1. Giới thiệu
ACS TNHH Thương Mại ACS Việt Nam được thành lập năm 2008, do AEON Nhật Bản đầu tư, kinh doanh quyền bán buôn và quyền phân phối bán lẻ các mặt hàng đã được cấp phép; Hoạt động đại lý bảo hiểm; dịch vụ xúc tiến thương mại; Dịch vụ máy tính và các dịch vụ liên quan; Hoạt động tư vấn quản lý; Các hoạt động trợ giúp xã hội ngoài trung tâm khác; Hoạt động kiến trúc, kỹ thuật và tư vấn kỹ thuật có liên quan, hàng hóa/dịch vụ khác đi kèm với giấy phép.
Khi sử dụng “ACS”, “ACS”, “Chúng tôi”, trong Chính sách này, chúng tôi đang đề cập đến ACS.
Trong hoạt động kinh doanh thương mại của ACS, trong từng trường hợp cụ thể, ACS chịu trách nhiệm và đóng vai trò là Bên kiểm soát Dữ Liệu Cá Nhân, Bên xử lý Dữ Liệu Cá Nhân, Bên kiểm soát Dữ Liệu Cá Nhân – kiêm Bên xử lý Dữ Liệu Cá Nhân và Bên thứ ba. Để tôn trọng quyền riêng tư của mỗi cá nhân và nỗ lực bảo vệ Dữ Liệu Cá Nhân, ACS xin giới thiệu Chính Sách Bảo Vệ Dữ Liệu Cá Nhân.
Chính Sách Bảo Vệ Dữ Liệu Cá Nhân (“Chính sách”) thể hiện sự tuân thủ cần thiết để kiểm soát, xử lý và bảo vệ dữ liệu của khách hàng, đối tác kinh doanh (cá nhân), nhân viên hoặc bất kỳ cá nhân nào khác phát sinh việc trao đổi/chuyển dữ liệu đến ACS và ngược lại (sau đây gọi là “Chủ thể dữ liệu” hoặc “bạn”).
Vui lòng đọc kỹ Chính sách này.
2. Mục tiêu Chính sách
- Chính sách này nhằm đáp ứng các yêu cầu của luật Bảo vệ Dữ Liệu Cá Nhân của Việt Nam, quy định và đảm bảo tuân thủ các chính sách của AFS tại liên kết như sau: https://www.aeonfinancial.co.jp/en/activity/governance/privacy/privacy_detail/.
- Chính sách này là một phần không thể thiếu trong thỏa thuận giữa ACS và Chủ thể dữ liệu. Khi Chủ thể dữ liệu đồng ý/ký thỏa thuận, Chủ thể dữ liệu xác nhận các điều khoản của Chính sách và đồng ý cho ACS thu thập, sử dụng, tiết lộ, lưu trữ, chuyển giao và/hoặc xử lý Dữ Liệu Cá Nhân theo quy định của pháp luật.
- Dữ liệu nhân viên và dữ liệu Khách hàng là một trong những đối tượng dữ liệu được điều chỉnh, áp dụng bởi Chính sách này và các quy định/luật bảo vệ dữ liệu.
- Chính sách này nhằm tuân thủ, chuẩn hóa, quản lý, kiểm soát và xử lý Dữ Liệu Cá Nhân một cách hợp pháp bao gồm nhưng không giới hạn ở: thu thập, ghi, phân tích, xác nhận, lưu trữ, cải chính, tiết lộ, kết hợp, truy cập, truy xuất nguồn gốc, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền tải, cung cấp, chuyển nhượng, xóa, hủy hoặc các hoạt động liên quan khác;
- Chính sách này nhằm ngăn chặn Dữ Liệu Cá Nhân bị đánh cắp, thay đổi, hư hỏng, thất lạc hoặc rò rỉ.
3. Nguyên tắc bảo vệ Dữ Liệu Cá Nhân
ACS nhận thức rõ tầm quan trọng của việc bảo vệ Dữ Liệu Cá Nhân và áp dụng các quy định nghiêm ngặt về bảo mật thông tin để bảo vệ Dữ Liệu Cá Nhân. Nguyên tắc bảo vệ Dữ Liệu Cá Nhân như sau:
3.1. Dữ Liệu Cá Nhân được xử lý theo quy định của pháp luật.
3.2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý Dữ Liệu Cá Nhân của mình, trừ trường hợp luật có quy định khác.
3.3. Dữ Liệu Cá Nhân chỉ được xử lý đúng với mục đích đã được ACS đăng ký, tuyên bố về xử lý Dữ Liệu Cá Nhân.
3.4. Dữ Liệu Cá Nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ Liệu Cá Nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
3.5. Dữ Liệu Cá Nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
3.6. Dữ Liệu Cá Nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
3.7. Dữ Liệu Cá Nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
3.8. ACS phải tuân thủ các quy tắc xử lý dữ liệu và chứng minh sự tuân thủ của mình;
3.9. Dữ Liệu Cá Nhân phải chính xác và, khi cần thiết, được cập nhật; các bước hợp lý phải được thực hiện để đảm bảo tính chính xác, liên quan đến các mục đích mà chúng được xử lý, được xóa hoặc sửa một cách kịp thời.
Đối với một số trường hợp ngoại lệ được pháp luật quy định không cần sự đồng ý của Chủ thể dữ liệu, ACS có quyền xử lý ngay Dữ Liệu Cá Nhân có liên quan để bảo vệ tính mạng và sức khỏe của Chủ thể dữ liệu hoặc người khác trong trường hợp khẩn cấp.
4. Hành vi bị cấm
4.1. Xử lý Dữ Liệu Cá Nhân trái với quy định của pháp luật về bảo vệ Dữ Liệu Cá Nhân.
4.2. Xử lý Dữ Liệu Cá Nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4.3. Lợi dụng hoạt động bảo vệ Dữ Liệu Cá Nhân để vi phạm pháp luật.
5. Giải thích từ ngữ
5.1. “Dữ Liệu Cá Nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ Liệu Cá Nhân bao gồm Dữ Liệu Cá Nhân cơ bản và Dữ Liệu Cá Nhân nhạy cảm.
5.2. “Thông tin giúp xác định một con người cụ thể” là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.
5.3. “Dữ Liệu Cá Nhân cơ bản” bao gồm:
a. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c. Giới tính;
d. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
e. Quốc tịch;
f. Hình ảnh của cá nhân;
g. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h. Tình trạng hôn nhân;
i. Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
j. Thông tin về tài khoản số của cá nhân; Dữ Liệu Cá Nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
k. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Khoản 5.4 Điều này.
