CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

admin 13/02/2026 Chính sách bảo vệ dữ liệu cá nhân 160 Views

1. MỤC ĐÍCH CỦA CHÍNH SÁCH

Công ty Cổ phần Dược phẩm Thiết bị Y tế Hà Nội cam kết tuân thủ đầy đủ các quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân; coi việc bảo vệ thông tin cá nhân của khách hàng, đối tác, người lao động và các cá nhân khác có phát sinh quan hệ pháp lý với Công ty là ưu tiên quan trọng, đồng thời bảo đảm tính minh bạch trong toàn bộ quá trình thu thập, lưu trữ, xử lý, sử dụng và chia sẻ dữ liệu cá nhân.

Trên cơ sở đó, Chính sách Bảo vệ Dữ liệu Cá nhân này được xây dựng và ban hành nhằm mục đích:

  • Minh bạch hóa thông tin: Cung cấp thông tin rõ ràng giúp Chủ thể dữ liệu hiểu được phạm vi, mục đích và cách thức Công ty Cổ phần Dược phẩm Thiết bị Y tế Hà Nội xử lý dữ liệu trong quá trình hoạt động.
  • Làm rõ quyền và lợi ích hợp pháp: Cung cấp thông tin đầy đủ để Chủ thể dữ liệu hiểu rõ các quyền của mình đối với dữ liệu cá nhân, làm cơ sở để Chủ thể dữ liệu có thể chủ động thực hiện các quyền này theo quy định của pháp luật.

2. PHẠM VI ÁP DỤNG

Chính sách này áp dụng đối với các hoạt động xử lý dữ liệu cá nhân do Công ty Cổ phần Dược phẩm Thiết bị Y tế Hà Nội thực hiện trên lãnh thổ Việt Nam, liên quan đến các Chủ thể dữ liệu sau đây:

  • Nhóm nội bộ: người lao động của Công ty (bao gồm cán bộ, Người lao động, cộng tác viên, thực tập sinh), ứng viên tuyển dụng, cổ đông là cá nhân và người phụ thuộc của người lao động theo thông tin được khai báo hợp pháp.
  • Nhóm kinh doanh: khách hàng, đối tác và bất kỳ cá nhân nào có phát sinh quan hệ pháp lý, giao dịch hoặc tương tác với Công ty.

3. TÀI LIỆU THAM KHẢO

  • Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 ngày 26 tháng 6 năm 2025 của Quốc hội và các văn bản hướng dẫn thi hành có hiệu lực tại thời điểm áp dụng.

4. KHÁI NIỆM, THUẬT NGỮ VÀ CHỮ VIẾT TẮT

4.1 “Công ty” hoặc “HAPHARCO” là Công ty cổ phần Dược phẩm thiết bị y tế Hà Nội, bao gồm trụ sở, chi nhánh, địa điểm kinh doanh, văn phòng đại diện của Công ty theo quy định pháp luật.

4.2 “Chính sách BVDLCN” là Chính sách bảo vệ dữ liệu cá nhân.

4.3 “Dữ liệu cá nhân” là dữ liệu dưới dạng chữ số, chữ viết, ký hiệu, hình ảnh, âm thanh hoặc thông tin dưới dạng khác của Chủ thể dữ liệu , bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

4.4 “Xử lý dữ liệu cá nhân” là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.

4.5 “Chủ thể dữ liệu” là cá nhân được dữ liệu cá nhân phản ánh, bao gồm:

  1. “Người lao động” cá nhân ký kết hợp đồng lao động, hợp đồng thử việc, hợp đồng cộng tác viên hoặc các thỏa thuận lao động khác với Công ty; cổ đông là cá nhân; người phụ thuộc của người lao động theo thông tin được khai báo hợp pháp.
  2. “Khách hàng” là các tổ chức, cá nhân hoặc người đại diện hợp pháp của tổ chức/ cá nhân tiếp cận, tìm hiểu, sử dụng sản phẩm, dịch vụ hoặc có quan hệ, giao dịch với HAPHARCO.
  3. “Đối tác” là các tổ chức, cá nhân cung cấp sản phẩm, dịch vụ hoặc có quan hệ hợp tác, giao dịch, quan hệ pháp lý với HAPHARCO.
  4. Người khác được dữ liệu cá nhân phản ánh.

4.6 “Bên thứ ba” là tổ chức, cá nhân không thuộc HAPHARCO và không phải là Chủ thể dữ liệu, nhưng có liên quan đến việc xử lý dữ liệu cá nhân theo quy định pháp luật.

5. NỘI DUNG

5.1 Loại dữ liệu cá nhân mà HAPHARCO thu thập và xử lý

5.1.1. “Dữ liệu cá nhân cơ bản” là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, bao gồm:

  1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
  2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
  3. Giới tính;
  4. Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
  5. Quốc tịch;
  6. Hình ảnh của cá nhân;
  7. Số điện thoại, số chứng minh nhân dân, số căn cước công dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
  8. Tình trạng hôn nhân;
  9. Thông tin về mối quan hệ gia đình (cha mẹ, con cái, vợ, chồng…);
  10. Thông tin về tài khoản số của cá nhân;
  11. Các dữ liệu cá nhân cơ bản khác của Chủ thể dữ liệu theo quy định pháp luật hiện hành mà HAPHARCO đánh giá là cần thiết hoặc phải thu thập theo quy định của pháp luật hoặc yêu cầu của cơ quan nhà nước có thẩm quyền.

