Trách nhiệm của Công ty lữ hành trong việc bảo vệ dữ liệu cá nhân

Trong bối cảnh chuyển đổi số và sự phát triển mạnh mẽ của ngành du lịch, việc bảo vệ dữ liệu cá nhân đang đối mặt với nhiều thách thức. Các công ty lữ hành ngày càng ứng dụng công nghệ rộng rãi, đòi hỏi quá trình thu thập và xử lý những thông tin nhạy cảm như họ tên, số hộ chiếu, thông tin thanh toán, lịch trình di chuyển phải được thực hiện an toàn và tuân thủ chặt chẽ các quy định pháp luật. Do đó, bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm pháp lý mà còn là yếu tố quan trọng để xây dựng lòng tin, nâng cao uy tín và đảm bảo sự phát triển bền vững của doanh nghiệp du lịch.

Trong bài viết này, VDPC sẽ làm rõ trách nhiệm của Công ty kinh doanh dịch vụ lữ hành trong việc bảo vệ dữ liệu cá nhân của khách hàng theo quy định pháp luật hiện hành.

1. Có trách nhiệm bảo vệ dữ liệu cá nhân theo vai trò Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu.

Căn cứ: Điều 38, Điều 39 Nghị định 13/2023/NĐ-CP.

✔️ Đối với vai trò là Bên kiểm soát dữ liệu:

• Đảm bảo an toàn, bảo mật dữ liệu cá nhân, ghi lại và lưu trữ quá trình xử lý dữ liệu.
• Phải thông báo vi phạm bảo vệ dữ liệu, lựa chọn Bên Xử lý dữ liệu phù hợp.
• Bảo đảm quyền của chủ thể dữ liệu và chịu trách nhiệm về thiệt hại phát sinh.
• Đồng thời, phối hợp với cơ quan chức năng trong công tác bảo vệ dữ liệu và điều tra vi phạm.

✔️ Đối với vai trò là Bên xử lý dữ liệu:

• Công ty có trách nhiệm tiếp nhận và xử lý dữ liệu theo hợp đồng với Bên Kiểm soát dữ liệu
• Tuân thủ các biện pháp bảo vệ dữ liệu theo quy định pháp luật.
• Phải chịu trách nhiệm về thiệt hại do quá trình xử lý dữ liệu gây ra.
• Xóa hoặc trả lại dữ liệu sau khi hoàn thành xử lý.
• Hợp tác với cơ quan chức năng trong việc bảo vệ dữ liệu cũng như điều tra vi phạm.

2. Phải tuân thủ các nguyên tắc về bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP.

✔️ Chỉ xử lý dữ liệu đúng mục đích đã đăng ký và trong phạm vi cần thiết.

✔️ Phải cập nhật, bảo mật và không được mua bán trái phép dữ liệu các nhân của khách hàng.

✔️ Thời gian lưu trữ dữ liệu phải phù hợp với mục đích xử lý.

✔️ Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu của Công ty chịu trách nhiệm tuân thủ và chứng minh sự tuân thủ các nguyên tắc này.

3. Không được thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 8 Nghị định 13/2023/NĐ-CP.

✔️ Công ty không được xử lý dữ liệu cá nhân trái pháp luật hoặc sử dụng dữ liệu để chống lại Nhà nước. Gây ảnh hưởng đến an ninh, trật tự xã hội hay quyền lợi hợp pháp của tổ chức, cá nhân khác.

✔️ Đồng thời, không được cản trở cơ quan chức năng trong bảo vệ dữ liệu cá nhân hoặc lợi dụng hoạt động này để vi phạm pháp luật.

4. Thực hiện Thông báo về việc xử lý dữ liệu cá nhân

Căn cứ: Điều 13 Nghị định 13/2023/NĐ-CP.

✔️ Công ty phải thông báo một lần trước khi xử lý dữ liệu cá nhân, nội dung gồm:

• Mục đích.
• Loại dữ liệu.
• Cách thức xử lý.
• Bên liên quan,
• Rủi ro có thể xảy ra,
• Thời gian xử lý.

✔️ Thông báo phải được trình bày dưới dạng văn bản hoặc điện tử. Nếu chủ thể dữ liệu đã biết và đồng ý hoặc dữ liệu do cơ quan nhà nước xử lý theo quy định, công ty không cần thông báo.

5. Áp dụng biện pháp bảo vệ dữ liệu cá nhân

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP.

✔️ Công ty phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân ngay từ đầu và trong suốt quá trình xử lý, bao gồm:

• Biện pháp quản lý.
• Biện pháp kỹ thuật.
• Các biện pháp khác theo quy định pháp luật.

6. Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân (đối với dữ liệu cá nhân nhạy cảm)

Căn cứ: Điều 28, khoản 2 Điều 43 Nghị định 13/2023/NĐ-CP.

✔️ Phải thành lập bộ phận bảo vệ dữ liệu cá nhân và cử nhân sự phụ trách. Đồng thời, báo cáo thông tin này với cơ quan chuyên trách.

✔️ Công ty thuộc doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp có thể được miễn trừ quy định này trong 2 năm đầu sau khi thành lập.

7. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24, Điều 25 Nghị định 13/2023/NĐ-CP.

✔️ Lập và lưu giữ Hồ sơ đánh giá tác động ngay từ khi bắt đầu xử lý.

✔️ Hồ sơ phải có giá trị pháp lý, sẵn sàng cho việc kiểm tra của Bộ Công an. Công ty phải gửi một bản chính cho Bộ Công an trong 60 ngày.

 Trong một số trường hợp, Công ty có thể chuyển dữ liệu của khách hàng ra nước ngoài khi:

• Nhận được sự chấp thuận từ khách hàng.
• Việc chuyển giao là cần thiết để thực hiện hợp đồng giữa hai bên.

✔️ Công ty phải tuân thủ quy định khi chuyển dữ liệu cá nhân khách hàng ra nước ngoài.

Trên đây là nội dung tư vấn cụ thể về Trách nhiệm bảo vệ dữ liệu cá nhân của Công ty kinh doanh dịch vụ lữ hành. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Phương Thức Xử Lý Dữ Liệu Cá Nhân Trong Doanh Nghiệp: Hiểu Đúng Để Tuân Thủ Hiệu Quả
• Doanh Nghiệp Cần Làm Gì Để Tuân Thủ Nguyên Tắc Hợp Pháp Khi Xử Lý Dữ Liệu Cá Nhân?
• KYC và eKYC trong Ngân Hàng: Quy Định Pháp Luật Mới Nhất Cần Biết
• Ngân Hàng Có Trách Nhiệm Gì Trong Việc Bảo Vệ Dữ Liệu Khách Hàng?
• Những Trường Hợp Được Xử Lý Dữ Liệu Cá Nhân Mà Không Cần Sự Đồng Ý Của Chủ Thể