Dữ liệu cá nhân của công ty xuất khẩu gạo theo GDPR

Dữ liệu cá nhân là tài sản quan trọng trong hoạt động của công ty xuất khẩu gạo, đặc biệt dưới góc độ tuân thủ quy định chung về bảo vệ dữ liệu (GDPR). Việc xử lý đúng quy định giúp doanh nghiệp bảo vệ uy tín và tránh các rủi ro pháp lý.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Dữ liệu cá nhân của công ty xuất khẩu gạo theo GDPR, dựa trên các quy định hiện hành của pháp luật.

I. Thông tin cơ bản về GDPR

Căn cứ: Điểm 2 GDPR

             Khoản 1, 2 Điều 3 GDPR

             Khoản 1, 2 Điều 4 GDPR

1. Khái niệm

GDPR (General Data Protection Regulation) là một quy định pháp lý có hiệu lực trên toàn Liên minh Châu Âu (EU) và Khu vực Kinh tế Châu Âu (EEA) có hiệu lực từ ngày 25/5/2018

2. Mục đích

Quy định này nhằm góp phần xây dựng một khu vực tự do, an ninh và công lý, một liên minh kinh tế, thúc đẩy tiến bộ kinh tế và xã hội, tăng cường và hội tụ các nền kinh tế trong thị trường nội khối, đồng thời đảm bảo phúc lợi cho các cá nhân.

3. Dữ liệu cá nhân

Là bất kỳ thông tin nào liên quan đến một cá nhân đã hoặc có thể được xác định (chủ thể dữ liệu). Cá nhân có thể được xác định trực tiếp hoặc gián tiếp qua các yếu tố như tên, số nhận dạng, dữ liệu vị trí, mã định danh trực tuyến, hoặc các đặc điểm về thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa, xã hội.

4. Xử lý

Là bất kỳ hoạt động nào thực hiện trên dữ liệu cá nhân, bất kể là phương tiện tự động hay không, bao gồm thu thập, ghi lại, tổ chức, lưu trữ, chỉnh sửa, truy xuất, sử dụng, tiết lộ, truyền tải, căn chỉnh, kết hợp, hạn chế, xóa hoặc hủy dữ liệu.

5. Phạm vi lãnh thổ

– Quy định này áp dụng với các tổ chức không đặt trụ sở tại EU, nếu họ xử lý dữ liệu cá nhân của cá nhân đang ở trong EU, hoạt động xử lý liên quan đến:

+ Cung cấp hàng hoá hoặc dịch vụ cho cá nhân tại EU (có thu phí hoặc miễn phí)

+ Theo dõi hành vi của cá nhân tại EU

II. Dữ liệu cá nhân mà công ty xuất khẩu gạo xử lý

Căn cứ: Khoản 1, 2 Điều 4 GDPR

– Thông tin đối tác, khách hàng: Họ tên, email, số điện thoại, chức danh,…

– Thông tin của nhân viên: Họ tên, ngày sinh, số CCCD, địa chỉ, giấy khám sức khoẻ,…

– Thông tin vận chuyển, giao nhận: Dữ liệu về hợp đồng vận chuyển,…

– Các thông tin liên quan khác

III. Vai trò của công ty xuất khẩu gạo đối với DLCN

Căn cứ: Khoản 8 Điều 4 GDPR

1. Bên xử lý dữ liệu cá nhân

Là cá nhân hoặc tổ chức, cơ quan công quyền, cơ quan hoặc tổ chức khác xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát như: phân tích, chỉnh sửa, truy cập, truy xuất, mã hoá, xoá, huỷ dữ liệu hoặc các hoạt động khác có liên quan.

2. Công ty xuất khẩu gạo xử lý dữ liệu như sau:

– Công ty xuất khẩu gạo xác định nhận dữ liệu cá nhân từ đối tác EU như thông tin nhà nhập khẩu, thông tin nhà phân phối, thông tin liên hệ của khách hàng, nhân viên hoặc các dữ liệu hợp đồng khác.

– Công ty xuất khẩu gạo thực hiện các hoạt động xử lý dữ liệu cá nhân theo hướng dẫn của đối tác EU: ghi nhận, thu thập, lưu trữ, sử dụng hoặc truyền dữ liệu theo hướng dẫn.

– Công ty xuất khẩu gạo thực hiện ghi, lưu trữ thông tin cá nhân để phục vụ các mục đích quản lý vận chuyển, giao nhận hàng hoá, thanh toán và các hoạt động nội bộ khác.

