Chính sách làm việc Remote cho nhân viên/freelancer Tekai

1. Phạm vi áp dụng và nguyên tắc chung

• Áp dụng cho tất cả nhân viên/freelancer/đối tác của Tekai khi truy cập hệ thống, dữ liệu, tài khoản, hoặc làm việc theo dự án của Tekai từ ngoài văn phòng.
• Nguyên tắc need-to-know và least privilege: chỉ truy cập dữ liệu tối thiểu để hoàn thành công việc.
• Nguyên tắc minimize & protect: giảm tải dữ liệu ra thiết bị cá nhân, ưu tiên làm việc trực tiếp trên hệ thống được Tekai phê duyệt, mã hóa khi lưu trữ/trao đổi.

2. Các rủi ro đặc thù khi làm remote (và cách phòng tránh)

• Môi trường làm việc không kiểm soát (người xung quanh, camera, màn hình lộ): bắt buộc dùng màn hình ở nơi riêng tư, khóa màn hình khi rời máy, không để người khác nhìn thấy dữ liệu.
• Wi‑Fi công cộng/không tin cậy: không dùng Wi‑Fi công cộng cho hệ thống Tekai; nếu bắt buộc phải dùng, phải dùng VPN theo chuẩn Tekai và không truy cập dữ liệu nhạy cảm.
• Thiết bị cá nhân thất lạc/nhiễm mã độc: cập nhật OS, bật mã hóa ổ đĩa, khóa máy bằng PIN/biometrics, bật tường lửa; không cài phần mềm crack.
• Trao đổi qua kênh không chính thức (chat cá nhân, email riêng): chỉ dùng kênh Tekai/phê duyệt; không forward file/dữ liệu vào email cá nhân.

3. Dữ liệu cá nhân, GDPR (EU/Phần Lan) và nghĩa vụ tuân thủ

Tekai hoạt động liên quan EU/Phần Lan và xử lý dữ liệu cá nhân (ví dụ sơ yếu lý lịch/Resume (CV), đánh giá phỏng vấn, liên hệ ứng viên). Khi làm remote, bạn phải tuân thủ GDPR và luật triển khai tại Phần Lan (Data Protection Act 1050/2018).

• Không tự ý thu thập dữ liệu ngoài phạm vi công việc; không “xin thêm” thông tin cá nhân qua kênh riêng.
• Không lưu trữ cục bộ sơ yếu lý lịch/Resume (CV) hoặc thông tin nhận dạng cá nhân (personally identifiable information) trên thiết bị cá nhân trừ khi được phê duyệt; nếu được phê duyệt phải mã hóa và xóa ngay khi hết nhu cầu.
• Không chia sẻ dữ liệu cá nhân cho bên thứ ba/đội nhóm không liên quan, kể cả “chỉ để tham khảo”.
• Không chuyển dữ liệu ra ngoài hệ thống được Tekai phê duyệt; mọi chuyển giao xuyên biên giới phải theo cơ chế bảo vệ phù hợp (ví dụ SCCs) do Tekai quản lý.
• Báo cáo sự cố ngay khi nghi ngờ rò rỉ/mất thiết bị/nhầm gửi dữ liệu; tuyệt đối không “tự xử lý im lặng”.

Lưu ý: vi phạm GDPR có thể dẫn tới chế tài hành chính rất lớn (ví dụ theo GDPR Điều 83, mức tối đa có thể lên tới 20.000.000 EUR hoặc 4% doanh thu toàn cầu năm trước, tùy trường hợp).

4. “Shadow” bị cấm tuyệt đối (Shadow IT / Shadow Work)

• Shadow IT: tự ý dùng công cụ không được phê duyệt để xử lý dữ liệu/công việc Tekai (ví dụ upload dữ liệu ứng viên lên dịch vụ cá nhân; đưa lên dịch vụ cá nhân các tài liệu, mã nguồn, email, chứng thư số và mọi dữ liệu khác do khách hàng cung cấp — không giới hạn loại thông tin; dùng AI/Drive/Email/Chat không được duyệt; tự tạo “hệ thống phụ”).
• Shadow Work: tự ý chuyển giao, ủy quyền hoặc nhờ người khác thực hiện thay công việc Tekai (bao gồm việc “thuê ngoài” cá nhân/nhóm thứ ba), khi chưa được Tekai phê duyệt bằng văn bản. Điều này bao gồm cả việc đưa tài liệu, dữ liệu, mã nguồn, hoặc thông tin dự án cho người không có thẩm quyền.
• Moonlighting: Sử dụng phần mềm, công cụ mà Tekai cung cấp để làm việc cho bên thứ 3, khi bị phát hiện sẽ dẫn đến chấm dứt hợp đồng và có thể bị xử lý theo pháp luật Việt Nam tùy tính chất và mức độ.

