QUY ĐỊNH VỀ BẢO VỆ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN
(Ban hành kèm theo Quyết định số 240/2023/QĐ/PTGĐ-VISC ngày 25/12/2023 của Phó Tổng Giám đốc)
Quy định này quy định cách thức mà Công ty Cổ phần Chứng khoán Đầu tư Tài chính Việt Nam (“VISC”) thu thập và xử lý Dữ liệu cá nhân của Chủ thể dữ liệu trong quá trình Chủ thể dữ liệu thiết lập quan hệ hoặc sử dụng các sản phẩm, dịch vụ của VISC. Theo đó, VISC khuyến nghị Chủ thể dữ liệu đọc kỹ các nội dung dưới đây và thường xuyên kiểm tra để cập nhật bất kỳ sửa đổi, bổ sung nào mà VISC tiến hành theo quy định tại Quy Định này. Chủ thể dữ liệu đồng ý tuân thủ Quy định về Bảo vệ và xử lý Dữ liệu cá nhân của Công ty Cổ phần Chứng khoán Đầu tư Tài chính Việt Nam.
1.1. Quy định về Bảo vệ và xử lý dữ liệu cá nhân (gọi tắt là “Quy Định”) là một phần không thể tách rời của các hợp đồng, thỏa thuận, giấy đề nghị, đăng ký và các văn bản, tài liệu khác có phát sinh từ và/hoặc ảnh hưởng đến mối quan hệ và/hoặc ràng buộc, làm phát sinh quyền, nghĩa vụ và trách nhiệm giữa Chủ thể dữ liệu với VISC.
1.2. Trên cơ sở các quy định của pháp luật Việt Nam và việc bảo vệ Dữ liệu cá nhân, quyền riêng tư của Chủ thể dữ liệu (bao gồm cả những bên liên quan) thông qua các biện pháp bảo vệ Dữ liệu cá nhân phù hợp với quy định hiện hành, VISC luôn nỗ lực trong việc tôn trọng và bảo vệ quyền riêng tư, bảo mật, an toàn Dữ liệu cá nhân của Chủ thể dữ liệu.
1.3. Trong quá trình hoạt động, VISC chỉ thu thập, xử lý và lưu trữ Dữ liệu cá nhân của Chủ thể dữ liệu theo quy định của pháp luật và trong phạm vi các hợp đồng, thỏa thuận, văn bản khác được ký kết giữa VISC và Chủ thể dữ liệu hoặc giữa VISC và các bên liên quan đến Chủ thể dữ liệu.
1.4. Tùy thuộc vào vai trò của VISC trong từng trường hợp cụ thể là (i) Bên Kiểm soát Dữ liệu cá nhân; hoặc (ii) Bên Xử lý Dữ liệu cá nhân; hoặc (iii) Bên Kiểm soát và xử lý Dữ liệu cá nhân, VISC sẽ tuân thủ các quyền hạn, nghĩa vụ, trách nhiệm và nguyên tắc xử lý Dữ liệu cá nhân theo quy định của pháp luật hiện hành.
1.5. Chủ thể dữ liệu hiểu và đồng ý rằng, việc cung cấp Dữ liệu cá nhân cho VISC, bao gồm và không giới hạn bởi các thông tin VISC đã có trước, trong và sau khi chấp thuận Quy Định này, là sự đồng ý toàn phần của Chủ thể dữ liệu để VISC có đầy đủ các quyền hợp pháp khi sử dụng Dữ liệu cá nhân trong quá trình tiếp nhận và xử lý, bắt đầu từ khi VISC nhận được các thông tin đó cho đến khi có yêu cầu dừng việc xử lý từ Chủ thể dữ liệu hoặc theo quy định của pháp luật.
1.6. Quy Định này sẽ là quy định được ưu tiên áp dụng trong trường hợp có xung đột hoặc mâu thuẫn với các thỏa thuận, điều khoản và điều kiện quy định quan hệ giữa Chủ thể dữ liệu và VISC, dù đã ký kết trước, vào ngày hay sau ngày Chủ thể dữ liệu chấp thuận Quy Định này.
