Skip to Content
Go back
BAS-IP / BẢN GHI NHỚ VỀ TUÂN THỦ XỬ LÝ DỮ LIỆU CÁ NHÂN

Chúng tôi cam kết thực hiện các thực hành bảo vệ dữ liệu mạnh mẽ và đổi mới, để mọi khách hàng có thể tin tưởng rằng dữ liệu cá nhân của họ được xử lý một cách an toàn và bảo mật.

BAS-IP DISTRIBUTION LTD (Công ty hoặc BAS-IP) đã chuẩn bị bản ghi nhớ này cho khách hàng của chúng tôi về việc tuân thủ các quy định pháp luật hiện hành về bảo vệ dữ liệu, bao gồm Quy định chung về bảo vệ dữ liệu của Vương quốc Anh (UK GDPR)Quy định chung về bảo vệ dữ liệu của EU (GDPR). Dưới đây, chúng tôi sẽ giúp quý vị nắm rõ các hoạt động của chúng tôi liên quan đến việc tuân thủ các yêu cầu bảo vệ dữ liệu cá nhân.

ĐỊNH NGHĨA

  • “UK GDPR” (Quy định chung về bảo vệ dữ liệu của Vương quốc Anh) là Quy định chung về bảo vệ dữ liệu của Vương quốc Anh, được hợp nhất vào luật pháp Vương quốc Anh theo Đạo luật Bảo vệ Dữ liệu năm 2018 (Data Protection Act 2018), cùng với các quy định pháp luật hiện hành khác của Vương quốc Anh về bảo vệ dữ liệu và quyền riêng tư.
  • “GDPR” (Quy định chung về bảo vệ dữ liệu của EU) là Quy định chung về bảo vệ dữ liệu (Quy định (EU) 2016/679) và bất kỳ quy định pháp luật liên quan nào về bảo vệ dữ liệu và quyền riêng tư áp dụng trong Liên minh Châu Âu và Khu vực Kinh tế Châu Âu.
  • Dữ liệu cá nhân (Personal data) là bất kỳ thông tin nào liên quan đến một cá nhân tự nhiên được xác định hoặc có thể xác định được.
  • Chủ thể dữ liệu (Data subject) là một cá nhân tự nhiên có thể xác định được, người có thể được nhận dạng, trực tiếp hoặc gián tiếp.
  • Bên kiểm soát (Controller) là cá nhân hoặc pháp nhân, cơ quan công quyền, tổ chức hoặc cơ quan khác mà một mình hoặc cùng với những người khác, xác định mục đích và phương tiện xử lý dữ liệu cá nhân.
  • Bên xử lý (Processor) là cá nhân hoặc pháp nhân, cơ quan công quyền, tổ chức hoặc cơ quan khác xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát.
  • Bên xử lý phụ (Subprocessor) là cá nhân hoặc pháp nhân, được bên xử lý thuê để thực hiện xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát.
  • Xử lý (Processing) là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên dữ liệu cá nhân hoặc trên các tập hợp dữ liệu cá nhân, cho dù bằng phương tiện tự động hay không, chẳng hạn như thu thập, ghi chép, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham khảo, sử dụng, tiết lộ bằng cách truyền, phổ biến hoặc cung cấp bằng cách khác, sắp xếp hoặc kết hợp, hạn chế, xóa hoặc hủy.

VỀ BAS-IP

BAS-IP phát triển và sản xuất hệ thống liên lạc nội bộ IP, hệ thống kiểm soát truy cập và hệ thống truyền thông, và là một công ty hàng đầu trong lĩnh vực này. Quý vị có thể tìm thêm thông tin về các hoạt động của chúng tôi trên trang web: https://bas-ip.com/.

Trong quá trình hoạt động, Công ty có thể thu thập, truy cập hoặc xử lý dữ liệu cá nhân liên quan đến nhiều loại chủ thể dữ liệu khác nhau: khách hàng và người dùng, nhân viên, nhà thầu và các chủ thể dữ liệu khác. Trong quá trình xử lý đó, Công ty cam kết thực hiện mọi biện pháp cần thiết và tuân thủ các chính sách, quy trình và tài liệu liên quan khác về bảo vệ dữ liệu cá nhân để xử lý dữ liệu cá nhân phù hợp với luật pháp hiện hành và các thông lệ tốt nhất.

Các vai trò trong quá trình xử lý dữ liệu cá nhân

BAS-IP có thể có các vai trò khác nhau theo UK GDPR và GDPR:

  • Với vai trò là bên kiểm soát, Công ty xác định mục đích và phương tiện xử lý dữ liệu cá nhân trong khi, chẳng hạn, giao tiếp với khách hàng và khách truy cập trang web, các hoạt động tiếp thị liên quan đến xử lý dữ liệu cá nhân, v.v.
  • Với vai trò là bên xử lý, Công ty có thể xử lý dữ liệu cá nhân theo hướng dẫn từ khách hàng của chúng tôi, hoạt động như một bên kiểm soát hoặc thay mặt cho bên kiểm soát tương ứng.
  • Khi xử lý dữ liệu cá nhân với vai trò là bên xử lý, chúng tôi có thể thuê các nhà cung cấp dịch vụ bên thứ ba, những người sẽ đóng vai trò là bên xử lý phụ.
Khi xử lý dữ liệu cá nhân trong quá trình cung cấp dịch vụ cho khách hàng của mình, Công ty hoạt động như một bên xử lý và tuân thủ các yêu cầu áp dụng của UK GDPR và GDPR, cũng như các nghĩa vụ hợp đồng liên quan giữa Công ty và khách hàng.

