Chính sách bảo vệ dữ liệu

Mục đích

Malvern International cam kết thực hiện hoạt động kinh doanh của mình tuân thủ mọi luật và quy định hiện hành về Bảo vệ Dữ liệu và phù hợp với các tiêu chuẩn cao nhất về đạo đức kinh doanh.

Chính sách này quy định các hành vi và tiêu chuẩn mong đợi đối với nhân viên và các bên thứ ba của Malvern International liên quan đến việc thu thập, sử dụng, lưu giữ, chuyển giao, tiết lộ và hủy các Dữ liệu Cá nhân thuộc về Chủ thể Dữ liệu.

Dữ liệu cá nhân là bất kỳ thông tin nào “liên quan” đến một người sống có thể nhận dạng được. Dữ liệu cá nhân phải tuân theo các biện pháp bảo vệ pháp lý nhất định và các quy định khác áp đặt các hạn chế về cách các tổ chức có thể xử lý Dữ liệu Cá nhân. Malvern International chịu trách nhiệm đảm bảo tuân thủ các yêu cầu bảo vệ dữ liệu được nêu trong Chính sách này. Không tuân thủ có thể khiến Malvern International phải đối mặt với các khiếu nại, hành động pháp lý, tiền phạt và/hoặc tổn hại uy tín. Hành động cố ý vi phạm chính sách này cũng có thể cấu thành một hành vi phạm tội.

Bất kỳ vi phạm nào đối với chính sách này sẽ bị Malvern International xem xét nghiêm túc và có thể được xem xét theo Quy trình Kỷ luật. Để hỗ trợ việc hiểu rõ chính sách này, các thuật ngữ sau đây sẽ được giải thích dưới đây:

Một Bộ điều khiển dữ liệu là một Công ty xác định khi nào, tại sao và cách thức Xử lý Dữ liệu Cá nhân. Với tư cách là Bên Kiểm soát Dữ liệu, Công ty chịu trách nhiệm thiết lập các thực tiễn và chính sách phù hợp với dữ liệu
luật bảo vệ. Chúng tôi là Bên kiểm soát Dữ liệu cá nhân của tất cả Nhân viên Công ty và Dữ liệu cá nhân được sử dụng trong hoạt động kinh doanh của chúng tôi cho các mục đích thương mại của riêng mình.

Danh mục đặc biệt có nghĩa là: bất kỳ dữ liệu cá nhân nào bao gồm các chi tiết về: chủng tộc hoặc nguồn gốc dân tộc, ý kiến chính trị, tín ngưỡng tôn giáo hoặc triết học, tư cách thành viên công đoàn, dữ liệu chung, dữ liệu sinh trắc học, dữ liệu liên quan đến sức khỏe, giới tính, xu hướng tình dục hoặc đời sống tình dục.

Nhân sự công tytất cả nhân viên, công nhân (bao gồm cả nhà thầu, nhân viên công ty cung ứng và chuyên gia tư vấn), giám đốc, thành viên và những người khác (bao gồm cả tình nguyện viên, thực tập sinh và học việc).

Đối tượng dữ liệu: một cá nhân hiện tại, đã được xác định hoặc có thể được xác định mà chúng tôi nắm giữ Dữ liệu Cá nhân. Chủ thể Dữ liệu có thể là công dân hoặc cư dân của bất kỳ quốc gia nào và có thể có các quyền pháp lý liên quan đến Dữ liệu Cá nhân của họ. Đây có thể là bạn, đồng nghiệp của bạn, khách hàng và nhà cung cấp của bạn hoặc bất kỳ người nào khác.

Luật Bảo vệ Dữ liệu: bao gồm bất kỳ luật nào được thiết kế để bảo vệ dữ liệu cá nhân hoặc tôn trọng quyền riêng tư của một cá nhân. Pháp luật hiện hành là (i) Quy định chung về bảo vệ dữ liệu (“GDPR”) áp dụng khi chúng tôi nhắm mục tiêu hoặc bán cho các cá nhân ở bất kỳ quốc gia EU hoặc EEA nào và xử lý dữ liệu cá nhân của họ.

Quy định GDPR của Vương quốc Anh và Đạo luật Bảo vệ Dữ liệu năm 2018, áp dụng cho bất kỳ chủ thể dữ liệu nào cư trú tại Vương quốc Anh

Đạo luật Dữ liệu (Sử dụng và Truy cập) năm 2025, bổ sung và mở rộng các khía cạnh cụ thể của Quy định chung về bảo vệ dữ liệu của Vương quốc Anh (UK-GDPR) và khuôn khổ bảo vệ dữ liệu hiện hành.

Dữ liệu cá nhân: bất kỳ thông tin nào xác định một Chủ thể Dữ liệu hoặc thông tin liên quan đến một Chủ thể Dữ liệu mà chúng tôi có thể xác định (trực tiếp hoặc gián tiếp) từ dữ liệu đó.