1.7. Tất cả các quyền hạn, nghĩa vụ và trách nhiệm của VISC và Chủ thể dữ liệu tại Quy Định này sẽ không làm thay thế, chấm dứt hoặc thay đổi mà sẽ đồng thời là các quyền, nghĩa vụ hiện có trong bất kỳ văn bản nào và không một điều khoản nào trong Quy Định này hàm ý hạn chế hoặc xóa bỏ bất kỳ quyền, nghĩa vụ nào của các bên đã được xác lập.
2.1. “Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử liên quan đến một con người cụ thể hoặc giúp xác định một con người cụ thể.
Dữ liệu cá nhân bao gồm Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
2.2. “Thông tin giúp xác định một con người cụ thể” là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
2.3. “Dữ liệu cá nhân cơ bản” bao gồm:
a. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c. Giới tính;
d. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
e. Quốc tịch;
f. Hình ảnh của cá nhân;
g. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h. Tình trạng hôn nhân;
i. Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
j. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
k. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là Dữ liệu cá nhân nhạy cảm.
2.4. “Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a. Quan điểm chính trị, quan điểm tôn giáo;
b. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c. Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
e. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
f. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
j. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
2.5. “Xử lý dữ liệu cá nhân” là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
2.6. “Chủ thể dữ liệu” là các cá nhân được Dữ liệu cá nhân phản ánh mà dữ liệu cá nhân của họ được chia sẻ cho VISC, bao gồm nhưng không giới hạn như các cá nhân là khách hàng của VISC, người lao động, cộng tác viên làm việc cho VISC, cổ đông của VISC, cá nhân thuộc các tổ chức là đối tác thiết lập quan hệ với VISC hoặc bất kỳ cá nhân nào khác có Dữ liệu cá nhân được VISC xử lý.
2.7. “Khách hàng” là các cá nhân, tổ chức tiếp cận, tìm hiểu, đăng ký, sử dụng, thiết lập quan hệ hoặc có liên quan đối với các sản phẩm, dịch vụ do VISC cung cấp.
2.8. “Công ty” hoặc “VISC” là Công ty Cổ phần Chứng khoán Đầu tư Tài chính Việt Nam, bao gồm trụ sở, chi nhánh, văn phòng, phòng giao dịch của công ty (nếu có).
2.9. “Bên thứ ba” là bất kỳ tổ chức, cá nhân ngoài VISC và Chủ thể dữ liệu.
2.10. “Sự đồng ý của chủ thể dữ liệu” là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
Để làm rõ và tránh hiểu nhầm, các thuật ngữ nào chưa được giải thích tại Quy Định này sẽ được giải thích theo quy định của pháp luật Việt Nam tại từng thời điểm hoặc tại các hợp đồng, thỏa thuận và văn bản khác giữa VISC và Chủ thể dữ liệu.
3.1. Thu thập Dữ liệu cá nhân
3.1.1. Để có cơ sở cung cấp các sản phẩm, dịch vụ và/hoặc xử lý các yêu cầu của Khách hàng, VISC có thể cần phải và/hoặc được yêu cầu phải thu thập Dữ liệu cá nhân, bao gồm: (i) Dữ liệu cá nhân cơ bản và (ii) Dữ liệu cá nhân nhạy cảm liên quan đến Khách hàng và các Bên thứ ba có liên quan.
3.1.2. Cách thức và phương thức thu thập
VISC có thể thu thập trực tiếp hoặc gián tiếp Dữ liệu cá nhân của Chủ thể dữ liệu trong quá trình cung cấp các sản phẩm, dịch vụ và từ một hoặc nhiều nguồn sau đây, bao gồm nhưng không giới hạn bởi:
a. Trực tiếp từ Khách hàng: VISC thu thập thông tin khi tiếp xúc, làm việc, cung cấp dịch vụ hoặc gặp gỡ Khách hàng trực tiếp và được Khách hàng cung cấp.
b. Từ các trang web (website) của VISC: VISC có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi có sự truy cập, khai báo tại bất kỳ trang web nào của VISC.
