọi là Nền tảng), được ban hành có tính đến các yêu cầu của pháp luật về bảo vệ dữ liệu cá nhân (sau đây gọi là Luật dữ liệu cá nhân).

Chính sách này quy định:

• mục đích, quy trình và điều kiện xử lý dữ liệu cá nhân;
• các loại chủ thể có dữ liệu cá nhân được xử lý, các loại (danh mục) dữ liệu cá nhân được xử lý, phương thức, thời hạn xử lý và lưu trữ, quy trình hủy dữ liệu đó khi đạt được mục đích xử lý hoặc khi có các căn cứ pháp lý khác;
• các quy định liên quan đến bảo vệ dữ liệu cá nhân, các thủ tục nhằm phát hiện và ngăn chặn vi phạm pháp luật về dữ liệu cá nhân, khắc phục hậu quả của các vi phạm đó.

Chính sách này sử dụng các thuật ngữ và định nghĩa theo nghĩa được xác định trong Luật dữ liệu cá nhân.

Chính sách có hiệu lực kể từ thời điểm được Nền tảng phê duyệt và có hiệu lực cho đến khi bị Nền tảng hủy bỏ hoặc đến khi chính sách mới được ban hành.

Việc sửa đổi Chính sách được thực hiện theo quyết định của Nền tảng. Các sửa đổi có hiệu lực kể từ thời điểm ký kết tài liệu tương ứng.

2. Các loại chủ thể dữ liệu cá nhân

2.1. Các chủ thể có dữ liệu cá nhân được Nền tảng xử lý theo Chính sách này bao gồm:

• ứng viên tuyển dụng của Nền tảng;
• nhân viên của Nền tảng;
• nhân viên cũ của Nền tảng;
• thành viên gia đình của nhân viên Nền tảng — trong các trường hợp mà theo quy định pháp luật, thông tin về họ được nhân viên cung cấp;
• các cá nhân khác mà Nền tảng có nghĩa vụ xử lý dữ liệu cá nhân theo pháp luật lao động và các văn bản pháp luật khác;
• khách hàng, đối tác kinh doanh, đối tác của Nền tảng.

3. Mục đích xử lý dữ liệu cá nhân, các loại dữ liệu cá nhân được xử lý

3.1. Theo Chính sách này, dữ liệu cá nhân được xử lý nhằm mục đích áp dụng và thực thi pháp luật lao động trong khuôn khổ quan hệ lao động và các quan hệ liên quan trực tiếp, cũng như trong khuôn khổ phát sinh quan hệ dân sự, tương tác của Nền tảng với các đối tác tiềm năng, khách hàng và các cá nhân khác nhằm bảo vệ dữ liệu cá nhân của các đối tượng, bao gồm:

• hỗ trợ việc làm;
• quản lý nhân sự và kế toán;
• hỗ trợ nhân viên trong học tập và thăng tiến nghề nghiệp;
• xử lý khen thưởng và khuyến khích;
• cung cấp điều kiện lao động, bảo đảm và bồi thường theo quy định pháp luật từ phía Nền tảng;
• điền và nộp các mẫu báo cáo cần thiết cho các cơ quan có thẩm quyền;
• đảm bảo an toàn cá nhân của nhân viên, các cá nhân khác và bảo vệ tài sản;
• kiểm soát số lượng và chất lượng công việc được thực hiện;
• đảm bảo bảo vệ quyền và tự do của con người và công dân trong quá trình xử lý dữ liệu cá nhân của họ, bao gồm bảo vệ quyền riêng tư, bí mật cá nhân và gia đình;
• quảng bá hàng hóa, công việc, dịch vụ của Nền tảng trên thị trường thông qua liên hệ trực tiếp với khách hàng tiềm năng bằng các phương tiện liên lạc;
• tương tác của Nền tảng về các vấn đề hợp tác cùng có lợi, ký kết giao dịch với các đối tác tiềm năng, khách hàng và các cá nhân khác.