5.1.2. “Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, bao gồm:

  1. Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
  2. Quan điểm về chính trị, tôn giáo, tín ngưỡng;
  3. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
  4. Tình trạng sức khỏe;
  5. Dữ liệu sinh trắc học, đặc điểm di truyền;
  6. Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
  7. Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
  8. Vị trí của cá nhân được xác định qua dịch vụ định vị;
  9. Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
  10. Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
  11. Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
  12. Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc theo đánh giá hợp lý của Công ty cần áp dụng các biện pháp bảo mật chặt chẽ trong quá trình xử lý.

5.2 Mục đích xử lý dữ liệu cá nhân

HAPHARCO (và các tổ chức, cá nhân được HAPHARCO cho phép xử lý dữ liệu cá nhân theo quy định của pháp luật) thực hiện việc thu thập, lưu trữ, xử lý, sử dụng và chia sẻ dữ liệu cá nhân của Chủ thể dữ liêu cho một hoặc nhiều mục đích hợp pháp sau đây (sau đây gọi chung là “Mục đích”), tùy thuộc vào tính chất quan hệ, giao dịch và phạm vi dịch vụ, bao gồm nhưng không giới hạn ở:

  • Định danh, xác thực và quản lý thông tin: Định danh, xác thực, kiểm tra tính chính xác, đầy đủ của thông tin do Chủ thể dữ liệu cung cấp; phát hiện, phòng ngừa và xử lý các hành vi giả mạo, gian lận, lừa đảo, tham nhũng, hối lộ và các hành vi vi phạm pháp luật khác.
  • Giao kết, thực hiện và quản lý giao dịch/hợp đồng: Giao kết, thực hiện, quản lý, thanh lý các hợp đồng, thỏa thuận, giao dịch, đơn đặt hàng; xác nhận và thực hiện các giao dịch tài chính, thanh toán; thực hiện vận chuyển, giao nhận sản phẩm, cung ứng dịch vụ theo thỏa thuận.
  • Cung cấp sản phẩm, dịch vụ và hỗ trợ sử dụng: Cung cấp sản phẩm, dịch vụ của HAPHARCO; hỗ trợ Khách hàng/Đối tác sử dụng sản phẩm, dịch vụ của HAPHARCO và/hoặc của đối tác hợp tác với HAPHARCO theo yêu cầu hợp pháp của Chủ thể dữ liệu.
  • Chăm sóc, hỗ trợ và duy trì quan hệ: Liên hệ, chăm sóc khách hàng; tiếp nhận, phản hồi, giải quyết các yêu cầu, thắc mắc, góp ý, khiếu nại; triển khai các chương trình chăm sóc khách hàng, hậu mãi sau bán hàng.
  • Quản trị nội bộ và phát triển nguồn nhân lực: Phục vụ công tác quản trị, điều hành; quản lý nhân sự, tuyển dụng, đào tạo; xây dựng và thực hiện các chính sách, chế độ, phúc lợi đối với Người lao động theo quy định pháp luật.
  • Hoạt động kinh doanh, đầu tư và phát triển dịch vụ: Phục vụ hoạt động đầu tư, kinh doanh hợp pháp của HAPHARCO; nghiên cứu thị trường, phân tích xu hướng, thống kê, khảo sát; phát triển, cải tiến, nâng cao chất lượng sản phẩm, dịch vụ, tiện ích và trải nghiệm của Khách hàng/Đối tác.
  • Tiếp thị, giới thiệu sản phẩm, xúc tiến thương mại: Tư vấn, giới thiệu, quảng bá sản phẩm, dịch vụ, chương trình khuyến mại của HAPHARCO và/hoặc đối tác hợp tác với HAPHARCO.
  • Kiểm toán, quản trị rủi ro và tuân thủ: Thực hiện các hoạt động kiểm toán, quản trị rủi ro, kiểm soát tuân thủ; cung cấp thông tin cho các đơn vị tư vấn, kiểm toán, luật sư của HAPHARCO theo quy định pháp luật và thỏa thuận liên quan.
  • Bảo đảm an toàn, an ninh và phòng chống vi phạm: Thực hiện các biện pháp nhằm bảo đảm an toàn, an ninh thông tin; phát hiện, cảnh báo, ngăn chặn các hành vi xâm phạm, gây hại, truy cập trái phép hoặc sử dụng trái phép dữ liệu cá nhân.
  • Thực hiện nghĩa vụ pháp lý và bảo vệ quyền, lợi ích hợp pháp: Thực hiện các nghĩa vụ báo cáo, tài chính, kế toán, thuế; đáp ứng yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền; bảo vệ quyền và lợi ích hợp pháp của HAPHARCO, bao gồm việc giải quyết tranh chấp, khiếu nại, khiếu kiện.
  • Cung cấp cho bên cung cấp dịch vụ: Cung cấp dữ liệu cá nhân cho các bên cung cấp dịch vụ, đối tác của HAPHARCO nhằm thực hiện dịch vụ cho Chủ thể dữ liệu và/hoặc cho HAPHARCO, trên cơ sở có thỏa thuận và áp dụng các biện pháp bảo vệ dữ liệu phù hợp.
  • Xử lý dữ liệu cá nhân nhạy cảm vì lý do pháp lý, y tế và an toàn: Xử lý dữ liệu cá nhân nhạy cảm, bao gồm: (i) dữ liệu liên quan đến sức khỏe, sinh trắc học, tôn giáo,… của Người lao động để phục vụ công tác quản lý nhân sự, thực hiện chế độ bảo hiểm, khám sức khỏe định kỳ và bảo đảm an ninh, an toàn tại nơi làm việc, thực hiện chế độ đánh giá, báo cáo theo quy định của pháp luật; và (ii) dữ liệu liên quan đến sức khỏe và thông tin phục vụ hoạt động cảnh giác dược của khách hàng nhằm theo dõi sự cố y khoa, bảo vệ sức khỏe cộng đồng và thực hiện các nghĩa vụ pháp lý trong lĩnh vực dược và y tế.
  • Các mục đích khác theo quy định pháp luật: Các mục đích khác được Chủ thể dữ liệu đồng ý hoặc được pháp luật cho phép mà không cần sự đồng ý của Chủ thể dữ liệu.