c. Từ ứng dụng di động: VISC có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi có sự tải xuống, sử dụng hoặc khai báo trên ứng dụng dành cho thiết bị di động của VISC.
d. Từ các cuộc giao tiếp, liên lạc với Khách hàng: VISC có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi có liên hệ, trao đổi với VISC thông qua các hình thức khác nhau, chẳng hạn như qua email, gọi điện thoại tới Tổng đài của VISC hoặc bất kỳ phương tiện nào khác (bao gồm và không giới hạn các cuộc khảo sát, điều tra mà VISC tiến hành hoặc có được).
e. Từ các tương tác hoặc công nghệ thu thập dữ liệu tự động: VISC có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu được ghi tự động từ kết nối của Chủ thể dữ liệu hoặc các bên liên quan như cookies, plug-in, trình tự kết nối mạng xã hội của bên thứ ba hoặc bất kỳ công nghệ nào có khả năng theo dõi, thu nhận Dữ liệu cá nhân trên các thiết bị hoặc trang tin điện tử, các nền tảng mạng xã hội đó.
f. Từ Cơ quan nhà nước có thẩm quyền: VISC có thể tiếp nhận Dữ liệu cá nhân từ các cơ quan quản lý như Ủy ban chứng khoán Nhà nước, Tổng Công ty Lưu ký và Bù trừ Chứng khoán Việt Nam, các Sở Giao dịch chứng khoán hoặc bất kỳ cơ quan có thẩm quyền khác tại Việt Nam.
g. Từ các nguồn được công khai: VISC có thể tiếp nhận Dữ liệu cá nhân của Khách hàng từ các nguồn công khai, bao gồm nhưng không giới hạn như danh bạ điện thoại, thông tin quảng cáo/tờ rơi, các thông tin được công khai trên mạng, báo chí.
h. Từ các nhà cung cấp, bên cung cấp dịch vụ, đối tác, bên liên kết và các bên thứ ba có liên quan đến hoạt động kinh doanh của VISC;
i. Từ các bên thứ ba có quan hệ với Khách hàng;
j. Từ những nguồn khác mà Khách hàng đồng ý việc chia sẻ/cung cấp Dữ liệu cá nhân, hoặc những nguồn mà việc thu thập được pháp luật yêu cầu hoặc cho phép.
3.2. Mục đích xử lý Dữ liệu cá nhân
3.2.1. VISC có thể xử lý Dữ liệu cá nhân cho một hoặc nhiều mục đích được đề cập sau đây:
a. Cung cấp các sản phẩm, dịch vụ của VISC, bao gồm cả các sản phẩm, dịch vụ mà các bên thứ ba phối hợp, liên kết cùng với VISC để triển khai thực hiện theo quy định của pháp luật;
b. Đánh giá, thẩm định hồ sơ pháp lý, điều kiện tài chính và khả năng đáp ứng của Khách hàng đối với các sản phẩm và dịch vụ được cung cấp và đề xuất bởi VISC;
c. Nghiên cứu, phân tích và đánh giá các nội dung các hợp đồng, thỏa thuận và văn bản có liên quan phát sinh giữa Khách hàng và VISC;
d. Lập báo cáo tài chính, báo cáo tình hình hoạt động và các loại báo cáo khác theo quy định pháp luật và yêu cầu của cơ quan nhà nước có thẩm quyền;
e. Thực thi và bảo vệ các quyền, lợi ích hợp pháp của VISC trên cơ sở tuân thủ các quy định pháp luật liên quan, bao gồm việc thu các khoản phí, lệ phí và/hoặc thu hồi các khoản nợ hoặc bất kỳ khoản thanh toán nào khác hoặc xử lý các thủ tục khiếu kiện, khiếu nại hoặc theo bất kỳ thỏa thuận nào giữa VISC và Khách hàng;