3.2. Theo mục đích được nêu tại điểm 3.1 của Chính sách, các dữ liệu cá nhân sau đây được xử lý:

• họ, tên, tên đệm (nếu có), cũng như họ, tên, tên đệm cũ (nếu có), ngày và nơi thay đổi;
• giới tính;
• ngày (ngày, tháng, năm) và nơi sinh;
• ảnh chụp;
• thông tin về quốc tịch;
• loại, số sê-ri, số giấy tờ tùy thân, tên cơ quan cấp, ngày cấp;
• số bảo hiểm xã hội cá nhân;
• mã số thuế cá nhân;
• địa chỉ và ngày đăng ký hộ khẩu (nơi cư trú), địa chỉ thực tế;
• số điện thoại liên hệ, địa chỉ email và/hoặc thông tin về các phương thức liên lạc khác;
• thông tin từ giấy chứng nhận đăng ký hộ tịch và nội dung chứa trong đó;
• thông tin về tình trạng hôn nhân, thành phần gia đình (mức độ quan hệ, họ, tên, tên đệm (nếu có), ngày và nơi sinh);
• thông tin về trình độ học vấn và/hoặc trình độ chuyên môn hoặc kiến thức chuyên biệt;
• thông tin về khả năng ngôn ngữ nước ngoài;
• thông tin về nghĩa vụ quân sự, đăng ký quân sự và chi tiết tài liệu đăng ký quân sự;
• thông tin về quá trình công tác, cũng như thông tin về nơi làm việc trước đây, thời gian và kinh nghiệm làm việc;
• thông tin trong các tài liệu cho phép cư trú và làm việc (đối với công dân nước ngoài);
• thông tin về thu nhập, nghĩa vụ theo các tài liệu thực thi;
• số tài khoản ngân hàng, số thẻ ngân hàng;
• thông tin về tình trạng sức khỏe (đối với một số loại nhân viên nhất định);
• thông tin về tiền án tiền sự (hoặc không có) và/hoặc truy tố hình sự hoặc đình chỉ truy tố theo lý do phục hồi (đối với một số loại nhân viên nhất định);
• các dữ liệu cá nhân khác có trong các tài liệu mà việc cung cấp được quy định bởi pháp luật, nếu việc xử lý dữ liệu đó phù hợp với mục đích xử lý quy định tại điểm 3.1 của Chính sách.

3.3. Nền tảng không xử lý các loại dữ liệu cá nhân đặc biệt liên quan đến chủng tộc, dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, đời sống riêng tư, trừ các trường hợp được pháp luật quy định.

4. Quy trình và điều kiện xử lý dữ liệu cá nhân

4.1. Trước khi bắt đầu xử lý dữ liệu cá nhân, Nền tảng có nghĩa vụ thông báo cho cơ quan bảo vệ dữ liệu về ý định xử lý dữ liệu cá nhân.

4.2. Cơ sở pháp lý để xử lý dữ liệu cá nhân là Bộ luật Lao động, các văn bản quy phạm pháp luật khác có chứa các quy phạm pháp luật lao động, Luật Dữ liệu cá nhân, Luật Kế toán và các quy định pháp lý liên quan khác.

4.3. Việc xử lý dữ liệu cá nhân được Nền tảng thực hiện tuân thủ các nguyên tắc và điều kiện quy định trong pháp luật về dữ liệu cá nhân và Chính sách này.

4.4. Nền tảng xử lý dữ liệu cá nhân theo các phương thức sau:

• xử lý dữ liệu cá nhân không tự động;
• xử lý dữ liệu cá nhân tự động với hoặc không có việc truyền thông tin qua mạng thông tin viễn thông;
• xử lý dữ liệu cá nhân hỗn hợp.

4.5. Nền tảng xử lý dữ liệu cá nhân với sự đồng ý của chủ thể dữ liệu cá nhân, trừ khi pháp luật về dữ liệu cá nhân có quy định khác.

4.5.1. Việc xử lý dữ liệu cá nhân được chủ thể dữ liệu cho phép phổ biến được thực hiện tuân thủ các lệnh cấm và điều kiện theo quy định của Luật Dữ liệu cá nhân.

4.5.2. Việc xử lý dữ liệu cá nhân sinh trắc học chỉ được phép khi có sự đồng ý bằng văn bản của chủ thể dữ liệu cá nhân. Ngoại lệ là các tình huống được quy định trong Luật Dữ liệu cá nhân.

4.6. Nền tảng không thực hiện chuyển giao dữ liệu cá nhân xuyên biên giới.

4.7. Việc xử lý dữ liệu cá nhân được thực hiện thông qua việc thu thập, ghi lại, hệ thống hóa, tích lũy, lưu trữ, làm rõ (cập nhật, thay đổi), truy xuất, sử dụng, ẩn danh hóa, chặn, xóa và hủy dữ liệu cá nhân, kể cả bằng các phương tiện máy tính.

4.7.1. Việc thu thập, ghi lại, hệ thống hóa, tích lũy và làm rõ dữ liệu cá nhân của Nền tảng được thực hiện thông qua:

• nhận bản gốc tài liệu hoặc bản sao của chúng;
• sao chép bản gốc tài liệu;
• nhập thông tin vào các biểu mẫu ghi lại trên giấy và phương tiện điện tử;
• tạo tài liệu có chứa dữ liệu cá nhân trên giấy và phương tiện điện tử;
• nhập dữ liệu cá nhân vào các hệ thống thông tin dữ liệu cá nhân.

4.7.2. Nền tảng sử dụng các hệ thống thông tin sau:

• email doanh nghiệp;
• hệ thống quản lý tài liệu điện tử;
• hệ thống hỗ trợ người dùng;
• hệ thống thông tin tham chiếu và quy định;
• hệ thống quản lý nhân sự;
• hệ thống kiểm soát truy cập từ xa;
• cổng thông tin.