– Công ty xuất khẩu gạo vẫn lưu trữ thông tin đơn hàng trên hệ thống điện tử để đề phòng trường hợp đối tác có khiếu nại hoặc tố cáo

Do đó, công ty xuất khẩu gạo có thể được xem là Bên xử lý dữ liệu cá nhân

IV. Nghĩa vụ của công ty xuất khẩu gạo đối với DLCN

Căn cứ: Điều 12, 28, 29, 32, 34, 35 GDPR

             Chương III GDPR

1. Với vai trò là Bên xử lý dữ liệu:

– Công ty xuất khẩu gạo phải đảm bảo để thực hiện các biện pháp kỹ thuật và tổ chức phù hợp với việc xử lý để bảo vệ quyền của chủ thể dữ liệu

– Công ty xuất khẩu gạo phải ký hợp đồng với bên kiểm soát về quy định phạm vi, mục đích xử lý và tuân thủ GDPR. Công ty xuất khẩu gạo chỉ xử lý dữ liệu theo yêu cầu, đảm bảo bảo mật, áp dụng biện pháp an ninh, hỗ trợ quyền chủ thể dữ liệu xoá/trả lời dữ liệu sau dịch vụ, cung cấp thông tin cho kiểm toán và thông báo nếu yêu cầu vi phạm GDPR

– Nếu thuê một bên xử lý phụ để xử lý dữ liệu thay mặt đối tác EU thì bên xử lý dữ liệu phụ phải tuân thủ các nghĩa vụ bảo vệ dữ liệu tương tư trong hợp đồng giữa công ty xuất khẩu gạo và đối tác EU. Nếu bên xử lý dữ liệu phụ vi phạm, công ty xuất khẩu gạo vẫn chịu trách nhiệm hoàn toàn với đối tác EU về các nghĩa vụ này.

– Công ty xuất khẩu gạo và bất kỳ nhân viên nào có quyền truy cập dữ liệu cá nhân chỉ được xử lý dữ liệu theo hướng dẫn của bên kiểm soát, trừ khi luật EU hoặc quốc gia thành viên yêu cầu xử lý khác.

2. Áp dụng biện pháp bảo mật kỹ thuật

– Áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân, dựa trên rủi ro, chi phí, và mục đích xử lý. Các biện pháp bao gồm: ẩn danh và mã hoá dữ liệu; đảm bảo bảo mật, toàn vện và khả năng phục hồi của hệ thống; khôi phục dữ liệu kịp thời sau sự cố, và thường xuyên kiểm tra, đánh giá hiệu quả các biện pháp bảo mật

– Đảm bảo bất kỳ cá nhân nào có quyền truy cập dữ liệu cá nhân chỉ xử lý dữ liệu theo hướng dẫn, trừ khi luật EU hoặc quốc gia thành viên yêu cầu xử lý khác.

3. Bảo đảm quyền của chủ thể dữ liệu

– Thông báo cho khách hàng và nhân viên về cách thức xử lý dữ liệu cá nhân, bao gồm mục đích, phạm vi xử lý và thời gian lưu trữ

– Cho phép chủ thể dữ liệu thực hiện các quyền như: quyền truy cập, quyền sửa chữa, quyền xoá bỏ, quyền hạn chế xử lý, quyền chuyển đổi dữ liệu, quyền phản đối

– Trong trường hợp có sự cố bảo mật, phải thông báo kịp thời cho chủ thể dữ liệu và cơ quan chức năng

– Cung cấp rõ ràng cho chủ thể dữ liệu về: thông tin bên kiểm soát dữ liệu; mục đích và căn cứ pháp lý xử lý; loại dữ liệu thu thập; người nhận dữ liệu (kể cả chuyển ra ngoài EU); thời gian lưu trữ; quyền của chủ thể dữ liệu; quyền khiếu nại; nghĩa vụ cung cấp dữ liệu (nếu có); và việc ra quyết định tự động, bao gồm profiling.

4. Đánh giá tác động bảo vệ dữ liệu (DPIA)

– Cần phải thực hiện đánh giá trước khi xử lý, tham khảo ý kiến nhân viên bảo vệ dữ liệu (nếu có) và chủ thể dữ liệu khi phù hợp.