f. Xác minh tính chính xác, đầy đủ của các Dữ liệu cá nhân được cung cấp; xác định hoặc xác thực danh tính của Khách hàng và thực hiện quy trình xác thực khách hàng;
g. Quảng bá, thông tin về các sản phẩm, dịch vụ, chương trình khuyến mại, quảng cáo, nghiên cứu, khảo sát, bình chọn, tin tức, thông tin cập nhật, các sự kiện, cuộc thi có thưởng, trao các phần thưởng có liên quan, các hoạt động truyền thông, giới thiệu có liên quan về các dịch vụ, sản phẩm của VISC cũng như các sản phẩm, dịch vụ của đối tác khác có hợp tác, liên kết với VISC;
h. Liên hệ để trao đổi, cung cấp các thông tin, văn bản hoặc tài liệu khác liên quan đến việc giao dịch, sử dụng sản phẩm, dịch vụ với VISC, bao gồm nhưng không giới hạn bởi việc thông báo các thông tin hoặc sự thay đổi về về nghĩa vụ, quyền lợi, tính năng, cải tiến và nâng cao chất lượng, tiện ích của sản phẩm, dịch vụ;
i. Làm cơ sở để VISC hoặc các bên thứ ba là đối tác của VISC thực hiện các nghiên cứu thị trường, khảo sát và phân tích dữ liệu liên quan đến bất kỳ sản phẩm, dịch vụ nào do VISC cung cấp liên quan đến Khách hàng;
j. Ngăn chặn hoặc giảm thiểu các mối đe dọa hoặc trường hợp có dấu hiệu hoặc đã cấu thành hành vi vi phạm pháp luật, xâm phạm tới tính mạng, sức khỏe của người khác và lợi ích công cộng;
k. Đảm bảo mối quan hệ và giao dịch giữa VISC và Khách hàng tuân thủ các quy định, chính sách nội bộ của VISC và các quy định, hướng dẫn hoặc yêu cầu của Cơ quan nhà nước có thẩm quyền cũng như pháp luật;
l. Cung cấp và trao đổi cho các bên thứ ba là bên cung cấp dịch vụ hoặc đối tác của VISC trong việc cung cấp các sản phẩm và/hoặc thực hiện dịch vụ cho Khách hàng và/hoặc VISC;
m. Cho bất kỳ mục đích nào khác được yêu cầu hoặc được cho phép bởi quy định của pháp luật và/hoặc các yêu cầu, hướng dẫn của các Cơ quan nhà nước có thẩm quyền;
n. Phục vụ các mục đích khác liên quan đến hoạt động kinh doanh của VISC mà theo đánh giá, VISC cho là phù hợp tại từng thời điểm sử dụng;
o. Theo các cách thức khác mà VISC thông báo đến Khách hàng, vào thời điểm thu thập Dữ liệu cá nhân của Khách hàng hoặc trước khi bắt đầu xử lý liên quan hoặc theo yêu cầu khác hoặc được pháp luật hiện hành cho phép.
3.2.2. Trường hợp sử dụng Dữ liệu cá nhân của Chủ thể dữ liệu cho mục đích khác ngoài các mục đích đã được nêu tại Quy Định, trước khi sử dụng, VISC sẽ chỉ sử dụng nếu có được sự cho phép từ Chủ thể dữ liệu.
3.3. Xử lý Dữ liệu cá nhân trong các trường hợp đặc biệt
3.3.1. Xử lý Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình: Trường hợp Dữ liệu cá nhân được thu thập qua camera giám sát hoặc các thiết bị khác có chức năng khả năng ghi âm, ghi hình tại các khu vực được lắp đặt, bao gồm nhưng không giới hạn ở khu vực làm việc, khu vực văn phòng, khu vực hành lang, khu vực lối ra, VISC có quyền xử lý Dữ liệu cá nhân đó theo đúng yêu cầu bảo đảm an ninh trong hoạt động của VISC và cho Khách hàng trên cơ sở tuân thủ các quy định của pháp luật.