5.4. “Dữ Liệu Cá Nhân nhạy cảm” là Dữ Liệu Cá Nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a. Quan điểm chính trị, quan điểm tôn giáo;
b. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c. Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
e. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
f. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
j. Dữ Liệu Cá Nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
5.5. “Bảo vệ Dữ Liệu Cá Nhân” là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến Dữ Liệu Cá Nhân theo quy định của pháp luật.
5.6. “Chủ thể dữ liệu” là cá nhân được Dữ Liệu Cá Nhân phản ánh.
5.7. “Xử lý Dữ Liệu Cá Nhân” là một hoặc nhiều hoạt động tác động tới Dữ Liệu Cá Nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ Liệu Cá Nhân hoặc các hành động khác có liên quan.
5.8. “Sự đồng ý của Chủ thể dữ liệu” là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý Dữ Liệu Cá Nhân của Chủ thể dữ liệu.
5.9. “Bên Kiểm soát Dữ Liệu Cá Nhân” là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý Dữ Liệu Cá Nhân.
5.10. “Bên Xử lý Dữ Liệu Cá Nhân” là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
5.11. “Bên Kiểm soát và xử lý Dữ Liệu Cá Nhân” là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý Dữ Liệu Cá Nhân.
5.12. “Bên thứ ba” là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát Dữ Liệu Cá Nhân, Bên Xử lý Dữ Liệu Cá Nhân, Bên Kiểm soát và xử lý Dữ Liệu Cá Nhân được phép xử lý Dữ Liệu Cá Nhân.
5.13. “Chuyển Dữ Liệu Cá Nhân ra nước ngoài” là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển Dữ Liệu Cá Nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý Dữ Liệu Cá Nhân của công dân Việt Nam, bao gồm:
a. Tổ chức, doanh nghiệp, cá nhân chuyển Dữ Liệu Cá Nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được Chủ thể dữ liệu đồng ý;
b. Xử lý Dữ Liệu Cá Nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát Dữ Liệu Cá Nhân, Bên Kiểm soát và xử lý Dữ Liệu Cá Nhân, Bên Xử lý Dữ Liệu Cá Nhân phù hợp với mục đích đã được Chủ thể dữ liệu đồng ý.
514. “Nghị định 13” là Nghị định 13/2023/NĐ-CP ngày 17/04/2023 về bảo vệ Dữ Liệu Cá Nhân, được sửa đổi, bổ sung theo từng thời điểm và có hiệu lực từ ngày 01/07/2023.
6. Mục đích thu thập, xử lý và sử dụng dữ liệu
Phục vụ cho hoạt động kinh doanh liên quan đến giấy phép của ACS và bất kỳ mục đích nào mà ACS thông báo đến Chủ thể dữ liệu tại từng thời điểm xin phép, bao gồm (nhưng không giới hạn) những điều sau:
- Mục đích phát triển kinh doanh ACS;
- Tìm hiểu khách hàng, thẩm định và nhận dạng, xác minh khách hàng;
- Thực hiện hợp đồng;
- Liên hệ qua điện thoại, tin nhắn văn bản và/hoặc tin nhắn fax, email và/hoặc thư tín hoặc cách khác; (Bạn thừa nhận và đồng ý rằng thông tin liên lạc như vậy của chúng tôi có thể gửi qua thư, tài liệu hoặc thông báo cho bạn, có thể bao gồm việc tiết lộ một số Dữ Liệu Cá Nhân về bạn để cung cấp các tài liệu đó cũng như trên gói/phong bì);
- Cung cấp dịch vụ chăm sóc khách hàng và phản hồi yêu cầu của khách hàng;
- Quản lý quan hệ khách hàng với bên thứ ba;
- Lưu trữ, Lập máy chủ, Sao lưu (cho dù là vì mục đích khôi phục sau thảm họa hoặc mục đích khác) và xử lý dữ liệu;
- Chia sẻ dữ liệu với bên thứ ba cung cấp phần mềm, thu thập, lưu trữ và xử lý dữ Liệu thay mặt cho ACS và có nghĩa vụ theo hợp đồng phải áp dụng các biện pháp bảo vệ thích hợp để giữ bí mật dữ liệu;
- Tuân thủ nghĩa vụ pháp lý;
- Bảo vệ an toàn cá nhân và các quyền, tài sản hoặc sự an toàn của người khác;
- Để phản ứng trước bất cứ các mối đe dọa hoặc yêu cầu thực tế nào được khẳng định chống lại ACS hoặc các yêu cầu khác liên quan đến vấn đề vi phạm quy định của các bên thứ ba;
- Các hoạt động liên quan đến bảo mật thông tin và an ninh tòa nhà, bao gồm cả việc sử dụng ghi hình CCTV;
- Ghi lại và giám sát thông tin liên lạc điện thoại, điện tử cho mục đích kinh doanh và tuân thủ;
- Ngăn chặn hoặc điều tra bất kỳ hoạt động gian lận thực tế hoặc bị nghi ngờ, hành vi phi pháp, thiếu sót hay hành vi sai trái nào phát sinh từ mối quan hệ của bạn với ACS;
- Phân tích tình hình kinh doanh hoặc phát triển/cải tiến sản phẩm, dịch vụ và quy trình;
- Tổng hợp số liệu thống kê và nghiên cứu để đáp ứng các yêu cầu báo cáo và/hoặc lưu trữ hồ sơ nội bộ hoặc theo quy định pháp luật; Kiểm toán;
- Tái cấu trúc doanh nghiệp;
- Mục đích khác của hoạt động kinh doanh của ACS được pháp luật cho phép.
(sau đây gọi chung là “Mục đích”)
Trường hợp cần thiết để thực hiện hợp đồng giữa ACS với Chủ thể dữ liệu và cho Mục đích được nêu ở trên, ACS có thể chia sẻ Dữ Liệu Cá Nhân của Chủ thể dữ liệu với (các) bên nhận, bao gồm (nhưng không giới hạn ở) những bên sau đây:
- Cơ quan quản lý, tòa án, cơ quan công quyền;
- Các pháp nhân của Tập đoàn AEON ở bất kỳ đâu trên thế giới, trong phạm vi cho phép bới pháp luật hiện hành tùy từng thời điểm;
- Bất kỳ nhà thầu, nhà thầu phụ, đại lý, nhà cung cấp sản phẩm hoặc dịch vụ bên thứ ba, nhà tư vấn chuyên nghiệp, đối tác kinh doanh, người có liên quan hoặc nhà cung cấp dịch vụ của ACS, bao gồm (nhưng không giới hạn ở) kiểm toán viên, ACS bảo hiểm, luật sư;
- Bất kỳ đối tác kinh doanh, nhà đầu tư, bên nhận chuyển nhượng hoặc bên nhận chuyển giao có liên quan đến việc có thể thực hiện hoặc thực tế thực hiện tái cấu trúc doanh nghiệp, sáp nhập, mua lại hoặc tiếp quản liên quan đến ACS, bao gồm bất kỳ việc chuyển giao hoặc việc có thể chuyển giao bất kỳ quyền hoặc nghĩa vụ nào của ACS theo hợp đồng mà ACS đã ký với Chủ thể dữ liệu.