Vi phạm dữ liệu cá nhânbất kỳ vi phạm an ninh nào dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép Dữ liệu Cá nhân một cách vô tình hoặc bất hợp pháp.

Thông báo về quyền riêng tư (còn được gọi là Thông báo xử lý công bằng) hoặc Chính sách quyền riêng tư: các thông báo riêng biệt trình bày thông tin có thể được cung cấp cho Đối tượng Dữ liệu khi Công ty thu thập thông tin về họ.

Xử lý hoặc quy trình: bất kỳ hoạt động nào liên quan đến việc sử dụng Dữ liệu Cá nhân.

Phạm vi áp dụng của Chính sách

Chính sách này áp dụng cho tất cả các đơn vị Malvern International nơi dữ liệu cá nhân của đối tượng dữ liệu được xử lý.

Chính sách này áp dụng cho mọi hoạt động xử lý Dữ liệu cá nhân dưới dạng điện tử (bao gồm thư điện tử và tài liệu được tạo bằng phần mềm xử lý văn bản) hoặc khi dữ liệu được lưu giữ trong các tệp thủ công được cấu trúc theo cách cho phép truy cập nhanh vào thông tin về các cá nhân.

Thực thi chính sách
Ban Lãnh đạo phải đảm bảo rằng tất cả nhân viên của Malvern International chịu trách nhiệm xử lý dữ liệu cá nhân nhận thức và tuân thủ nội dung của chính sách này. Ngoài ra, Malvern International sẽ đảm bảo tất cả Bên thứ ba được thuê xử lý dữ liệu cá nhân thay mặt họ nhận thức và tuân thủ nội dung của chính sách này. Các đảm bảo thích hợp về việc tuân thủ như vậy sẽ được yêu cầu từ tất cả các Bên thứ ba, bất kể là công ty hay cá nhân, trước khi cấp cho họ quyền truy cập vào dữ liệu cá nhân do Malvern International kiểm soát.

Các Nguyên Tắc Bảo Vệ Dữ Liệu
Khi xử lý dữ liệu cá nhân, chúng ta phải tuân theo các nguyên tắc bảo vệ dữ liệu, đặt ra các nghĩa vụ mà chúng ta phải thực hiện. Tất cả nhân viên được kỳ vọng tuân thủ các nguyên tắc này được nêu dưới đây.