BAS-IP VÀ BẢO VỆ DỮ LIỆU

BAS-IP cam kết tuân thủ các tiêu chuẩn bảo vệ dữ liệu cao nhất và pháp luật hiện hành về bảo vệ dữ liệu cá nhân.

Tất cả các hoạt động liên quan đến xử lý dữ liệu cá nhân đều được thực hiện theo tài liệu nội bộ về quy định xử lý dữ liệu cá nhân.

Các biện pháp bảo vệ dữ liệu cá nhân sau đây được Công ty áp dụng:

Thường xuyên rà soát tài liệu bảo vệ dữ liệu cá nhân và thực hiện các thay đổi cần thiết đối với tài liệu và hoạt động của chúng tôi

Việc rà soát và cập nhật thường xuyên tài liệu nội bộ về bảo vệ dữ liệu cá nhân là một phần không thể thiếu trong chiến lược của Công ty nhằm đảm bảo tuân thủ các yêu cầu của UK GDPR, GDPR và các văn bản quy phạm pháp luật khác trong lĩnh vực bảo vệ dữ liệu cá nhân.

Các tài liệu nội bộ liên quan và các chính sách, quy trình đã được thông qua, đặc biệt là liên quan đến yêu cầu của chủ thể dữ liệu, thông báo vi phạm dữ liệu cá nhân, đánh giá tuân thủ của các bên thứ ba

Chính sách quyền riêng tư của Công ty, được công bố công khai trên trang web của mình, cung cấp cho khách hàng và các chủ thể dữ liệu khác thông tin về mục đích xử lý dữ liệu cá nhân, cách thức và những dữ liệu cá nhân cụ thể nào có thể được xử lý, cũng như thông tin về quyền của họ theo luật bảo vệ dữ liệu cá nhân hiện hành, bao gồm cả cách thực hiện các quyền đó.

Ngoài ra, Công ty đã thông qua Quy trình Yêu cầu và Khiếu nại, trong đó có quy trình phản hồi các yêu cầu của chủ thể dữ liệu và các quyền của họ theo UK GDPR và GDPR.

Công ty cam kết cung cấp mọi hỗ trợ cần thiết cho khách hàng trong việc phản hồi các yêu cầu từ các chủ thể dữ liệu mà dữ liệu của họ được Công ty xử lý với vai trò là bên xử lý theo các điều khoản của UK GDPR, GDPR và các nghĩa vụ hợp đồng giữa Công ty và khách hàng.

Tuân thủ các tiêu chuẩn và thông lệ tốt nhất về bảo mật kỹ thuật và tổ chức

Công ty đã thực hiện các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh cho dữ liệu cá nhân. Tài liệu nội bộ của Công ty xác định rõ ràng các biện pháp kỹ thuật và tổ chức được sử dụng khi xử lý dữ liệu cá nhân:

  • đã phát triển và thông qua tài liệu quy định về an ninh thông tin, đồng thời liên tục giám sát các sự kiện an ninh thông tin và đảm bảo phản ứng kịp thời với các sự cố;
  • đã triển khai các biện pháp bảo vệ để hạn chế truy cập vào dữ liệu cá nhân, chẳng hạn như kiểm soát quyền truy cập vào dữ liệu cá nhân, đặc biệt thông qua việc sử dụng tài khoản cá nhân, kiểm soát các yêu cầu về độ dài và độ phức tạp của mật khẩu tài khoản và bảo vệ truy cập mạng để giảm thiểu rủi ro tấn công mạng; xác minh sự tuân thủ các yêu cầu bảo mật của các trung tâm dữ liệu vật lý nơi dữ liệu được lưu trữ; xác thực đa yếu tố và xác thực người dùng trong quá trình ủy quyền, cũng như cấu hình và áp dụng quyền truy cập dữ liệu, xem xét thường xuyên các quyền truy cập hiện có, v.v.;
  • sử dụng công nghệ mã hóa khi lưu trữ và xử lý dữ liệu cá nhân bằng công nghệ đám mây và thiết lập các yêu cầu chỉ sử dụng các giao thức mật mã, thuật toán, bộ mật mã, khóa mã hóa và cách tiếp cận quản lý khóa cập nhật và mạnh mẽ;
  • thường xuyên xem xét các bản sao lưu dữ liệu cá nhân để xác định xem việc lưu trữ của chúng có tuân thủ các yêu cầu vận hành và nghĩa vụ pháp lý hay không;
  • thực hiện các biện pháp an ninh tổ chức khác, bao gồm thực hiện chính sách phân tách vai trò và trách nhiệm, thường xuyên cập nhật các chính sách và quy trình liên quan, giám sát việc thực hiện nhiệm vụ và thể hiện sự sẵn lòng hợp tác với các cơ quan chính phủ có liên quan. Các biện pháp an ninh nhân sự do Công ty thực hiện bao gồm kiểm tra lý lịch của nhân viên trong một số trường hợp, nâng cao nhận thức của nhân viên về các vấn đề an ninh thông tin và giám sát nhận thức đó, cũng như tiến hành các chương trình đào tạo và phát triển chuyên môn;
  • liên tục theo dõi những thay đổi trong luật pháp và thực hiện các thông lệ tốt nhất trong lĩnh vực bảo vệ dữ liệu cá nhân theo tiêu chuẩn an ninh mạng, hướng dẫn, khuyến nghị của các cơ quan giám sát bảo vệ dữ liệu cá nhân và Văn phòng Ủy viên Thông tin (Information Commissioner’s Office – ICO).

