Quy định bổ sung áp dụng cho Việt Nam

1. Đối tượng áp dụng.

Các điều khoản của Bản quy định bổ sung áp dụng cho Việt Nam này được áp dụng cho các tổ chức và cá nhân sau đây:

1. Cơ quan, tổ chức hoặc cá nhân Việt Nam;
2. Cơ quan, tổ chức hoặc cá nhân nước ngoài tại Việt Nam;
3. Cơ quan, tổ chức hoặc cá nhân Việt Nam hoạt động tại nước ngoài; hoặc
4. Cơ quan, tổ chức hoặc cá nhân nước ngoài trực tiếp xử lý hoặc có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam.

2. Phân loại dữ liệu cá nhân:

MSD có thể thu thập và xử lý dữ liệu cá nhân như được đề cập tại Phụ lục quốc gia, trong đó có thể bao gồm cả các dữ liệu cá nhân cơ bản và/hoặc dữ liệu cá nhân nhạy cảm.

Để làm rõ, chúng tôi xin trình bày chi tiết về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm dưới đây:

Dữ liệu cá nhân cơ bản bao gồm:

1. Họ, chữ đệm, tên khai sinh, tên gọi khác (nếu có);
2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
3. Giới tính;
4. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
5. Quốc tịch;
6. Hình ảnh của cá nhân;
7. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, mã số thuế cá nhân, số sổ bảo hiểm xã hội, số thẻ bảo hiểm y tế;
8. Tình trạng hôn nhân;
9. Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
10. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân nhạy cảm nghĩa là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

1. Quan điểm chính trị, quan điểm tôn giáo;
2. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
3. Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
4. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
5. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
6. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
7. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
8. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
9. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

3. Yêu cầu phải có sự đồng ý của chủ thể dữ liệu.

Sự đồng ý mà MSD có được từ chủ thể dữ liệu phải thể hiện sự rõ ràng, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu và tuân thủ nghiêm chỉnh mẫu đơn chấp thuận của chủ thể dữ liệu theo quy định của luật hiện hành.

Chấp thuận phải được tự nguyện đưa ra trên cơ sở chủ thể dữ liệu đã hiểu đầy đủ (i) mục đích xử lý dữ liệu cá nhân; (ii) loại dữ liệu cá nhân được xử lý; (iii) tổ chức, cá nhân được xử lý dữ liệu cá nhân; (iv) các quyền và nghĩa vụ của chủ thể dữ liệu; và (v) dữ liệu được xử lý là dữ liệu cá nhân nhạy cảm, nếu có.

Ngoài ra, sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng và cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Điều quan trọng là, sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, MSD sẽ liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

Chúng tôi được phép xử lý dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp sau:

1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
2. Việc công khai dữ liệu cá nhân được thực hiện theo quy định của luật; và
3. Việc xử lý dữ liệu cá nhân là để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

Trong trường hợp quý vị chia sẻ dữ liệu cá nhân của người khác cho MSD, quý vị phải bảo đảm đã xin được chấp thuận hợp lý để truyền dữ liệu và để MSD thực hiện các hoạt động xử lý tiếp theo đối với dữ liệu. Quý vị sẽ phải bồi thường cho MSD mọi chi phí, phí, phí tổn hoặc tổn thất phát sinh đối với MSD do quý vị không tuân thủ luật và quy định hiện hành về bảo vệ thông tin cá nhân khi chia sẻ thông tin của người khác cho MSD.

Trường hợp xử lý dữ liệu cá nhân của trẻ em, MSD sẽ phải bảo đảm rằng việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên đến dưới 16 tuổi và cũng phải có sự đồng ý của cha mẹ hoặc người giám hộ, trừ trường hợp được miễn theo quy định của pháp luật. Trường hợp xử lý dữ liệu cá nhân của trẻ em dưới 7 tuổi, cần có sự đồng ý của cha mẹ hoặc người giám hộ, trừ trường hợp được miễn theo quy định của pháp luật.

4. Quyền của chủ thể dữ liệu

Chủ thể dữ liệu sẽ có các quyền sau đây theo quy định của pháp luật hiện hành:

1. Quyền được biết. Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý. Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ rường hợp luật có quy định khác.
3. Quyền truy cập. Chủ thể dữ liệu có quyền yêu cầu xác nhận về việc dữ liệu cá nhân của chủ thể dữ liệu có đang được xử lý hay không và nếu có, có quyền truy cập vào dữ liệu cá nhân. Ngoài ra, chủ thể dữ liệu cũng có quyền yêu cầu chúng tôi cung cấp bản sao dữ liệu cá nhân của chủ thể dữ liệu.
4. Quyền chỉnh sửa. Chủ thể dữ liệu có quyền yêu cầu chúng tôi chỉnh sửa dữ liệu cá nhân về chủ thể dữ liệu mà chủ thể dữ liệu cho rằng không chính xác. Chủ thể dữ liệu cũng có quyền yêu cầu chúng tôi hoàn tất dữ liệu mà chủ thể dữ liệu cho rằng chưa hoàn chỉnh. Quyền này luôn luôn được áp dụng.
5. Quyền xóa dữ liệu. Quyền này cũng được coi là “quyền được lãng quên’ và, nói một cách đơn giản, quyền này cho phép chủ thể dữ liệu yêu cầu xóa hoặc gỡ bỏ dữ liệu của chủ thể dữ liệu khi không còn lý do hợp lý nào để chúng tôi tiếp tục sử dụng dữ liệu. Đây không phải là quyền xóa dữ liệu được áp dụng chung cho mọi trường hợp mà vẫn có những ngoại lệ, chẳng hạn như khi chúng tôi có nghĩa vụ pháp lý phải lưu giữ dữ liệu của chủ thể dữ liệu.
6. Quyền hạn chế xử lý dữ liệu. Chủ thể dữ liệu có quyền yêu cầu chúng tôi hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
7. Quyền chuyển dữ liệu. Quyền này áp dụng cho dữ liệu cá nhân mà chủ thể dữ liệu đã cung cấp cho chúng tôi và/hoặc dữ liệu cá nhân do chúng tôi xử lý. Chủ thể dữ liệu có quyền yêu cầu chúng tôi chuyển dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức khác hoặc gửi dữ liệu cho chủ thể dữ liệu.
8. Quyền rút lại sự đồng ý. Trường hợp chủ thể dữ liệu đã đồng ý cho phép chúng tôi xử lý dữ liệu cá nhân của chủ thể dữ liệu, chủ thể dữ liệu có quyền rút lại sự đồng ý của mình tại bất kỳ thời điểm nào. Việc này sẽ không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được thực hiện theo sự đồng ý của chủ thể dữ liệu trước khi chủ thể dữ liệu rút lại sự đồng ý.
9. Quyền phản đối xử lý dữ liệu. Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân của chủ thể dữ liệu tại bất kỳ thời điểm nào nhằm ngăn chặn hoặc hạn chế việc tiết lộ hoặc sử dụng dữ liệu cá nhân cho mục đích quảng cáo hoặc tiếp thị, trừ trường hợp luật có quy định khác. Nếu chủ thể dữ liệu phản đối việc xử lý dữ liệu, chúng tôi sẽ dừng xử lý dữ liệu trừ trường hợp luật có quy định khác.
10. Quyền yêu cầu bồi thường thiệt hại. Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp chủ thể dữ liệu có thỏa thuận khác với chúng tôi hoặc luật có quy định khác.
11. Quyền tự bảo vệ. Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của luật bảo vệ dữ liệu hiện hành và luật khác có liên quan, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự chẳng hạn như buộc chấm dứt hành vi vi phạm, xin lỗi công khai hoặc khắc phục, bồi thường tổn thất hoặc thiệt hại, v.v. theo quy định của pháp luật hiện hành.

Trường hợp chủ thể dữ liệu muốn thực hiện quyền bảo vệ dữ liệu của mình, chủ thể dữ liệu có thể nộp yêu cầu theo Mẫu yêu cầu dành cho Chủ thể Dữ liệu, theo đó chủ thể dữ liệu có thể yêu cầu truy cập, sửa hoặc xóa thông tin cá nhân của mình. Nếu chủ thể dữ liệu có bất kỳ câu hỏi hay thắc mắc về việc chúng tôi sử dụng thông tin cá nhân của chủ thể dữ liệu, vui lòng liên hệ với chúng tôi theo địa chỉ email sau: VNPRIVACY@merck.com.

Trong phạm vi có thể, MSD sẽ phản hồi yêu cầu của chủ thể dữ liệu trong thời hạn pháp luật quy định. Tuy nhiên, có thể có một số trường hợp khi MSD không thể kịp thời phản hồi chủ thể dữ liệu, trong trường hợp đó, MSD sẽ nhanh chóng thông báo cho chủ thể dữ liệu việc phản hồi muộn và sẽ cập nhật với chủ thể dữ liệu về tình trạng yêu cầu của chủ thể dữ liệu.

5. Mua bán dữ liệu. Trong mọi trường hợp MSD sẽ không thực hiện việc mua bán dữ liệu cá nhân, trừ khi được cho phép rõ ràng theo pháp luật hiện hành.

6. Cơ quan có thẩm quyền. Liên quan đến việc xử lý dữ liệu cá nhân theo quy định tại Nghị định 13/2023/NĐ-CP của Chính phủ ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân, cơ quan có thẩm quyền giám sát và quản lý là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (“A05”) thuộc Bộ Công An.