Tính hợp pháp, công bằng và minh bạch – Tất cả dữ liệu cá nhân phải được xử lý một cách hợp pháp, công bằng và minh bạch, điều này có nghĩa là chúng ta phải thông báo cho đối tượng dữ liệu về quy trình xử lý sẽ diễn ra (minh bạch) và quy trình đó phải công bằng, cần thiết và tương xứng. Tất cả nhân viên được kỳ vọng sẽ đảm bảo việc sử dụng dữ liệu cá nhân là hợp lý và có thể lường trước được. Chúng ta phải lưu giữ hồ sơ bằng văn bản về những dữ liệu cá nhân mà chúng ta xử lý và lý do tại sao chúng ta xử lý chúng. Cán bộ phụ trách Bảo vệ Dữ liệu chịu trách nhiệm duy trì hồ sơ này và sẽ tiến hành kiểm toán định kỳ để đảm bảo hồ sơ được cập nhật.
- Giới hạn Mục đích – Dữ liệu cá nhân phải được thu thập cho các mục đích được chỉ định, rõ ràng và hợp pháp, và không được xử lý thêm theo cách không tương thích với các mục đích đó. Điều này có nghĩa là chúng ta phải chỉ định chính xác Dữ liệu Cá nhân được thu thập sẽ được sử dụng cho mục đích gì và giới hạn việc xử lý dữ liệu cá nhân đó chỉ trong phạm vi cần thiết để đáp ứng mục đích đã được chỉ định. Mục đích thu thập và xử lý dữ liệu cá nhân sẽ được nêu trong các thông báo về quyền riêng tư có liên quan. Nếu có yêu cầu sử dụng dữ liệu cá nhân cho một mục đích mới, cán bộ bảo vệ dữ liệu nên được thông báo và bất kỳ lời khuyên nào cũng nên được tuân thủ để đảm bảo tuân thủ liên tục. Nếu mục đích mới đã được bao gồm trong một trong các thông báo về quyền riêng tư của chúng tôi thì có thể không cần cập nhật, tuy nhiên, trường hợp có yêu cầu cập nhật thông báo về quyền riêng tư của chúng tôi trước khi hoạt động mới diễn ra thì điều này phải được thực hiện càng sớm càng tốt.
- Tối thiểu hóa dữ liệu – Dữ liệu cá nhân phải đầy đủ, có liên quan và chỉ giới hạn ở những gì cần thiết liên quan đến mục đích xử lý dữ liệu. Điều này có nghĩa là Malvern International không được lưu trữ bất kỳ dữ liệu cá nhân nào vượt quá những gì được yêu cầu.
- Chính xác – Dữ liệu cá nhân phải chính xác và được cập nhật thường xuyên. Điều này có nghĩa là Malvern International phải có các quy trình để xác định và xử lý dữ liệu cá nhân đã lỗi thời, không chính xác và dư thừa. Tất cả nhân viên có trách nhiệm đảm bảo tính chính xác của các hồ sơ trong khu vực làm việc của họ.
- Giới hạn lưu trữ – Dữ liệu cá nhân phải được lưu giữ dưới hình thức cho phép xác định chủ thể dữ liệu trong thời gian không dài hơn mức cần thiết cho các mục đích mà dữ liệu cá nhân được xử lý. Điều này có nghĩa là Malvern International phải, trong phạm vi có thể, lưu trữ dữ liệu cá nhân theo cách hạn chế hoặc ngăn chặn việc xác định chủ thể dữ liệu. Với tư cách là một tổ chức, chúng tôi phải đảm bảo rằng chúng tôi chỉ lưu trữ dữ liệu cá nhân trong thời gian cần thiết. Điều này có nghĩa là chúng tôi phải tuân thủ các thực hành tốt nhất về quản lý hồ sơ và xóa dữ liệu khi không còn mục đích để lưu trữ nó. Chuyên viên Bảo vệ Dữ liệu và các thành viên của Ban Lãnh đạo Cao cấp chịu trách nhiệm thiết lập các quy trình quản lý hồ sơ, bao gồm chính sách lưu trữ hồ sơ.
  lịch trình nêu rõ loại dữ liệu cá nhân chúng tôi có và thời gian lưu giữ trước khi được xem xét tính phù hợp hoặc xóa khi cần thiết.
- Tính toàn vẹn & Bảo mật – Dữ liệu cá nhân phải được xử lý theo cách đảm bảo an ninh thích hợp cho dữ liệu cá nhân, bao gồm cả việc bảo vệ chống lại việc xử lý trái phép hoặc bất hợp pháp và chống mất mát, phá hủy hoặc hư hỏng ngẫu nhiên. Malvern International phải sử dụng các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo tính toàn vẹn và bảo mật của dữ liệu cá nhân được duy trì mọi lúc. Tất cả nhân viên có trách nhiệm đảm bảo rằng họ tuân thủ bất kỳ chính sách hoặc yêu cầu quy trình nào được thiết kế để bảo vệ an ninh và bảo mật dữ liệu. Nhân viên không được cố gắng vượt qua các biện pháp kiểm soát an ninh được đưa ra cho mục đích này.
- Tất cả nhân viên đều có vai trò quan trọng trong việc bảo vệ an ninh dữ liệu của chúng tôi, đặc biệt là nhân viên:
  - Không được chia sẻ mật khẩu hoặc thông tin đăng nhập Malvern International của bạn với bất kỳ ai khác.
  - không được chia sẻ, tải lên hoặc chuyển tiếp dữ liệu về Malvern International cho bất kỳ bên thứ ba nào trừ khi đó là yêu cầu trực tiếp trong vai trò của họ.
  - không được vô hiệu hóa hoặc cố gắng vô hiệu hóa bất kỳ tính năng chống vi-rút hoặc biện pháp kiểm soát an ninh nào trên các hệ thống hoặc máy tính của Malvern International.
Trách nhiệm giải trình – Malvern International và đội ngũ nhân viên của mình chịu trách nhiệm và có khả năng chứng minh việc tuân thủ pháp luật.

Thu thập dữ liệu

Nguồn dữ liệu

Dữ liệu cá nhân nên được thu thập trực tiếp từ chủ thể dữ liệu trừ khi một trong những trường hợp sau đây áp dụng:

Bản chất của mục đích kinh doanh đòi hỏi phải thu thập dữ liệu cá nhân từ các cá nhân hoặc tổ chức khác.
Việc thu thập phải được thực hiện trong các trường hợp khẩn cấp nhằm bảo vệ lợi ích thiết yếu của người có dữ liệu hoặc ngăn ngừa tổn thất hoặc thương tích nghiêm trọng cho người khác.

Nếu dữ liệu cá nhân được thu thập từ một người khác ngoài chủ thể dữ liệu, chủ thể dữ liệu phải được thông báo về việc thu thập trừ khi một trong những trường hợp sau đây áp dụng:

Chủ thể dữ liệu đã nhận được thông tin cần thiết bằng phương tiện khác.
Thông tin phải được giữ bí mật do nghĩa vụ bảo mật nghề nghiệp.
Một đạo luật quốc gia quy định rõ ràng về việc thu thập, xử lý hoặc chuyển giao dữ liệu cá nhân.