Dữ liệu cá nhân nhạy cảm chỉ được HAPHARCO xử lý trong phạm vi cần thiết, phục vụ đúng mục đích đã được xác định và trên cơ sở áp dụng các biện pháp bảo mật, kiểm soát truy cập và hạn chế sử dụng nghiêm ngặt theo quy định pháp luật. HAPHARCO sẽ thông báo tới Chủ thể dữ liệu khi dữ liệu cá nhân nhạy cảm cần được xử lý và cần có sự chấp thuận của Chủ thể dữ liệu theo quy định pháp luật.

5.3 Nguyên tắc và phạm vi xử lý dữ liệu cá nhân

Tùy thuộc vào vai trò của HAPHARCO trong từng trường hợp cụ thể với tư cách là (i) Bên Kiểm soát dữ liệu cá nhân; (ii) Bên Xử lý dữ liệu cá nhân; hoặc (iii) Bên Kiểm soát và xử lý dữ liệu cá nhân, HAPHARCO thực hiện các quyền, nghĩa vụ và trách nhiệm tương ứng theo quy định pháp luật.

Việc xử lý dữ liệu cá nhân, đặc biệt là dữ liệu cá nhân nhạy cảm, được thực hiện trên cơ sở mục đích cụ thể, phạm vi cần thiết, bảo đảm an toàn, bảo mật và tuân thủ nguyên tắc tối thiểu hóa dữ liệu.

5.3.1. Thu thập Dữ liệu cá nhân

HAPHARCO (và các bên xử lý dữ liệu cá nhân do HAPHARCO sử dụng – nếu có) có thể thu thập trực tiếp hoặc gián tiếp Dữ liệu cá nhân của Chủ thể dữ liệu trong phạm vi cần thiết, phù hợp với mục đích xử lý, vai trò của HAPHARCO và trên cơ sở phù hợp với quy định của pháp luật tương ứng, thông qua các cách thức sau đây, bao gồm nhưng không giới hạn:

a. Thu thập trực tiếp từ Chủ thể dữ liệu

  • Khi Chủ thể dữ liệu cung cấp thông tin trong quá trình tuyển dụng, giao kết và thực hiện hợp đồng lao động, hợp đồng cung cấp hàng hóa, dịch vụ, hợp đồng hợp tác, hoặc các giao dịch, quan hệ pháp lý khác với HAPHARCO;
  • Khi Chủ thể dữ liệu đăng ký, truy cập, sử dụng, tương tác hoặc giao dịch thông qua các kênh giao tiếp, hệ thống, nền tảng, website, ứng dụng, phần mềm do HAPHARCO quản lý, vận hành;
  • Khi Chủ thể dữ liệu thực hiện các giao dịch thanh toán, cung cấp thông tin để được hỗ trợ thanh toán, xuất hóa đơn hoặc thực hiện các nghĩa vụ tài chính phát sinh;
  • Khi Chủ thể dữ liệu ký kết thỏa thuận, cung cấp hồ sơ, tài liệu, phản hồi, ý kiến, câu hỏi, khiếu nại hoặc các thông tin khác trong quá trình tương tác với HAPHARCO;
  • Thông qua các hoạt động trao đổi, liên lạc như gặp trực tiếp, thư tín, điện thoại (có thể được ghi âm theo quy định pháp luật), thư điện tử, liên lạc điện tử, họp trực tuyến hoặc các phương tiện hợp pháp khác, bao gồm các cuộc khảo sát, hội thảo, sự kiện, chương trình do HAPHARCO tổ chức hoặc tham gia;
  • Thông qua hệ thống ghi âm, ghi hình, camera giám sát an ninh được lắp đặt tại trụ sở, chi nhánh, địa điểm kinh doanh, sản xuất, kho bãi hoặc khu vực làm việc của HAPHARCO, với điều kiện có thông báo, cảnh báo phù hợp theo quy định pháp luật;
  • Trong một số trường hợp cần thiết phục vụ hoạt động cung cấp dịch vụ, vận chuyển, giao nhận hoặc hỗ trợ tại địa điểm, HAPHARCO có thể thu thập dữ liệu về vị trí của Khách hàng thông qua các phương thức kỹ thuật phù hợp, trên cơ sở sự đồng ý hợp pháp của Chủ thể dữ liệu hoặc căn cứ pháp lý khác theo quy định pháp luật.

b. Thu thập từ bên thứ ba

  • Từ các đối tác, nhà cung cấp, đơn vị cung ứng dịch vụ, tổ chức tài chính, bảo hiểm, đơn vị logistics, công nghệ thông tin, hoặc các bên có liên quan đến hoạt động kinh doanh của HAPHARCO và/hoặc có quan hệ với Chủ thể dữ liệu;
  • Từ người đại diện hợp pháp, người được ủy quyền của Chủ thể dữ liệu trong phạm vi ủy quyền hợp pháp;
  • Từ các cơ quan nhà nước có thẩm quyền, cơ quan quản lý, cơ quan thực thi pháp luật theo quy định pháp luật;
  • Từ các nguồn thông tin được công khai hợp pháp theo quy định pháp luật, không bao gồm dữ liệu cá nhân nhạy cảm, như các thông tin được công bố hợp pháp trên phương tiện thông tin đại chúng, website tuyển dụng hoặc các nền tảng công khai khác;

Với các trường hợp thu thập dữ liệu cá nhân thông qua bên thứ ba, HAPHARCO yêu cầu bên thứ ba đó cam kết đã thực hiện đầy đủ nghĩa vụ thông báo và có được sự đồng ý hợp pháp của Chủ thể dữ liệu đối với việc chia sẻ và xử lý dữ liệu cá nhân theo quy định pháp luật về bảo vệ dữ liệu cá nhân.

c. Thu thập dữ liệu cá nhân nhạy cảm

  • Việc thu thập dữ liệu cá nhân nhạy cảm (bao gồm nhưng không giới hạn dữ liệu liên quan đến sức khỏe, sinh trắc học, tôn giáo… của Người lao động; dữ liệu liên quan đến sức khỏe, tình trạng bệnh lý, thông tin cảnh giác dược của khách hàng) chỉ được thực hiện khi thực sự cần thiết, có mục đích cụ thể, có căn cứ pháp lý phù hợp và được thu thập trực tiếp từ Chủ thể dữ liệu hoặc từ các nguồn hợp pháp theo quy định pháp luật.
  • HAPHARCO không thu thập dữ liệu cá nhân nhạy cảm từ các nguồn công khai, mạng xã hội hoặc các nguồn không được pháp luật cho phép.

5.3.2. Chia sẻ Dữ liệu cá nhân

a. Nguyên tắc hạn chế và bảo mật khi chia sẻ

  • Ngoài các trường hợp nêu trên, HAPHARCO không chia sẻ hoặc tiết lộ dữ liệu cá nhân của Chủ thể dữ liệu cho bất kỳ bên nào khi chưa có sự đồng ý hợp pháp của Chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
  • Đối với dữ liệu cá nhân nhạy cảm (bao gồm nhưng không giới hạn dữ liệu sinh trắc học của Người lao động, dữ liệu sức khỏe, dữ liệu cảnh giác dược của bệnh nhân), việc chia sẻ chỉ được thực hiện khi có căn cứ pháp lý phù hợp, mục đích cụ thể, phạm vi cần thiết và áp dụng các biện pháp bảo mật tăng cường theo quy định của pháp luật.
  • HAPHARCO yêu cầu các tổ chức, cá nhân nhận dữ liệu cá nhân tuân thủ Chính sách này, các hướng dẫn của HAPHARCO và thực hiện các biện pháp bảo mật dữ liệu phù hợp theo quy định pháp luật.

b. Tổ chức, cá nhân được chia sẻ dữ liệu cá nhân

Để thực hiện các mục đích xử lý dữ liệu cá nhân được quy định tại Chính sách này, trong phạm vi cần thiết, phù hợp với vai trò của HAPHARCO và căn cứ pháp lý tương ứng, dữ liệu cá nhân của Chủ thể dữ liệu có thể được chia sẻ cho các tổ chức, cá nhân sau đây phù hợp với quy định tại Chính sách này và quy định của pháp luật:

(i) HAPHARCO và hệ thống nội bộ liên quan

  • HAPHARCO, bao gồm các Người lao động, bộ phận, đơn vị chức năng được phân công, ủy quyền hợp pháp thực hiện việc xử lý dữ liệu cá nhân;
  • Các chi nhánh, văn phòng đại diện, địa điểm kinh doanh, công ty con, công ty liên kết và các bên có liên quan khác của HAPHARCO, trong phạm vi cần thiết để phục vụ hoạt động quản lý, điều hành và kinh doanh hợp pháp.