4.8. Việc chuyển giao (phổ biến, cung cấp, cho phép truy cập) dữ liệu cá nhân của các chủ thể được thực hiện trong các trường hợp và theo cách thức quy định trong pháp luật về dữ liệu cá nhân và Chính sách này.

5. Thời hạn xử lý và lưu trữ dữ liệu cá nhân

5.1. Nền tảng chấm dứt xử lý dữ liệu cá nhân trong các trường hợp sau:

• khi phát hiện việc xử lý dữ liệu cá nhân trái phép (thời hạn chấm dứt xử lý — trong vòng ba ngày làm việc kể từ ngày phát hiện);
• khi đạt được mục đích xử lý (với một số ngoại lệ);
• khi hết hạn hiệu lực hoặc khi chủ thể dữ liệu rút lại sự đồng ý xử lý dữ liệu cá nhân của mình (với một số ngoại lệ);
• khi chủ thể dữ liệu yêu cầu Nền tảng chấm dứt xử lý dữ liệu cá nhân (thời hạn chấm dứt xử lý — không quá 10 ngày làm việc kể từ ngày nhận được yêu cầu).

5.2. Dữ liệu cá nhân được lưu trữ ở dạng cho phép xác định chủ thể dữ liệu, không lâu hơn mức cần thiết theo mục đích xử lý. Ngoại lệ là các trường hợp thời hạn lưu trữ dữ liệu cá nhân được xác định bởi pháp luật hoặc hợp đồng mà chủ thể dữ liệu là một bên.

5.3. Dữ liệu cá nhân trên giấy được Nền tảng lưu trữ trong thời hạn lưu trữ tài liệu theo quy định của pháp luật về lưu trữ.

5.4. Thời hạn lưu trữ dữ liệu cá nhân được xử lý trong các hệ thống thông tin tương ứng với thời hạn lưu trữ dữ liệu cá nhân trên giấy.

6. Quy trình chặn và hủy dữ liệu cá nhân

6.1. Nền tảng chặn dữ liệu cá nhân theo cách thức và điều kiện quy định trong pháp luật về dữ liệu cá nhân.

6.2. Khi đạt được mục đích xử lý dữ liệu cá nhân hoặc khi không còn cần thiết để đạt được các mục đích đó, dữ liệu cá nhân sẽ bị hủy hoặc ẩn danh hóa.

6.3. Dữ liệu cá nhân thu thập trái phép hoặc không cần thiết cho mục đích xử lý sẽ bị hủy trong vòng bảy ngày làm việc kể từ ngày chủ thể dữ liệu cung cấp thông tin xác nhận.

6.4. Dữ liệu cá nhân mà việc xử lý đã bị chấm dứt do tính trái phép và không thể đảm bảo tính hợp pháp của việc xử lý sẽ bị hủy trong vòng 10 ngày làm việc kể từ ngày phát hiện sự kiện xử lý trái phép.

6.5. Dữ liệu cá nhân sẽ bị hủy trong vòng 30 ngày kể từ ngày đạt được mục đích xử lý, trừ khi hợp đồng mà chủ thể dữ liệu là một bên, hay thỏa thuận khác giữa họ và Nền tảng có quy định khác, hoặc trừ khi Nền tảng không có quyền xử lý dữ liệu cá nhân mà không có sự đồng ý của chủ thể theo căn cứ pháp lý được quy định.

6.6. Dữ liệu cá nhân sẽ bị hủy (nếu việc lưu trữ không cần thiết cho mục đích xử lý) trong vòng 30 ngày kể từ ngày chủ thể dữ liệu rút lại sự đồng ý xử lý.

6.7. Việc lựa chọn các phương tiện lưu trữ vật lý (tài liệu, ổ cứng, USB và tương tự) và/hoặc thông tin trong các hệ thống thông tin có chứa dữ liệu cá nhân cần hủy do người có trách nhiệm của Nền tảng thực hiện.

6.7.2. Dữ liệu cá nhân trên giấy được hủy bằng máy cắt tài liệu. Dữ liệu cá nhân trên phương tiện điện tử được hủy bằng cách phá vỡ cơ học tính toàn vẹn của phương tiện, không cho phép đọc hoặc khôi phục dữ liệu, cũng như bằng cách xóa dữ liệu khỏi phương tiện điện tử bằng các phương pháp và công cụ xóa thông tin còn lại có bảo đảm.

6.7.3. Người có trách nhiệm xác nhận việc hủy dữ liệu cá nhân theo các Yêu cầu về xác nhận hủy dữ liệu cá nhân.

7. Bảo vệ dữ liệu cá nhân

7.1. Không có sự đồng ý bằng văn bản của chủ thể dữ liệu cá nhân, Nền tảng không tiết lộ cho bên thứ ba và không phổ biến dữ liệu cá nhân, trừ khi pháp luật có quy định khác.

