Với sự điều chỉnh của Quy định Chung về Bảo vệ Dữ liệu Cá nhân của Liên minh Châu Âu (GDPR) và nghị định 13/2023/NĐ-CP của Việt Nam, việc tuân thủ và thực thi các quy định liên quan đến bảo vệ dữ liệu đã trở thành một nhiệm vụ quan trọng.

Tại TCT HKVN, việc đảm bảo tuân thủ các quy định về bảo vệ dữ liệu là vô cùng quan trọng và được coi là ưu tiên hàng đầu. Từ đó, TCT đã triển khai một loạt các biện pháp nhằm đảm bảo rằng mọi hoạt động liên quan đến dữ liệu cá nhân đều tuân thủ đúng luật và nghiêm túc.

Về thể chế:

• TCT ban hành các Quy chế, quy định về bảo vệ dữ liệu: Quy chế về công tác bảo mật của TCTHK; Quy chế An ninh thông tin của TCTHK. Ban hành Chính sách bảo mật (Privacy Policy) và công bố tới khách hàng trên website chính thức của TCTHK.

Về tổ chức nội bộ :

• Giao Ban Công nghệ thông tin chủ trì triển khai, đánh giá thực hiện chính sách an ninh thông tin của TCTHK.

• Giao Ban PC tư vấn các vấn đề pháp lý, các quy định pháp luật quốc tế và Việt Nam về bảo vệ dữ liệu cá nhân.

• Chỉ định Cán bộ chuyên trách về bảo mật dữ liệu (DPO) của TCTHK

Về kỹ thuật:

• Mua sắm, thuê các phần mềm, hệ thống đảm bảo cung cấp mức độ bảo vệ dữ liệu thích hợp trong quá trình thu thập, xử lý, chuyển giao, lưu trữ dữ liệu.

• Thực hiện mã hóa dữ liệu và triển khai các biện pháp nghiệp vụ, kĩ thuật đảm bảo bảo vệ dữ liệu cá nhân ở mức tối đa.

Về công tác quản lý:

• Thuê tư vấn luật để triển khai tuân thủ GDPR của TCTHK.

• Triển khai kí kết hợp đồng/thỏa thuận bảo vệ dữ liệu cá nhân với Processor, Controller, Joint Controllers theo mẫu.

• Kiểm tra, đánh giá công tác bảo vệ dữ liệu cá nhân của các CQ, ĐV.

• Triển khai đào tạo định kì, nâng cao nhận thức CB, NLĐ về bảo vệ dữ liệu cá nhân.

TCT HKVN cũng đã triển khai các biện pháp nhằm đảm bảo tuân thủ GDPR và nghị định 13/2023/NĐ-CP trong TCT và các công ty thành viên, công ty vốn góp như sau:

1. Ban hành các quy chế, quy định nội bộ điều chỉnh việc quản lý, xử lý, bảo vệ dữ liệu cá nhân của khách hàng, cán bộ, người lao động; đảm bảo thực thi các nghĩa vụ của doanh nghiệp theo QĐPL.

2. Xây dựng và công bố Chính sách bảo mật dữ liệu cá nhân công khai tới toàn thể khách hàng/cán bộ người lao động.

3. Ban hành và triển khai các quy trình thu thập, xử lý, bảo mật dữ liệu cá nhân; cách thức phối hợp giữa các cơ quan, đơn vị trong TCTHK, giữa TCTHK và các công ty con, công ty liên kết trong quá trình cung cấp dịch vụ tới khách hàng.

4. Chỉ định bộ phận/đơn vị/cán bộ chuyên trách phụ trách công tác bảo vệ dữ liệu cá nhân.

5. Đầu tư, nâng cấp các phần mềm, hệ thống để đáp ứng mức độ bảo vệ dữ liệu cá nhân theo quy định của GDPR và Nghị định.

6. Trao đổi, thông báo, phối hợp với Ban PC và Ban CNTT trong việc thực hiện các nghĩa vụ của TCTHK theo quy định tại GDPR và Nghị định 13/2023/NĐ-CP.

7. Thuê tư vấn luật về đảm bảo tuân thủ; thuê đánh giá mức độ bảo vệ dữ liệu cá nhân trong tổ chức; xin tư vấn, hướng dẫn từ các cơ quan chức năng.

8. Triển khai kí kết các hợp đồng/thỏa thuận về bảo vệ dữ liệu cá nhân với các đối tác, trong đó quy định quyền, nghĩa vụ, trách nhiệm của mỗi bên.

9. Phổ biến, tuyên truyền nâng cao nhận thức cho toàn thể cán bộ, người lao động về bảo vệ dữ liệu cá nhân.

10. Thường xuyên cập nhật các thay đổi trong chính sách, quy định bảo vệ dữ liệu cá nhân của Việt Nam và quốc tế.

11. Tổ chức tọa đàm; tham dự các cuộc hội thảo trong nước và quốc tế về bảo vệ dữ liệu cá nhân nhằm trao đổi, học hỏi kinh nghiệm.

Trong quá trình triển khai các biện pháp bảo vệ dữ liệu cá nhân, TCT HKVN đã rút ra được một số lưu ý quan trọng từ kinh nghiệm thực tế, giúp tăng cường hiệu quả và đảm bảo tuân thủ đầy đủ các quy định pháp luật. Đối với các dữ liệu cá nhân của khách hàng KHÔNG thuộc trường hợp điều chỉnh bởi GDPR và Nghị định 13/2023/NĐ-CP, các Bên kiểm soát dữ liệu, Bên xử lý dữ liệu phải tuân thủ các quy định pháp luật điều chỉnh (applicable laws) với các dữ liệu này trong quá trình thu thập, xử lý (Ví dụ: Công ước quốc tế, pháp luật của các châu lục, pháp luật của các quốc gia nằm ngoài EU,…) Trong các trường hợp này, các Bên cần trao đổi để xây dựng và thống nhất các điều khoản tại hợp đồng/thỏa thuận bảo vệ dữ liệu cá nhân, đồng thời cập nhật và nghiên cứu các quy định pháp luật có liên quan để đảm bảo tuân thủ, tránh trường hợp vi phạm và dẫn đến nghĩa vụ chịu phạt/bồi thường.