Tuyên bố bảo vệ dữ liệu

Sonova AG được thành lập theo luật của Thụy Sĩ, với tư cách là người kiểm soát dữ liệu, với địa chỉ đã đăng ký tại Laubisrütistrasse 28, 8712 Stäfa, Thụy Sĩ và hoạt động với các chi nhánh nằm trên khắp thế giới (được gọi chung là “Công ty” hoặc “chúng tôi” hoặc “của chúng tôi”).

Khi Công ty xử lý Dữ liệu Cá nhân trong hoạt động kinh doanh hàng ngày, Chính sách về Quyền Riêng tư toàn cầu này (“Chính sách”) đã được soạn thảo và thực hiện để mô tả các hoạt động của Công ty liên quan đến việc sử dụng Dữ liệu Cá nhân về khách hàng, nhà thầu và đối tác của mình (“Chủ thể Dữ liệu”). Công ty đặc biệt chú ý đến việc tôn trọng quyền riêng tư và Dữ liệu Cá nhân và cam kết tuân thủ Chính sách này, phù hợp với luật pháp địa phương hiện hành.

“Dữ liệu Cá nhân” được chúng tôi coi là bất kỳ thông tin nào liên quan đến một người tự nhiên đã được xác định hoặc có thể nhận diện được.

“Xử lý” được chúng tôi coi là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu Cá nhân hoặc trên các bộ Dữ liệu Cá nhân, cho dù bằng các phương tiện tự động, chẳng hạn như thu thập, ghi âm, tổ chức, cấu trúc, lưu trữ, thích ứng hoặc thay đổi, truy xuất, tư vấn, sử dụng, tiết lộ bằng cách truyền, phổ biến hoặc làm cách khác cho có sẵn, liên kết hoặc kết hợp, hạn chế, xóa bỏ hoặc phá hủy.

Công ty cam kết tuân thủ luật bảo vệ dữ liệu hiện hành (“Luật hiện hành”). Do đó, tùy thuộc vào các quốc gia nơi Công ty được thành lập, việc xử lý Dữ liệu Cá nhân sẽ phải tuân theo Luật hiện hành tại địa phương. Mặc dù một số yêu cầu nhất định có thể thay đổi từ quốc gia này sang quốc gia khác, Công ty đặc biệt quan tâm đến quyền riêng tư của các Chủ thể Dữ liệu và Chính sách này tạo thành một hướng dẫn toàn cầu mà Công ty cam kết.

Cụ thể, Công ty cam kết tuân thủ các quy định của pháp luật sau đây, nếu có áp dụng:

• Quy định (EU) 2016/679 của Nghị viện Châu Âu và của Hội đồng ngày 27 tháng 4 năm 2016 về bảo vệ người tự nhiên liên quan đến việc xử lý dữ liệu cá nhân và tự do di chuyển dữ liệu đó, và bãi bỏ Chỉ thị 95/46/EC (Quy định về Bảo vệ Dữ liệu chung) (“GDPR”). GDPR này nhằm mục đích hài hòa và lập khung khổ cho các quy tắc liên quan đến việc xử lý Dữ liệu Cá nhân trên lãnh thổ của Liên minh Châu Âu để cung cấp một khung pháp lý duy nhất cho các chuyên gia và tìm cách tăng cường kiểm soát của công dân về việc sử dụng Dữ liệu Cá nhân liên quan đến họ. Quy định này, áp dụng cho việc xử lý Dữ liệu Cá nhân cho công dân hoặc cư dân EU và cho hoạt động của người kiểm soát hoặc người xử lý trong lãnh thổ EU.
• Đạo luật Liên bang Thụy Sĩ về Bảo vệ Dữ liệu ngày 19 tháng 6 năm 1992 (“FADP”), được sửa đổi vào năm 2020 để thích ứng với công nghệ hiện tại và phù hợp với GDPR và các quy định gần đây của Châu Âu.
• Bộ luật về Quyền Riêng tư của Người tiêu dùng của California năm 2018 (“CCPA”) nhằm cung tính minh bạch nhiều hơn và đảm bảo nhiều quyền hơn cho người tiêu dùng cư trú tại California có Dữ liệu Cá nhân được xử lý bởi các công ty.
• Bộ luật về tính di động và trách nhiệm giải trình của bảo hiểm y tế năm 1996 (“HIPAA”) xác định các quy tắc của Hoa Kỳ về xử lý điện tử đối với dữ liệu y tế của các tác nhân y tế và đối tác kinh doanh. 