– Công ty xuất khẩu gạo không thực hiện DPIA nhưng phải hỗ trợ bên kiểm soát bằng cấp cung cấp quy trình xử lý, biện pháp bảo mật để đảm bảo tuân thủ GDPR.

V. Điều kiện và chứng nhận đáp ứng GDPR

Căn cứ: Khoản 3 Điều 28 GDPR

             Điều 34, 35 GDPR

– Khuyến khích thiết lập cơ chế chứng nhận, con dấu và nhãn hiệu bảo vệ dữ liệu.

– Đặc biệt hỗ trợ doanh nghiệp nhỏ khi chuyển dữ liệu ra ngoài EU thông qua các cam kết.

– Chứng nhận mang tính tự nguyện và được thực hiện thông qua một quy trình minh bạch.

– Thời hạn tối đa 03 năm, có thể gia hạn / thu hồi khi các yêu cầu không đáp ứng.

a. Chứng nhận đáp ứng GDPR

Tiêu chuẩn ISO 27001; Tiêu chuẩn ISO 27002; Tiêu chuẩn ISO27701

b. Tài liệu mà công ty xuất khẩu gạo có thể cung cấp cho phía đối tác EU

Hợp đồng xử lý dữ liệu (DPA)

c. Đánh giá tác động bảo vệ dữ liệu (DPIA) của công ty xuất khẩu gạo

– Cần phải thực hiện đánh giá trước khi xử lý

– Tham khảo ý kiến nhân viên bảo vệ dữ liệu (nếu có) và chủ thể dữ liệu khi phù hợp.

VI. Hình thức xử phạt hành chính

Căn cứ: Điều 83 GDPR

– Phạt tiền hành chính tuỳ vào từng hoàn cảnh cụ thể, cần xem xét đầy đủ các điều sau:

• Tính chất cố ý hoặc vô ý của hành vi vi phạm
• Bất kỳ hành động được bên xử lý thực hiện để giảm thiểu thiệt hại mà chủ thể phải chịu
• Mức độ trách nhiệm của bên xử lý DLCN có tính đến các biện pháp kỹ thuật
• Bất kỳ hành vi vi phạm có liên quan trước đó của bên xử lý DLCN

– Nếu bên xử lý dữ liệu cá nhân cố ý hoặc vô ý vi phạm nhiều quy định với cùng một hoạt động xử lý hoặc các hoạt động xử lý có liên quan thì tổng số tiền phạt hành chính sẽ không vượt quá số tiền quy định cho hành vi vi phạm nghiêm trọng nhất.

– Phạt hành chính lên đến 10.000.000 EUR hoặc 2% doanh thu toàn cầu đối với vi phạm: không có biện pháp bảo vệ dữ liệu từ đầu, không ghi nhận hoạt động xử lý, không thông báo vi phạm dữ liệu,…

– Phạt hành chính lên đến 20.000.000 EUR hoặc 4% doanh thu toàn cầu đối với vi phạm: xử lý dữ liệu cá nhân sai mục đích, vi phạm quyền của chủ thể dữ liệu, chuyển dữ liệu ra nước ngoài không đúng quy định,…

VII. Đề xuất giải pháp cho công ty xuất khẩu gạo

– Xây dựng chính sách bảo vệ dữ liệu cá nhân nội bộ

– Xác định rõ dữ liệu cá nhân đang xử lý

– Bổ nhiệm một đầu mối phụ trách xử lý dữ liệu cá nhân tuân thủ GDPR

– Tổ chức tập huấn xử lý dữ liệu cá nhân

– Đánh giá DPIA

Kết luận:

Công ty xuất khẩu gạo cần thực hiện nghiêm túc các nghĩa vụ theo GDPR để đảm bảo quyền lợi của cá nhân và duy trì hoạt động minh bạch. Tuân thủ GDPR không chỉ là yêu cầu pháp lý mà còn là cam kết với khách hàng.

Trên đây là nội dung tư vấn về Dữ liệu cá nhân của công ty xuất khẩu gạo theo GDPR. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: 

• Trách nhiệm của phòng khám chuyên khoa da liễu trong việc bảo vệ dữ liệu cá nhân
• Trách nhiệm của bệnh viện thẩm mỹ trong việc bảo vệ dữ liệu cá nhân
• Trách nhiệm xử lý dữ liệu cá nhân của Hộ kinh doanh thực phẩm
• Trách nhiệm của Hộ kinh doanh trong việc bảo vệ dữ liệu cá nhân