Khi đã xác định cần thông báo cho chủ thể dữ liệu, việc thông báo phải được thực hiện kịp thời, nhưng không muộn hơn một tháng dương lịch kể từ lần thu thập hoặc ghi nhận dữ liệu cá nhân đầu tiên, tại thời điểm liên lạc đầu tiên nếu được sử dụng để liên lạc với chủ thể dữ liệu, tại thời điểm tiết lộ nếu tiết lộ cho người nhận khác.

Thông báo cho Chủ thể dữ liệu

Malvern International sẽ cung cấp cho các chủ thể dữ liệu thông tin về mục đích xử lý dữ liệu cá nhân của họ, khi được pháp luật hiện hành, hợp đồng yêu cầu, hoặc khi Malvern International xem xét rằng việc đó là hợp lý.

Khi một chủ thể dữ liệu được yêu cầu đồng ý cho việc xử lý dữ liệu cá nhân của họ, và khi bất kỳ dữ liệu cá nhân nào được thu thập từ chủ thể dữ liệu, tất cả các thông tin tiết lộ phù hợp sẽ được cung cấp, theo cách thu hút sự chú ý của họ, trừ khi một trong các trường hợp sau đây áp dụng:

Chủ thể dữ liệu đã có thông tin đó.
Miễn trừ pháp lý áp dụng cho các yêu cầu tiết lộ và/hoặc đồng ý.
Việc tiết lộ có thể được thực hiện bằng điện tử hoặc bằng văn bản.

Thông báo Bảo mật Dành cho Nhân viên

Malvern International sẽ cung cấp cho Nhân viên Công ty một thông báo về quyền riêng tư liên quan đến việc thu thập và xử lý dữ liệu cá nhân của họ.

Malvern International cũng sẽ bao gồm một Thông báo về Quyền riêng tư trực tuyến dành cho các bên thứ ba tiềm năng khác với Nhân viên Công ty và một ‘Thông báo Cookie’ trực tuyến đáp ứng các yêu cầu của luật hiện hành.

Lập hồ sơ và đưa ra quyết định tự động

Malvern International hiện không tham gia vào việc lập hồ sơ và ra quyết định tự động. Nếu cần thiết phải tham gia vào việc lập hồ sơ và ra quyết định tự động, thì chỉ thực hiện để ký kết hoặc thực hiện một hợp đồng với người có dữ liệu hoặc khi được pháp luật cho phép. Trong những trường hợp như vậy, người có dữ liệu sẽ có cơ hội:

Bày tỏ quan điểm của họ
Giải thích về quyết định tự động
Xem xét logic được sử dụng bởi hệ thống tự động
Bổ sung dữ liệu bổ sung cho hệ thống tự động
Yêu cầu con người xem xét quyết định tự động
Khiếu nại quyết định tự động
Phản đối việc đưa ra quyết định tự động.

Việc phân loại tự động trong quá trình ra quyết định bị hạn chế nghiêm ngặt theo luật bảo vệ dữ liệu và chỉ được thực hiện sau khi đã hoàn tất đánh giá tác động về bảo vệ dữ liệu. Nhân viên không được phép thực hiện các hoạt động liên quan đến phân loại tự động hoặc ra quyết định tự động mà không xin ý kiến và sự hỗ trợ của Cán bộ Bảo vệ Dữ liệu trước.

Tiếp thị kỹ thuật số

Malvern International sẽ chỉ gửi tài liệu quảng cáo hoặc tiếp thị trực tiếp đến bất kỳ liên hệ nào thông qua các kênh kỹ thuật số như điện thoại di động, email và internet, nếu tài liệu đó tuân thủ luật bảo vệ dữ liệu. Bất kỳ ai liên quan đến Malvern International muốn thực hiện chiến dịch tiếp thị kỹ thuật số mà không có được sự đồng ý trước từ chủ thể dữ liệu phải được Cán bộ Bảo vệ Dữ liệu phê duyệt trước.

Trường hợp việc xử lý dữ liệu cá nhân được phê duyệt cho mục đích tiếp thị kỹ thuật số, chủ thể dữ liệu phải được thông báo ngay từ lần liên hệ đầu tiên rằng họ có quyền phản đối, ở bất kỳ giai đoạn nào, việc dữ liệu của họ được xử lý cho các mục đích đó. Nếu chủ thể dữ liệu đưa ra phản đối, việc xử lý dữ liệu cá nhân của họ liên quan đến tiếp thị kỹ thuật số phải chấm dứt ngay lập tức và thông tin chi tiết của họ nên được đưa vào danh sách hạn chế xử lý kèm theo hồ sơ về quyết định từ chối tham gia của họ, thay vì bị xóa hoàn toàn.

Cần lưu ý rằng khi hoạt động tiếp thị kỹ thuật số diễn ra trong bối cảnh ‘doanh nghiệp với doanh nghiệp’, không có yêu cầu pháp lý nào để có được sự đồng ý cho phép thực hiện tiếp thị kỹ thuật số đối với cá nhân, với điều kiện là họ có cơ hội từ chối.