Công ty có thể xử lý các Dữ liệu Cá nhân sau:  

• Dữ liệu nhận dạng: họ, tên, quốc tịch và ngày sinh
• Dữ liệu về thông tin liên hệ: địa chỉ bưu chính, số điện thoại riêng, địa chỉ email cá nhân và đầu mối liên hệ khẩn cấp
• Số tham chiếu an sinh xã hội và công ty bảo hiểm 
• Dữ liệu tài chính: phương tiện thanh toán, tổ chức tài chính, IBAN
• Dữ liệu liên quan đến sức khỏe người dùng: cân nặng, chiều cao, vấn đề y tế, đơn thuốc của bác sĩ, khả năng nghe, theo dõi hoạt động thể chất (số bước, cường độ tập thể dục, phút tập thể dục), dữ liệu thể chất (nhịp tim, chi tiêu năng lượng, huyết áp)
• Dữ liệu liên quan đến hành vi của người dùng trên website
• Dữ liệu liên quan đến sản phẩm được khách hàng mua: mẫu, số sê-ri, dữ liệu sử dụng
• Dữ liệu liên quan đến dịch vụ được cung cấp
• Dữ liệu liên quan đến phản hồi mà khách hàng cung cấp về sản phẩm và dịch vụ của chúng tôi: nhận xét và ghi chú

Ngoài ra, vì hoạt động của chúng tôi chủ yếu tập trung vào sản xuất các giải pháp sáng tạo cho máy trợ thính, chúng tôi có thể được yêu cầu thu thập Dữ liệu Cá nhân nhạy cảm hơn và dữ liệu sức khỏe cụ thể hơn. Tùy thuộc vào quốc gia nơi Chủ thể Dữ liệu cư trú, những Dữ liệu Cá nhân nhạy cảm đó có thể được bảo vệ đặc biệt hơn, đặc biệt là thực hiện các biện pháp bảo đảm an toàn và bảo mật.

Các cơ sở pháp lý sau đây tạo thành nền tảng mà Công ty dựa vào để thực hiện việc xử lý Dữ liệu Cá nhân. Các cơ sở pháp lý khác có thể được sử dụng tùy thuộc vào nơi Chủ thể Dữ liệu cư trú và Luật hiện hành có liên quan.

Thứ nhất, một số xử lý Dữ liệu Cá nhân có thể được thực hiện dựa trên sự đồng ý của Chủ thể Dữ liệu. Việc xử lý Dữ liệu Cá nhân cho mục đích này có thể liên quan đến:

• Mục đích tiếp thị như gửi bản tin và thông tin về sản phẩm và dịch vụ do Công ty cung cấp
• Để cải thiện hiệu suất của website của chúng tôi
• Để tư vấn và tương tác với quý vị: để tạo tài khoản của quý vị, để liên hệ với chúng tôi qua biểu mẫu liên hệ, để Sonova trả lời người dùng, để làm bài kiểm tra thính giác trực tuyến

Ngoài ra, việc xử lý Dữ liệu Cá nhân mà Công ty thực hiện cũng có thể dựa trên việc thực hiện hợp đồng hoặc các biện pháp trước hợp đồng với Các Chủ thể Dữ liệu. Việc xử lý Dữ liệu Cá nhân cho mục đích này có thể liên quan đến:

• Thực hiện nghĩa vụ hợp đồng của chúng tôi đối với các Chủ thể Dữ liệu
• Cung cấp dịch vụ hậu mãi sau khi khách hàng mua sản phẩm
• Bảo hiểm xã hội / xử lý bảo hiểm
• Quản lý khiếu nại

Công ty cũng có thể xử lý Dữ liệu Cá nhân dựa trên lợi ích hợp pháp của mình, đặc biệt là để cải thiện sản phẩm và dịch vụ, trải nghiệm khách hàng và quy trình nội bộ của chúng tôi. Việc xử lý Dữ liệu Cá nhân cho mục đích này có thể liên quan đến:

• Tiến hành phân tích thống kê / sử dụng
• Thực hiện chức năng quản trị nội bộ
• Xử lý yêu cầu của khách hàng
• Ngăn chặn hoạt động gian lận và cải thiện bảo mật
• Quản lý mối quan hệ với Chủ thể Dữ liệu
• Đánh giá mức độ liên quan của các sản phẩm và dịch vụ của chúng tôi

Công ty cũng có thể xử lý Dữ liệu Cá nhân để đáp ứng các yêu cầu pháp lý. Việc xử lý dựa trên yêu cầu pháp lý phụ thuộc vào luật hiện hành. 

Dữ liệu Cá nhân sẽ không được lưu giữ lâu hơn mức cần thiết cho các mục đích nêu trên. Điều này có nghĩa là Dữ liệu Cá nhân sẽ bị xóa ngay khi đạt được mục đích xử lý Dữ liệu Cá nhân. Tuy nhiên, Công ty có thể giữ lại Dữ liệu Cá nhân lâu hơn nếu cần thiết để tuân thủ Luật hiện hành hoặc nếu cần thiết để bảo vệ hoặc thực hiện các quyền của chúng tôi, trong phạm vi được luật bảo vệ dữ liệu hiện hành cho phép.

