Bảo mật
ĐIỀU KHOẢN VÀ ĐIỀU KIỆN CHUNG VỀ BẢO VỆ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN (Ban hành kèm theo Quyết định số 470/2023/QĐ-TGĐ
VỀ BẢO VỆ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN
(Ban hành kèm theo Quyết định số 470/2023/QĐ-TGĐ ngày 30/06/2023 của Tổng Giám Đốc)
Điều khoản và điều kiện này điều chỉnh cách thức mà Công ty cổ phần chứng khoán SSI (“SSI”) thu thập và xử lý Dữ liệu cá nhân của Chủ thể dữ liệu trong quá trình Chủ thể dữ liệu trực tiếp hoặc gián tiếp thiết lập quan hệ, sử dụng, tương tác với các sản phẩm, dịch vụ của SSI. SSI khuyến khích Chủ thể dữ liệu đọc kỹ các nội dung này và thường xuyên kiểm tra lại để cập nhật bất kỳ thay đổi nào mà SSI có thể thực hiện theo các quy định được nêu tại Điều khoản và điều kiện này. Chủ thể dữ liệu đồng ý áp dụng, phối hợp và cam kết tuân thủ Điều khoản và điều kiện chung về bảo vệ và xử lý dữ liệu cá nhân của Công ty cổ phần chứng khoán SSI.
Điều 1. Những quy định chung
1.1. Điều khoản và điều kiện chung về bảo vệ dữ liệu cá nhân (gọi chung là “Điều khoản và điều kiện chung về BVDLCN”) là một phần không thể tách rời của các hợp đồng, thỏa thuận, giấy đề nghị, đăng ký… có chi phối, thiết lập mối quan hệ hoặc ràng buộc Chủ thể dữ liệu với SSI.
1.2. SSI đề cao và tôn trọng quyền riêng tư, bảo mật và an toàn Dữ liệu cá nhân. Đồng thời, SSI luôn nỗ lực bảo vệ Dữ liệu cá nhân, quyền riêng tư của Chủ thể dữ liệu (bao gồm cả những bên có liên quan của Chủ thể dữ liệu) và tuân thủ pháp luật Việt Nam thông qua những biện pháp bảo vệ Dữ liệu cá nhân đáp ứng và phù hợp với quy định được ban hành.
1.3. SSI chỉ thu thập, xử lý và lưu trữ Dữ liệu cá nhân của Chủ thể dữ liệu phù hợp với quy định của pháp luật và trong phạm vi (các) hợp đồng, thỏa thuận, văn bản được giao kết giữa SSI và Chủ thể dữ liệu hoặc giữa SSI và (các) bên liên quan đến Chủ thể dữ liệu.
1.4. Phụ thuộc vào vai trò của SSI trong từng tình huống cụ thể là (i) Bên Kiểm soát dữ liệu cá nhân; (ii) Bên Xử lý dữ liệu cá nhân; hoặc (iii) Bên Kiểm soát và xử lý dữ liệu, SSI sẽ thực hiện các quyền hạn, trách nhiệm cũng như các nguyên tắc xử lý Dữ liệu cá nhân tương ứng theo quy định của pháp luật hiện hành.
1.5. Chủ thể dữ liệu hiểu và đồng ý rằng, việc Dữ liệu cá nhân của mình được cung cấp cho SSI (bao gồm và không giới hạn bởi các thông tin SSI đã có trước, trong và sau khi chấp thuận các Điều khoản và điều kiện chung về BVDLCN này) chính là sự chấp nhận toàn phần của Chủ thể dữ liệu cho phép SSI sử dụng Dữ liệu cá nhân trong suốt quy trình tiếp nhận và xử lý dữ liệu cá nhân, bắt đầu từ khi SSI tiếp nhận thông tin cho đến khi có yêu cầu chấm dứt việc xử lý dữ liệu từ Chủ thể dữ liệu hoặc việc chấm dứt xử lý dữ liệu được SSI thực hiện theo quy định của pháp luật.
1.6. Điều khoản và điều kiện chung về BVDLCN sẽ được ưu tiên áp dụng trong trường hợp có bất kỳ xung đột hoặc mâu thuẫn nào với các thỏa thuận, điều khoản và điều kiện chi phối mối quan hệ giữa Chủ thể dữ liệu với SSI, cho dù được ký kết trước, vào ngày hoặc sau ngày Chủ thể dữ liệu chấp thuận Điều khoản và điều kiện chung về BVDLCN này.