- Bất kỳ bên nhận nào có lợi ích hợp pháp (Ví dụ: để quản lý rủi ro, xác minh nhận dạng, cho phép một ACS khác cung cấp cho Chủ thể dữ liệu các dịch vụ mà Chủ thể dữ liệu yêu cầu);
- Bất kỳ bên nào mà Chủ thể dữ liệu chỉ thị ACS chia sẻ Dữ Liệu Cá Nhân.
(Các) bên nhận này có thể nằm bên ngoài lãnh thổ Việt Nam.
Trường hợp ACS phải chuyển hoặc chia sẻ Dữ Liệu Cá Nhân của bạn, chúng tôi sẽ đánh giá cẩn thận tính hợp pháp, đúng đắn và sự cần thiết của việc chia sẻ dữ liệu. Chúng tôi sẽ tuân thủ và yêu cầu bên nhận thực hiện biện pháp bảo vệ Dữ Liệu Cá Nhân cần thiết theo quy định pháp luật liên quan.
7. Trách nhiệm của ACS
7.1. Với vai trò là Bên kiểm soát Dữ Liệu Cá Nhân.
7.1.1. Thực hiện các biện pháp quản lí và kỹ thuật cũng như các biện pháp an toàn và bảo mật phù hợp để chứng minh rằng Dữ Liệu Cá Nhân được xử lý theo quy định của pháp luật về bảo vệ Dữ Liệu Cá Nhân, xem xét và cập nhật các biện pháp này khi cần thiết.
7.1.2. Ghi lại và lưu trữ nhật ký xử lý Dữ Liệu Cá Nhân.
7.1.3. Thông báo các vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân theo quy định pháp luật.
7.1.4. ACS với vai trò là Bên kiểm soát Dữ Liệu Cá Nhân có trách nhiệm chọn Bên xử lý Dữ Liệu Cá Nhân phù hợp với các nhiệm vụ cụ thể và chỉ làm việc với chọn Bên xử lý Dữ Liệu Cá Nhân có các biện pháp thích hợp để bảo vệ Dữ Liệu Cá Nhân.
7.1.5. Bảo vệ quyền của Chủ thể dữ liệu theo Điều 8.1 Chính sách này.
7.1.6. Chịu trách nhiệm trước Chủ thể dữ liệu về những thiệt hại từ việc xử lý Dữ Liệu Cá Nhân.
7.1.7. Phối hợp với Bộ Công an và các cơ quan có thẩm quyền trong việc bảo vệ Dữ Liệu Cá Nhân và cung cấp thông tin phục vụ công tác điều tra, xử lý các hành vi vi phạm pháp luật về bảo vệ Dữ Liệu Cá Nhân.
7.2. Với vai trò là Bên xử lý Dữ Liệu Cá Nhân.
7.2.1. Chỉ nhận Dữ Liệu Cá Nhân sau khi có hợp đồng hoặc thỏa thuận về việc xử lý Dữ Liệu Cá Nhân với Bên kiểm soát Dữ Liệu Cá Nhân.
7.2.2. Xử lý Dữ Liệu Cá Nhân theo hợp đồng hoặc thỏa thuận được ký kết với Bên kiểm soát Dữ Liệu Cá Nhân.
7.2.3. Thực hiện đầy đủ các biện pháp bảo vệ Dữ Liệu Cá Nhân được quy định trong luật/quy định và các văn bản pháp luật khác có liên quan.
7.2.4. Chịu trách nhiệm trước Chủ thể dữ liệu về những thiệt hại từ việc xử lý Dữ Liệu Cá Nhân.
7.2.5. Xóa hoặc trả lại tất cả Dữ Liệu Cá Nhân cho Bên kiểm soát Dữ Liệu Cá Nhân sau khi hoàn tất quá trình xử lý.
7.2.6. Phối hợp với Bộ Công an và các cơ quan có thẩm quyền trong việc bảo vệ Dữ Liệu Cá Nhân và cung cấp thông tin phục vụ công tác điều tra, xử lý các hành vi vi phạm pháp luật về bảo vệ Dữ Liệu Cá Nhân.
7.3. Với vai trò là Bên kiểm soát và xử lý Dữ Liệu Cá Nhân
Tuân thủ mọi quy định về trách nhiệm của cả Bên kiểm soát và xử lý Dữ Liệu Cá Nhân tại Điều 7.1 và 7.2 trong Chính sách này.
7.4. Với vai trò là Bên thứ ba
Tuân thủ mọi quy định về trách nhiệm được quy định trong các văn bản pháp luật khác có liên quan.
8. Quyền và Nghĩa vụ của Chủ thể dữ liệu.
8.1. Quyền của Chủ thể dữ liệu
8.1.1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý Dữ Liệu Cá Nhân của mình, trừ trường hợp luật có quy định khác;
8.1.2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý Dữ Liệu Cá Nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13;
8.1.3. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ Liệu Cá Nhân của mình, trừ trường hợp luật có quy định khác;
8.1.4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác;
8.1.5. Quyền chỉnh sửa Dữ Liệu Cá Nhân: Chủ thể dữ liệu có quyền truy cập để xem và chỉnh sửa trực tiếp hoặc yêu cầu ACS chỉnh sửa Dữ Liệu Cá Nhân của mình sau khi đã được ACS đồng ý, áp dụng với những dữ liệu ACS thu thập theo sự đồng ý của họ;
8.1.6. Quyền liên quan đến xóa, hủy, lưu trữ Dữ Liệu Cá Nhân: Chủ thể dữ liệu có quyền xóa hoặc yêu cầu ACS xóa Dữ Liệu Cá Nhân của mình theo các điều sau:
a. Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
b. Rút lại sự đồng ý;
c. Phản đối việc xử lý dữ liệu và ACS không có lý do chính đáng để tiếp tục xử lý;
d. Dữ Liệu Cá Nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý Dữ Liệu Cá Nhân là vi phạm quy định của pháp luật;
e. Dữ Liệu Cá Nhân phải xóa theo quy định của pháp luật.