Lưu trữ dữ liệu
Để đảm bảo xử lý công bằng, Malvern International sẽ không lưu giữ dữ liệu cá nhân lâu hơn mức cần thiết liên quan đến các mục đích mà dữ liệu đó ban đầu được thu thập, hoặc được xử lý thêm.

Thời gian Malvern International cần lưu giữ dữ liệu cá nhân được quy định tại Phụ lục 1. Điều này có tính đến các yêu cầu pháp lý, hợp đồng và kinh doanh ảnh hưởng đến thời hạn lưu giữ. Tất cả dữ liệu cá nhân phải được xóa hoặc hủy càng sớm càng tốt khi có xác nhận rằng không còn cần thiết phải lưu giữ, trừ khi có mục đích hợp pháp để không làm như vậy. Bất kỳ quyết định nào không hủy hoặc xóa dữ liệu cá nhân theo hướng dẫn lưu giữ tại Phụ lục 1 đều phải được lập thành văn bản và được Giám đốc điều hành phê duyệt.

Bảo vệ dữ liệu
Malvern International sẽ áp dụng các biện pháp về thể chất, kỹ thuật và tổ chức để đảm bảo an ninh dữ liệu cá nhân. Điều này bao gồm việc ngăn ngừa mất mát hoặc hư hỏng, thay đổi trái phép, truy cập hoặc xử lý, và các rủi ro khác mà dữ liệu có thể bị phơi nhiễm do hành động của con người hoặc môi trường vật chất hoặc tự nhiên.

Bộ các biện pháp an ninh tối thiểu cần được Malvern International áp dụng được cung cấp như sau:

Ngăn chặn người không có thẩm quyền truy cập vào hệ thống xử lý dữ liệu, trong đó dữ liệu cá nhân được xử lý.
Ngăn chặn những người được phép sử dụng hệ thống xử lý dữ liệu truy cập vào dữ liệu cá nhân vượt quá nhu cầu và sự cho phép.
Đảm bảo rằng dữ liệu cá nhân trong quá trình truyền tải điện tử không thể bị đọc, sao chép, sửa đổi hoặc xóa trái phép trong quá trình vận chuyển.
Đảm bảo rằng có các bản ghi truy cập để xác định xem, và bởi ai, dữ liệu cá nhân đã được nhập vào, sửa đổi trên hoặc xóa khỏi một hệ thống xử lý dữ liệu.
Đảm bảo rằng trong trường hợp xử lý được thực hiện bởi một bên xử lý dữ liệu, dữ liệu chỉ có thể được xử lý theo chỉ thị của bên kiểm soát dữ liệu.
Đảm bảo dữ liệu cá nhân được bảo vệ khỏi sự phá hủy hoặc mất mát không mong muốn.
Đảm bảo rằng dữ liệu cá nhân được thu thập cho các mục đích khác nhau có thể và được xử lý riêng biệt.
Đảm bảo rằng dữ liệu cá nhân không được lưu giữ lâu hơn mức cần thiết.
Đảm bảo rằng các nhân viên có liên quan của Công ty được đào tạo về các yêu cầu tuân thủ chính theo luật bảo vệ dữ liệu và cách thức họ có thể đảm bảo an ninh dữ liệu cá nhân được duy trì theo chính sách này.

Trách nhiệm của Nhân viên Công ty

Mọi người làm việc cho, hoặc đại diện cho, Malvern International đều có trách nhiệm đảm bảo dữ liệu được thu thập, lưu trữ và xử lý một cách phù hợp, tuân thủ chính sách này và các chính sách liên quan.

Giám đốc điều hành (CEO) và Chuyên viên Đối tác Nhân sự (HR Business Partner) có trách nhiệm rà soát chính sách này và báo cáo với Hội đồng Quản trị về các nghĩa vụ bảo vệ dữ liệu của Malvern International cũng như mọi rủi ro liên quan đến việc xử lý dữ liệu. Mọi thắc mắc liên quan đến chính sách này hoặc vấn đề bảo vệ dữ liệu xin vui lòng liên hệ với người này.

Nhân viên Công ty nên:

chỉ được truy cập Dữ liệu Cá nhân khi cần thiết cho công việc họ thực hiện cho Malvern International và chỉ khi được phép. Họ chỉ được sử dụng dữ liệu cho mục đích hợp pháp cụ thể mà dữ liệu đó được thu thập.
không chia sẻ Dữ liệu Cá nhân một cách không chính thức.
giữ An toàn Dữ liệu Cá nhân và không chia sẻ với những người không được phép.
thường xuyên xem xét và, khi cần thiết hoặc được yêu cầu, cập nhật Dữ liệu Cá nhân mà họ xử lý. Điều này bao gồm việc thông báo cho chúng tôi nếu thông tin liên hệ của họ thay đổi.
không tạo bản sao không cần thiết của Dữ liệu Cá nhân và nên lưu giữ, xử lý mọi bản sao một cách an toàn.
Sử dụng mật khẩu mạnh và không chia sẻ mật khẩu của bạn với bất kỳ ai khác.
nên khóa màn hình máy tính khi không ngồi ở bàn làm việc.
không mang Dữ liệu Cá nhân ra khỏi cơ sở của Công ty khi chưa được sự cho phép của quản lý trực tiếp hoặc Đối tác Nhân sự.
Hãy nhờ sự trợ giúp từ Đối tác Kinh doanh Nhân sự nếu bạn không chắc chắn về việc bảo vệ dữ liệu hoặc nếu bạn nhận thấy bất kỳ lĩnh vực nào về bảo vệ dữ liệu hoặc bảo mật mà chúng ta có thể cải thiện.

Dữ liệu cá nhân cần được mã hóa trước khi được chuyển qua đường điện tử cho các đối tác bên ngoài được ủy quyền. Vui lòng liên hệ với bộ phận CNTT để biết thêm thông tin về cách thực hiện việc này.

Xem xét việc ẩn danh dữ liệu hoặc sử dụng các khóa/mã riêng biệt để Chủ thể Dữ liệu không thể được nhận dạng.

Dữ liệu cá nhân không nên lưu trữ trên máy tính cá nhân hoặc các thiết bị khác không thuộc sở hữu của Malvern International.

Dữ liệu cá nhân không bao giờ được chuyển ra ngoài Khu vực Kinh tế Châu Âu trừ khi tuân thủ pháp luật và có sự cho phép của Giám đốc điều hành.

Ngăn kéo bàn và tủ hồ sơ nên được khóa. Không để giấy tờ có Dữ liệu Cá nhân ở lung tung.

Dữ liệu cá nhân nên được hủy và xử lý an toàn khi không còn cần thiết.

Thực thi chính sách

Bất kỳ vi phạm cố ý hay sơ suất nào đối với chính sách này của Nhân viên Công ty có thể dẫn đến việc áp dụng các biện pháp kỷ luật đối với nhân viên đó theo quy trình kỷ luật của chúng tôi.

Hành vi che giấu hoặc hủy hoại Dữ liệu cá nhân là một phần của yêu cầu truy cập của chủ thể dữ liệu (xem bên dưới) là một hành vi phạm tội. Hành vi này cũng có thể bị coi là lỗi nghiêm trọng theo quy trình kỷ luật của chúng tôi, có thể dẫn đến việc chấm dứt hợp đồng lao động.

Cần lưu ý rằng mặc dù chính sách này đưa ra các ví dụ, đây không phải là danh sách đầy đủ và bạn có thể được thông báo về các quy tắc cụ thể khác theo thời gian.

Quyền của Chủ thể Dữ liệu và Yêu cầu của Chủ thể Dữ liệu

Các Chủ thể dữ liệu (bao gồm cả Nhân sự của Công ty) có một số quyền liên quan đến dữ liệu cá nhân của họ được Malvern International xử lý. Các quyền này sẽ được chi tiết trong thông báo bảo mật liên quan đến chủ thể dữ liệu. Nhân sự của Công ty sẽ được cấp một thông báo bảo mật. Bên thứ ba sẽ có thể truy cập các thông báo bảo mật trực tuyến hoặc có thể yêu cầu bản sao trực tiếp.

Malvern International sẽ thiết lập một hệ thống để cho phép và tạo điều kiện thuận lợi cho việc thực hiện các quyền của chủ thể dữ liệu liên quan đến:

Truy cập thông tin
Phản đối xử lý
Phản đối việc ra quyết định và lập hồ sơ tự động
Hạn chế việc xử lý
Khả năng di chuyển dữ liệu
Chỉnh sửa dữ liệu
Xóa dữ liệu

Nếu một cá nhân gửi yêu cầu liên quan đến bất kỳ quyền nào được liệt kê ở trên, Malvern International sẽ xem xét từng yêu cầu theo đúng các luật và quy định về bảo vệ dữ liệu hiện hành. Nếu một nhân viên nhận được yêu cầu, họ không được phép tự xử lý yêu cầu đó mà phải thông báo cho cán bộ phụ trách bảo vệ dữ liệu càng sớm càng tốt.

Các Đối tượng Dữ liệu có thể đưa ra yêu cầu liên quan đến quyền của họ miễn là yêu cầu đó bằng văn bản. Tuy nhiên, các Đối tượng Dữ liệu được khuyến khích yêu cầu và sử dụng biểu mẫu yêu cầu đối tượng dữ liệu (có sẵn từ Bộ phận Nhân sự) và gửi biểu mẫu này cho bộ phận Nhân sự. Điều này sẽ đảm bảo yêu cầu được chuyển đến đúng cá nhân trong Malvern International và có thể được xử lý kịp thời.