3.3.2. Xử lý Dữ liệu cá nhân của trẻ em: Trong mọi trường hợp, VISC luôn tôn trọng và bảo vệ Dữ liệu cá nhân của trẻ em. Theo đó, VISC luôn đảm bảo việc xử lý Dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. Bên cạnh việc thực hiện đúng các quy định của pháp luật trong việc bảo vệ Dữ liệu cá nhân, VISC sẽ kiểm tra độ tuổi của trẻ em và yêu cầu sự đồng ý của: (i) trẻ em và/hoặc (ii) cha mẹ hoặc người giám hộ theo quy định của pháp luật trước khi xử lý Dữ liệu cá nhân của trẻ em.
3.3.3. Xử lý Dữ liệu cá nhân trường hợp cá nhân bị tuyên bố mất tích/đã chết: Đối với việc xử lý Dữ liệu cá nhân liên quan đến người bị tuyên bố mất tích/đã chết, ngoài việc tuân thủ các quy định pháp luật liên quan, VISC sẽ chỉ được thực hiện xử lý Dữ liệu cá nhân khi có sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp pháp luật có quy định khác.
3.4. Việc chuyển giao và tiết lộ Dữ liệu cá nhân
3.4.1. VISC cam kết sẽ không bán, trao đổi, cho thuê hoặc chuyển giao dưới hình thức khác các thông tin cá nhân của Chủ thể dữ liệu mà không có sự chấp thuận của Chủ thể dữ liệu theo quy định của pháp luật. Tuy nhiên, cho việc thực hiện mục đích và hoạt động xử lý Dữ liệu cá nhân theo Quy định về Bảo vệ và xử lý Dữ liệu cá nhân này, Chủ thể dữ liệu đồng ý rằng VISC có thể tiết lộ Dữ liệu cá nhân của mình hoặc Dữ liệu cá nhân của các bên liên quan cho một hoặc nhiều bên trong các trường hợp sau:
a. VISC có thể chia sẻ Dữ liệu cá nhân của Chủ thể dữ liệu với các nhân viên và bộ phận trong nội bộ VISC cho các mục đích được nêu trong Quy định về Bảo vệ và xử lý Dữ liệu cá nhân này và các hợp đồng, thỏa thuận và các văn bản có liên quan được ký kết giữa Khách hàng và VISC.
b. Trường hợp các cơ quan nhà nước có thẩm quyền tại Việt Nam hoặc bất kỳ cá nhân, cơ quan quản lý hoặc bên thứ ba có yêu cầu mà VISC được phép hoặc bắt buộc phải tiết lộ theo quy định pháp luật của bất kỳ quốc gia, hoặc theo bất kỳ hợp đồng/thỏa thuận hoặc cam kết nào khác phát sinh giữa VISC và các bên thứ ba;
c. Các trường hợp cần thiết phát sinh trong hoạt động của VISC, bao gồm nhưng không giới hạn bởi việc tiết lộ Dữ liệu cá nhân đối với các đối tác kinh doanh, nhà cung cấp phần thưởng, nhà cung cấp quà tặng, các bên đồng thương hiệu, bên tham gia hoặc phối hợp tổ chức chương trình khách hàng thân thiết, các nhà quảng cáo, tổ chức từ thiện hoặc tổ chức phi lợi nhuận, bất kỳ tổ chức nào liên quan đến việc điều hành và triển khai hoạt động kinh doanh của VISC, bên triển khai vận hành hệ thống, ứng dụng hoặc thiết bị, hay cung cấp cho Khách hàng bất kỳ sản phẩm hoặc dịch vụ nào mà Khách hàng đã lựa chọn hoặc được nêu trong Quy Định này;
d. Các trường hợp liên quan đến việc thực thi hoặc duy trì bất kỳ quyền hạn, trách nhiệm hoặc nghĩa vụ nào theo (các) thỏa thuận giữa Khách hàng và VISC buộc VISC phải tiết lộ với các cá nhân và/hoặc tổ chức nào có liên quan;
e. Khách hàng đồng ý hoặc VISC có cơ sở pháp lý để chia sẻ Dữ liệu cá nhân của Chủ thể dữ liệu cho các bên thứ ba khác.
3.4.2. VISC tôn trọng quyền được bảo mật và giữ bí mật Dữ liệu cá nhân của Chủ thể dữ liệu. Ngoài các trường hợp đã được nêu ở trên, VISC cam kết sẽ không tiết lộ Dữ liệu cá nhân của Chủ thể dữ liệu cho bất kỳ bên thứ ba nào khác, trừ khi có các trường hợp sau đây:
a. Khi có sự đồng ý của Chủ thể dữ liệu;
b. Khi VISC được yêu cầu hoặc được phép tiết lộ theo quy định của pháp luật; hoặc theo quyết định của cơ quan nhà nước có thẩm quyền;
c. Khi VISC chuyển giao quyền và nghĩa vụ theo (các) thỏa thuận giữa Chủ thể dữ liệu và VISC hoặc thực hiện theo quy định của pháp luật.
3.5. Chuyển giao Dữ liệu cá nhân ra nước ngoài
3.5.1. Cho mục đích xử lý Dữ liệu cá nhân theo Quy Định này và triển khai thực hiện, Khách hàng đồng ý rằng VISC có thể cung cấp, chia sẻ hoặc chuyển giao dưới hình thức khác Dữ liệu cá nhân của Chủ thể dữ liệu cho các bên thứ ba liên quan và các bên thứ ba này có thể đặt tại Việt Nam hoặc bất kỳ địa điểm nào khác nằm ngoài lãnh thổ Việt Nam.
3.5.2. Trong mọi trường hợp, việc cung cấp, chia sẻ hoặc chuyển giao dưới hình thức khác Dữ liệu cá nhân ra nước ngoài, VISC sẽ yêu cầu bên tiếp nhận phải cam kết bảo mật và an toàn Dữ liệu cá nhân của Chủ thể dữ liệu. Đồng thời, việc chuyển giao dữ liệu trong trường hợp này phải tuân thủ các quy định pháp luật liên quan đến bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu.
4.1. Trừ trường hợp luật có quy định khác, Chủ thể dữ liệu có các quyền sau đây:
a. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý Dữ liệu cá nhân của mình.
b. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý Dữ liệu cá nhân của mình.
c. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân của mình.
d. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình.
e. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình.
f. Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu được yêu cầu hạn chế xử lý Dữ liệu cá nhân của mình. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 (bảy mươi hai) giờ sau khi có yêu cầu của Chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế.
g. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu VISC cung cấp cho bản thân dữ liệu cá nhân của mình.
h. Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu được phản đối VISC xử lý Dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ các trường hợp khác theo quy định của pháp luật và/hoặc tại Quy định về Bảo vệ và xử lý Dữ liệu cá nhân này.
i. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
j. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm Quy định về Bảo vệ và xử lý Dữ liệu cá nhân của mình.
k. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự vệ theo quy định của pháp luật hiện hành.
l. Các quyền khác theo quy định của pháp luật.
Chủ thể dữ liệu có thể thực hiện các quyền này bằng cách liên hệ với VISC theo thông tin chi tiết được cung cấp tại Điều 9 Quy Định này.
4.2. Trong khả năng và điều kiện cho phép, VISC sẽ cố gắng hết sức để thực hiện các yêu cầu hợp pháp và hợp lệ từ Chủ thể dữ liệu trong khoảng thời gian quy định bởi luật pháp, kể từ khi nhận được yêu cầu hoàn chỉnh, hợp lệ và phí xử lý liên quan (nếu có) từ Chủ thể dữ liệu. Tuy nhiên, việc thực hiện các yêu cầu này của Chủ thể dữ liệu còn phụ thuộc vào quyền của VISC khi được áp dụng theo quy định của pháp luật cũng như thỏa thuận với Khách hàng.
4.3. Trường hợp Chủ thể dữ liệu muốn rút lại sự đồng ý, yêu cầu xóa dữ liệu và/hoặc thực hiện các quyền khác đối với bất kỳ hoặc tất cả Dữ liệu cá nhân của mình, sau khi xem xét và bằng quyết định của mình, VISC sẽ cân nhắc về việc không tiếp tục cung cấp các sản phẩm, dịch vụ có liên quan đến việc sử dụng Dữ liệu cá nhân của Chủ thể dữ liệu. Việc này có thể xảy ra nếu VISC không thể đảm bảo chất lượng sản phẩm, dịch vụ theo đánh giá của mình hoặc nếu việc thu thập Dữ liệu cá nhân là bắt buộc theo quy định của pháp luật. VISC sẽ thông báo cho Khách hàng về quyết định này, trong đó có nêu rõ lý do. Mọi thiệt hại phát sinh đối với Khách hàng và VISC (nếu có) sẽ do Chủ thể dữ liệu chịu trách nhiệm hoàn toàn. Tuy nhiên, Chủ thể dữ liệu đồng ý rằng, do tính chất hoạt động của VISC, trong trường hợp pháp luật yêu cầu phải lưu trữ thông tin của Chủ thể dữ liệu, VISC sẽ không thể đáp ứng yêu cầu xóa dữ liệu của Chủ thể dữ liệu nếu việc này vi phạm pháp luật.
4.4. Khi thực hiện các quyền của mình, Chủ thể có thể cần phải yêu cầu bằng văn bản hoặc sử dụng các phương pháp khác để chứng minh và xác nhận danh tính của mình. Khi đó, VISC có thể yêu cầu Chủ thể dữ liệu xác minh danh tính trước khi tiến hành xử lý yêu cầu.
Ngoài các nghĩa vụ theo quy định của luật, Chủ thể dữ liệu có các nghĩa vụ sau khi cung cấp Dữ liệu cá nhân cho VISC:
5.1. Chủ thể dữ liệu có trách nhiệm tự bảo vệ Dữ liệu cá nhân của mình và yêu cầu các tổ chức, cá nhân liên quan bảo vệ Dữ liệu cá nhân của mình. Đồng thời, Chủ thể dữ liệu cũng phải tôn trọng và bảo vệ Dữ liệu cá nhân của người khác.
5.2. Cung cấp đầy đủ và chính xác Dữ liệu cá nhân cho VISC khi ký kết hợp đồng hoặc sử dụng các sản phẩm, dịch vụ do VISC cung cấp.
5.3. Tuân thủ và tuân thủ quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia vào việc phòng chống các hành vi vi phạm Quy định về Bảo vệ và xử lý Dữ liệu cá nhân.
5.4. Trong trường hợp có sự thay đổi hoặc điều chỉnh Dữ liệu cá nhân, Chủ thể dữ liệu và/hoặc bên liên quan có trách nhiệm liên hệ và thông báo ngay cho VISC để VISC cập nhật kịp thời những thay đổi và điều chỉnh đó. Trường hợp chậm trễ, Chủ thể dữ liệu và/hoặc bên liên quan sẽ chịu trách nhiệm toàn bộ đối với việc thông báo chậm này; đồng thời, việc thông báo chậm này sẽ miễn trừ VISC đối với mọi thiệt hại và rủi ro phát sinh (nếu có).
6.1. Chủ thể dữ liệu hiểu và đồng ý rằng việc cung cấp và cho phép VISC sử dụng và xử lý Dữ liệu cá nhân luôn tồn tại những rủi ro tiềm tàng, bao gồm nhưng không giới hạn như do lỗi của hệ thống, đường truyền, các sự kiện bất khả kháng, virus, tấn công mạng hoặc lỗi phần cứng, phần mềm, các hành động, thao tác của Chủ thể dữ liệu hoặc bất kỳ bên thứ ba nào khác có thể ảnh hưởng đến việc cung cấp và xử lý Dữ liệu cá nhân của Chủ thể dữ liệu. Các rủi ro có thể xảy ra, bao gồm việc Dữ liệu cá nhân của Chủ thể dữ liệu bị lộ hoặc đánh cắp bởi một bên khác dẫn đến việc các Dữ liệu cá nhân này có thể được sử dụng cho các mục đích không mong muốn hoặc nằm ngoài tầm kiểm soát của VISC và Chủ thể dữ liệu, từ đó gây ra tổn thất về tài sản và tinh thần.
