Trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng và quyền riêng tư cá nhân ngày càng được chú trọng, bảo vệ dữ liệu cá nhân đã trở thành ưu tiên hàng đầu của mọi doanh nghiệp. Điều này càng đặc biệt quan trọng đối với các công ty trong lĩnh vực xe du lịch, nơi thường xuyên thu thập và xử lý lượng lớn thông tin từ khách hàng.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Công ty xe du lịch trong việc bảo vệ Dữ liệu cá nhân, dựa trên các quy định hiện hành của pháp luật.

I. Dữ liệu cá nhân mà công ty xe du lịch xử lý

Căn cứ: Khoản 3, Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP

– Thông tin cá nhân khách hàng: Họ tên, giới tính, số CCCD, số điện thoại,…

– Thông tin giao dịch và đặt chỗ:

+ Thông tin đặt xe: điểm đón, điểm trả, lịch trình chuyến đi,…

+ Dữ liệu thanh toán: thông tin thẻ tín dụng, số tài khoản,…

+ Lịch sử giao dịch và các hóa đơn, chứng từ liên quan.

– Thông tin định vị và hành trình: Dữ liệu định vị GPS, lịch sử hành trình,…

– Thông tin về việc sử dụng ứng dụng: lượt truy cập, thói quen sử dụng,…

– Thông tin có liên quan khác.

II. Vai trò của công ty xe du lịch đối với DLCN đã xử lý

Căn cứ: Khoản 7, Khoản 11 Điều 2 Nghị định 13/2023/NĐ-CP

– Bên kiểm soát và xử lý dữ liệu cá nhân:

Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân thông qua việc trực tiếp thực hiện một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

– Công ty xe du lịch kiểm soát và xử lý dữ liệu như sau:

+ Khi khách hàng đặt xe qua ứng dụng hoặc website, công ty yêu cầu cung cấp họ tên, số điện thoại, địa chỉ đón và trả khách. Những thông tin này được sử dụng để xác nhận đặt chỗ và cung cấp dịch vụ vận chuyển.

+ Công ty thực hiện ghi, lưu trữ thông tin cá nhân để phục vụ các mục đích lựa chọn phương tiện phù hợp, cung cấp xe cho khách hàng,…

+ Công ty vẫn lưu trữ thông tin về lịch sử chuyến đi, lịch sử giao nhận xe trên hệ thống điện tử để phòng trường hợp khách hàng có khiếu nại hoặc tố cáo.

– Công ty xe du lịch có thể được xem là Bên kiểm soát và xử lý dữ liệu.

III. Trách nhiệm của công ty xe du lịch

1. Trách nhiệm của công ty xe du lịch với vai trò là Bên kiểm soát dữ liệu

Căn cứ: Điều 38 Nghị định 13/2023/NĐ-CP

– Đảm bảo an toàn, bảo mật dữ liệu cá nhân, ghi lại và lưu trữ quá trình xử lý.

– Phải thông báo vi phạm bảo vệ dữ liệu, lựa chọn Bên Xử lý dữ liệu phù hợp.

– Bảo đảm quyền của chủ thể dữ liệu và chịu trách nhiệm về thiệt hại phát sinh.

– Phối hợp với cơ quan chức năng trong công tác bảo vệ dữ liệu và điều tra vi phạm.

2. Trách nhiệm của công ty xe du lịch với vai trò là Bên xử lý dữ liệu

Căn cứ: Điều 39 Nghị định 13/2023/NĐ-CP

– Công ty có trách nhiệm tiếp nhận và xử lý dữ liệu theo hợp đồng.

– Tuân thủ các biện pháp bảo vệ dữ liệu theo quy định pháp luật.

– Phải chịu trách nhiệm về thiệt hại do quá trình xử lý dữ liệu gây ra.

– Xóa hoặc trả lại dữ liệu sau khi hoàn thành xử lý.

– Hợp tác với cơ quan chức năng trong việc bảo vệ dữ liệu cũng như điều tra vi phạm.

3. Trách nhiệm của công ty trong việc đảm bảo các hoạt động xử lý dữ liệu cá nhân chỉ được thực hiện đúng với mục đích

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP

Đảm bảo các hoạt động xử lý dữ liệu cá nhân chỉ được thực hiện với mục đích đã được thông báo khách hàng và chỉ trong phạm vi cần thiết.

4. Trách nhiệm của công ty trong việc đảm bảo quyền của chủ thể dữ liệu

– Thông báo cho khách hàng và nhân viên về cách thức xử lý dữ liệu cá nhân.

– Cho phép chủ thể dữ liệu thực hiện các quyền như: quyền truy cập, chỉnh sửa, xóa, hạn chế xử lý dữ liệu và rút lại sự đồng ý khi cần thiết.

– Trong trường hợp có sự cố bảo mật, phải thông báo kịp thời cho chủ thể dữ liệu và cơ quan chức năng theo quy định.

5. Trách nhiệm của công ty trong việc áp dụng biện pháp bảo vệ dữ liệu

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

– Thực hiện các biện pháp kỹ thuật và tổ chức phù hợp:

Đảm bảo việc xử lý DLCN tuân thủ quy định pháp luật, bảo vệ dữ liệu khỏi truy cập trái phép, mất mát hoặc hư hại.

– Rà soát và cập nhật biện pháp bảo vệ:

Thường xuyên kiểm tra, cập nhật các biện pháp bảo vệ để phù hợp với tình hình thực tế và công nghệ mới.

6. Trách nhiệm của công ty trong việc lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24, Điều 25 Nghị định 13/2023/NĐ-CP

– Công ty phải lập hồ sơ đánh giá tác động xử lý dữ liệu ngay từ khi bắt đầu.

– Cập nhật định kỳ để phục vụ việc kiểm tra, đánh giá của cơ quan chức năng.

– Đối với doanh nghiệp có hoạt động chuyển dữ liệu cá nhân ra nước ngoài, cần lập thêm hồ sơ đánh giá tác động chuyển dữ liệu.

– Khi liên kết với các bên thứ ba (như các trang web book tour du lịch, khách sạn,…) cần yêu cầu các bên này lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

7. Trách nhiệm của công ty trong việc kiểm soát việc chia sẻ và chuyển giao dữ liệu

Căn cứ: Điều 41 Nghị định 13/2023/NĐ-CP

– Không chuyển giao DLCN cho bên thứ ba nếu không có sự đồng ý của chủ thể dữ liệu.

– Đảm bảo các bên nhận DLCN sử dụng đúng mục đích, không làm rò rỉ thông tin như các khách sạn chỉ sử dụng thông tin khách hàng để hướng dẫn lựa chọn phòng cho phù hợp.

– Áp dụng các biện pháp bảo vệ dữ liệu khi thực hiện chuyển giao dữ liệu xuyên biên giới hoặc giữa các bộ phận trong công ty.

Kết luận:

Tóm lại, việc chú trọng bảo vệ dữ liệu cá nhân không chỉ giúp công ty xe du lịch tuân thủ quy định pháp luật, giảm thiểu rủi ro mà còn củng cố mối quan hệ tin cậy với khách hàng. Đầu tư vào các biện pháp bảo mật hiệu quả chính là đầu tư vào sự phát triển bền vững và uy tín lâu dài của doanh nghiệp.

Trên đây là nội dung tư vấn về Công ty xe du lịch trong việc bảo vệ Dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: