Chính sách bảo mật - Phonak - Vietnam

Chính sách bảo mật

Áp dụng từ: Tháng Hai 2022

A. Thông tin chung

Sonova AG được thành lập theo luật pháp của Thụy Sĩ, với tư cách là đơn vị kiểm soát dữ liệu, với địa chỉ đăng ký tại
Laubisrütistrasse 28, 8712 Stäfa, Thụy Sĩ và hoạt động với các chi nhánh trên khắp thế giới (được gọi chung là “Công ty” hoặc “chúng tôi” hoặc “của chúng tôi”).

Khi Công ty xử lý Dữ liệu Cá nhân trong hoạt động kinh doanh hàng ngày của mình, Chính sách Quyền riêng tư Toàn cầu này (“Chính sách”) đã được soạn thảo và thực hiện để mô tả các hoạt động của Công ty liên quan đến việc sử dụng Dữ liệu Cá nhân về khách hàng, nhà thầu và đối tác (“Chủ thể Dữ liệu”). Công ty đặc biệt chú ý đến việc tôn trọng quyền riêng tư và Dữ liệu Cá nhân, đồng thời cam kết tuân thủ Chính sách này, trong điều kiện phù hợp với luật pháp địa phương hiện hành.

“Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể nhận dạng.

“Xử lý” có nghĩa là bất kỳ hoạt động hoặc tập hợp hoạt động nào được thực hiện trên Dữ liệu Cá nhân hoặc trên các tập hợp Dữ liệu Cá nhân, cho dù có hay không bằng các phương tiện tự động, chẳng hạn như thu thập, ghi chép, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham vấn, sử dụng, tiết lộ bằng cách truyền, phổ biến hoặc cung cấp bằng cách khác, căn chỉnh hoặc kết hợp, hạn chế, xóa hoặc tiêu hủy.

B. LUẬT ÁP DỤNG CỦA CHÍNH SÁCH

Công ty cam kết tuân thủ luật bảo vệ dữ liệu hiện hành (“Luật áp dụng”). Do đó, tùy thuộc vào quốc gia nơi Công ty được thành lập, việc xử lý Dữ liệu Cá nhân sẽ tuân theo Luật Áp dụng của địa phương. Mặc dù một số yêu cầu nhất định có thể khác nhau giữa các quốc gia, nhưng Công ty đặc biệt quan tâm đến quyền riêng tư của Chủ thể Dữ liệu và Chính sách này tạo thành một hướng dẫn toàn cầu mà Công ty cam kết.

Đặc biệt, Công ty cam kết tuân thủ các quy định của pháp luật sau, nếu có:

  • Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng ngày 27 tháng 4 năm 2016 về bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và về việc di chuyển tự do dữ liệu đó, và bãi bỏ Chỉ thị 95/46/EC (Quy định chung về bảo vệ dữ liệu) (“GDPR”). GDPR nhằm mục đích hài hòa và đóng khung các quy tắc liên quan đến việc xử lý Dữ liệu Cá nhân trên lãnh thổ Liên minh Châu Âu để cung cấp một khuôn khổ pháp lý duy nhất cho các chuyên gia và tìm cách tăng cường kiểm soát của công dân đối với việc sử dụng Dữ liệu Cá nhân liên quan đến họ. Quy định này áp dụng cho việc xử lý Dữ liệu Cá nhân cho công dân hoặc cư dân UE và cho hoạt động của người kiểm soát hoặc bên xử lý trong lãnh thổ UE.
  • Đạo luật Liên bang về Bảo vệ Dữ liệu của Thụy Sĩ ngày 19 tháng 6 năm 1992 (“FADP”), được sửa đổi vào năm 2020 để thích ứng với công nghệ hiện tại và phù hợp với GDPR và các quy định gần đây khác của Châu Âu.
  • Đạo luật về Quyền riêng tư của Người tiêu dùng California năm 2018 (“CCPA”) nhằm mục đích cung cấp sự minh bạch hơn và đảm bảo nhiều quyền hơn cho người tiêu dùng cư trú tại California có Dữ liệu Cá nhân được các công ty xử lý.
  • Đạo luật Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế năm 1996 (“HIPAA”) xác định các quy tắc của Hoa Kỳ về việc xử lý dữ liệu sức khỏe điện tử của các tác nhân y tế và đối tác kinh doanh.

C. DỮ LIỆU CÁ NHÂN ĐƯỢC THU THẬP

Công ty có thể xử lý Dữ liệu Cá nhân sau:

  • Dữ liệu nhận dạng: họ, tên, quốc tịch và ngày sinh
  • Dữ liệu chi tiết liên hệ: địa chỉ bưu điện, số điện thoại riêng, địa chỉ email riêng và liên hệ khẩn cấp
  • Số tham chiếu an sinh xã hội và công ty bảo hiểm
  • Dữ liệu tài chính: phương tiện thanh toán, tổ chức tài chính, IBAN
  • Dữ liệu liên quan đến sức khỏe người dùng: cân nặng, chiều cao, rắc rối y tế, đơn thuốc của bác sĩ, khả năng thính giác, theo dõi hoạt động thể chất (số bước, cường độ tập luyện, số phút tập thể dục), dữ liệu thể dục (nhịp tim, tiêu hao năng lượng, huyết áp)
  • Dữ liệu liên quan đến hành vi của người dùng trên trang web
  • Dữ liệu liên quan đến sản phẩm mà khách hàng mua: kiểu máy, số sê-ri, dữ liệu sử dụng
  • Dữ liệu liên quan đến dịch vụ được cung cấp
  • Dữ liệu liên quan đến phản hồi mà khách hàng cung cấp về sản phẩm và dịch vụ của chúng tôi: nhận xét và ghi chú

Ngoài ra, vì hoạt động của chúng tôi chủ yếu tập trung vào việc sản xuất các giải pháp sáng tạo cho máy trợ thính, chúng tôi có thể được yêu cầu thu thập Dữ liệu Cá nhân nhạy cảm và cụ thể hơn là dữ liệu sức khỏe. Tùy thuộc vào quốc gia nơi Chủ thể Dữ liệu cư trú, những Dữ liệu Cá nhân nhạy cảm đó có thể nhận được sự bảo vệ đặc biệt, đặc biệt là về các biện pháp bảo mật được thực hiện.

D. MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

Các cơ sở pháp lý sau đây tạo thành nền tảng mà Công ty dựa vào để thực hiện xử lý Dữ liệu Cá nhân. Các cơ sở pháp lý khác có thể được sử dụng tùy thuộc vào nơi cư trú của Chủ thể Dữ liệu và Luật Áp dụng có liên quan. Một số việc xử lý Dữ liệu Cá nhân có thể dựa trên sự đồng ý của Chủ thể Dữ liệu. Việc xử lý Dữ liệu Cá nhân cho mục đích này có thể bao gồm:

  • Mục đích tiếp thị như gửi bản tin và thông tin về các sản phẩm và dịch vụ do Công ty cung cấp
  • Để cải thiện hiệu suất trang web của chúng tôi
  • Để tư vấn và tương tác với bạn: tạo tài khoản của bạn, liên hệ với chúng tôi qua biểu mẫu liên hệ, Sonova trả lời người dùng, làm bài kiểm tra thính lực trực tuyến

Việc xử lý Dữ liệu Cá nhân mà Công ty thực hiện cũng có thể dựa trên việc thực hiện hợp đồng hoặc các biện pháp trước hợp đồng với Chủ thể Dữ liệu. Việc xử lý Dữ liệu Cá nhân cho mục đích này có thể bao gồm:

  • Thực hiện các nghĩa vụ hợp đồng của chúng tôi đối với Chủ thể Dữ liệu
  • Cung cấp dịch vụ sau bán hàng sau khi khách hàng mua sản phẩm
  • An sinh xã hội / xử lý bảo hiểm
  • Quản lý yêu cầu bồi thường

Công ty cũng có thể xử lý Dữ liệu Cá nhân dựa trên lợi ích hợp pháp của mình, đặc biệt là để cải thiện sản phẩm và dịch vụ, trải nghiệm khách hàng và quy trình nội bộ của chúng tôi. Việc xử lý Dữ liệu Cá nhân cho mục đích này có thể bao gồm:

  • Tiến hành phân tích thống kê/sử dụng
  • Thực hiện các chức năng hành chính nội bộ
  • Xử lý yêu cầu của khách hàng
  • Ngăn chặn hoạt động gian lận và cải thiện bảo mật
  • Quản lý mối quan hệ với Chủ thể dữ liệu
  • Đánh giá mức độ phù hợp của các sản phẩm và dịch vụ của chúng tôi

Công ty cũng có thể xử lý Dữ liệu Cá nhân để đáp ứng các yêu cầu pháp lý. Việc xử lý dựa trên
yêu cầu pháp lý phụ thuộc vào Luật hiện hành.

E. LƯU GIỮ DỮ LIỆU CÁ NHÂN

Dữ liệu Cá nhân sẽ không được lưu giữ lâu hơn mức cần thiết cho các mục đích nêu trên. Điều này có nghĩa là Dữ liệu Cá nhân sẽ bị xóa ngay sau khi đạt được mục đích xử lý Dữ liệu Cá nhân. Tuy nhiên, Công ty có thể lưu giữ Dữ liệu Cá nhân lâu hơn nếu cần thiết để tuân thủ Luật Áp dụng hoặc nếu cần thiết để bảo vệ hoặc thực hiện các quyền của chúng tôi, trong phạm vi được luật bảo vệ dữ liệu hiện hành cho phép. Khi kết thúc thời gian lưu trữ, Công ty cũng có thể cần lưu trữ Dữ liệu Cá nhân, để tuân thủ Luật Áp dụng, trong một khoảng thời gian giới hạn và với quyền truy cập hạn chế. Thời gian lưu giữ này có thể thay đổi tùy thuộc vào quốc gia nơi Chủ thể Dữ liệu cư trú và theo Luật Áp dụng.

F. TIẾT LỘ DỮ LIỆU CÁ NHÂN

Công ty có thể chia sẻ Dữ liệu Cá nhân, tùy thuộc vào sự đồng ý của bạn hoặc cơ sở pháp lý có liên quan khác, với
các bên thứ ba sau:

  • Các công ty khác của tập đoàn chúng tôi như công ty con và công ty liên kết
  • Các đối tác kinh doanh đáng tin cậy cung cấp dịch vụ thay mặt chúng tôi, chẳng hạn như hỗ trợ kỹ thuật, cho mục đích tiếp thị hoặc cho các loại hình cung cấp dịch vụ khác
  • Các cơ quan chính phủ và cơ quan công quyền, trong chừng mực cần thiết để cung cấp bất kỳ dịch vụ nào đã được yêu cầu hoặc ủy quyền, để bảo vệ quyền của khách hàng, nhà thầu và đối tác, hoặc quyền, tài sản hoặc sự an toàn của chúng tôi hoặc của người khác, để duy trì tính bảo mật của các dịch vụ của chúng tôi hoặc nếu chúng tôi được yêu cầu làm như vậy vì Luật Áp dụng, tòa án hoặc các quy định khác của chính phủ, hoặc nếu việc tiết lộ đó là cần thiết để hỗ trợ bất kỳ cuộc điều tra pháp lý hoặc hình sự hoặc thủ tục pháp lý nào

Tùy thuộc vào Luật áp dụng, chúng tôi thực hiện hợp đồng với một số bên thứ ba để đảm bảo rằng Dữ liệu Cá nhân
được xử lý dựa trên hướng dẫn của chúng tôi và tuân thủ Chính sách này và bất kỳ
các biện pháp bảo mật thích hợp nào khác.

G. CHUYỂN DỮ LIỆU CÁ NHÂN

Các bên thứ ba nêu trên như chi nhánh và công ty con, cũng như các đối tác kinh doanh, cơ quan công quyền mà chúng tôi có thể tiết lộ Dữ liệu Cá nhân, có thể nằm bên ngoài quốc gia cư trú của Chủ thể Dữ liệu, có khả năng bao gồm các quốc gia có luật bảo vệ dữ liệu có thể khác với luật bảo vệ dữ liệu ở quốc gia nơi Chủ thể Dữ liệu đặt trụ sở.

Nếu Dữ liệu Cá nhân được xử lý trong Liên minh Châu Âu/Khu vực Kinh tế Châu Âu và trong trường hợp Dữ liệu Cá nhân được tiết lộ cho bên thứ ba ở một quốc gia không được coi là cung cấp mức độ bảo vệ đầy đủ theo Ủy ban Châu Âu, Công ty sẽ đảm bảo:

  • Việc thực hiện các thủ tục đầy đủ để tuân thủ Luật áp dụng, và đặc biệt là khi cần yêu cầu ủy quyền từ cơ quan giám sát có thẩm quyền
  • Việc thực hiện các biện pháp bảo vệ thích hợp về tổ chức, kỹ thuật và pháp lý để điều chỉnh việc chuyển giao nói trên và để đảm bảo mức độ bảo vệ cần thiết và đầy đủ theo Luật Áp dụng
  • Nếu cần thiết, việc thực hiện các Điều khoản hợp đồng tiêu chuẩn được Ủy ban Châu Âu thông qua
  • Nếu cần, chúng tôi sẽ thực hiện các biện pháp bổ sung như hoàn thành đánh giá tính đầy đủ của việc chuyển dữ liệu nếu sau khi đánh giá các trường hợp chuyển giao và sau khi đánh giá luật pháp của nước thứ ba, điều này là cần thiết để bảo vệ Dữ liệu Cá nhân được chuyển giao.

Nếu Dữ liệu Cá nhân không được xử lý trong Liên minh Châu Âu/Khu vực Kinh tế Châu Âu và trong trường hợp Dữ liệu Cá nhân được tiết lộ cho các bên thứ ba nằm ngoài thẩm quyền của Chủ thể Dữ liệu, Công ty sẽ đảm bảo rằng các biện pháp bảo vệ thích hợp được áp dụng để bảo vệ Dữ liệu Cá nhân bằng cách thực hiện các cơ chế pháp lý thích hợp. Các cơ chế đó có thể khác nhau tùy thuộc vào quốc gia và Luật áp dụng có liên quan.

H. BẢO MẬT DỮ LIỆU CÁ NHÂN

Công ty thực hiện nhiều biện pháp bảo mật khác nhau, theo Luật Áp dụng, để bảo vệ Dữ liệu Cá nhân khỏi các sự cố bảo mật hoặc tiết lộ trái phép và nói chung là khỏi việc vi phạm Dữ liệu Cá nhân. Các biện pháp bảo mật này được công nhận là tiêu chuẩn bảo mật phù hợp trong ngành và bao gồm kiểm soát truy cập, mật khẩu, mã hóa và đánh giá bảo mật thường xuyên.

Nếu xảy ra vi phạm Dữ liệu Cá nhân và đặc biệt nếu có vi phạm bảo mật dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu Cá nhân được truyền, lưu trữ hoặc xử lý theo cách khác, Công ty sẽ thực hiện các biện pháp thích hợp như:

  • Điều tra và phân tích để xác định hậu quả của Vi phạm Dữ liệu Cá nhân và đặc biệt là liệu nó có khả năng tạo ra rủi ro cho quyền và tự do của những người bị ảnh hưởng hay không
  • Nếu phân tích cho thấy có rủi ro đối với quyền và tự do của những người bị ảnh hưởng, Công ty sẽ thông báo cho cơ quan có thẩm quyền và trong trường hợp có rủi ro cao, thông báo cho những người bị ảnh hưởng
  • Thực hiện càng sớm càng tốt các biện pháp cần thiết để khắc phục và giảm thiểu vi phạm Dữ liệu Cá nhân
  • Ghi lại vi phạm Dữ liệu Cá nhân để đảm bảo khả năng truy xuất nguồn gốc

Các biện pháp và thủ tục thích hợp trong trường hợp vi phạm Dữ liệu Cá nhân có thể khác nhau tùy thuộc vào
quốc gia nơi nó xảy ra, loại vi phạm và tùy thuộc vào Luật áp dụng có liên quan.

I. QUYỀN RIÊNG TƯ LIÊN QUAN ĐẾN DỮ LIỆU CÁ NHÂN

Có thể thay đổi dựa trên Luật áp dụng có liên quan, Chủ thể Dữ liệu có các quyền liên quan đến Dữ liệu Cá nhân của họ, chẳng hạn như quyền yêu cầu truy cập, chỉnh sửa, xóa Dữ liệu Cá nhân của họ, hạn chế xử lý, phản đối xử lý, yêu cầu di chuyển dữ liệu, được thông báo và rút lại sự đồng ý của họ đối với việc xử lý Dữ liệu Cá nhân dựa trên sự đồng ý của họ. Chủ thể Dữ liệu cũng có thể phản đối việc ra quyết định cá nhân tự động nếu họ quan tâm đến việc xử lý đó.

Ngoài ra, ở một số khu vực pháp lý, bạn có thể cung cấp các hướng dẫn liên quan đến việc lưu giữ, liên lạc và
xóa Dữ liệu Cá nhân của bạn sau khi chết.

Việc thực hiện các quyền đó không phải là tuyệt đối và phải tuân theo các giới hạn do Luật Áp dụng quy định.

Chủ thể Dữ liệu có thể có quyền khiếu nại với cơ quan giám sát địa phương hoặc cơ quan quản lý có thẩm quyền nếu họ cho rằng việc xử lý Dữ liệu Cá nhân của họ vi phạm Luật Áp dụng.

Để thực hiện các quyền riêng tư đó, Chủ thể Dữ liệu có thể liên hệ với chúng tôi như được mô tả trong phần “Cách liên hệ với chúng tôi” bên dưới. Chúng tôi có thể yêu cầu bằng chứng nhận dạng để trả lời yêu cầu. Nếu chúng tôi không thể đáp ứng yêu cầu của bạn (từ chối hoặc giới hạn), chúng tôi sẽ thúc đẩy quyết định của mình bằng văn bản.

J. CẬP NHẬT CHÍNH SÁCH NÀY

Nếu cần, đôi khi chúng tôi có thể cần cập nhật Chính sách này để phản ánh các thực tiễn bảo mật mới hoặc khác. Trong trường hợp này, chúng tôi sẽ đăng các phiên bản cập nhật của Chính sách này trên trang này. Chính sách sửa đổi sẽ chỉ áp dụng cho dữ liệu được thu thập sau ngày có hiệu lực. Chúng tôi khuyến khích bạn định kỳ xem lại trang này để biết thông tin mới nhất về thực tiễn bảo mật của chúng tôi.

K. CÁCH LIÊN HỆ VỚI CHÚNG TÔI

Đối với bất kỳ câu hỏi, nhận xét hoặc thắc mắc nào về Chính sách này hoặc để thực hiện các quyền riêng tư được Luật Áp dụng cho phép liên quan đến Dữ liệu Cá nhân, vui lòng liên hệ với Nhân viên Bảo vệ Dữ liệu của chúng tôi theo địa chỉ sau:

Sonova AG
Laubisruetistrasse 28
8712 Stäfa
Thụy Sĩ
Thư điện tử: privacy@sonova.com

Ngày có hiệu lực: Tháng Hai 2022