6.2. Trong quá trình cung cấp các sản phẩm và dịch vụ cho Khách hàng, VISC luôn coi Dữ liệu cá nhân của Chủ thể dữ liệu là tài sản quý giá nhất và nỗ lực đảm bảo tính bảo mật, an toàn và tuân thủ pháp luật để hạn chế các rủi ro và thiệt hại có thể xảy ra.
6.3. Trách nhiệm bảo mật Dữ liệu cá nhân là một yêu cầu bắt buộc đối với tất cả nhân viên của VISC. VISC sẽ tuân thủ các quy định của pháp luật hiện hành để bảo vệ Dữ liệu cá nhân theo các biện pháp bảo mật tốt nhất và thường xuyên cập nhật và xem xét các biện pháp quản lý và kỹ thuật khi xử lý Dữ liệu cá nhân của Chủ thể dữ liệu (nếu có).
7.1. Trong điều kiện và khả năng tốt nhất của mình, VISC cam kết sẽ nỗ lực trong việc bảo mật Dữ liệu cá nhân của Chủ thể dữ liệu khi được lưu trữ tại VISC. Chúng tôi sẽ áp dụng các biện pháp hợp lý và cần thiết để bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu trong quá trình lưu trữ tại VISC theo hình thức phù hợp với hoạt động của VISC trên cơ sở tuân thủ các quy định của pháp luật.
7.2. Việc lưu trữ, xóa và hủy Dữ liệu cá nhân của Chủ thể dữ liệu tại VISC sẽ tuân theo các thỏa thuận, hợp đồng và văn bản mà các bên liên quan đã ký kết với VISC, cũng như Quy Định này và các quy định của pháp luật có liên quan.
8.1. Vào bất kỳ thời điểm nào, VISC có quyền sửa đổi, cập nhật hoặc điều chỉnh các điều khoản của Quy Định này với điều kiện phải đảm bảo tuân thủ các quy định pháp luật liên quan. Thông tin về các sửa đổi, cập nhật hoặc điều chỉnh sẽ được VISC cập nhật và đăng tải chính thức trên trang web của VISC tại địa chỉ: https://visc.com.vn/ và/hoặc thông báo đến Chủ thể dữ liệu qua các phương tiện liên lạc khác mà VISC cho là phù hợp và cần thiết.
8.2. Trong phạm vi và điều kiện cho phép của pháp luật hiện hành, việc Chủ thể dữ liệu/các bên liên quan tiếp tục sử dụng các dịch vụ, sản phẩm của VISC hoặc cung cấp dịch vụ/sản phẩm cho VISC đồng nghĩa rằng Chủ thể dữ liệu/các bên liên quan đồng ý với các nội dung sửa đổi, bổ sung hoặc cập nhật của Quy Định này.
Với bất kỳ thắc mắc hay yêu cầu cần giải đáp nào liên quan đến Quy Định này hoặc các vấn đề liên quan đến quyền của Chủ thể dữ liệu hoặc việc xử lý Dữ liệu cá nhân, Chủ thể dữ liệu có thể liên hệ với VISC theo thông tin dưới đây để được giải đáp và hướng dẫn cụ thể:
Tổng đài VISC: 02435149999 hoặc qua Email: info@visc.com.vn
Trong trường hợp sử dụng bất kỳ dịch vụ, sản phẩm hoặc truy cập vào bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị nào của VISC hoặc được kết nối đến VISC, Chủ thể dữ liệu được coi là đã đồng ý với toàn bộ Quy định về Bảo vệ và xử lý Dữ liệu cá nhân này. Nếu Chủ thể dữ liệu không đồng ý với Quy định về Bảo vệ và xử lý Dữ liệu cá nhân này, Chủ thể dữ liệu có quyền chấm dứt việc sử dụng các dịch vụ, sản phẩm hoặc truy cập vào các trang tin điện tử, ứng dụng hoặc thiết bị của VISC hoặc được kết nối đến VISC.