8.1.7. Quyền hạn chế xử lý dữ liệu:
a. Chủ thể dữ liệu được yêu cầu hạn chế xử lý Dữ Liệu Cá Nhân của mình, trừ trường hợp luật có quy định khác.
b. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của Chủ thể dữ liệu, với toàn bộ Dữ Liệu Cá Nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
8.1.8. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu ACS cung cấp cho bản thân Dữ Liệu Cá Nhân của mình;
8.1.9. Quyền phản đối xử lý dữ liệu
a. Chủ thể dữ liệu được phản đối ACS xử lý Dữ Liệu Cá Nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ Dữ Liệu Cá Nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
b. ACS thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu.
8.1.10. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật;
8.1.11. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác;
8.1.12. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.
8.2. Nghĩa vụ của Chủ thể dữ liệu:
8.2.1. Tự bảo vệ Dữ Liệu Cá Nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ Dữ Liệu Cá Nhân của mình;
8.2.2. Tôn trọng, bảo vệ Dữ Liệu Cá Nhân của người khác.
8.2.3. Cung cấp đầy đủ, chính xác Dữ Liệu Cá Nhân khi đồng ý cho phép xử lý Dữ Liệu Cá Nhân.
8.2.4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ Dữ Liệu Cá Nhân.
8.2.5. Thực hiện quy định của pháp luật về bảo vệ Dữ Liệu Cá Nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân.
9. Xử lý Dữ Liệu Cá Nhân
9.1. Thu thập và xử lý Dữ Liệu Cá Nhân
ACS thu thập Dữ Liệu Cá Nhân từ Chủ thể dữ liệu thông qua nhiều nguồn khác nhau, bao gồm (nhưng không giới hạn) ở các trường hợp sau:
- Khi Chủ thể dữ liệu yêu cầu các sản phẩm và/hoặc dịch vụ do ACS cung cấp;
- Khi Chủ thể dữ liệu gửi bất kỳ biểu mẫu nào, bao gồm đơn đăng ký hoặc các mẫu đơn khác liên quan đến bất kỳ sản phẩm và/hoặc dịch vụ nào của ACS, bằng hình thức trực tuyến hay dưới hình thức khác;
- Khi Chủ thể dữ liệu tương tác với ACS, chẳng hạn như thông qua các cuộc gọi điện thoại (có thể được ghi âm lại), thư từ, fax, gặp gỡ trực tiếp, các nền ứng dụng truyền thông xã hội, email và các hình thức khác;
- Khi Chủ thể dữ liệu sử dụng trang web hoặc tương tác với ACS qua (các) ứng dụng trên thiết bị di động của ACS (nếu có), bao gồm nhưng không giới hạn các tệp được trang web người dùng truy cập tạo ra và các phần mềm theo dõi mạng Internet để thu thập Dữ Liệu Cá Nhân;
- Khi Chủ thể dữ liệu cung cấp ý kiến phản hồi hoặc gửi khiếu nại cho ACS;
- Khi ACS tiến hành các cuộc khảo sát;
- Khi ACS nhận được Dữ Liệu Cá Nhân từ các ACS liên kết, bên thứ ba và từ các nguồn khác;
- Khi ACS thực hiện tìm kiếm thông tin liên quan đến Chủ thể dữ liệu thông qua bất kỳ nguồn thông tin công khai nào;
- Khi Chủ thể dữ liệu gửi Dữ Liệu Cá Nhân cho ACS vì bất kỳ lý do gì.
Các trường hợp trên không nhằm mục đích liệt kê đầy đủ mà chỉ đưa ra một số trường hợp phổ biến về thời điểm Dữ Liệu Cá Nhân của Chủ thể dữ liệu có thể bị thu thập.
Trong một số trường hợp, Chủ thể dữ liệu có thể cung cấp Dữ Liệu Cá Nhân của các cá nhân liên quan khác cho ACS (ví dụ: thành viên gia đình hoặc những người trong danh sách liên hệ của bạn). Nếu Chủ thể dữ liệu cung cấp cho ACS Dữ Liệu Cá Nhân của họ, Chủ thể dữ liệu tuyên bố và đảm bảo rằng mình đã nhận được sự đồng ý của họ để xử lý Dữ Liệu Cá Nhân của họ theo Chính sách này.
9.2. Sự đồng ý của Chủ thể dữ liệu
9.2.1. Sự đồng ý của Chủ thể dữ liệu được ACS áp dụng đối với tất cả các hoạt động trong quy trình xử lý Dữ Liệu Cá Nhân.
9.2.2. Sự đồng ý của Chủ thể dữ liệu chỉ có hiệu lực khi Chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
a. Loại Dữ Liệu Cá Nhân được xử lý;
b. Mục đích xử lý Dữ Liệu Cá Nhân;
c. Tổ chức, cá nhân được xử lý Dữ Liệu Cá Nhân;
d. Các quyền, nghĩa vụ của Chủ thể dữ liệu.
9.2.3. Sự đồng ý của Chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
9.2.4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, ACS liệt kê các mục đích để Chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
9.2.5. Sự đồng ý của Chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
9.2.6. Sự im lặng hoặc không phản hồi của Chủ thể dữ liệu không được coi là sự đồng ý.
9.2.7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
9.2.8. Đối với xử lý Dữ Liệu Cá Nhân nhạy cảm, Chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là Dữ Liệu Cá Nhân nhạy cảm.
9.2.9. Sự đồng ý của Chủ thể dữ liệu có hiệu lực cho tới khi Chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
9.2.10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của Chủ thể dữ liệu thuộc về ACS.
9.2.11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt Chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý Dữ Liệu Cá Nhân của Chủ thể dữ liệu với ACS trong trường hợp Chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại Khoản 9.2.3 Điều này.
9.2.12 Khách hàng đồng ý và cho phép ACS tra cứu thông tin tín dụng của Khách hàng tại Trung Tâm Tín Dụng Quốc Gia Việt Nam (CIC), và/hoặc bất kỳ một bên thứ ba nào khác cho mục đích phục vụ yêu cầu Khách hàng và quản lý hồ sơ Khách hàng.
9.2.13 Khách hàng đồng ý và cho phép ACS chia sẻ, cung cấp thông tin của Khách hàng bao gồm dữ liệu cá nhân, thông tin về các khoản tín dụng (nếu có) – là những thông tin mà Khách hàng đã cung cấp cho ACS trong quá trình thực hiện Hợp Đồng này – cho Trung Tâm Tín Dụng Quốc Gia Việt Nam, và/hoặc bất kỳ một bên thứ ba nào khác phục vụ cho hoạt động thông tin tín dụng và quản lý hồ sơ Khách hàng.