(ii) Đối tác, nhà cung cấp, bên xử lý dữ liệu và các tổ chức liên quan đến giao dịch, thanh toán

  • Các đối tác, đại lý, nhà cung cấp, nhà thầu, bên tư vấn, bên xử lý dữ liệu cá nhân theo hợp đồng/thỏa thuận với HAPHARCO, trong trường hợp việc chia sẻ dữ liệu là cần thiết để HAPHARCO thực hiện các nghĩa vụ đối với Chủ thể dữ liệu;
  • Các tổ chức, cá nhân cung cấp dịch vụ cho HAPHARCO, bao gồm nhưng không giới hạn: dịch vụ công nghệ thông tin, phần mềm, lưu trữ dữ liệu, kế toán, kiểm toán, định giá, thẩm định, pháp lý, đào tạo, marketing, khảo sát thị trường, vận chuyển, hậu cần, viễn thông và các dịch vụ hỗ trợ khác;
  • Các ngân hàng, tổ chức tín dụng, tổ chức tài chính, đơn vị cung cấp dịch vụ thanh toán và các dịch vụ liên quan đến giao dịch tài chính, trong phạm vi cần thiết để thực hiện các giao dịch, thanh toán hoặc nghĩa vụ tài chính hợp pháp.

(iii) Các bên liên quan đến giao dịch doanh nghiệp

  • Các bên giao dịch hoặc dự kiến giao dịch mua bán, chuyển nhượng, chuyển giao hoạt động kinh doanh, tài sản, vốn góp, cổ phần; các giao dịch hợp nhất, sáp nhập, chia, tách, tái cấu trúc doanh nghiệp của HAPHARCO, theo quy định pháp luật.

(iv) Các bên theo yêu cầu, ủy quyền hoặc đồng ý của Chủ thể dữ liệu

  • Các cá nhân, tổ chức được Chủ thể dữ liệu đồng ý, ủy quyền hợp pháp hoặc có căn cứ pháp lý để HAPHARCO chia sẻ dữ liệu cá nhân;
  • Các bên đại diện, người được ủy quyền, người thụ hưởng hoặc các bên liên quan khác theo thỏa thuận hợp pháp giữa Chủ thể dữ liệu và HAPHARCO.

(v) Cơ quan nhà nước và các trường hợp theo pháp luật

  • Các cơ quan nhà nước có thẩm quyền hoặc các tổ chức, cá nhân khác mà HAPHARCO được phép hoặc bắt buộc phải cung cấp dữ liệu cá nhân theo quy định pháp luật, theo yêu cầu của cơ quan có thẩm quyền hoặc theo các nghĩa vụ pháp lý, hợp đồng, cam kết hợp pháp.

5.3.3. Chuyển Dữ liệu cá nhân ra nước ngoài

Nhằm thực hiện các Mục đích xử lý theo quy định tại Chính sách này, HAPHARCO có thể chuyển Dữ liệu cá nhân của Chủ thể dữ liệu ra nước ngoài. Hoạt động này bao gồm việc chia sẻ dữ liệu với các bên thứ ba (đối tác, nhà cung cấp dịch vụ, công ty thành viên…) có trụ sở tại nước ngoài, hoặc lưu trữ dữ liệu trên các hệ thống, nền tảng công nghệ đặt bên ngoài lãnh thổ Việt Nam. Khi thực hiện việc chuyển Dữ liệu cá nhân ra nước ngoài, HAPHARCO cam kết tuân thủ đầy đủ các nghĩa vụ pháp lý và trình tự, thủ tục theo quy định hiện hành. Đồng thời, HAPHARCO sẽ yêu cầu Bên tiếp nhận dữ liệu tuân thủ các tiêu chuẩn bảo mật và áp dụng các biện pháp an toàn thông tin phù hợp, nhằm đảm bảo quyền lợi của Chủ thể dữ liệu không bị xâm phạm.

5.3.4. Hoạt động xử lý khác

Các hoạt động xử lý khác đối với Dữ liệu cá nhân phục vụ mục đích tại Quy định BVDLCN này và phù hợp với quy định pháp luật.

5.4 Quản lý hoạt động xử lý và bảo vệ dữ liệu

5.4.1. Cách thức xử lý và thời điểm bắt đầu xử lý Dữ liệu cá nhân

Tùy thuộc vào từng hoạt động cụ thể và vai trò của HAPHARCO trong từng trường hợp, HAPHARCO áp dụng các phương thức xử lý Dữ liệu cá nhân phù hợp với mục đích xử lý, bao gồm nhưng không giới hạn ở phương thức tự động, thủ công hoặc các phương thức khác phù hợp với quy định của pháp luật và nguồn lực, hệ thống quản trị nội bộ của Công ty. HAPHARCO bắt đầu xử lý Dữ liệu cá nhân kể từ thời điểm nhận được dữ liệu một cách hợp pháp và có căn cứ pháp lý phù hợp để xử lý theo quy định.