Đối tượng dữ liệu sẽ được yêu cầu xác minh danh tính khi họ gửi yêu cầu. Không làm như vậy có thể dẫn đến việc yêu cầu của họ không được hoàn thành.

Các chủ thể dữ liệu có quyền yêu cầu cung cấp thông tin sau đây về dữ liệu cá nhân của chính họ:

Các mục đích thu thập, xử lý, sử dụng và lưu trữ dữ liệu cá nhân của họ.
Nguồn(nguồn) của dữ liệu cá nhân, nếu dữ liệu đó không được thu thập trực tiếp từ chủ thể dữ liệu.
Các loại dữ liệu cá nhân được lưu trữ cho chủ thể dữ liệu.
Những người nhận hoặc các loại hình người nhận mà dữ liệu cá nhân đã hoặc có thể được truyền tới, cùng với địa điểm của những người nhận đó.
Thời gian lưu trữ dự kiến cho dữ liệu cá nhân hoặc lý do xác định thời gian lưu trữ.
Việc sử dụng bất kỳ hình thức ra quyết định tự động nào, bao gồm cả việc phân loại.
Quyền của chủ thể dữ liệu được phản đối việc xử lý dữ liệu cá nhân của họ để khiếu nại với cơ quan bảo vệ dữ liệu, yêu cầu chỉnh sửa hoặc xóa dữ liệu cá nhân của họ, yêu cầu hạn chế xử lý dữ liệu cá nhân của họ.

Tất cả các yêu cầu nhận được để truy cập hoặc chỉnh sửa dữ liệu cá nhân phải được gửi đến Bộ phận Nhân sự, bộ phận sẽ ghi lại từng yêu cầu khi nhận được. Phản hồi cho mỗi yêu cầu sẽ được cung cấp trong vòng 30 ngày kể từ ngày nhận được yêu cầu bằng văn bản từ người có dữ liệu. Việc thẩm định phù hợp phải xác nhận rằng người yêu cầu là người có dữ liệu hoặc đại diện pháp lý được ủy quyền của họ. Người có dữ liệu có quyền yêu cầu Malvern International sửa chữa hoặc bổ sung dữ liệu cá nhân bị lỗi, gây hiểu lầm, lỗi thời hoặc không đầy đủ.

Nếu Malvern International không thể trả lời yêu cầu trong vòng 30 ngày, họ sẽ cam kết cung cấp những điều sau trong thời gian quy định:

Lời xác nhận đã nhận được yêu cầu.
Bất kỳ thông tin nào được tìm thấy tính đến nay.
Chi tiết về bất kỳ thông tin nào được yêu cầu hoặc sửa đổi nào sẽ không được cung cấp cho chủ thể dữ liệu, lý do từ chối và bất kỳ thủ tục nào có sẵn để kháng cáo quyết định đó.
Một ngày ước tính mà tất cả các phản hồi còn lại sẽ được cung cấp (không muộn hơn 3 tháng kể từ ngày yêu cầu ban đầu được gửi).
Ước tính bất kỳ chi phí nào cần thanh toán bởi chủ thể dữ liệu (ví dụ: khi yêu cầu có tính chất quá mức).
Tên và thông tin liên hệ của cá nhân mà chủ thể dữ liệu nên liên hệ để được hỗ trợ thêm.

Cần lưu ý rằng có thể xảy ra các tình huống mà việc cung cấp thông tin được yêu cầu bởi chủ dữ liệu sẽ tiết lộ dữ liệu cá nhân của một cá nhân khác. Trong những trường hợp đó, thông tin phải được biên tập hoặc giữ lại khi cần thiết hoặc phù hợp để bảo vệ quyền của người đó.

Yêu cầu và tiết lộ của cơ quan thực thi pháp luật
Trong một số trường hợp nhất định, việc chia sẻ dữ liệu cá nhân mà không có sự biết hoặc đồng ý của chủ thể dữ liệu là được phép. Điều này xảy ra khi việc tiết lộ dữ liệu cá nhân là cần thiết cho bất kỳ mục đích nào sau đây:

Việc phòng ngừa hoặc phát hiện tội phạm.
Sự bắt giữ hoặc truy tố những kẻ phạm tội.
Việc đánh giá hoặc thu thuế hoặc lệ phí.
Theo lệnh của Tòa án hoặc theo bất kỳ quy định nào của pháp luật.

Nếu Malvern International xử lý dữ liệu cá nhân cho một trong những mục đích này, thì họ có thể áp dụng ngoại lệ đối với các quy tắc xử lý được nêu trong chính sách này nhưng chỉ trong phạm vi mà việc không làm như vậy có thể gây phương hại cho vụ việc liên quan.