9.3. Rút lại sự đồng ý
9.3.1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
9.3.2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
9.3.3. Khi nhận yêu cầu rút lại sự đồng ý của Chủ thể dữ liệu, ACS thông báo cho Chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
9.3.4. Sau khi thực hiện quy định tại Khoản 9.3.2 Điều này, ACS, Bên Xử lý dữ liệu và Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của Chủ thể dữ liệu đã rút lại sự đồng ý.
9.4. Thông báo xử lý Dữ Liệu Cá Nhân
9.4.1. Việc thông báo được ACS thực hiện minh bạch tới Chủ thể dữ liệu thông qua việc công bố chính sách ACS trên website https://acsvietnam.com.vn, Fanpage, Hợp đồng mua trả góp (điều khoản và điều kiện), Thỏa thuận, Mẫu ACS…và được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý Dữ Liệu Cá Nhân.
9.4.2. Nội dung thông báo cho Chủ thể dữ liệu về xử lý Dữ Liệu Cá Nhân:
a. Mục đích xử lý;
b. Loại Dữ Liệu Cá Nhân được sử dụng có liên quan tới mục đích xử lý quy định tại Điểm a Khoản 9.4.2 Điều này;
c. Cách thức xử lý;
d. Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại Điểm a Khoản 9.4.2 Điều này;
e. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
f. Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
9.4.3. Việc thông báo cho Chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
9.4.4. ACS không cần thực hiện quy định lại Khoản 9.4.1 Điều này trong các trường hợp sau:
a. Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại Khoản 9.4.1 và Khoản 9.4.2 Điều này trước khi đồng ý cho ACS tiến hành thu thập Dữ Liệu Cá Nhân.
b. Dữ Liệu Cá Nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
9.5. Cung cấp Dữ Liệu Cá Nhân
9.5.1. Chủ thể dữ liệu được yêu cầu ACS cung cấp cho bản thân Dữ Liệu Cá Nhân của mình.
9.5.2. ACS:
a. Được cung cấp Dữ Liệu Cá Nhân của Chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của Chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
b. Thay mặt Chủ thể dữ liệu cung cấp Dữ Liệu Cá Nhân của Chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi Chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.
9.5.3. Việc cung cấp Dữ Liệu Cá Nhân của Chủ thể dữ liệu được ACS thực hiện trong 72 giờ sau khi có yêu cầu của Chủ thể dữ liệu.
9.5.4. ACS không cung cấp Dữ Liệu Cá Nhân trong trường hợp:
a. Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
b. Việc cung cấp Dữ Liệu Cá Nhân của Chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
c. Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận Dữ Liệu Cá Nhân.
9.5.5. Hình thức yêu cầu cung cấp Dữ Liệu Cá Nhân:
a. Chủ thể dữ liệu trực tiếp hoặc ủy quyền cho người khác đến trụ sở ACS yêu cầu cung cấp Dữ Liệu Cá Nhân.
b. ACS có trách nhiệm hướng dẫn tổ chức, cá nhân yêu cầu điền các nội dung vào Phiếu yêu cầu cung cấp Dữ Liệu Cá Nhân.
c. Gửi Phiếu yêu cầu cung cấp Dữ Liệu Cá Nhân theo Mẫu số 06/ND13, 07/ND13 tại Phụ lục của Chính sách này qua mạng điện tử, dịch vụ bưu chính, fax đến ACS.
9.5.6. Phiếu yêu cầu cung cấp Dữ Liệu Cá Nhân phải được thể hiện bằng tiếng Việt gồm các nội dung chính sau đây:
a. Họ, tên; nơi cư trú, địa chỉ; số chứng minh nhân dân, thể căn cước công dân hoặc số hộ chiếu của người yêu cầu; số fax, điện thoại, địa chỉ thư điện tử (nếu có);
b. Dữ Liệu Cá Nhân được yêu cầu cung cấp, trong đó chỉ rõ tên văn bản, hồ sơ, tài liệu;
c. Hình thức cung cấp Dữ Liệu Cá Nhân;
d. Lý do, mục đích yêu cầu cung cấp Dữ Liệu Cá Nhân.
9.5.7. Trường hợp yêu cầu cung cấp Dữ Liệu Cá Nhân quy định tại Khoản 9.5.2 Điều này thì phải kèm theo văn bản đồng ý của cá nhân, tổ chức liên quan.
9.5.8. Tiếp nhận yêu cầu cung cấp Dữ Liệu Cá Nhân
a. ACS có trách nhiệm tiếp nhận yêu cầu cung cấp Dữ Liệu Cá Nhân và theo dõi quá trình, danh sách cung cấp Dữ Liệu Cá Nhân theo yêu cầu;
b. Trường hợp Dữ Liệu Cá Nhân được yêu cầu không thuộc thẩm quyền thì ACS nhận được yêu cầu phải thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền hoặc thông báo rõ ràng việc không thể cung cấp Dữ Liệu Cá Nhân.
9.5.9. Giải quyết yêu cầu cung cấp Dữ Liệu Cá Nhân
Khi nhận được yêu cầu cung cấp Dữ Liệu Cá Nhân hợp lệ, ACS có trách nhiệm cung cấp Dữ Liệu Cá Nhân thông báo về thời hạn, địa điểm, hình thức cung cấp Dữ Liệu Cá Nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán; thực hiện việc cung cấp Dữ Liệu Cá Nhân theo trình tự, thủ tục quy định tại Điều này.
9.6. Chỉnh sữa Dữ Liệu Cá Nhân
9.6.1. Với vai trò là Bên Kiểm soát Dữ Liệu Cá Nhân, Bên Kiểm soát và xử lý Dữ Liệu Cá Nhân, ACS chỉnh sửa Dữ Liệu Cá Nhân của Chủ thể dữ liệu sau khi được Chủ thể Dữ Liệu Cá Nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới Chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa Dữ Liệu Cá Nhân của Chủ thể dữ liệu.
9.6.2. Với vai trò là Bên Xử lý Dữ Liệu Cá Nhân, Bên thứ ba, ACS được chỉnh sửa Dữ Liệu Cá Nhân của Chủ thể dữ liệu sau khi được Bên Kiểm soát Dữ Liệu Cá Nhân, Bên Kiểm soát và xử lý Dữ Liệu Cá Nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của Chủ thể dữ liệu.
9.7. Lưu trữ, xóa và hủy Dữ Liệu Cá Nhân
9.7.1. Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của Chủ thể dữ liệu trong các trường hợp:
a. Pháp luật quy định không cho phép xóa dữ liệu;
b. Dữ Liệu Cá Nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
c. Dữ Liệu Cá Nhân đã được công khai theo quy định của pháp luật;
d. Dữ Liệu Cá Nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
e. Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
f. Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của Chủ thể dữ liệu hoặc cá nhân khác.
