- Giám sát an toàn an ninh thông tin các hệ thống của Tổng công ty; phát hiện, xử lý các vi phạm và sự cố an toàn an ninh thông tin theo hướng dẫn.
- Tham gia xây dựng, triển khai các hệ thống giám sát an toàn an ninh thông tin; xây dựng, các giải pháp phòng ngừa mất an toàn an ninh thông tin.
- Tham giá đánh giá kiểm thử mã nguồn phần mềm, đánh giá kiểm thử an toàn an ninh thông tin các hệ thống của Tổng công ty trước khi đưa vào hoạt động và định kỳ theo kế hoạch.
- Tham gia diễn tập ứng cứu xử lý sự cố an toàn thông tin nội bộ TCT và Tập đoàn.
Đăng nhập
Fresher Kỹ sư an ninh thông tin
- Không yêu cầu kinh nghiệm
- Sinh viên năm cuối Đại học chính quy chuyên ngành CNTT.
- Sinh viên đã tốt nghiệp không quá 1 năm
- GPA tích lũy từ khá trở lên
- Nắm chắc kiến thức nền tảng về các công nghệ đã được học tại trường
- Tư duy logic rõ ràng.
- Có khả năng học hỏi nhanh, tinh thần cầu tiến.
Tổng Công ty Hạ tầng mạng (tên gọi tắt VNPT-Net) là đơn vị thành viên hạch toán phụ thuộc của Tập đoàn Bưu chính Viễn thông Việt Nam. Được thành lập theo Quyết định số 86/QĐ-VNPT-HĐTV-TCCB ngày 08 tháng 5 năm 2015của Hội đồng thành viên Tập đoàn Bưu chính Viễn thông Việt Nam trên cơ sở tổ chức lại Công ty Viễn thông Liên tỉnh (VTN), bộ phận quản lý và điều hành viễn thông của Tập đoàn, bộ phận hạ tầng của các đơn vị Công ty Dịch vụ Viễn thông (Vinaphone), Công ty Điện toán và Truyền số liệu (VDC), Công ty Viễn thông Quốc tế (VNPT-I), vệ tinh Vinasat 1, 2 và hạ tầng kỹ thuật của các Trung tâm Chuyển mạch Truyền dẫn thuộc 63 viễn thông tỉnh thành phố.
Ban đang ứng tuyển vị trí: Fresher Kỹ sư an ninh thông tin
(Họ và tên phải chính xác)
(Địa chỉ email để chúng tôi gửi thông tin liên hệ)
(Số điện thoại để chúng tôi liên hệ)
(Hỗ trợ định dạng *.doc, .*docx, *.pdf, *.xls, *.xlsx < 2 MB)
(Hỗ trợ định dạng *.doc, .*docx, *.pdf, *.xls, *.xlsx và < 5 MB)
XÁC NHẬN ĐỒNG Ý QUẢN LÝ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN
Tôi xác nhận đã được VNPT thông báo, giải thích về việc thu thập, xử lý dữ liệu cá nhân và đồng ý để VNPT thực hiện xử lý dữ liệu cá nhân của tôi phục vụ cho hoạt động tuyển dụng, quản lý nhân sự, quản lý lao động và hoạt động sản xuất kinh doanh theo quy định của pháp luật và quy định nội bộ của VNPT.
Chương I: Quy định chung
Điều 1. Phạm vi điều chỉnh
Quy định này xác định nguyên tắc, mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân; quyền, nghĩa vụ của chủ thể dữ liệu cá nhân, trách nhiệm của Tập đoàn và các đơn vị trực thuộc về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động tại Tập đoàn Bưu chính Viễn thông Việt Nam.
Điều 2. Đối tượng áp dụng
1. Người lao động giao kết hợp đồng thử việc, hợp đồng xác định thời hạn hoặc hợp đồng lao động không xác định thời hạn, làm việc tại:
a) Cơ quan Tập đoàn Bưu chính Viễn thông Việt Nam.
b) Các đơn vị hạch toán phụ thuộc Công ty mẹ - Tập đoàn Bưu chính Viễn thông Việt Nam.
2. Các cá nhân có phát sinh việc cung cấp dữ liệu cá nhân cho Tập đoàn phục vụ hoạt động tuyển dụng, quản lý nhân sự và sản xuất kinh doanh, bao gồm:
a) Người lao động thuê lại làm việc tại Tập đoàn và các đơn vị trực thuộc theo hợp đồng thuê lại lao động, trong phạm vi dữ liệu cá nhân do Tập đoàn thu thập và xử lý;
b) Chuyên gia, tư vấn, cá nhân làm việc theo hợp đồng dịch vụ;
c) Ứng viên tham gia tuyển dụng vào Tập đoàn;
d) Các cá nhân khác có phát sinh việc cung cấp dữ liệu cá nhân cho Tập đoàn theo yêu cầu phục vụ hoạt động quản lý nhân sự và sản xuất kinh doanh.
Điều 3. Giải thích từ ngữ và các từ viết tắt
1. Tập đoàn/VNPT: là Tập đoàn Bưu chính Viễn thông Việt Nam.
2. Đơn vị: là các đơn vị nêu tại Điều 2 Quy định này.
3. Dữ liệu cá nhân: là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.
4. Bảo vệ dữ liệu cá nhân: là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
5. Xử lý dữ liệu cá nhân: là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
6. Chủ thể dữ liệu cá nhân là các đối tượng tại khoản 1, khoản 2 Điều 2 Quy định này.
7. Bên kiểm soát dữ liệu cá nhân: là Tập đoàn Bưu chính Viễn thông Việt Nam (Tập đoàn/VNPT) - tổ chức quyết định mục đích và phương thức xử lý dữ liệu cá nhân.
8. Bên xử lý dữ liệu cá nhân: là tổ chức, cá nhân thực hiện xử lý dữ liệu cá nhân thay mặt VNPT theo hợp đồng hoặc thỏa thuận.
9. Bên kiểm soát và xử lý dữ liệu cá nhân: là tổ chức vừa quyết định mục đích, vừa trực tiếp xử lý dữ liệu.
10. Sự cố vi phạm dữ liệu cá nhân: là hành vi truy cập trái phép, mất mát, lộ, lọt, thay đổi, phá hủy dữ liệu cá nhân.
11. Hệ thống quản trị nguồn nhân lực: Là hệ thống lưu trữ dữ liệu cá nhân trong lĩnh vực lao động của Tập đoàn Bưu chính Viễn thông Việt Nam, gọi tắt là hệ thống VNPT-HRM.
12. Nghị định 356: Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
Điều 4. Nguyên tắc bảo vệ dữ liệu cá nhân trong lĩnh vực lao động
• Tuân thủ quy định của Hiến pháp, pháp luật và các quy định của Tập đoàn.
• Chủ thể dữ liệu cá nhân được biết và được thông báo rõ ràng về hoạt động xử lý dữ liệu cá nhân của mình và các quyền của mình đối với dữ liệu đó, trừ trường hợp pháp luật có quy định khác.
• Dữ liệu cá nhân chỉ được thu thập, xử lý đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
• Dữ liệu cá nhân phải được cập nhật kịp thời, chính xác; cho phép chủ thể dữ liệu cá nhân chỉnh sửa khi có sai sót, thay đổi, bổ sung.
• Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
• Dữ liệu cá nhân trong lĩnh vực lao động chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
• Hệ thống Quản trị nguồn nhân lực (VNPT - HRM) là hệ thống dữ liệu gốc đối với dữ liệu cá nhân trong lĩnh vực lao động; các hệ thống công nghệ thông tin khác khai thác, sử dụng dữ liệu từ VNPT - HRM phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân theo Quy định này và pháp luật có liên quan.
Điều 5. Mục đích xử lý dữ liệu cá nhân trong lĩnh vực lao động
Dữ liệu cá nhân được xử lý nhằm:
• Quản lý, phân tích và đánh giá chất lượng nguồn nhân lực, nâng cao chất lượng nguồn nhân lực của Tập đoàn.
• Bảo đảm an ninh, an toàn hệ thống thông tin và hoạt động sản xuất kinh doanh của Tập đoàn và các đơn vị.
• Phục vụ yêu cầu của các cơ quan chức năng có thẩm quyền.
• Các mục đích hợp pháp khác có liên quan trực tiếp đến quan hệ lao động, lĩnh vực lao động và sản xuất kinh doanh theo quy định của pháp luật.
Điều 6. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
• Được biết về hoạt động xử lý dữ liệu cá nhân.
• Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân.
• Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.
• Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân.
• Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật.
• Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
• Cung cấp đầy đủ, chính xác dữ liệu cá nhân theo yêu cầu hợp pháp của Tập đoàn.
• Tự bảo vệ dữ liệu cá nhân của mình.
• Tôn trọng, bảo vệ dữ liệu cá nhân mà mình được tiếp cận trong quá trình làm việc. Không thu thập, sử dụng, sao chép, chia sẻ dữ liệu cá nhân của người khác trái quy định; sử dụng các hệ thống thông tin, hệ thống VNPT - HRM đúng mục đích, thẩm quyền được giao.
• Kịp thời thông báo cho đơn vị khi phát hiện nguy cơ mất an toàn hoặc sự cố vi phạm dữ liệu cá nhân.
• Tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân và các quy định nội bộ của Tập đoàn.
Chương II: Loại dữ liệu và hoạt động xử lý dữ liệu cá nhân
Điều 7. Loại dữ liệu cá nhân trong lĩnh vực lao động được xử lý
Tập đoàn được xử lý các loại dữ liệu cá nhân trong lĩnh vực lao động sau:
Danh mục dữ liệu cá nhân cơ bản, thông tin định danh, thông tin liên hệ, thông tin nhân thân, thông tin về quan hệ lao động và các thông tin khác theo quy định của pháp luật, bao gồm:
• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng…) gồm có họ và tên, tuổi, nơi sinh, quê quán, thông tin cư trú, nghề nghiệp, chức vụ và nơi công tác…;
• Thông tin về tài khoản số của cá nhân;
• Thông tin về quan hệ lao động: hợp đồng lao động, chức danh, vị trí việc làm, quá trình công tác, tiền lương, phụ cấp, khen thưởng;
• Thông tin về mã số bảo hiểm xã hội, mã số thuế, số tài khoản ngân hàng;
• Các thông tin khác gắn liền với chủ thể dữ liệu cá nhân không thuộc Khoản 2 Điều này.
Danh mục dữ liệu cá nhân nhạy cảm là dữ liệu về sức khỏe, bảo hiểm, thông tin sinh trắc học, dữ liệu khác được pháp luật xác định là nhạy cảm và chỉ được xử lý khi đáp ứng đầy đủ điều kiện theo luật bao gồm:
• Quan điểm chính trị, quan điểm tôn giáo; thông tin liên quan tới dân tộc;
• Dữ liệu về sức khỏe, tình trạng bệnh tật, hồ sơ khám sức khỏe, tai nạn lao động;
• Dữ liệu định vị, sinh trắc học (nếu có) phục vụ quản lý an ninh, chấm công;
• Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng trong phạm vi phục vụ quản lý lao động theo quy định pháp luật;
• Thông tin về kỷ luật lao động, xử lý vi phạm trong trường hợp pháp luật yêu cầu bảo mật cao;
• Các loại dữ liệu cá nhân nhạy cảm khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân và pháp luật có liên quan, được xác định tại từng thời điểm và chỉ được xử lý khi đáp ứng đầy đủ các điều kiện theo quy định của pháp luật.
Điều 8. Hoạt động xử lý dữ liệu cá nhân
Xử lý dữ liệu cá nhân trong lĩnh vực lao động là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
Điều 9. Xin sự đồng ý của chủ thể dữ liệu cá nhân
1. Đơn vị xin sự đồng ý của chủ thể dữ liệu cá nhân trước khi xử lý dữ liệu cá nhân thông qua Chính sách bảo vệ thông tin cá nhân trong lĩnh vực lao động, trừ trường hợp quy định tại Điều 16 Quy định này và/hoặc trường hợp pháp luật có quy định khác.
2. Đơn vị có trách nhiệm công khai Quy định bảo vệ dữ liệu cá nhân trong lĩnh vực lao động, đồng thời bảo đảm chủ thể dữ liệu cá nhân được tiếp cận, đọc và hiểu đầy đủ nội dung. Việc đồng ý chỉ có giá trị khi được thực hiện một cách tự nguyện và trên cơ sở đã nắm rõ nội dung của Quy định này.
3. Sự đồng ý phải được thể hiện rõ ràng, có thể lưu trữ, kiểm chứng (bao gồm cả hình thức điện tử).
4. Việc xin sự đồng ý phải bảo đảm:
a) Thể hiện sự đồng ý đối với từng mục đích;
b) Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
c) Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
d) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
5. Đơn vị có trách nhiệm lưu trữ, quản lý và chứng minh sự đồng ý của chủ thể dữ liệu cá nhân theo quy định.
Điều 10. Lưu trữ và xóa dữ liệu cá nhân
1. Dữ liệu cá nhân trong lĩnh vực lao động được lưu trữ trong thời gian cần thiết để thực hiện mục đích xử lý và theo thời hạn quy định của pháp luật về lao động, bảo hiểm xã hội, kế toán và các quy định pháp luật có liên quan.
2. Khi hết thời hạn lưu trữ hoặc hoàn thành mục đích và không còn cơ sở pháp lý để tiếp tục xử lý, Tập đoàn sẽ tiến hành xóa, hủy hoặc ẩn danh dữ liệu cá nhân theo quy định.
3. Trường hợp dữ liệu cá nhân liên quan đến khiếu nại, tố cáo, tranh chấp, thanh tra, kiểm tra hoặc yêu cầu của cơ quan nhà nước có thẩm quyền, Tập đoàn được tiếp tục lưu trữ cho đến khi vụ việc được giải quyết xong và hết thời hạn lưu trữ theo quy định pháp luật.
4. Trường hợp thực hiện xóa, hủy dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu cá nhân, đơn vị tiếp nhận có trách nhiệm thông báo về các hậu quả, thiệt hại có thể phát sinh và chỉ thực hiện sau khi chủ thể dữ liệu cá nhân xác nhận việc tiếp tục yêu cầu.
Điều 11. Chia sẻ dữ liệu cá nhân
Trong phạm vi pháp luật cho phép, Tập đoàn được chia sẻ dữ liệu cá nhân trong lĩnh vực lao động nhằm các mục đích được đề cập tại Điều 5 Quy định này với các tổ chức, cá nhân dưới đây:
1. Các tổ chức, cá nhân cung cấp dịch vụ và/hoặc hợp tác với Tập đoàn (tư vấn, kiểm toán, ngân hàng…), với điều kiện các bên đã ký kết thỏa thuận bảo mật và bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo quy định.
2. Các cơ quan chức năng có thẩm quyền và các tổ chức, cá nhân khác có liên quan theo quy định của pháp luật.
3. Các tổ chức, cá nhân nhận dữ liệu chỉ được xử lý dữ liệu cá nhân trong lĩnh vực lao động trong phạm vi, mục đích đã thỏa thuận; không được chia sẻ cho bên thứ ba khác khi chưa có sự chấp thuận của Tập đoàn hoặc khi chưa có căn cứ pháp lý hợp lệ; việc chia sẻ dữ liệu cá nhân phải tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 12. Thực hiện xử lý yêu cầu của chủ thể dữ liệu cá nhân
1. Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân về thực hiện các quyền được nêu tại khoản 2, 3, 4 Điều 6 Quy định này, đơn vị hoặc bộ phận tiếp nhận yêu cầu tiến hành kiểm tra, bảo đảm yêu cầu đáp ứng các điều kiện theo quy định.
2. Thời gian phản hồi và xử lý các yêu cầu của chủ thể dữ liệu cá nhân thực hiện theo quy định tại Điều 5 Nghị định số 356/2025/NĐ-CP. Đơn vị có trách nhiệm tiếp nhận, xử lý yêu cầu phải tuân thủ đúng thời hạn nêu trên; trường hợp không thể thực hiện đúng hạn phải có thông báo và nêu rõ lý do cho chủ thể dữ liệu cá nhân theo quy định.
Điều 13. Xử lý và bảo vệ dữ liệu cá nhân nhạy cảm
1. Việc xử lý dữ liệu cá nhân nhạy cảm trong lĩnh vực lao động chỉ được thực hiện khi có căn cứ pháp lý hợp lệ, đúng mục đích và trong phạm vi cần thiết theo quy định của pháp luật.
2. Tập đoàn có trách nhiệm xây dựng và áp dụng quy trình xử lý dữ liệu cá nhân nhạy cảm, bảo đảm kiểm soát chặt chẽ việc truy cập, sử dụng và chia sẻ dữ liệu.
3. Dữ liệu cá nhân nhạy cảm phải được áp dụng các biện pháp bảo mật tăng cường, bao gồm biện pháp kỹ thuật và biện pháp quản lý phù hợp nhằm phòng ngừa, phát hiện và xử lý rủi ro lộ, mất hoặc sử dụng trái phép dữ liệu.
Điều 14. Xử lý dữ liệu cá nhân bằng biện pháp công nghệ, kỹ thuật
Việc xử lý dữ liệu cá nhân trong lĩnh vực lao động bằng biện pháp công nghệ, kỹ thuật (bao gồm: nhận diện khuôn mặt, dấu vân tay, thiết bị sinh trắc học phục vụ chấm công, kiểm soát ra vào…) phải tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân, đặc biệt đối với dữ liệu cá nhân nhạy cảm.
Tập đoàn chỉ thực hiện xử lý dữ liệu nêu trên khi:
a) Có mục đích rõ ràng, cần thiết phục vụ quản lý lao động, bảo đảm an ninh, an toàn;
b) Đã thông báo đầy đủ và được sự đồng ý hợp pháp của chủ thể dữ liệu cá nhân theo quy định;
c) Áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo vệ dữ liệu cá nhân.
Dữ liệu sinh trắc học của chủ thể dữ liệu cá nhân phải được quản lý, lưu trữ, sử dụng và bảo mật theo chế độ dữ liệu cá nhân nhạy cảm; hạn chế truy cập, chia sẻ và chỉ sử dụng trong phạm vi mục đích đã được xác định. Các hoạt động truy cập, xử lý dữ liệu cá nhân phải được ghi nhận, lưu vết và có khả năng kiểm tra, truy xuất khi cần thiết.
Điều 15. Rủi ro và xử lý sự cố liên quan đến dữ liệu cá nhân
Tập đoàn áp dụng các biện pháp kỹ thuật và quản lý để bảo vệ dữ liệu cá nhân trong lĩnh vực lao động, hạn chế tối đa rủi ro dữ liệu bị sử dụng hoặc chia sẻ ngoài ý muốn. Một số hậu quả, thiệt hại không mong muốn có thể xảy ra từ các nguyên nhân bao gồm:
1. Sự cố kỹ thuật về phần cứng, phần mềm làm hư hỏng hoặc mất mát dữ liệu cá nhân trong quá trình xử lý.
2. Lỗ hổng bảo mật nằm ngoài khả năng kiểm soát của Tập đoàn, hệ thống bị hacker tấn công gây lộ, mất dữ liệu cá nhân trong lĩnh vực lao động.
3. Các nguyên nhân khách quan khác nằm ngoài khả năng kiểm soát của Tập đoàn.
Điều 16. Xử lý dữ liệu cá nhân không cần sự đồng ý
Dữ liệu cá nhân trong lĩnh vực lao động có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu cá nhân trong những trường hợp sau:
• Trong trường hợp cấp bách nhằm bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân; hoặc để bảo vệ quyền, lợi ích hợp pháp của doanh nghiệp, cơ quan, tổ chức trước hành vi xâm phạm, việc xử lý dữ liệu cá nhân được thực hiện khi cần thiết. Bên kiểm soát, Bên xử lý, Bên kiểm soát và xử lý dữ liệu cá nhân và bên thứ ba có trách nhiệm chứng minh việc áp dụng thuộc trường hợp này;
• Phục vụ xử lý các tình huống khẩn cấp; phòng, chống các hành vi vi phạm pháp luật trong doanh nghiệp; bảo đảm an ninh, an toàn thông tin, tài sản, con người tại đơn vị;
• Phục vụ hoạt động quản lý lao động, quản trị nhân sự, thực hiện nghĩa vụ của người sử dụng lao động theo quy định của pháp luật (bao gồm: quản lý hồ sơ nhân sự, tiền lương, bảo hiểm, thuế, đánh giá, bổ nhiệm, khen thưởng, kỷ luật…);
• Thực hiện các thỏa thuận, cam kết trong hợp đồng lao động hoặc các thỏa thuận hợp pháp khác giữa chủ thể dữ liệu cá nhân với Tập đoàn;
• Các trường hợp khác theo quy định của pháp luật có liên quan.
Chương III: Quyền, trách nhiệm của các đơn vị, cá nhân và xử lý vi phạm
Điều 17. Quyền và trách nhiệm của Tập đoàn
• Thực hiện đầy đủ trách nhiệm của bên kiểm soát dữ liệu cá nhân theo quy định của pháp luật.
• Quyết định mục đích, phạm vi và phương thức xử lý dữ liệu cá nhân trong lĩnh vực lao động phục vụ mục đích quản lý theo quy định của pháp luật.
• Chỉ xử lý dữ liệu cá nhân đúng mục đích, đúng phạm vi và có căn cứ pháp lý hợp lệ.
• Thực hiện xử lý dữ liệu cá nhân trong lĩnh vực lao động theo Quy định này và các quy định pháp luật có liên quan.
• Áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo đảm an toàn, bảo mật dữ liệu cá nhân trong lĩnh vực lao động.
• Thiết lập và tổ chức thực hiện quy trình tiếp nhận, xử lý yêu cầu của chủ thể dữ liệu cá nhân.
• Thông báo và xử lý sự cố vi phạm dữ liệu cá nhân trong lĩnh vực lao động theo đúng quy định của pháp luật.
• Tổ chức tuyên truyền, đào tạo, nâng cao nhận thức về bảo vệ dữ liệu cá nhân trong Tập đoàn.
• Từ chối các yêu cầu không phù hợp với quy định của pháp luật hoặc vượt quá phạm vi quyền của chủ thể dữ liệu cá nhân.
• Sửa đổi, bổ sung Quy định này khi pháp luật có thay đổi hoặc theo yêu cầu quản lý của Tập đoàn.
Điều 18. Quyền và trách nhiệm của đơn vị quản trị hệ thống quản trị nguồn nhân lực
• Tổ chức quản lý, vận hành hệ thống bảo đảm an toàn, bảo mật dữ liệu cá nhân trong lĩnh vực lao động theo quy định của Tập đoàn và pháp luật có liên quan;
• Thiết lập, duy trì các biện pháp kỹ thuật và quản lý để bảo vệ dữ liệu cá nhân;
• Quản lý, phân quyền truy cập dữ liệu theo chức năng, nhiệm vụ; kiểm soát việc truy cập, khai thác, sử dụng dữ liệu cá nhân;
• Thực hiện sao lưu, lưu trữ, bảo đảm tính toàn vẹn và khả năng khôi phục dữ liệu cá nhân;
• Phối hợp với các đơn vị liên quan trong việc cung cấp, chia sẻ dữ liệu phục vụ công tác quản lý, điều hành theo đúng thẩm quyền và quy định tại Điều 11 của Quy định này;
• Yêu cầu các đơn vị, cá nhân liên quan cung cấp thông tin, phối hợp trong việc quản lý, bảo vệ dữ liệu cá nhân;
• Từ chối hoặc tạm dừng cấp quyền truy cập, khai thác dữ liệu trong trường hợp phát hiện nguy cơ mất an toàn thông tin hoặc vi phạm quy định; đề xuất các biện pháp kỹ thuật, quản lý nhằm nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong lĩnh vực lao động.
Điều 19. Quyền và trách nhiệm của Ban Nhân lực Tập đoàn
• Ban Nhân lực là đầu mối chủ trì quản trị dữ liệu cá nhân trong lĩnh vực lao động trong toàn Tập đoàn, thực hiện vai trò tham mưu, hướng dẫn, kiểm tra và giám sát việc tuân thủ quy định.
• Chủ trì xây dựng, ban hành và hướng dẫn thực hiện các quy định, biểu mẫu liên quan đến bảo vệ dữ liệu cá nhân trong lĩnh vực lao động áp dụng thống nhất trong toàn Tập đoàn;
• Quản lý, kiểm soát việc thu thập, sử dụng, lưu trữ, chia sẻ và xóa dữ liệu cá nhân trong lĩnh vực lao động trong hệ thống VNPT-HRM;
• Phối hợp thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong lĩnh vực lao động đối với các hoạt động xử lý dữ liệu cá nhân theo quy định;
• Tổ chức tuyên truyền, đào tạo, nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho cán bộ làm công tác nhân sự và chủ thể dữ liệu cá nhân trong toàn Tập đoàn;
• Tổng hợp, báo cáo Lãnh đạo Tập đoàn về tình hình tuân thủ quy định bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo yêu cầu quản lý hoặc khi có yêu cầu của cơ quan nhà nước có thẩm quyền.
Điều 20. Quyền và trách nhiệm của các đơn vị trực thuộc Tập đoàn
• Tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo Quy định này và các văn bản hướng dẫn của Tập đoàn.
• Tổ chức triển khai thực hiện các quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động tại đơn vị;
• Chỉ được thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân trong lĩnh vực lao động trong phạm vi chức năng, nhiệm vụ và thẩm quyền được giao;
• Không tự ý chia sẻ, cung cấp dữ liệu cá nhân trong lĩnh vực lao động cho bên thứ ba hoặc sử dụng cho mục đích khác khi chưa được Tập đoàn cho phép hoặc chưa có căn cứ pháp lý hợp lệ;
• Phối hợp cung cấp thông tin, tài liệu phục vụ việc đánh giá tác động xử lý dữ liệu cá nhân, xử lý sự cố vi phạm dữ liệu cá nhân theo yêu cầu của Ban Nhân lực và các đơn vị chức năng;
• Các đơn vị quản trị các hệ thống công nghệ thông tin có kết nối, khai thác, tích hợp hoặc nhận dữ liệu từ hệ thống VNPT - HRM có trách nhiệm thực hiện đầy đủ các quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo pháp luật và Quy định của Tập đoàn;
• Người đứng đầu đơn vị trực thuộc chịu trách nhiệm trước Tập đoàn về việc tổ chức thực hiện và bảo đảm tuân thủ quy định bảo vệ dữ liệu cá nhân trong lĩnh vực lao động tại đơn vị mình.
Điều 21. Xử lý vi phạm
Đơn vị, cá nhân nếu vi phạm quy định của pháp luật, quy định của Tập đoàn về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động thì tùy theo tính chất, mức độ vi phạm, hậu quả thiệt hại do hành vi đó gây ra sẽ bị xem xét, xử lý kỷ luật lao động, bồi thường trách nhiệm vật chất, trách nhiệm dân sự, truy cứu trách nhiệm hình sự và các hình thức xử lý khác theo quy định của pháp luật và của Tập đoàn.
Chương IV: Điều khoản thi hành
Điều 22. Hiệu lực thi hành
1. Quy định này có hiệu lực thi hành kể từ ngày ký.
2. Trong quá trình thực hiện, nếu có vướng mắc, các đơn vị phản ánh về Tập đoàn (Ban Nhân lực) để tổng hợp, báo cáo cấp có thẩm quyền xem xét, sửa đổi, bổ sung.
TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
QUY ĐỊNH VỀ QUẢN LÝ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN
Chương I: Quy định chung
Điều 1. Phạm vi điều chỉnh
Quy định này xác định nguyên tắc, mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân; quyền, nghĩa vụ của chủ thể dữ liệu cá nhân, trách nhiệm của Tập đoàn và các đơn vị trực thuộc về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động tại Tập đoàn Bưu chính Viễn thông Việt Nam.
Điều 2. Đối tượng áp dụng
1. Người lao động giao kết hợp đồng thử việc, hợp đồng xác định thời hạn hoặc hợp đồng lao động không xác định thời hạn, làm việc tại:
a) Cơ quan Tập đoàn Bưu chính Viễn thông Việt Nam.
b) Các đơn vị hạch toán phụ thuộc Công ty mẹ - Tập đoàn Bưu chính Viễn thông Việt Nam.
2. Các cá nhân có phát sinh việc cung cấp dữ liệu cá nhân cho Tập đoàn phục vụ hoạt động tuyển dụng, quản lý nhân sự và sản xuất kinh doanh, bao gồm:
a) Người lao động thuê lại làm việc tại Tập đoàn và các đơn vị trực thuộc theo hợp đồng thuê lại lao động, trong phạm vi dữ liệu cá nhân do Tập đoàn thu thập và xử lý;
b) Chuyên gia, tư vấn, cá nhân làm việc theo hợp đồng dịch vụ;
c) Ứng viên tham gia tuyển dụng vào Tập đoàn;
d) Các cá nhân khác có phát sinh việc cung cấp dữ liệu cá nhân cho Tập đoàn theo yêu cầu phục vụ hoạt động quản lý nhân sự và sản xuất kinh doanh.
Điều 3. Giải thích từ ngữ và các từ viết tắt
1. Tập đoàn/VNPT: là Tập đoàn Bưu chính Viễn thông Việt Nam.
2. Đơn vị: là các đơn vị nêu tại Điều 2 Quy định này.
3. Dữ liệu cá nhân: là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.
4. Bảo vệ dữ liệu cá nhân: là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
5. Xử lý dữ liệu cá nhân: là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
6. Chủ thể dữ liệu cá nhân là các đối tượng tại khoản 1, khoản 2 Điều 2 Quy định này.
7. Bên kiểm soát dữ liệu cá nhân: là Tập đoàn Bưu chính Viễn thông Việt Nam (Tập đoàn/VNPT) - tổ chức quyết định mục đích và phương thức xử lý dữ liệu cá nhân.
8. Bên xử lý dữ liệu cá nhân: là tổ chức, cá nhân thực hiện xử lý dữ liệu cá nhân thay mặt VNPT theo hợp đồng hoặc thỏa thuận.
9. Bên kiểm soát và xử lý dữ liệu cá nhân: là tổ chức vừa quyết định mục đích, vừa trực tiếp xử lý dữ liệu.
10. Sự cố vi phạm dữ liệu cá nhân: là hành vi truy cập trái phép, mất mát, lộ, lọt, thay đổi, phá hủy dữ liệu cá nhân.
11. Hệ thống quản trị nguồn nhân lực: Là hệ thống lưu trữ dữ liệu cá nhân trong lĩnh vực lao động của Tập đoàn Bưu chính Viễn thông Việt Nam, gọi tắt là hệ thống VNPT-HRM.
12. Nghị định 356: Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
Điều 4. Nguyên tắc bảo vệ dữ liệu cá nhân trong lĩnh vực lao động
• Tuân thủ quy định của Hiến pháp, pháp luật và các quy định của Tập đoàn.
• Chủ thể dữ liệu cá nhân được biết và được thông báo rõ ràng về hoạt động xử lý dữ liệu cá nhân của mình và các quyền của mình đối với dữ liệu đó, trừ trường hợp pháp luật có quy định khác.
• Dữ liệu cá nhân chỉ được thu thập, xử lý đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
• Dữ liệu cá nhân phải được cập nhật kịp thời, chính xác; cho phép chủ thể dữ liệu cá nhân chỉnh sửa khi có sai sót, thay đổi, bổ sung.
• Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
• Dữ liệu cá nhân trong lĩnh vực lao động chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
• Hệ thống Quản trị nguồn nhân lực (VNPT - HRM) là hệ thống dữ liệu gốc đối với dữ liệu cá nhân trong lĩnh vực lao động; các hệ thống công nghệ thông tin khác khai thác, sử dụng dữ liệu từ VNPT - HRM phải tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân theo Quy định này và pháp luật có liên quan.
Điều 5. Mục đích xử lý dữ liệu cá nhân trong lĩnh vực lao động
Dữ liệu cá nhân được xử lý nhằm:
• Quản lý, phân tích và đánh giá chất lượng nguồn nhân lực, nâng cao chất lượng nguồn nhân lực của Tập đoàn.
• Bảo đảm an ninh, an toàn hệ thống thông tin và hoạt động sản xuất kinh doanh của Tập đoàn và các đơn vị.
• Phục vụ yêu cầu của các cơ quan chức năng có thẩm quyền.
• Các mục đích hợp pháp khác có liên quan trực tiếp đến quan hệ lao động, lĩnh vực lao động và sản xuất kinh doanh theo quy định của pháp luật.
Điều 6. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
• Được biết về hoạt động xử lý dữ liệu cá nhân.
• Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân.
• Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.
• Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân.
• Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật.
• Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
• Cung cấp đầy đủ, chính xác dữ liệu cá nhân theo yêu cầu hợp pháp của Tập đoàn.
• Tự bảo vệ dữ liệu cá nhân của mình.
• Tôn trọng, bảo vệ dữ liệu cá nhân mà mình được tiếp cận trong quá trình làm việc. Không thu thập, sử dụng, sao chép, chia sẻ dữ liệu cá nhân của người khác trái quy định; sử dụng các hệ thống thông tin, hệ thống VNPT - HRM đúng mục đích, thẩm quyền được giao.
• Kịp thời thông báo cho đơn vị khi phát hiện nguy cơ mất an toàn hoặc sự cố vi phạm dữ liệu cá nhân.
• Tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân và các quy định nội bộ của Tập đoàn.
Chương II: Loại dữ liệu và hoạt động xử lý dữ liệu cá nhân
Điều 7. Loại dữ liệu cá nhân trong lĩnh vực lao động được xử lý
Tập đoàn được xử lý các loại dữ liệu cá nhân trong lĩnh vực lao động sau:
Danh mục dữ liệu cá nhân cơ bản, thông tin định danh, thông tin liên hệ, thông tin nhân thân, thông tin về quan hệ lao động và các thông tin khác theo quy định của pháp luật, bao gồm:
• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng…) gồm có họ và tên, tuổi, nơi sinh, quê quán, thông tin cư trú, nghề nghiệp, chức vụ và nơi công tác…;
• Thông tin về tài khoản số của cá nhân;
• Thông tin về quan hệ lao động: hợp đồng lao động, chức danh, vị trí việc làm, quá trình công tác, tiền lương, phụ cấp, khen thưởng;
• Thông tin về mã số bảo hiểm xã hội, mã số thuế, số tài khoản ngân hàng;
• Các thông tin khác gắn liền với chủ thể dữ liệu cá nhân không thuộc Khoản 2 Điều này.
Danh mục dữ liệu cá nhân nhạy cảm là dữ liệu về sức khỏe, bảo hiểm, thông tin sinh trắc học, dữ liệu khác được pháp luật xác định là nhạy cảm và chỉ được xử lý khi đáp ứng đầy đủ điều kiện theo luật bao gồm:
• Quan điểm chính trị, quan điểm tôn giáo; thông tin liên quan tới dân tộc;
• Dữ liệu về sức khỏe, tình trạng bệnh tật, hồ sơ khám sức khỏe, tai nạn lao động;
• Dữ liệu định vị, sinh trắc học (nếu có) phục vụ quản lý an ninh, chấm công;
• Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng trong phạm vi phục vụ quản lý lao động theo quy định pháp luật;
• Thông tin về kỷ luật lao động, xử lý vi phạm trong trường hợp pháp luật yêu cầu bảo mật cao;
• Các loại dữ liệu cá nhân nhạy cảm khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân và pháp luật có liên quan, được xác định tại từng thời điểm và chỉ được xử lý khi đáp ứng đầy đủ các điều kiện theo quy định của pháp luật.
Điều 8. Hoạt động xử lý dữ liệu cá nhân
Xử lý dữ liệu cá nhân trong lĩnh vực lao động là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
Điều 9. Xin sự đồng ý của chủ thể dữ liệu cá nhân
1. Đơn vị xin sự đồng ý của chủ thể dữ liệu cá nhân trước khi xử lý dữ liệu cá nhân thông qua Chính sách bảo vệ thông tin cá nhân trong lĩnh vực lao động, trừ trường hợp quy định tại Điều 16 Quy định này và/hoặc trường hợp pháp luật có quy định khác.
2. Đơn vị có trách nhiệm công khai Quy định bảo vệ dữ liệu cá nhân trong lĩnh vực lao động, đồng thời bảo đảm chủ thể dữ liệu cá nhân được tiếp cận, đọc và hiểu đầy đủ nội dung. Việc đồng ý chỉ có giá trị khi được thực hiện một cách tự nguyện và trên cơ sở đã nắm rõ nội dung của Quy định này.
3. Sự đồng ý phải được thể hiện rõ ràng, có thể lưu trữ, kiểm chứng (bao gồm cả hình thức điện tử).
4. Việc xin sự đồng ý phải bảo đảm:
a) Thể hiện sự đồng ý đối với từng mục đích;
b) Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
c) Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
d) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
5. Đơn vị có trách nhiệm lưu trữ, quản lý và chứng minh sự đồng ý của chủ thể dữ liệu cá nhân theo quy định.
Điều 10. Lưu trữ và xóa dữ liệu cá nhân
1. Dữ liệu cá nhân trong lĩnh vực lao động được lưu trữ trong thời gian cần thiết để thực hiện mục đích xử lý và theo thời hạn quy định của pháp luật về lao động, bảo hiểm xã hội, kế toán và các quy định pháp luật có liên quan.
2. Khi hết thời hạn lưu trữ hoặc hoàn thành mục đích và không còn cơ sở pháp lý để tiếp tục xử lý, Tập đoàn sẽ tiến hành xóa, hủy hoặc ẩn danh dữ liệu cá nhân theo quy định.
3. Trường hợp dữ liệu cá nhân liên quan đến khiếu nại, tố cáo, tranh chấp, thanh tra, kiểm tra hoặc yêu cầu của cơ quan nhà nước có thẩm quyền, Tập đoàn được tiếp tục lưu trữ cho đến khi vụ việc được giải quyết xong và hết thời hạn lưu trữ theo quy định pháp luật.
4. Trường hợp thực hiện xóa, hủy dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu cá nhân, đơn vị tiếp nhận có trách nhiệm thông báo về các hậu quả, thiệt hại có thể phát sinh và chỉ thực hiện sau khi chủ thể dữ liệu cá nhân xác nhận việc tiếp tục yêu cầu.
Điều 11. Chia sẻ dữ liệu cá nhân
Trong phạm vi pháp luật cho phép, Tập đoàn được chia sẻ dữ liệu cá nhân trong lĩnh vực lao động nhằm các mục đích được đề cập tại Điều 5 Quy định này với các tổ chức, cá nhân dưới đây:
1. Các tổ chức, cá nhân cung cấp dịch vụ và/hoặc hợp tác với Tập đoàn (tư vấn, kiểm toán, ngân hàng…), với điều kiện các bên đã ký kết thỏa thuận bảo mật và bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo quy định.
2. Các cơ quan chức năng có thẩm quyền và các tổ chức, cá nhân khác có liên quan theo quy định của pháp luật.
3. Các tổ chức, cá nhân nhận dữ liệu chỉ được xử lý dữ liệu cá nhân trong lĩnh vực lao động trong phạm vi, mục đích đã thỏa thuận; không được chia sẻ cho bên thứ ba khác khi chưa có sự chấp thuận của Tập đoàn hoặc khi chưa có căn cứ pháp lý hợp lệ; việc chia sẻ dữ liệu cá nhân phải tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 12. Thực hiện xử lý yêu cầu của chủ thể dữ liệu cá nhân
1. Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân về thực hiện các quyền được nêu tại khoản 2, 3, 4 Điều 6 Quy định này, đơn vị hoặc bộ phận tiếp nhận yêu cầu tiến hành kiểm tra, bảo đảm yêu cầu đáp ứng các điều kiện theo quy định.
2. Thời gian phản hồi và xử lý các yêu cầu của chủ thể dữ liệu cá nhân thực hiện theo quy định tại Điều 5 Nghị định số 356/2025/NĐ-CP. Đơn vị có trách nhiệm tiếp nhận, xử lý yêu cầu phải tuân thủ đúng thời hạn nêu trên; trường hợp không thể thực hiện đúng hạn phải có thông báo và nêu rõ lý do cho chủ thể dữ liệu cá nhân theo quy định.
Điều 13. Xử lý và bảo vệ dữ liệu cá nhân nhạy cảm
1. Việc xử lý dữ liệu cá nhân nhạy cảm trong lĩnh vực lao động chỉ được thực hiện khi có căn cứ pháp lý hợp lệ, đúng mục đích và trong phạm vi cần thiết theo quy định của pháp luật.
2. Tập đoàn có trách nhiệm xây dựng và áp dụng quy trình xử lý dữ liệu cá nhân nhạy cảm, bảo đảm kiểm soát chặt chẽ việc truy cập, sử dụng và chia sẻ dữ liệu.
3. Dữ liệu cá nhân nhạy cảm phải được áp dụng các biện pháp bảo mật tăng cường, bao gồm biện pháp kỹ thuật và biện pháp quản lý phù hợp nhằm phòng ngừa, phát hiện và xử lý rủi ro lộ, mất hoặc sử dụng trái phép dữ liệu.
Điều 14. Xử lý dữ liệu cá nhân bằng biện pháp công nghệ, kỹ thuật
Việc xử lý dữ liệu cá nhân trong lĩnh vực lao động bằng biện pháp công nghệ, kỹ thuật (bao gồm: nhận diện khuôn mặt, dấu vân tay, thiết bị sinh trắc học phục vụ chấm công, kiểm soát ra vào…) phải tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân, đặc biệt đối với dữ liệu cá nhân nhạy cảm.
Tập đoàn chỉ thực hiện xử lý dữ liệu nêu trên khi:
a) Có mục đích rõ ràng, cần thiết phục vụ quản lý lao động, bảo đảm an ninh, an toàn;
b) Đã thông báo đầy đủ và được sự đồng ý hợp pháp của chủ thể dữ liệu cá nhân theo quy định;
c) Áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo vệ dữ liệu cá nhân.
Dữ liệu sinh trắc học của chủ thể dữ liệu cá nhân phải được quản lý, lưu trữ, sử dụng và bảo mật theo chế độ dữ liệu cá nhân nhạy cảm; hạn chế truy cập, chia sẻ và chỉ sử dụng trong phạm vi mục đích đã được xác định. Các hoạt động truy cập, xử lý dữ liệu cá nhân phải được ghi nhận, lưu vết và có khả năng kiểm tra, truy xuất khi cần thiết.
Điều 15. Rủi ro và xử lý sự cố liên quan đến dữ liệu cá nhân
Tập đoàn áp dụng các biện pháp kỹ thuật và quản lý để bảo vệ dữ liệu cá nhân trong lĩnh vực lao động, hạn chế tối đa rủi ro dữ liệu bị sử dụng hoặc chia sẻ ngoài ý muốn. Một số hậu quả, thiệt hại không mong muốn có thể xảy ra từ các nguyên nhân bao gồm:
1. Sự cố kỹ thuật về phần cứng, phần mềm làm hư hỏng hoặc mất mát dữ liệu cá nhân trong quá trình xử lý.
2. Lỗ hổng bảo mật nằm ngoài khả năng kiểm soát của Tập đoàn, hệ thống bị hacker tấn công gây lộ, mất dữ liệu cá nhân trong lĩnh vực lao động.
3. Các nguyên nhân khách quan khác nằm ngoài khả năng kiểm soát của Tập đoàn.
Điều 16. Xử lý dữ liệu cá nhân không cần sự đồng ý
Dữ liệu cá nhân trong lĩnh vực lao động có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu cá nhân trong những trường hợp sau:
• Trong trường hợp cấp bách nhằm bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân; hoặc để bảo vệ quyền, lợi ích hợp pháp của doanh nghiệp, cơ quan, tổ chức trước hành vi xâm phạm, việc xử lý dữ liệu cá nhân được thực hiện khi cần thiết. Bên kiểm soát, Bên xử lý, Bên kiểm soát và xử lý dữ liệu cá nhân và bên thứ ba có trách nhiệm chứng minh việc áp dụng thuộc trường hợp này;
• Phục vụ xử lý các tình huống khẩn cấp; phòng, chống các hành vi vi phạm pháp luật trong doanh nghiệp; bảo đảm an ninh, an toàn thông tin, tài sản, con người tại đơn vị;
• Phục vụ hoạt động quản lý lao động, quản trị nhân sự, thực hiện nghĩa vụ của người sử dụng lao động theo quy định của pháp luật (bao gồm: quản lý hồ sơ nhân sự, tiền lương, bảo hiểm, thuế, đánh giá, bổ nhiệm, khen thưởng, kỷ luật…);
• Thực hiện các thỏa thuận, cam kết trong hợp đồng lao động hoặc các thỏa thuận hợp pháp khác giữa chủ thể dữ liệu cá nhân với Tập đoàn;
• Các trường hợp khác theo quy định của pháp luật có liên quan.
Chương III: Quyền, trách nhiệm của các đơn vị, cá nhân và xử lý vi phạm
Điều 17. Quyền và trách nhiệm của Tập đoàn
• Thực hiện đầy đủ trách nhiệm của bên kiểm soát dữ liệu cá nhân theo quy định của pháp luật.
• Quyết định mục đích, phạm vi và phương thức xử lý dữ liệu cá nhân trong lĩnh vực lao động phục vụ mục đích quản lý theo quy định của pháp luật.
• Chỉ xử lý dữ liệu cá nhân đúng mục đích, đúng phạm vi và có căn cứ pháp lý hợp lệ.
• Thực hiện xử lý dữ liệu cá nhân trong lĩnh vực lao động theo Quy định này và các quy định pháp luật có liên quan.
• Áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo đảm an toàn, bảo mật dữ liệu cá nhân trong lĩnh vực lao động.
• Thiết lập và tổ chức thực hiện quy trình tiếp nhận, xử lý yêu cầu của chủ thể dữ liệu cá nhân.
• Thông báo và xử lý sự cố vi phạm dữ liệu cá nhân trong lĩnh vực lao động theo đúng quy định của pháp luật.
• Tổ chức tuyên truyền, đào tạo, nâng cao nhận thức về bảo vệ dữ liệu cá nhân trong Tập đoàn.
• Từ chối các yêu cầu không phù hợp với quy định của pháp luật hoặc vượt quá phạm vi quyền của chủ thể dữ liệu cá nhân.
• Sửa đổi, bổ sung Quy định này khi pháp luật có thay đổi hoặc theo yêu cầu quản lý của Tập đoàn.
Điều 18. Quyền và trách nhiệm của đơn vị quản trị hệ thống quản trị nguồn nhân lực
• Tổ chức quản lý, vận hành hệ thống bảo đảm an toàn, bảo mật dữ liệu cá nhân trong lĩnh vực lao động theo quy định của Tập đoàn và pháp luật có liên quan;
• Thiết lập, duy trì các biện pháp kỹ thuật và quản lý để bảo vệ dữ liệu cá nhân;
• Quản lý, phân quyền truy cập dữ liệu theo chức năng, nhiệm vụ; kiểm soát việc truy cập, khai thác, sử dụng dữ liệu cá nhân;
• Thực hiện sao lưu, lưu trữ, bảo đảm tính toàn vẹn và khả năng khôi phục dữ liệu cá nhân;
• Phối hợp với các đơn vị liên quan trong việc cung cấp, chia sẻ dữ liệu phục vụ công tác quản lý, điều hành theo đúng thẩm quyền và quy định tại Điều 11 của Quy định này;
• Yêu cầu các đơn vị, cá nhân liên quan cung cấp thông tin, phối hợp trong việc quản lý, bảo vệ dữ liệu cá nhân;
• Từ chối hoặc tạm dừng cấp quyền truy cập, khai thác dữ liệu trong trường hợp phát hiện nguy cơ mất an toàn thông tin hoặc vi phạm quy định; đề xuất các biện pháp kỹ thuật, quản lý nhằm nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong lĩnh vực lao động.
Điều 19. Quyền và trách nhiệm của Ban Nhân lực Tập đoàn
• Ban Nhân lực là đầu mối chủ trì quản trị dữ liệu cá nhân trong lĩnh vực lao động trong toàn Tập đoàn, thực hiện vai trò tham mưu, hướng dẫn, kiểm tra và giám sát việc tuân thủ quy định.
• Chủ trì xây dựng, ban hành và hướng dẫn thực hiện các quy định, biểu mẫu liên quan đến bảo vệ dữ liệu cá nhân trong lĩnh vực lao động áp dụng thống nhất trong toàn Tập đoàn;
• Quản lý, kiểm soát việc thu thập, sử dụng, lưu trữ, chia sẻ và xóa dữ liệu cá nhân trong lĩnh vực lao động trong hệ thống VNPT-HRM;
• Phối hợp thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong lĩnh vực lao động đối với các hoạt động xử lý dữ liệu cá nhân theo quy định;
• Tổ chức tuyên truyền, đào tạo, nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho cán bộ làm công tác nhân sự và chủ thể dữ liệu cá nhân trong toàn Tập đoàn;
• Tổng hợp, báo cáo Lãnh đạo Tập đoàn về tình hình tuân thủ quy định bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo yêu cầu quản lý hoặc khi có yêu cầu của cơ quan nhà nước có thẩm quyền.
Điều 20. Quyền và trách nhiệm của các đơn vị trực thuộc Tập đoàn
• Tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo Quy định này và các văn bản hướng dẫn của Tập đoàn.
• Tổ chức triển khai thực hiện các quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động tại đơn vị;
• Chỉ được thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân trong lĩnh vực lao động trong phạm vi chức năng, nhiệm vụ và thẩm quyền được giao;
• Không tự ý chia sẻ, cung cấp dữ liệu cá nhân trong lĩnh vực lao động cho bên thứ ba hoặc sử dụng cho mục đích khác khi chưa được Tập đoàn cho phép hoặc chưa có căn cứ pháp lý hợp lệ;
• Phối hợp cung cấp thông tin, tài liệu phục vụ việc đánh giá tác động xử lý dữ liệu cá nhân, xử lý sự cố vi phạm dữ liệu cá nhân theo yêu cầu của Ban Nhân lực và các đơn vị chức năng;
• Các đơn vị quản trị các hệ thống công nghệ thông tin có kết nối, khai thác, tích hợp hoặc nhận dữ liệu từ hệ thống VNPT - HRM có trách nhiệm thực hiện đầy đủ các quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động theo pháp luật và Quy định của Tập đoàn;
• Người đứng đầu đơn vị trực thuộc chịu trách nhiệm trước Tập đoàn về việc tổ chức thực hiện và bảo đảm tuân thủ quy định bảo vệ dữ liệu cá nhân trong lĩnh vực lao động tại đơn vị mình.
Điều 21. Xử lý vi phạm
Đơn vị, cá nhân nếu vi phạm quy định của pháp luật, quy định của Tập đoàn về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động thì tùy theo tính chất, mức độ vi phạm, hậu quả thiệt hại do hành vi đó gây ra sẽ bị xem xét, xử lý kỷ luật lao động, bồi thường trách nhiệm vật chất, trách nhiệm dân sự, truy cứu trách nhiệm hình sự và các hình thức xử lý khác theo quy định của pháp luật và của Tập đoàn.
Chương IV: Điều khoản thi hành
Điều 22. Hiệu lực thi hành
1. Quy định này có hiệu lực thi hành kể từ ngày ký.
2. Trong quá trình thực hiện, nếu có vướng mắc, các đơn vị phản ánh về Tập đoàn (Ban Nhân lực) để tổng hợp, báo cáo cấp có thẩm quyền xem xét, sửa đổi, bổ sung.
TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
Quy định