Bất kỳ dấu hiệu “shadow” nào đều có thể bị coi là vi phạm nghiêm trọng nghĩa vụ bảo mật và tuân thủ, dẫn tới xử lý kỷ luật/đơn phương chấm dứt hợp đồng và/hoặc chuyển hồ sơ cho cơ quan có thẩm quyền tùy tính chất vụ việc.

5. Các hành vi remote không được phép (danh sách tối thiểu)

• Chụp màn hình/quay màn hình/ghi âm nội dung họp có dữ liệu nhạy cảm khi chưa được phép.
• In/scan tài liệu có dữ liệu cá nhân tại nhà/tiệm in; lưu vào USB ổ cứng rời không mã hóa.
• Sao chép dữ liệu dự án, mã nguồn, tài liệu nội bộ sang tài khoản cá nhân (Drive/Git/Email).
• Chia sẻ credential/OTP, dùng chung tài khoản, tắt MFA, hoặc cố tình bỏ qua quy trình phê duyệt truy cập.
• Truy cập hệ thống Tekai từ máy tính công cộng, máy mượn, hoặc thiết bị không đạt yêu cầu bảo mật tối thiểu.

6. Yêu cầu bảo mật tối thiểu khi remote

• Thiết bị: mã hóa ổ đĩa, khóa màn hình tự động, OS/browser cập nhật; không jailbreak/root.
• 1 máy làm việc duy nhất: chỉ được phép sử dụng 01 máy tính cá nhân duy nhất hoặc máy do Tekai cung cấp (tùy trường hợp) để thực hiện công việc. Việc sử dụng hai máy tính đồng thời có thể bị coi là “shadow” và vi phạm nghiêm trọng Điều 4, có thể bị chấm dứt hợp đồng.
• Tài khoản: bật MFA, không reuse password, không lưu mật khẩu vào ghi chú/ảnh chụp.
• Mạng: không dùng Wi‑Fi công cộng; hạn chế truy cập dữ liệu nhạy cảm khi không ở không gian riêng tư.
• Dữ liệu: phân loại dữ liệu; chỉ tải xuống khi được phép; xóa sạch sau khi hoàn thành.

Ngoại lệ: nếu cần thiết phải thay đổi máy tính (máy hỏng, thay máy, đổi thiết bị), bạn phải thông báo trước cho Tekai để Tekai tiến hành giám sát quá trình chuyển đổi dữ liệu và thu hồi/xóa dữ liệu trên máy cũ theo quy trình.

7. Báo cáo sự cố (bắt buộc)

Bạn phải báo cáo ngay lập tức khi có bất kỳ dấu hiệu sau:

• Mất thiết bị, nghi nhiễm mã độc, bị lộ mật khẩu/OTP;
• Nhầm gửi file/email, share nhầm link, lộ dữ liệu cá nhân;
• Phát hiện truy cập bất thường hoặc hành vi “shadow” trong dự án.

Kênh báo cáo: privacy@tekai.vn và gdpr@tekai.fi.

8. Chế tài và trách nhiệm (răn đe)

Ngoài các chế tài nội bộ/hợp đồng (cảnh cáo, đình chỉ truy cập, chấm dứt hợp đồng, yêu cầu bồi thường thiệt hại), hành vi vi phạm còn có thể bị xử lý theo pháp luật Việt Nam tùy tính chất và mức độ.

Các khung phạt trên mang tính tham khảo, phụ thuộc yếu tố cấu thành, hậu quả, giá trị thiệt hại/thu lợi… và kết luận của cơ quan có thẩm quyền.

9. Tài liệu tham chiếu (đọc thêm)

• GDPR Điều 83 (mức phạt hành chính): gdpr-info.eu/art-83-gdpr.
• Finland Data Protection Act (1050/2018) (bản dịch tiếng Anh - Finlex): finlex.fi (PDF).
• Nghị định 15/2020/NĐ‑CP (Điều 84/101/102): hethongphapluat.com (toàn văn).
• Bộ luật Hình sự Điều 288/289 (tham khảo văn bản trích dẫn): Điều 288, Điều 289.