9.7.2. Trường hợp ACS chia, tách, sáp nhập, hợp nhất, giải thể thì Dữ Liệu Cá Nhân được chuyển giao theo quy định của pháp luật.
9.7.3. Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của Chủ thể dữ liệu với toàn bộ Dữ Liệu Cá Nhân mà ACS thu thập được.
9.7.4. ACS lưu trữ Dữ Liệu Cá Nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ Dữ Liệu Cá Nhân theo quy định của pháp luật.
9.7.5. ACS xóa Dữ Liệu Cá Nhân không thể khôi phục trong trường hợp:
a. Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý Dữ Liệu Cá Nhân được Chủ thể dữ liệu đồng ý;
b. Việc lưu trữ Dữ Liệu Cá Nhân không còn cần thiết với hoạt động của ACS;
c. ACS bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
9.8. Xử lý Dữ Liệu Cá Nhân trong trường hợp không cần sự đồng ý của Chủ thể dữ liệu
9.8.1. Trong trường hợp khẩn cấp, cần xử lý ngay Dữ Liệu Cá Nhân có liên quan để bảo vệ tính mạng, sức khỏe của Chủ thể dữ liệu hoặc người khác. ACS có trách nhiệm chứng minh trường hợp này.
9.8.2. Việc công khai Dữ Liệu Cá Nhân theo quy định của luật.
9.8.3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
9.8.4. Để thực hiện nghĩa vụ theo hợp đồng của Chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
9.8.5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
9.9. Thông báo vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân
9.9.1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ Dữ Liệu Cá Nhân, ACS thông báo cho Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 08/ND 13 tại Phụ lục của Chính sách này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
9.9.2. Nội dung thông báo vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân:
a. Mô tả tính chất của việc vi phạm quy định bảo vệ Dữ Liệu Cá Nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại Dữ Liệu Cá Nhân và số lượng dữ liệu liên quan;
b. Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ Dữ Liệu Cá Nhân;
c. Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ Dữ Liệu Cá Nhân;
d. Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ Dữ Liệu Cá Nhân.
9.9.3. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại Khoản 9.9.2 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
9.9.4. ACS phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ Dữ Liệu Cá Nhân, phối hợp với Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
9.10. Đánh giá tác động xử lý Dữ Liệu Cá Nhân
9.10.1. Với vai trò Bên Kiểm soát Dữ Liệu Cá Nhân, Bên Kiểm soát và xử lý Dữ Liệu Cá Nhân, ACS lập và lưu giữ Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân của mình kể từ thời điểm bắt đầu xử lý Dữ Liệu Cá Nhân. Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân, bao gồm:
a. Thông tin và chi tiết liên lạc của ACS;
b. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ Dữ Liệu Cá Nhân và nhân viên bảo vệ Dữ Liệu Cá Nhân của ACS;
c. Mục đích xử lý Dữ Liệu Cá Nhân;
d. Các loại Dữ Liệu Cá Nhân được xử lý;
e. Tổ chức, cá nhân nhận Dữ Liệu Cá Nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
f. Trường hợp chuyển Dữ Liệu Cá Nhân ra nước ngoài;
g. Thời gian xử lý Dữ Liệu Cá Nhân; thời gian dự kiến để xoá, hủy Dữ Liệu Cá Nhân (nếu có);
h. Mô tả về các biện pháp bảo vệ Dữ Liệu Cá Nhân được áp dụng;
i. Đánh giá mức độ hưởng của việc xử lý Dữ Liệu Cá Nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
9.10.2. Với vai trò Bên Xử lý Dữ Liệu Cá Nhân, ACS tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát Dữ Liệu Cá Nhân. Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân, bao gồm:
a. Thông tin và chi tiết liên lạc của ACS;
b. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý Dữ Liệu Cá Nhân và nhân viên thực hiện xử lý Dữ Liệu Cá Nhân của ACS;
c. Mô tả các hoạt động xử lý và các loại Dữ Liệu Cá Nhân được xử lý theo hợp đồng với Bên Kiểm soát Dữ Liệu Cá Nhân;
d. Thời gian xử lý Dữ Liệu Cá Nhân; thời gian dự kiến để xoá, hủy Dữ Liệu Cá Nhân (nếu có);
e. (Các) trường hợp chuyển Dữ Liệu Cá Nhân ra nước ngoài;
f. Mô tả chung về các biện pháp bảo vệ Dữ Liệu Cá Nhân được áp dụng;
g. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
9.10.3. Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân quy định tại Khoản 9.10.1 và Khoản 9.10.2 Điều này được xác lập bằng văn bản có giá trị pháp lý của ACS.
9.10.4. Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi 01 bản chính theo Mẫu số 09/ND 13 tại Phụ lục của Chính sách này cho Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý Dữ Liệu Cá Nhân.
9.10.5. Trường hợp hồ sơ chưa đầy đủ và đúng quy định theo đánh giá, yêu cầu Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao), ACS có trách nhiệm hoàn thiện Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân phù hợp.
9.10.6. ACS có trách nhiệm cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý Dữ Liệu Cá Nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 10 tại Phụ lục của Chính sách này.
9.11. Đánh giá tác động chuyển Dữ Liệu Cá Nhân ra nước ngoài
9.11.1. Trong trường hợp chuyển Dữ Liệu Cá Nhân của công dân Việt Nam ra nước ngoài, ACS lập Hồ sơ đánh giá tác động chuyển Dữ Liệu Cá Nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại Khoản 9.11.3, 9.11.4 và 9.11.5 Điều này.
9.11.2. Hồ sơ đánh giá tác động chuyển Dữ Liệu Cá Nhân ra nước ngoài, gồm:
a. Thông tin và chi tiết liên lạc của ACS (Bên chuyển dữ liệu) và Bên tiếp nhận Dữ Liệu Cá Nhân của công dân Việt Nam;
b. Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của ACS có liên quan tới việc chuyển và tiếp nhận Dữ Liệu Cá Nhân của công dân Việt Nam;
c. Mô tả và luận giải mục tiêu của các hoạt động xử lý Dữ Liệu Cá Nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d. Mô tả và làm rõ loại Dữ Liệu Cá Nhân chuyển ra nước ngoài;
e. Mô tả và nêu rõ sự tuân thủ quy định bảo vệ Dữ Liệu Cá Nhân, chi tiết các biện pháp bảo vệ Dữ Liệu Cá Nhân được áp dụng;
f. Đánh giá mức độ ảnh hưởng của việc xử lý Dữ Liệu Cá Nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g. Sự đồng ý của Chủ thể dữ liệu theo quy định tại Điều 9.2 trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h. Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận Dữ Liệu Cá Nhân của Công dân Việt Nam về việc xử lý Dữ Liệu Cá Nhân.