1.7. Tất cả các quyền và nghĩa vụ của SSI và Chủ thể dữ liệu tại Điều khoản và điều kiện chung về BVDLCN này sẽ không thay thế, chấm dứt hoặc thay đổi mà sẽ đồng thời là các quyền, nghĩa vụ mà SSI và Chủ thể dữ liệu đang có ở bất kỳ văn bản nào và không một điều khoản nào trong Điều khoản và điều kiện chung về BVDLCN này hàm ý hạn chế hoặc xóa bỏ bất kỳ quyền, nghĩa vụ nào trong số các quyền, nghĩa vụ của các bên đã được xác lập.
Điều 2. Giải thích từ ngữ
2.1. “Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Dữ liệu cá nhân bao gồm Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
2.2. “Dữ liệu cá nhân cơ bản” bao gồm:
2.3. “Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
2.5 “Chủ thể dữ liệu” là các cá nhân được Dữ liệu cá nhân phản ánh mà dữ liệu cá nhân của họ được chia sẻ cho SSI, bao gồm và không giới hạn các cá nhân là khách hàng của SSI, người lao động, cộng tác viên làm việc cho SSI, cổ đông của SSI, cá nhân thuộc các tổ chức là đối tác thiết lập quan hệ với SSI hoặc bất kỳ cá nhân nào khác có Dữ liệu cá nhân được SSI xử lý.
2.6. “Khách hàng”[1] là các cá nhân, tổ chức tiếp cận, tìm hiểu, đăng ký, sử dụng, thiết lập quan hệ hoặc có liên quan đối với các sản phẩm, dịch vụ do SSI cung cấp.
2.7. “Công ty” hoặc “SSI” là Công ty cổ phần chứng khoán SSI, bao gồm trụ sở, chi nhánh, văn phòng, phòng giao dịch của công ty (nếu có).
2.8. “Bên thứ ba” là tổ chức, cá nhân ngoài SSI và Chủ thể dữ liệu.
Để làm rõ, các từ ngữ nào chưa được giải thích tại Điều khoản và điều kiện chung về BVDLCN này sẽ được giải thích theo quy định của pháp luật Việt Nam.
[1] Trong một số ngữ cảnh, Khách hàng có thể chính là Chủ thể dữ liệu
Điều 3. Các hoạt động xử lý dữ liệu cá nhân
3.1.1. Để SSI có thể cung cấp các sản phẩm, dịch vụ cho Khách hàng và/hoặc xử lý các yêu cầu của Khách hàng, SSI có thể cần phải và/hoặc được yêu cầu phải thu thập Dữ liệu cá nhân, bao gồm: (i) Dữ liệu cá nhân cơ bản và (ii) Dữ liệu cá nhân nhạy cảm có liên quan đến Khách hàng và các cá nhân có liên quan của Khách hàng.
3.1.2. Cách thức thu thập và phương thức thu thập
SSI có thể thu thập trực tiếp hoặc gián tiếp những Dữ liệu cá nhân của Chủ thể dữ liệu trong quá trình SSI cung cấp bất kỳ sản phẩm, dịch vụ nào, và từ một hoặc một số các nguồn như được liệt kê dưới đây, bao gồm nhưng không giới hạn:
3.2.1. SSI có thể xử lý Dữ liệu cá nhân cho một hoặc nhiều mục đích sau đây:
3.2.2. SSI sẽ yêu cầu sự cho phép từ Chủ thể dữ liệu trước khi sử dụng Dữ liệu cá nhân của Chủ thể dữ liệu cho mục đích khác ngoài các mục đích đã được nêu tại Điều khoản và điều kiện chung về BVDLCN.
3.3.1. SSI sẽ có thể ghi âm, ghi hình và xử lý Dữ liệu cá nhân thu thập được từ camera quan sát (“CCTV”) tại các khu vực có lắp CCTV (bao gồm nhưng không giới hạn bởi khu vực văn phòng, khu vực ở hành lang, khu vực lối ra,..) phù hợp với các yêu cầu đảm bảo an ninh trong hoạt động của SSI và cho Khách hàng theo quy định của của pháp luật.