Đào tạo Bảo vệ Dữ liệu

Tất cả nhân viên của Malvern International có quyền truy cập vào dữ liệu cá nhân sẽ được nêu rõ trách nhiệm của họ theo chính sách này như một phần của khóa đào tạo nhập môn dành cho nhân viên. Malvern International sẽ cung cấp đào tạo thường xuyên về Bảo vệ Dữ liệu và hướng dẫn quy trình cho nhân viên của mình, và việc hoàn thành khóa đào tạo này là bắt buộc.

Chuyển giữa các cơ sở của Malvern International

Để Malvern International có thể điều hành hoạt động hiệu quả tại các chi nhánh khác nhau, có thể sẽ có những trường hợp cần thiết phải chuyển dữ liệu cá nhân từ chi nhánh này sang chi nhánh khác, hoặc cho phép truy cập dữ liệu cá nhân từ địa điểm nước ngoài. Nếu điều này xảy ra, chi nhánh gửi dữ liệu cá nhân vẫn chịu trách nhiệm đảm bảo việc bảo vệ dữ liệu cá nhân đó và tuân thủ các quy định về chuyển dữ liệu ra ngoài Khu vực Kinh tế Châu Âu. Tất cả nhân viên phải đảm bảo rằng dữ liệu được chuyển qua các phương tiện chính thức, được ủy quyền. Nhân viên không được phép chia sẻ dữ liệu một cách không chính thức bằng các nền tảng cá nhân như WhatsApp hoặc các dịch vụ nhắn tin tức thời khác.,

Chuyển nhượng cho Bên thứ ba

Malvern International sẽ chỉ chuyển dữ liệu cá nhân cho hoặc cho phép bên thứ ba truy cập khi có thể đảm bảo rằng thông tin sẽ được xử lý một cách hợp pháp và được người nhận bảo vệ một cách thích hợp. Trường hợp xử lý của bên thứ ba diễn ra, Malvern International trước tiên sẽ xác định, theo luật áp dụng, liệu bên thứ ba có được coi là bên kiểm soát dữ liệu hay bên xử lý dữ liệu đối với dữ liệu cá nhân đang được chuyển giao hay không.

Trường hợp bên thứ ba được coi là bên kiểm soát dữ liệu, một thỏa thuận phù hợp với bên kiểm soát để làm rõ trách nhiệm của mỗi bên đối với dữ liệu cá nhân được chuyển giao sẽ được ký kết.

Trong trường hợp bên thứ ba được coi là bộ xử lý dữ liệu, Malvern International sẽ cố gắng ký kết một thỏa thuận xử lý dữ liệu phù hợp với bộ xử lý dữ liệu. Thỏa thuận này sẽ yêu cầu bộ xử lý dữ liệu bảo vệ dữ liệu cá nhân khỏi việc tiết lộ thêm và chỉ xử lý dữ liệu cá nhân theo chỉ dẫn của Malvern International. Ngoài ra, thỏa thuận sẽ yêu cầu bộ xử lý dữ liệu triển khai các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân cũng như các quy trình thông báo vi phạm dữ liệu cá nhân.

Khi Malvern International thuê ngoài dịch vụ cho bên thứ ba, họ sẽ xác định liệu bên thứ ba có xử lý dữ liệu cá nhân thay mặt họ hay không và liệu việc thuê ngoài có bao gồm bất kỳ việc chuyển dữ liệu cá nhân nào sang quốc gia thứ ba hay không. Trong cả hai trường hợp, họ sẽ đảm bảo đưa vào thỏa thuận thuê ngoài các quy định đầy đủ cho việc xử lý đó và việc chuyển dữ liệu sang quốc gia thứ ba.

Xử lý khiếu nại

Người dùng dữ liệu có khiếu nại về việc xử lý dữ liệu cá nhân của họ nên được chuyển đến hộp thư Bảo vệ Dữ liệu gdpr@malvernplc.com

Báo cáo vi phạm

Bất kỳ cá nhân nào nghi ngờ rằng một vụ vi phạm dữ liệu cá nhân đã xảy ra do hành vi trộm hoặc làm lộ dữ liệu cá nhân phải thông báo ngay lập tức cho Cán bộ Bảo vệ Dữ liệu, cung cấp mô tả về những gì đã xảy ra. Thông báo về sự cố có thể được thực hiện qua email tại gdpr@malvernplc.com

Nhân viên Bảo vệ Dữ liệu sẽ điều tra tất cả các sự cố được báo cáo để xác nhận liệu có xảy ra vi phạm dữ liệu cá nhân hay không. Nếu xác nhận có vi phạm dữ liệu cá nhân, Nhân viên Bảo vệ Dữ liệu sẽ tuân theo quy trình được ủy quyền có liên quan dựa trên mức độ nghiêm trọng và số lượng dữ liệu cá nhân bị ảnh hưởng. Đối với các vi phạm dữ liệu cá nhân nghiêm trọng, Malvern International sẽ thành lập và chủ trì một đội ứng phó khẩn cấp để phối hợp và quản lý phản ứng đối với vi phạm dữ liệu cá nhân.