Công ty tuân thủ tất cả các chính sách và quy trình để đảm bảo an ninh bảo vệ dữ liệu cá nhân, thường xuyên kiểm tra tính phù hợp của chúng và đảm bảo xem xét kịp thời.

Xác minh thường xuyên bên thứ ba

Tất cả các bên thứ ba tham gia vào việc xử lý dữ liệu cá nhân đều được xác minh bằng cách sử dụng quy trình nội bộ được quy định để đánh giá sự tuân thủ của bên thứ ba. Cụ thể, các kiểm tra như vậy đánh giá sự sẵn có của tài liệu liên quan đến việc xử lý dữ liệu cá nhân, cũng như sự sẵn có và hiệu quả của các biện pháp an ninh kỹ thuật và tổ chức được thực hiện để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, mất mát hoặc vi phạm tính toàn vẹn.

Chuyển giao dữ liệu cá nhân an toàn

Khi cung cấp dịch vụ, Công ty có thể chuyển dữ liệu cá nhân ra ngoài Vương quốc Anh, ví dụ, đến Hoa Kỳ và Ukraine.

Để đảm bảo an ninh và tuân thủ các yêu cầu pháp lý đối với việc chuyển dữ liệu cá nhân, một đánh giá được thực hiện trước. Ngoài ra, việc giám sát nội bộ được thực hiện thường xuyên để đảm bảo sự tuân thủ các yêu cầu pháp lý và thông lệ của Hoa Kỳ, Ukraine và, khi cần thiết, các quốc gia khác mà dữ liệu cá nhân được chuyển đến, với các tiêu chuẩn và thông lệ bảo vệ dữ liệu cá nhân của Vương quốc Anh và EU. Hơn nữa, các biện pháp an ninh do các bên nhập khẩu dữ liệu thực hiện được kiểm tra kỹ lưỡng, đặc biệt bằng cách ký kết các tài liệu liên quan quy định việc bảo vệ dữ liệu cá nhân.

Khi Công ty chuyển dữ liệu cá nhân thuộc UK GDPR và/hoặc GDPR, Công ty ký kết Thỏa thuận Xử lý Dữ liệu (DPA) với các nhà thầu của mình. Các thỏa thuận như vậy kết hợp các cơ chế chuyển giao thích hợp, bao gồm Các Điều khoản Hợp đồng Tiêu chuẩn EU (SCCs) cùng với Phụ lục Vương quốc Anh (UK Addendum), hoặc Thỏa thuận Chuyển giao Dữ liệu Quốc tế (IDTA).

Đào tạo thường xuyên

Công ty thường xuyên tổ chức đào tạo cho nhân viên và nhà thầu của mình về việc tuân thủ các yêu cầu của UK GDPR và GDPR, cũng như bảo vệ dữ liệu cá nhân. Các chủ đề được đề cập trong đào tạo bao gồm, trong số những chủ đề khác, các yêu cầu chung của UK GDPR, GDPR và các luật bảo vệ dữ liệu cá nhân hiện hành khác, các vai trò trong xử lý, các nguyên tắc xử lý dữ liệu cá nhân, căn cứ để xử lý, đảm bảo quyền của chủ thể dữ liệu và các vấn đề về bảo vệ dữ liệu cá nhân.

Ngoài ra, Công ty cũng đã thông qua các tài liệu cần thiết và thực hiện các biện pháp thích hợp để đảm bảo đào tạo và nâng cao nhận thức của nhân viên trong lĩnh vực bảo vệ dữ liệu.

LIÊN HỆ CỦA CHÚNG TÔI

Nếu quý vị có bất kỳ câu hỏi nào thêm liên quan đến bảo vệ dữ liệu cá nhân tại BAS-IP, vui lòng liên hệ với chúng tôi qua email: [email protected].

Trân trọng,

BAS-IP DISTRIBUTION LTD