Vào cuối thời gian lưu giữ, Công ty cũng có thể cần lưu trữ Dữ liệu Cá nhân, nhằm tuân thủ Luật hiện hành, trong một khoảng thời gian giới hạn và có quyền truy cập hạn chế.

Thời gian lưu giữ này có thể khác nhau tùy thuộc vào quốc gia nơi Chủ thể Dữ liệu cư trú và theo Luật hiện hành.

Công ty có thể chia sẻ Dữ liệu Cá nhân, tùy thuộc vào sự đồng ý của quý vị hoặc cơ sở pháp lý có liên quan khác, với các bên thứ ba sau:

• Các công ty khác trong tập đoàn của chúng tôi như công ty con và công ty liên kết
• Các đối tác kinh doanh đáng tin cậy cung cấp dịch vụ thay mặt chúng tôi, chẳng hạn như hỗ trợ kỹ thuật, cho mục đích tiếp thị hoặc cho các loại dịch vụ cung cấp dịch vụ khác
• Các cơ quan chính phủ và các cơ quan công cộng, khi việc này là cần thiết để cung cấp bất kỳ dịch vụ nào đã được yêu cầu hoặc ủy quyền, để bảo vệ quyền của khách hàng, nhà thầu và đối tác, hoặc quyền, tài sản hoặc an toàn của chúng tôi hoặc người khác, để duy trì an ninh cho các dịch vụ của chúng tôi hoặc nếu chúng tôi được yêu cầu làm như vậy vì Luật hiện hành, tòa án hoặc các quy định khác của chính phủ, hoặc nếu việc tiết lộ như vậy là cần thiết để hỗ trợ bất kỳ cuộc điều tra pháp lý hoặc hình sự hoặc thủ tục tố tụng pháp lý nào

Tùy thuộc vào Luật hiện hành, chúng tôi thực hiện hợp đồng với một số bên thứ ba để đảm bảo rằng Dữ liệu Cá nhân được xử lý dựa trên hướng dẫn của chúng tôi và tuân thủ Chính sách này và bất kỳ biện pháp bảo mật và bảo mật thích hợp nào khác.

Các bên thứ ba nêu trên như các chi nhánh và công ty con, cũng như các đối tác kinh doanh, cơ quan công quyền mà chúng tôi có thể tiết lộ Dữ liệu Cá nhân, có thể được đặt bên ngoài quốc gia cư trú của Chủ thể Dữ liệu, có khả năng bao gồm các quốc gia có luật bảo vệ dữ liệu có thể khác với các quốc gia nơi đặt Chủ thể Dữ liệu.

Nếu Dữ liệu Cá nhân được xử lý trong Liên minh Châu Âu / Khu vực kinh tế Châu Âu và trong trường hợp Dữ liệu Cá nhân được tiết lộ cho bên thứ ba ở một quốc gia không được coi là cung cấp mức độ bảo vệ đầy đủ theo Ủy ban Châu Âu, Công ty sẽ đảm bảo:

• Việc thực hiện đầy đủ các thủ tục để tuân thủ Luật hiện hành, và đặc biệt là khi cần có yêu cầu ủy quyền của cơ quan giám sát có thẩm quyền.
• Việc thực hiện các biện pháp bảo vệ về tổ chức, kỹ thuật và pháp lý phù hợp để điều chỉnh việc chuyển giao nói trên và đảm bảo mức độ bảo vệ cần thiết và đầy đủ theo Luật hiện hành.
• Nếu cần thiết, việc thực hiện các Điều khoản Hợp đồng Tiêu chuẩn như được thông qua bởi Ủy ban Châu Âu
• Nếu cần thiết, thực hiện các biện pháp bổ sung như hoàn thành đánh giá tính đầy đủ truyền dữ liệu nếu, sau khi đánh giá các trường hợp chuyển giao và sau khi đánh giá pháp luật của nước thứ ba, cần phải bảo vệ Dữ liệu Cá nhân được chuyển giao.

Nếu Dữ liệu Cá nhân không được xử lý trong Liên minh Châu Âu / Khu vực kinh tế Châu Âu và trong trường hợp Dữ liệu Cá nhân được tiết lộ cho các bên thứ ba nằm ngoài khu vực tài phán của Chủ thể Dữ liệu, Công ty sẽ đảm bảo rằng các biện pháp bảo vệ thích hợp được áp dụng để bảo vệ Dữ liệu Cá nhân bằng cách thực hiện các cơ chế pháp lý phù hợp. Các cơ chế này có thể khác nhau tùy thuộc vào quốc gia và Luật hiện hành có liên quan.