9.11.3. Hồ sơ đánh giá tác động chuyển Dữ Liệu Cá Nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
9.11.4. ACS chuẩn bị 02 bản chính. ACS gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 11/ND 13 tại Phụ lục của Chính sách này trong thời gian 60 ngày kể từ ngày tiến hành xử lý Dữ Liệu Cá Nhân. ACS lưu 01 bản chính tại ACS để phục vụ công tác kiểm tra.
9.11.5. ACS thông báo gửi Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
9.11.6. Trong thời hạn 10 ngày kể từ ngày nhận được đánh giá, yêu cầu của Bộ Công an (Cục an ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) hoàn thiện Hồ sơ đánh giá tác động chuyển Dữ Liệu Cá Nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định, ACS có trách nhiệm cập nhật, bổ sung Hồ sơ đánh giá tác động của việc chuyển Dữ Liệu Cá Nhân ra bên ngoài khi có bất kỳ nội dung thay đổi nào gửi về Bộ Công an (Cục An ninh mạng và Phòng chống tội phạm công nghệ cao) theo Mẫu số 10/NĐ13 tại Phụ lục của Chính sách này
9.11.7. Căn cứ tình hình cụ thể, ACS được Bộ Công an kiểm tra việc chuyển Dữ Liệu Cá Nhân ra nước ngoài 01 lần/năm; hoặc trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ Dữ Liệu Cá Nhân hoặc để xảy ra sự cố lộ, mất Dữ Liệu Cá Nhân của công dân Việt Nam.
9.11.8. Căn cứ tình hình vi phạm cụ thế và yêu cầu của Bộ Công an, việc chuyển Dữ Liệu Cá Nhân ra nước ngoài trong bắt buộc ngừng trong trường hợp:
a. Khi phát hiện Dữ Liệu Cá Nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b. ACS không chấp hành quy định pháp luật và quy định Chính sách này;
c. Để xảy ra sự cố lộ, mất Dữ Liệu Cá Nhân của công dân Việt Nam.
10.Quản lý và bảo vệ Dữ Liệu Cá Nhân
10.1. Bảo vệ
- Triển khai, áp dụng tổng hợp chính sách tuân thủ (ban hành, hoàn thiện chính sách pháp luật, quy định nội bộ) và các giải pháp kỹ thuật công nghệ bảo mật an toàn, phù hợp theo quy định của pháp luật, rà soát, cập nhật các biện pháp này khi cần thiết.
- Thực hiện việc lưu trữ Dữ Liệu Cá Nhân và xử lý Dữ Liệu Cá Nhân; thông báo các hành vi vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân và phối hợp với các cơ quan có thẩm quyền trong việc bảo vệ Dữ Liệu Cá Nhân, cung cấp thông tin để điều tra và xử lý các hành vi vi phạm theo quy định của pháp luật.
- Tiếp nhận Dữ Liệu Cá Nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát Dữ Liệu Cá Nhân và tiến hành xử lý Dữ Liệu Cá Nhân theo đúng nội dung thoả thuận với Bên kiểm soát Dữ Liệu Cá Nhân, phù hợp với hoạt động kinh doanh của ACS theo quy định.
- Thực hiện việc lựa chọn đơn vị xử lý Dữ Liệu Cá Nhân phù hợp với sứ mệnh rõ ràng, các điều kiện và biện pháp bảo vệ phù hợp.
- Thực hiện đầy đủ các biện pháp và phối hợp với cơ quan nhà nước có thẩm quyền trong bảo vệ Dữ Liệu Cá Nhân, cung cấp thông tin phục vụ điều tra, xử lý vi phạm theo quy định pháp luật và chịu trách nhiệm trước Chủ thể dữ liệu về các thiệt hại do quá trình xử lý Dữ Liệu Cá Nhân gây ra.
10.2. Lưu trữ và Bảo mật
ACS xử lý Dữ Liệu Cá Nhân một cách bảo mật và kiểm soát để ngăn chặn việc truy cập, đánh cắp, kiểm soát và xử lý ngoài ý muốn hoặc bất hợp pháp. Nhân viên của ACS phải có tài khoản xác định, được cấp quyền để truy cập vào Dữ Liệu Cá Nhân phù hợp với nhiệm vụ và công việc được ACS giao.
ACS thực hiện việc lưu trữ Dữ Liệu Cá Nhân, thời gian lưu trữ và quyết định hình thức lưu trữ dự liệu theo quy định pháp luật.
ACS thực hiện các biện pháp bảo mật hợp lý để bảo vệ Dữ Liệu Cá Nhân theo quy định pháp luật về bảo mật thông tin cá nhân; tuy nhiên không thể đảm bảo sự bảo mật tuyệt đối chẳng hạn như trường hợp tiết lộ trái phép phát sinh từ hoạt động tin tặc hoặc hành vi tấn công tinh vi bởi kẻ xấu mà không phải lỗi của ACS.
10.3. Tính toàn vẹn của dữ liệu
Việc truyền Dữ Liệu Cá Nhân được ACS kiểm soát để đảm bảo rằng Dữ Liệu Cá Nhân không thể bị tiết lộ, sao chép, thay đổi hoặc xóa khi chưa được phép trong quá trình truyền; và được thực hiện theo các thỏa thuận tương ứng theo các đối tác.
10.4. Xử lý sự cố
Sự cố hoặc các nghi ngờ xảy ra sự cố được phát hiện có liên quan đến bảo vệ Dữ Liệu Cá Nhân phải được báo cáo cho Bộ phận phụ trách theo quy tắc báo cáo của AFS và ACS.
Các Bộ phận có trách nhiệm phối hợp với Bộ phận phụ trách để đánh giá, điều tra, thu thập bằng chứng về sự cố và Bộ phận phụ trách sẽ đề xuất các giải pháp, biện pháp phòng ngừa để Ban Giám đốc ACS hoặc AFS chấp thuận trong trường hợp cần thiết và/hoặc nhằm tuân theo các quy tắc của AFS.
10.5. Bên hợp tác, nhà cung cấp và nhà thầu phụ.
Các bên hợp tác, nhà cung cấp, nhà thầu phụ của ACS không được phép kiểm soát và xử lý Dữ Liệu Cá Nhân đang được ACS giữ quyền kiểm soát mà không có sự đồng ý hoặc thỏa thuận cụ thể trước với ACS về các nghĩa vụ ràng buộc rõ ràng và nghiêm ngặt trong việc bảo vệ Dữ Liệu Cá Nhân.