3.3.2. SSI luôn tôn trọng và bảo vệ Dữ liệu cá nhân của trẻ em. Ngoài các biện pháp bảo vệ Dữ liệu cá nhân được quy định theo pháp luật, trước khi xử lý Dữ liệu cá nhân của trẻ em, SSI sẽ thực hiện xác minh tuổi của trẻ em và yêu cầu sự đồng ý của (i) trẻ em và/hoặc (ii) cha, mẹ hoặc người giám hộ của trẻ em theo quy định của pháp luật.
3.3.3. Bên cạnh tuân thủ theo các quy định pháp luật có liên quan khác, đối với việc xử lý Dữ liệu cá nhân liên quan đến Dữ liệu cá nhân của người bị tuyên bố mất tích/ người đã chết, SSI sẽ phải được sự đồng ý của một trong số những người có liên quan theo quy định của pháp luật hiện hành.
3.4.1. SSI sẽ không bán, trao đổi, cho thuê (có thời hạn hoặc vô thời hạn) các thông tin cá nhân của Chủ thể dữ liệu mà không có sự chấp thuận của Chủ thể dữ liệu theo pháp luật hiện hành. Tuy nhiên, để thực hiện các mục đích và hoạt động xử lý Dữ liệu cá nhân tại Điều khoản và điều kiện về BVDLCN này, Chủ thể dữ liệu đồng ý SSI có thể tiết lộ Dữ liệu cá nhân của mình hoặc Dữ liệu cá nhân của các bên có liên quan, cho một hoặc các bên dưới đây:
3.4.2. SSI sẽ xem Dữ liệu cá nhân của Chủ thể dữ liệu là riêng tư và bảo mật. Ngoài các bên đã nêu ở trên, SSI sẽ không tiết lộ Dữ liệu cá nhân của Chủ thể dữ liệu cho bất kỳ bên nào khác, trừ các trường hợp:
3.5.1. Nhằm thực hiện mục đích xử lý Dữ liệu cá nhân tại Điều khoản và điều kiện về BVDLCN này, SSI có thể phải cung cấp/chia sẻ Dữ liệu cá nhân của Chủ thể dữ liệu đến các bên thứ ba liên quan của SSI và các bên thứ ba này có thể tại Việt Nam hoặc bất cứ địa điểm nào khác nằm ngoài lãnh thổ Việt Nam.
3.5.2. Khi thực hiện việc cung cấp/chia sẻ Dữ liệu cá nhân ra nước ngoài, SSI sẽ yêu cầu bên tiếp nhận đảm bảo rằng Dữ liệu cá nhân của Chủ thể dữ liệu được chuyển giao cho họ sẽ bảo mật và an toàn. SSI và bên tiếp nhận đảm bảo tuân thủ các nghĩa vụ pháp lý và quy định liên quan đến việc bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu.
Điều 4. Quyền và nghĩa vụ của Chủ thể dữ liệu liên quan đến Dữ liệu cá nhân cung cấp cho SSI
4.1. Chủ thể dữ liệu có các quyền sau đây: (i) Quyền được biết; (ii) Quyền đồng ý; (iii) Quyền truy cập; (iv) Quyền rút lại sự đồng ý; (v) Quyền xóa dữ liệu; (vi) Quyền hạn chế xử lý dữ liệu; (vii) Quyền cung cấp dữ liệu; (viii) Quyền phản đối xử lý dữ liệu; (ix) Quyền khiếu nại, tố cáo, khởi kiện; (x) Quyền yêu cầu bồi thường thiệt hại; (xi) Quyền tự bảo vệ và các quyền có liên quan khác theo quy định của pháp luật. Chủ thể dữ liệu có thể thực hiện các quyền của mình bằng cách liên hệ với SSI theo thông tin được cung cấp chi tiết tại Điều 8 Điều khoản và Điều kiện về BVDLCN.
4.2. SSI bằng sự nỗ lực hợp lý, sẽ thực hiện yêu cầu hợp pháp và hợp lệ từ Chủ thể dữ liệu trong khoảng thời gian luật định kể từ khi nhận được yêu cầu hoàn chỉnh, hợp lệ và phí xử lý liên quan (nếu có) từ Chủ thể dữ liệu, phụ thuộc vào quyền của SSI khi được viện dẫn đến bất kỳ sự miễn trừ và/hoặc ngoại lệ nào theo quy định pháp luật.