5.4.2. Thời hạn lưu trữ và tiêu hủy dữ liệu

a. Nơi lưu trữ: HAPHARCO lưu trữ Dữ liệu cá nhân của Chủ thể dữ liệu trên hệ thống hồ sơ giấy, hệ thống công nghệ thông tin (bao gồm nhưng không giới hạn ở: các phần mềm quản lý nhân sự, phục vụ kinh doanh, phục vụ hoạt động cảnh giác dược…) và các hệ thống hợp pháp khác của Công ty, trong khoảng thời gian cần thiết để phục vụ các Mục đích xử lý hoặc theo yêu cầu của pháp luật.

b. Thời hạn xử lý và lưu trữ: Việc xử lý Dữ liệu cá nhân được thực hiện trong khoảng thời gian cần thiết để đạt được các Mục đích xử lý được quy định tại Chính sách này và sẽ chấm dứt khi xảy ra một trong các trường hợp sau (tùy thời điểm nào đến sau):

  • Theo yêu cầu hợp pháp bằng văn bản của Chủ thể dữ liệu;
  • Khi đã hoàn thành Mục đích xử lý;
  • Theo thỏa thuận, hợp đồng giữa HAPHARCO và Chủ thể dữ liệu;
  • Theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc theo quy định pháp luật.

Ngoại lệ: Trong mọi trường hợp (kể cả khi chủ thể dữ liệu yêu cầu xóa), HAPHARCO bảo lưu quyền tiếp tục lưu trữ Dữ liệu cá nhân trong phạm vi cần thiết để thực hiện các nghĩa vụ theo quy định pháp luật và theo yêu cầu của cơ quan nhà nước có thẩm quyền.

c. Tiêu hủy: Sau khi kết thúc thời hạn lưu trữ nêu trên, HAPHARCO sẽ thực hiện xóa hoặc hủy dữ liệu theo phương thức phù hợp, bảo đảm dữ liệu không thể bị khôi phục trái phép.

5.4.3. Cơ chế tiếp nhận và phản hồi yêu cầu

HAPHARCO luôn tôn trọng và nỗ lực thực hiện các quyền hợp pháp của Chủ thể dữ liệu một cách nhanh chóng và hiệu quả nhất:

  • Tiếp nhận: Mọi yêu cầu của Chủ thể dữ liệu sẽ được HAPHARCO ghi nhận và gửi thông báo xác nhận đã tiếp nhận trong thời gian sớm nhất có thể.
  • Xử lý: HAPHARCO sẽ nỗ lực xem xét và thực hiện yêu cầu (như chỉnh sửa, xóa, rút lại sự đồng ý…) trong thời hạn hợp lý, phù hợp với quy định của pháp luật hiện hành và khả năng đáp ứng kỹ thuật của hệ thống.
  • Phản hồi: Trong trường hợp cần thêm thời gian để xác minh hoặc xử lý các yêu cầu phức tạp, HAPHARCO sẽ thông báo lý do và thời gian dự kiến hoàn thành tới Chủ thể dữ liệu.

5.4.4. An toàn dữ liệu và Giới hạn trách nhiệm

HAPHARCO áp dụng các biện pháp quản lý, kỹ thuật và công nghệ phù hợp nhằm bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu khỏi việc truy cập, thu thập, sử dụng, tiết lộ hoặc chia sẻ trái phép. Các biện pháp này sẽ được thường xuyên rà soát, đánh giá và cập nhật nhằm hạn chế rủi ro và nâng cao mức độ an toàn trong quá trình xử lý Dữ liệu cá nhân theo quy định của pháp luật.

Do đặc thù của môi trường công nghệ thông tin, bản chất mở của hệ thống mạng và các yếu tố ngoài khả năng kiểm soát hợp lý, không có hệ thống nào đảm bảo an toàn tuyệt đối. HAPHARCO cam kết nỗ lực tối đa trong phạm vi khả năng và nguồn lực hợp lý để bảo vệ Dữ liệu cá nhân, tuy nhiên Chủ thể dữ liệu hiểu và chấp nhận rằng vẫn tồn tại các rủi ro tiềm ẩn, bao gồm nhưng không giới hạn:

  • Lỗi kỹ thuật, sự cố phần cứng, phần mềm, hệ thống hoặc đường truyền trong quá trình xử lý dữ liệu;
  • Các lỗ hổng bảo mật nằm ngoài khả năng kiểm soát hợp lý của HAPHARCO, bao gồm các hành vi tấn công mạng, xâm nhập trái phép của tin tặc hoặc phần mềm độc hại;
  • Việc Chủ thể dữ liệu tự làm lộ, mất hoặc bị chiếm đoạt Dữ liệu cá nhân do bất cẩn, vi phạm khuyến nghị bảo mật, hoặc bị lừa đảo khi truy cập các trang web, ứng dụng, liên kết hoặc cài đặt phần mềm không an toàn.
  • Các rủi ro phát sinh từ hành vi của bên thứ ba hoặc các sự kiện bất khả kháng theo quy định pháp luật.

Chủ thể dữ liệu đồng ý rằng HAPHARCO sẽ không chịu trách nhiệm đối với các thiệt hại phát sinh do lỗi của Chủ thể dữ liệu, bên thứ ba hoặc sự kiện bất khả kháng. Trong trường hợp phát sinh sự cố vi phạm quy định về bảo vệ Dữ liệu cá nhân, HAPHARCO sẽ kịp thời triển khai các biện pháp cần thiết trong phạm vi hợp lý nhằm hạn chế thiệt hại, khắc phục hậu quả và thông báo cho cơ quan nhà nước có thẩm quyền theo quy định pháp luật.

5.5 Xử lý Dữ liệu cá nhân không cần sự đồng ý của Chủ thể dữ liệu

HAPHARCO có thể xử lý Dữ liệu cá nhân của Chủ thể dữ liệu mà không cần sự đồng ý trong các trường hợp pháp luật cho phép, bao gồm:

  • Bảo vệ quyền, lợi ích hợp pháp của Chủ thể dữ liệu, HAPHARCO, người khác hoặc Nhà nước trong trường hợp cấp bách, bao gồm bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm và các lợi ích hợp pháp khác.
  • Giải quyết tình huống khẩn cấp hoặc nguy cơ đe dọa an ninh quốc gia, trật tự xã hội; phòng, chống bạo loạn, khủng báo, tội phạm và vi phạm pháp luật.
  • Phục vụ hoạt động quản lý nhà nước hoặc hoạt động của cơ quan nhà nước theo quy định pháp luật.
  • Thực hiện thỏa thuận của Chủ thể dữ liệu với HAPHARCO hoặc bên thứ ba liên quan, theo quy định pháp luật.
  • Các trường hợp khác được quy định bởi pháp luật

5.6 Quyền và nghĩa vụ của Chủ thể dữ liệu

5.6.1. Trừ trường hợp pháp luật có quy định khác, Chủ thể dữ liệu có các quyền sau đây:

  1. Quyền được biết: Được biết về cách HAPHARCO xử lý Dữ liệu cá nhân của mình;
  2. Quyền đồng ý: Đồng ý hoặc không đồng ý cho phép HAPHARCO xử lý Dữ liệu cá nhân của mình, trừ trường hợp pháp luật quy định xử lý không cần sự đồng ý;
  3. Quyền rút lại sự đồng ý: Rút lại sự đồng ý bất cứ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của các hành vi xử lý dữ liệu trước đó;
  4. Quyền truy cập và chỉnh sửa dữ liệu: Xem, chỉnh sửa, hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân;
  5. Quyền xóa dữ liệu: Yêu cầu HAPHARCO xóa dữ liệu cá nhân của mình, trừ trường hợp pháp luật hoặc nghĩa vụ hợp đồng yêu cầu lưu trữ;
  6. Quyền hạn chế xử lý dữ liệu: Yêu cầu HAPHARCO hạn chế việc xử lý dữ liệu cá nhân;
  7. Quyền cung cấp dữ liệu: Yêu cầu HAPHARCO cung cấp Dữ liệu cá nhân mà HAPHARCO đang lưu trữ và xử lý;
  8. Quyền phản đối xử lý dữ liệu: Phản đối HAPHARCO xử lý Dữ liệu cá nhân nhằm ngăn chặn hoặc hạn chế mục đích không phù hợp với Chính sách này;
  9. Quyền khiếu nại, tố cáo hoặc khởi kiện: Theo quy định của pháp luật;
  10. Quyền tự bảo vệ: Tự bảo vệ theo Bộ luật Dân sự hoặc pháp luật khác có liên quan;
  11. Các quyền khác: Theo quy định của pháp luật hiện hành