Công ty thực hiện một loạt các biện pháp an ninh, theo Luật hiện hành, để bảo vệ Dữ liệu Cá nhân khỏi các sự cố về bảo đảm an toàn hoặc tiết lộ trái phép, và nói chung là từ một vi phạm về Dữ liệu Cá nhân. Các biện pháp bảo đảm an toàn này được công nhận là tiêu chuẩn bảo đảm an toàn thích hợp trong ngành và bao gồm, liên quan đến kiểm soát truy cập, mật khẩu, mã hóa và đánh giá bảo đảm an toàn thường xuyên.

Nếu vi phạm Dữ liệu Cá nhân xảy ra, và đặc biệt nếu có vi phạm bảo mật dẫn đến, vô tình hoặc bất hợp pháp, trong việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu Cá nhân được truyền, lưu trữ hoặc xử lý khác, Công ty sẽ thực hiện các biện pháp thích hợp như:

• Điều tra và phân tích để xác định hậu quả của vi phạm Dữ liệu Cá nhân và đặc biệt là liệu nó có khả năng tạo ra rủi ro cho quyền và tự do của những người bị ảnh hưởng hay không.
• Nếu phân tích cho thấy có rủi ro đối với quyền và tự do của những người bị ảnh hưởng, Công ty sẽ thông báo cho cơ quan có thẩm quyền và, trong trường hợp có rủi ro cao, thông báo cho những người bị ảnh hưởng.
• Thực hiện càng sớm càng tốt các biện pháp cần thiết để khắc phục và giảm thiểu vi phạm Dữ liệu Cá nhân
• Ghi lại vi phạm Dữ liệu Cá nhân để đảm bảo truy xuất nguồn gốc của nó

Các biện pháp và thủ tục thích hợp trong trường hợp vi phạm Dữ liệu Cá nhân có thể khác nhau tùy thuộc vào quốc gia nơi xảy ra, loại vi phạm và tùy thuộc vào Luật hiện hành có lien quan. 

Vì có thể thay đổi tùy thuộc vào Luật hiện hành có liên quan, Chủ thể Dữ liệu có những quyền liên quan đến Dữ liệu Cá nhân của họ, chẳng hạn như quyền yêu cầu truy cập, chỉnh sửa, xóa Dữ liệu Cá nhân của họ, hạn chế xử lý, đối tượng xử lý, yêu cầu tính di động của dữ liệu và rút lại sự đồng ý của họ để xử lý Dữ liệu Cá nhân dựa trên sự đồng ý của họ. Chủ thể Dữ liệu cũng có thể phản đối việc ra quyết định cá nhân tự động nếu họ quan tâm đến việc xử lý đó.

Ngoài ra, ở một số khu vực tài phán quý vị có thể cung cấp các hướng dẫn liên quan đến việc lưu giữ, truyền thông và xóa Dữ liệu Cá nhân của quý vị sau khi quý vị qua đời.

Việc thực hiện các quyền đó không tuyệt đối và phải tuân theo những hạn chế được quy định bởi Luật hiện hành.

Chủ thể Dữ liệu có thể có quyền khiếu nại với cơ quan giám sát địa phương hoặc cơ quan quản lý có thẩm quyền nếu họ cho rằng việc xử lý Dữ liệu Cá nhân của họ vi phạm Luật hiện hành.

Để thực hiện các quyền riêng tư đó, Chủ thể Dữ liệu có thể liên hệ với chúng tôi như được mô tả trong phần “Cách liên hệ với chúng tôi” dưới đây. Chúng tôi có thể yêu cầu bằng chứng nhận dạng để đáp ứng yêu cầu. Nếu chúng tôi không thể đáp ứng yêu cầu của quý vị (do từ chối hoặc giới hạn), chúng tôi sẽ giải thích quyết định của chúng tôi bằng văn bản.

Nếu cần thiết, thỉnh thoảng chúng tôi có thể cần cập nhật Chính sách này để phản ánh các thực tiễn về quyền riêng tư mới hoặc khác nhau. Trong trường hợp này, chúng tôi sẽ đăng các phiên bản cập nhật của Chính sách này trên trang này. Chính sách sửa đổi sẽ chỉ áp dụng cho dữ liệu được thu thập sau ngày có hiệu lực. Chúng tôi khuyến khích quý vị định kỳ xem lại trang này để biết thông tin mới nhất về các hoạt động của chúng tôi về quyền riêng tư.

Đối với bất kỳ câu hỏi, ý kiến hoặc mối quan tâm nào về Chính sách này hoặc để thực hiện các quyền riêng tư được Luật hiện hành cho phép liên quan đến Dữ liệu Cá nhân, vui lòng liên hệ với Nhân viên Bảo vệ Dữ liệu của chúng tôi theo địa chỉ sau: Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Thụy Sĩ hoặc gửi e-mail đến: privacy@sonova.com

Hiệu lực từ: Tháng 2 năm 2022