4.3. Trong trường hợp Chủ thể dữ liệu rút lại sự đồng ý của mình, yêu cầu xóa dữ liệu và/hoặc thực hiện các quyền có liên quan khác đối với bất kỳ hoặc tất cả các Dữ liệu cá nhân của mình, và tuỳ thuộc vào bản chất yêu cầu của Chủ thể dữ liệu, SSI có thể sẽ xem xét và quyết định về việc không tiếp tục cung cấp các sản phẩm, dịch vụ của SSI có liên quan đến việc sử dụng Dữ liệu cá nhân của Chủ thể dữ liệu do không thể đảm bảo tiêu chuẩn/chất lượng của sản phẩm, dịch vụ theo đánh giá của SSI hoặc do quy định của pháp luật cần phải thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi cung cấp sản phẩm, dịch vụ. Trong trường hợp này, SSI sẽ thông báo đến Khách hàng về quyết định không cung cấp sản phẩm, dịch vụ có nêu rõ lý do. Mọi thiệt hại phát sinh đối với Khách hàng và SSI (nếu có) sẽ do Chủ thể dữ liệu hoàn toàn chịu trách nhiệm. Chủ thể dữ liệu cần lưu ý, do đặc thù hoạt động của SSI, pháp luật có quy định SSI phải lưu trữ thông tin Chủ thể dữ liệu trong một số trường hợp nhất định, khi đó SSI không thể đáp ứng yêu cầu xóa dữ liệu của Chủ thể dữ liệu có liên quan nếu việc xóa dữ liệu dẫn đến vi phạm pháp luật.
4.4. Vì mục đích bảo mật, Chủ thể có thể cần phải đưa ra yêu cầu của mình bằng văn bản hoặc sử dụng phương pháp khác để chứng minh và xác thực danh tính của Chủ thể dữ liệu. SSI có thể yêu cầu Chủ thể dữ liệu xác minh danh tính trước khi xử lý yêu cầu của Chủ thể dữ liệu.
4.5. Chủ thể dữ liệu có trách nhiệm tự bảo vệ Dữ liệu cá nhân của mình, yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ Dữ liệu cá nhân của mình. Đồng thời, Chủ thể dữ liệu sẽ tôn trọng và bảo vệ Dữ liệu cá nhân của người khác.
4.6. Cung cấp đầy đủ, chính xác Dữ liệu cá nhân cho SSI khi giao kết hợp đồng hoặc sử dụng dịch vụ do SSI cung cấp.
4.7. Thực hiện và tuân thủ quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
4.8. Trong trường hợp có sự thay đổi, điều chỉnh Dữ liệu cá nhân, Chủ thể dữ liệu và/hoặc bên có liên quan có trách nhiệm liên hệ và thông báo ngay cho SSI để SSI thực hiện cập nhật kịp thời những thay đổi, điều chỉnh đó. Chủ thể dữ liệu và/hoặc bên có liên quan sẽ chịu trách nhiệm toàn bộ đối với việc chậm trễ thông báo này; đồng thời, việc chậm trễ thông báo này sẽ miễn trừ cho SSI khỏi mọi thiệt hại, rủi ro phát sinh (nếu có).
Điều 5. Rủi ro khi bị lộ Dữ liệu cá nhân và Biện pháp bảo vệ
5.1. Chủ thể dữ liệu hiểu rằng việc cung cấp và chấp thuận cho SSI sử dụng Dữ liệu cá nhân sẽ luôn tồn tại những rủi ro tiềm tàng do lỗi của hệ thống, đường truyền, sự kiện bất khả kháng, virut, tấn công mạng hoặc lỗi phần cứng, phần mềm, các hành động, thao tác của Chủ thể dữ liệu hoặc bất kỳ bên thứ ba nào khác ảnh hưởng đến việc cung cấp và xử lý Dữ liệu cá nhân của Chủ thể dữ liệu…. Các rủi có thể phát sinh như việc Dữ liệu cá nhân của Chủ thể dữ liệu có thể bị lộ hoặc bị đánh cắp bởi một bên khác dẫn đến việc các Dữ liệu cá nhân này có thể được sử dụng vào những mục đích không mong muốn hoặc nằm ngoài tầm kiểm soát của SSI và Chủ thể dữ liệu gây ra những tổn thất cả về vật chất và tinh thần.
5.2. SSI xem các Dữ liệu cá nhân của Chủ thể dữ liệu như là tài sản quan trọng nhất của SSI và SSI luôn cố gắng đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra.
5.3. Trách nhiệm bảo mật Dữ liệu cá nhân là yêu cầu bắt buộc SSI đặt ra cho toàn thể nhân viên. SSI thực hiện trách nhiệm bảo vệ Dữ liệu cá nhân theo quy định của pháp luật hiện hành với các phương pháp bảo mật tốt nhất theo quy định pháp luật và thường xuyên xem xét, cập nhật các biện pháp quản lý và kỹ thuật khi xử lý Dữ liệu cá nhân của Chủ thể dữ liệu (nếu có).
Điều 6. Lưu trữ Dữ liệu cá nhân
6.1. Dữ liệu cá nhân của Chủ thể dữ liệu do SSI lưu trữ sẽ được bảo mật. SSI sẽ thực hiện các biện pháp hợp lý để bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu khi được lưu trữ tại SSI.
6.2. SSI lưu trữ Dữ liệu cá nhân của Chủ thể dữ liệu trong khoảng thời gian cần thiết để hoàn thành các mục đích theo các thỏa thuận, hợp đồng, văn bản mà các bên có liên quan đã ký với SSI và theo Điều khoản và điều kiện chung về BVDLCN này, trừ khi thời gian lưu trữ Dữ liệu cá nhân lâu hơn nếu được yêu cầu hoặc cho phép bởi Khách hàng và các quy định pháp luật hiện hành.
Điều 7. Sửa đổi
SSI có thể sửa đổi, cập nhật hoặc điều chỉnh các điều khoản của Điều khoản và điều kiện chung về BVDLCN này tùy từng thời điểm và đảm bảo việc sửa đổi, bổ sung phù hợp với các quy định có liên quan của pháp luật. Thông báo về bất kỳ sự sửa đổi, cập nhật hoặc điều chỉnh nào sẽ được cập nhật, đăng tải trên trang điện tử của SSI tại https://ssi.com.vn và/hoặc thông báo đến Chủ thể dữ liệu thông qua các phương tiện liên lạc khác mà SSI cho là phù hợp.
Trong phạm vi được pháp luật hiện hành cho phép, việc Chủ thể dữ liệu/các bên có liên quan tiếp tục sử dụng các dịch vụ, sản phẩm của SSI hoặc cung cấp dịch vụ/sản phẩm cho SSI đồng nghĩa với việc Chủ thể dữ liệu/các bên có liên quan đồng ý với các nội dung cập nhật của Điều khoản và điều kiện chung về BVDLCN này.
Điều 8. Thông tin liên hệ xử lý Dữ liệu cá nhân
Trường hợp Chủ thể dữ liệu có bất kỳ thắc mắc, câu hỏi nào liên quan đến Điều khoản và điều kiện chung về BVDLCN hoặc các vấn đề liên quan đến quyền của chủ thể dữ liệu hoặc xử lý Dữ liệu cá nhân của Chủ thể dữ liệu, Chủ thể dữ liệu vui lòng liên hệ theo thông tin dưới đây để được giải đáp và hướng dẫn cụ thể:
Tổng đài SSI Contact Center: 1900545471 - nhánh 9
Điều 9. Điều khoản về Chấp thuận
Khi sử dụng bất kỳ dịch vụ, sản phẩm hoặc truy cập bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị của SSI hoặc được kết nối đến SSI, Chủ thể dữ liệu được coi là đã chấp nhận toàn bộ Điều khoản và điều kiện chung về BVDLCN này. Trong trường hợp Chủ thể dữ liệu không chấp nhận Điều khoản và điều kiện chung về BVDLCN này, Chủ thể dữ liệu có quyền chấm dứt việc sử dụng các dịch vụ, sản phẩm hoặc việc truy cập vào các trang tin điện tử, ứng dụng hoặc thiết bị của SSI hoặc được kết nối đến SSI.