5.6.2. Chủ thể dữ liệu có nghĩa vụ sau:

  1. Tự bảo vệ Dữ liệu cá nhân của mình và thông báo ngay cho HAPHARCO nếu phát hiện các hành vi lạm dụng, sử dụng trái phép; đồng thời yêu cầu các tổ chức, cá nhân liên quan bảo vệ Dữ liệu cá nhân của mình.
  2. Tôn trọng và bảo vệ Dữ liệu cá nhân của người khác. Nếu cung cấp Dữ liệu cá nhân của bên thứ ba cho HAPHARCO, Chủ thể dữ liệu cam đoan rằng đã có sự đồng ý hợp pháp của chủ thể dữ liệu bên thứ ba để HAPHARCO xử lý dữ liệu theo mục đích và các điều khoản quy định.
  3. Cung cấp đầy đủ, chính xác Dữ liệu cá nhân khi thiết lập quan hệ, giao kết hợp đồng và trong suốt quá trình sử dụng sản phẩm, dịch vụ, giao dịch với HAPHARCO.
  4. Cập nhật thông tin cá nhân kịp thời để đảm bảo tính đầy đủ và chính xác theo yêu cầu của HAPHARCO; chịu trách nhiệm về việc chậm trễ thông báo, đồng thời việc chậm trễ không làm HAPHARCO chịu trách nhiệm đối với thiệt hại, rủi ro phát sinh.
  5. Tự chịu trách nhiệm đối với dữ liệu cá nhân và thông tin do mình tạo lập, cung cấp trên môi trường mạng; bao gồm các rủi ro, thiệt hại phát sinh từ việc rò rỉ, xâm phạm dữ liệu do lỗi của bản thân.
  6. Thực hiện các quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
  7. Thường xuyên cập nhật các Quy định, Chính sách của HAPHARCO tại từng thời kỳ; thực hiện các hướng dẫn do HAPHARCO thông báo để thể hiện rõ việc chấp thuận hoặc không chấp thuận đối với các mục đích xử lý dữ liệu cá nhân.
  8. Các nghĩa vụ khác theo quy định của pháp luật hiện hành, bao gồm việc hợp tác với HAPHARCO hoặc cơ quan có thẩm quyền trong các vấn đề liên quan đến bảo vệ dữ liệu cá nhân.

5.7 Cập nhật, sửa đổi, bổ sung Chính sách

  • Trừ trường hợp pháp luật có quy định khác, HAPHARCO có quyền sửa đổi, bổ sung Chính sách Bảo vệ Dữ liệu Cá nhân vào bất kỳ thời điểm nào và công bố công khai trên trang thông tin điện tử và/hoặc các phương tiện khác mà HAPHARCO đánh giá là phù hợp.
  • Trừ trường hợp pháp luật quy định khác về thời gian có hiệu lực, các sửa đổi, bổ sung sẽ có hiệu lực ngay khi được HAPHARCO công bố.
  • HAPHARCO sẽ nỗ lực thông báo kịp thời các sửa đổi, bổ sung tới Chủ thể dữ liệu. Tuy nhiên, việc thông báo có thể không đến được tất cả các Chủ thể dữ liệu do các vấn đề kỹ thuật ngoài khả năng kiểm soát. Do đó, HAPHARCO khuyến nghị Chủ thể dữ liệu thường xuyên truy cập các kênh thông tin chính thức của HAPHARCO để cập nhật các thông tin mới nhất.

5.8 Thông tin liên hệ

Trong trường hợp Chủ thể dữ liệu có bất kỳ thắc mắc, yêu cầu thực hiện quyền hoặc phản ánh liên quan đến Chính sách này, vui lòng liên hệ HAPHARCO qua một trong các cách sau:

  • Địa chỉ: Số 2 Phố Hàng Bài, Phường Cửa Nam, TP.Hà Nội.
  • Email: contact@hapharco.com.vn / tobaovedulieucanhan@hapharco.com.vn
  • Hotline/Điện thoại: 1900636793 – 302

5.9 Điều khoản chung

  • Chính sách này sẽ được áp dụng đồng thời với các hợp đồng, thỏa thuận hoặc văn bản khác giữa Chủ thể dữ liệu và HAPHARCO, trừ trường hợp pháp luật có quy định khác.
  • HAPHARCO tôn trọng quyền kiểm soát dữ liệu cá nhân của Chủ thể dữ liệu. Bằng việc thiết lập, duy trì quan hệ hợp tác, lao động hoặc sử dụng dịch vụ của HAPHARCO, Chủ thể dữ liệu xác nhận rằng đã được thông báo đầy đủ, hiểu rõ và đồng ý với toàn bộ nội dung của Chính sách này, bao gồm cả các bản cập nhật, sửa đổi được công bố công khai trên hệ thống của HAPHARCO.
  • Trong quá trình thực hiện, nếu phát sinh tranh chấp, các bên sẽ chủ động giải quyết thông qua thương lượng, hòa giải. Trường hợp hòa giải không thành, tranh chấp sẽ được đưa ra Tòa án có thẩm quyền giải quyết theo quy định pháp luật.
  • Chủ thể dữ liệu cam kết thực hiện nghiêm túc các quy định tại Chính sách này và phối hợp với HAPHARCO trong việc bảo vệ, cập nhật và xử lý Dữ liệu cá nhân theo quy định pháp luật.
  • Những nội dung liên quan đến xử lý dữ liệu cá nhân chưa được quy định tại Chính sách này sẽ được thực hiện theo các quy định pháp luật hiện hành.

Số Lần Đọc: (63)

HAPHARCO - Công Ty Cổ Phần Dược Phẩm Thiết Bị Y Tế Hà Nội
HAPHARCO™ - NHÀ NHẬP KHẨU VÀ PHÂN PHỐI DƯỢC PHẨM THIẾT BỊ Y TẾ CHUYÊN NGHIỆP | Thiết kế bởi NMD
© Copyright 2026, All Rights Reserved.