Xử lý dữ liệu cá nhân tại các doanh nghiệp chế biến nông sản

Trong thời đại số hiện nay, dữ liệu cá nhân trở thành yếu tố quan trọng cần được bảo vệ. Nghị định 13/2023/NĐ-CP quy định rõ trách nhiệm của các tổ chức, cá nhân trong việc xử lý dữ liệu cá nhân. Trong phạm vi bài viết này, VDPC sẽ làm rõ trường hợp của Doanh nghiệp chế biến nông sản để xác định liệu doanh nghiệp có thuộc đối tượng phải bảo vệ dữ liệu cá nhân hay không.

1. Doanh nghiệp chế biến nông sản có phải thuộc trường hợp phải bảo vệ DLCN hay không?

Căn cứ: Điều 2 Nghị định 13/2023/NĐ-CP.

1.1. Dữ liệu cá nhân mà Doanh nghiệp chế biến nông sản xử lý?

– Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

– Dữ liệu cá nhân mà Doanh nghiệp xử lý:

+ Thông tin cá nhân của nhân viên: Họ tên, số điện thoại, CCCD, v.v

+ Thông tin nhận dạng cơ bản của khách hàng: Họ tên, giới tính, CCCD, ảnh chân dung, v.v

+ Thông tin liên hệ của khách hàng: Số điện thoại, email, địa chỉ thường trú, tạm trú, Zalo id, v.v

+ Thông tin kinh doanh: Tên đối tác, địa chỉ, mã số thuế, v.v

+ Thông tin giao dịch : Lịch sử mua hàng (sản phẩm, số lượng), điều kiện thanh toán, chiết khấu, v.v

+ Thông tin sức khỏe của nhân viên: Giấy khám sức khỏe, tiêm phòng, v.v

+ Thông tin sức khỏe của khách hàng: Thông tin sức khỏe, bệnh nghề nghiệp của nhân viên; hồ sơ bệnh lý liên quan đến việc dị ứng sản phẩm nông sản của khách hàng, v.v

+ Thông tin có liên quan khác.

1.2. Doanh nghiệp có đang xử lý dữ liệu cá nhân của khách hàng không?

– Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

– Doanh nghiệp Sản xuất xử lý DLCN khách hàng như sau:

+ Doanh nghiệp thu thập thông tin cá nhân của khách hàng như họ tên, số điện thoại, địa chỉ, v.v khi khách hàng đặt mua hoặc ký hợp đồng làm đối tác, đại lý.

+ Doanh nghiệp ghi và lưu trữ dữ liệu đã thu thập được thông qua nhóm Zalo chung của nhân viên. Dưới dạng bảng Excel hoặc tin nhắn văn bản.

+ Dữ liệu khách hàng được sử dụng để thực hiện việc giao sản phẩm đến cho khách hàng, lập kế hoạch sản xuất và phân phối cho đối tác, đại lý.

+ Doanh nghiệp vẫn thực hiện lưu trữ thông tin về thông tin giao dịch với khách hàng để gọi điện, nhắn tin chăm sóc sau bán hàng, gửi thông báo khuyến mãi và đề phòng trường hợp khách hàng khiếu nại, tố cáo vấn đề liên quan đến sản phẩm.

=> Do đó, Doanh nghiệp chế biến nông sản có thể xem là đang thực hiện xử lý dữ liệu cá nhân.

1.3. Doanh nghiệp có cần bảo vệ dữ liệu cá nhân đã và đang xử lý không?

– Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.

– Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý. Bao gồm:

• Việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân;
• Phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

– Do Doanh nghiệp chế biến nông sản đã thực hiện việc xử lý dữ liệu cá nhân. Nên Doanh nghiệp phải có trách nhiệm bảo vệ dữ liệu cá nhân.

2. Cách lưu trữ thông tin khách hàng của Doanh nghiệp thông qua Zalo

Căn cứ: Điều 3, 11, 16, 26, 27 Nghị định 13/2023/NĐ-CP.

– Doanh nghiệp phải lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình.

– Doanh nghiệp phải có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

– Việc Doanh nghiệp chỉ lưu trữ thông tin khách hàng trên Zalo nhóm Doanh nghiệp mà nhân viên cũng truy cập được là chưa đáp ứng điều kiện theo quy định của pháp luật.

– Doanh nghiệp chưa đáp ứng điều kiện về cách lưu trữ thông tin khách hàng theo quy định của luật:

+ Chưa có sự đồng ý rõ ràng của chủ thể dữ liệu:

• Trước khi thu thập phải thông báo mục đích, phạm vi, thời hạn lưu trữ.
• Phải có sự đồng ý bằng văn bản hoặc hình thức điện tử rõ ràng của khách hàng.
• Hiện tại, Doanh nghiệp chỉ “thông báo sơ bộ” qua miệng hoặc tin nhắn Zalo mà không lưu giữ được bằng chứng đồng ý hợp lệ.

+ Không áp dụng biện pháp kỹ thuật bảo mật phù hợp:

• Zalo nhóm không hỗ trợ mã hóa đầu cuối cho tệp đính kèm như bảng Excel;
• Không cho phép phân quyền chi tiết giữa các thành viên;
• Không có sao lưu chuyên dụng theo tiêu chuẩn bảo mật.

+ Thiếu quy trình, chính sách nội bộ và ghi chép nhật ký xử lý:

• Doanh nghiệp chưa xây dựng bất cứ chính sách bảo mật, hướng dẫn nội bộ nào.
• Không có cơ chế ghi nhật ký ai truy cập, chỉnh sửa hay xóa dữ liệu.

+ Chưa có biện pháp bảo mật đối với dữ liệu nhạy cảm của khách hàng:

• Doanh nghiệp chưa có bộ phận chuyên trách để thực hiện biện pháp bảo mật đối với việc lưu trữ các dữ liệu nhạy cảm như: hồ sơ bệnh lý, tiền sử dị ứng của khách hàng.

Trên đây là nội dung tư vấn về Xử lý dữ liệu cá nhân của Doanh Nghiệp chế biến nông sản. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: 

• Thủ tục thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của trường mầm non
• Xử lý dữ liệu cá nhân của Doanh nghiệp
• Dữ liệu cá nhân của công ty xuất khẩu quần áo theo GDPR
• Dữ liệu cá nhân của công ty xuất khẩu điều theo GDPR