7.2. Nhằm bảo vệ dữ liệu cá nhân, Nền tảng chỉ định (phê duyệt):

• nhân viên chịu trách nhiệm tổ chức xử lý dữ liệu cá nhân;
• danh sách các chức vụ trong đó dữ liệu cá nhân được xử lý;
• danh sách dữ liệu cá nhân mà nhân viên giữ các chức vụ liên quan đến xử lý dữ liệu cá nhân có thể truy cập;
• quy trình tiếp cận các khu vực nơi dữ liệu cá nhân được xử lý;
• quy trình chuyển giao dữ liệu cá nhân của Nền tảng;
• mẫu đồng ý xử lý dữ liệu cá nhân;
• quy trình bảo vệ dữ liệu cá nhân khi xử lý trong các hệ thống thông tin;
• quy trình tiến hành điều tra và kiểm tra nội bộ;
• các văn bản quy phạm nội bộ khác được ban hành theo yêu cầu của pháp luật về dữ liệu cá nhân.

7.3. Nhân viên giữ các chức vụ liên quan đến xử lý dữ liệu cá nhân được phép thực hiện sau khi ký cam kết bảo mật.

7.4. Các phương tiện lưu trữ vật lý của dữ liệu cá nhân được bảo quản trong tủ có khóa (nếu có thể áp dụng).

7.5. Việc truy cập thông tin cá nhân trong các hệ thống thông tin của Nền tảng được thực hiện bằng mật khẩu cá nhân.

7.6. Nền tảng sử dụng phần mềm diệt virus được chứng nhận với cơ sở dữ liệu được cập nhật thường xuyên.

7.7. Nhân viên Nền tảng tham gia xử lý dữ liệu cá nhân định kỳ được đào tạo về các yêu cầu của pháp luật về dữ liệu cá nhân.

7.9. Nền tảng tiến hành điều tra nội bộ trong các tình huống sau:

• khi có sự chuyển giao trái phép hoặc ngẫu nhiên (cung cấp, phổ biến, cho phép truy cập) dữ liệu cá nhân dẫn đến vi phạm quyền của chủ thể dữ liệu;
• trong các trường hợp khác theo quy định của pháp luật về dữ liệu cá nhân.

7.10. Nhân viên chịu trách nhiệm tổ chức xử lý dữ liệu cá nhân thực hiện kiểm soát nội bộ việc tuân thủ các yêu cầu của pháp luật về dữ liệu cá nhân. Kiểm soát nội bộ được thực hiện dưới hình thức kiểm tra nội bộ.

7.11. Điều tra nội bộ được tiến hành khi phát hiện sự kiện chuyển giao trái phép hoặc ngẫu nhiên dữ liệu cá nhân dẫn đến vi phạm quyền của chủ thể dữ liệu (sau đây gọi là sự cố).

7.11.1. Trong trường hợp xảy ra sự cố, Nền tảng trong vòng 24 giờ thông báo cho cơ quan có thẩm quyền về sự cố, các nguyên nhân có thể xảy ra và tổn hại gây ra cho quyền của chủ thể dữ liệu, các biện pháp được thực hiện để khắc phục hậu quả sự cố.

7.11.2. Trong vòng 72 giờ, Nền tảng có nghĩa vụ thông báo cho cơ quan có thẩm quyền về kết quả điều tra nội bộ và cung cấp thông tin về những người có hành động gây ra sự cố (nếu có).

7.12. Trong trường hợp cung cấp thông tin được xác nhận rằng dữ liệu cá nhân là không đầy đủ, không chính xác hoặc lỗi thời, các thay đổi sẽ được thực hiện trong vòng bảy ngày làm việc.

8. Trách nhiệm pháp lý về vi phạm các quy định điều chỉnh việc xử lý dữ liệu cá nhân

8.1. Những người có lỗi vi phạm các quy định của pháp luật về dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân sẽ bị xử lý kỷ luật và trách nhiệm vật chất theo quy định của Bộ luật Lao động và các luật liên bang khác. Ngoài ra, họ có thể bị truy cứu trách nhiệm hành chính, dân sự hoặc hình sự theo quy định của pháp luật.

8.2. Thiệt hại tinh thần gây ra cho chủ thể dữ liệu cá nhân do vi phạm quyền của họ, vi phạm các quy tắc xử lý dữ liệu cá nhân, cũng như không tuân thủ các yêu cầu bảo vệ dữ liệu phải được bồi thường theo quy định của pháp luật. Việc bồi thường thiệt hại tinh thần được thực hiện độc lập với việc bồi thường thiệt hại vật chất và các tổn thất mà chủ thể dữ liệu cá nhân phải chịu.