11. Đào tạo bảo vệ Dữ Liệu Cá Nhân và Cam kết tuân thủ
Để tuân thủ nghiêm ngặt các quy định pháp luật liên quan và chính sách của Tập đoàn AEON Nhật Bản, ACS đã và đang thực hiện, áp dụng nghiêm ngặt các quy định trong việc kiểm soát, xử lý và quản lý Dữ Liệu Cá Nhân của ACS nhằm ngăn chặn Dữ Liệu Cá Nhân bị đánh cắp, thay đổi, hư hỏng, thất lạc hoặc tiết lộ một cách bất hợp pháp.
Nhân viên của ACS tham gia chương trình đào tạo về bảo vệ Dữ Liệu Cá Nhân với tài liệu được ACS cập nhật phổ biến hoặc trong trường hợp có thay đổi về quy định pháp luật.
Tất cả nhân viên mới và nhân viên đang làm việc phải tham gia và hoàn thành khóa đào tạo bảo vệ Dữ Liệu Cá Nhân của ACS (một trong những tài liệu đào tạo của ACS), được cập nhật mới thông qua khóa Đào tạo Quy tắc ứng xử bắt buộc hằng năm.
12. Trách nhiệm và Xử lý vi phạm
Mọi hành vi vi phạm quy định pháp luật, quy định của cơ quan nhà nước và/hoặc ACS về bảo vệ Dữ Liệu Cá Nhân phải bị xử phạt theo quy định của ACS (xử lý kỷ luật) hoặc/và pháp luật (xử phạt hành chính hoặc/và truy cứu trách nhiệm hình sự).
Bên cạnh đó, các cá nhân có liên quan và nhân viên ACS vi phạm pháp luật có thể phải chịu trách nhiệm bồi thường thiệt hại theo tổn thất thực tế do hành vi vi phạm gây ra.
13. Loại trừ trách nhiệm về nghĩa vụ bảo mật
Nhằm gia tăng giá trị cung cấp cho Chủ thể dữ liệu, ACS có thể lựa chọn các trang web/ứng dụng/dịch vụ của bên thứ ba khác nhau để liên kết (“Liên Kết Bên Thứ Ba”). ACS không đảm bảo tính bảo mật đối với Dữ Liệu Cá Nhân và/hoặc thông tin khác mà Chủ thể dữ liệu cung cấp trên các Liên Kết Bên Thứ Ba. Vì ngay cả khi bên thứ ba đó có liên kết với chúng tôi, chúng tôi cũng không thể kiểm soát các trang web/ứng dụng/dịch vụ được liên kết này vì mỗi bên có chính sách cũng như các biện pháp bảo mật riêng biệt và độc lập. Do đó chúng tôi không chịu trách nhiệm thực tiễn hay trách nhiệm pháp lý đối với nội dung, các biện pháp bảo mật (hoặc sự thiếu biện pháp bảo mật) của các Liên Kết Bên Thứ Ba. Tuy nhiên, chúng tôi tìm cách bảo vệ tính toàn vẹn giá trị của chúng tôi và do đó chúng tôi hoan nghênh ý kiến phản hồi của Chủ thể dữ liệu về các liên kết này.
14. Đối tượng chưa thành niên và Đối tượng khác
Trong phạm vi của Chính sách này, đối tượng chưa thành niên là người dưới 13 tuổi. Trừ khi có quy định khác, ACS không cố ý thu thập bất kỳ Dữ Liệu Cá Nhân nào liên quan đến đối tượng chưa thành niên.
Trong trường hợp Dữ Liệu Cá Nhân của đối tượng chưa thành niên được tiết lộ cho ACS, Chủ thể dữ liệu theo đây đồng ý với việc xử lý Dữ Liệu Cá Nhân của đối tượng chưa thành niên và chấp nhận và đồng ý chịu sự ràng buộc của Thông Báo này và chịu trách nhiệm về hành động của đối tượng chưa thành niên đó.
ACS sẽ không xử lý Dữ Liệu Cá Nhân của người đã chết hoặc mất tích mà không có sự đồng ý theo quy định của pháp luật. Chủ thể dữ liệu có trách nhiệm thông báo kịp thời cho chúng tôi về thông tin thực tế đó.
15. Bộ Phận và Cá Nhân phụ trách bảo vệ Dữ Liệu Cá Nhân
ACS chỉ định Bộ phận Pháp chế và Tuân thủ là Bộ phận phụ trách các hoạt động xử lý và bảo vệ Dữ Liệu Cá Nhân.
Trường hợp Chủ thể dữ liệu có bất kỳ thắc mắc (hoặc khiếu nại) nào về cách chúng tôi xử lý Dữ Liệu Cá Nhân của bạn, bạn có thể nêu những thắc mắc này với Bộ phận CSKH hoặc với Bộ phận phụ trách bảo mật dữ liệu của ACS, chúng tôi sẽ cố gắng xem xét yêu cầu của bạn sớm nhất có thể, hoặc
Trường hợp Chủ thể dữ liệu có bất kỳ câu hỏi nào liên quan đến việc bảo vệ Dữ Liệu Cá Nhân hoặc muốn thực hiện bất kỳ quyền nào của mình, vui lòng liên hệ với Bộ phận CSKH hoặc với Bộ phận phụ trách bảo mật dữ liệu của ACS, chúng tôi sẽ cố gắng phản hồi yêu cầu của bạn sớm nhất có thể.
Tại: ACS TNHH Thương Mại ACS Việt Nam – Trụ sở Hồ Chí Minh
Bộ phận liên hệ: Chuyên viên bảo mật dữ liệu
Email: acs.cs@acsvietnam.com.vn
Địa chỉ: 246 Cống Quỳnh, Phường Phạm Ngũ Lão, Quận 1, TP.HCM.
Điện thoại: 1900 5150
16. Hiệu lực và Sửa đổi
Chính sách này có hiệu lực kể từ ngày 1 tháng 7 năm 2023 và phải được xem xét, đánh giá hằng năm hoặc trong một số trường hợp có sự thay đổi về pháp luật, nhằm phản ánh thông tin mới nhất và để đảm bảo tuân thủ các chính sách mới nhất của AFS/ACS và quy định pháp luật Việt Nam.
- Tên đơn vị: Công ty TNHH TM ACS Việt Nam
- Địa chỉ: 246 Cống Quỳnh, Phường Phạm Ngũ Lão, Quận 1, TP. Hồ Chí Minh,
- Điện thoại: 1900 5150
- Email: cs@acsvietnam.com.vn
- Số giấy chứng nhận đăng ký kinh doanh: 0305732706
- Đăng ký lần đầu: ngày 26 tháng 5 năm 2008
- Đăng ký thay đổi lần thứ: 18, ngày 15 tháng 6 năm 2023
- Nơi cấp: Sở Kế hoạch & Đầu tư TP.HCM