Quy định bảo vệ dữ liệu cá nhân

Quy định bảo vệ dữ liệu cá nhân

QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 1. Phạm vi điều chỉnh và Đối tượng áp dụng

1.1. Quy định về Bảo vệ Dữ liệu cá nhân này (“Quy định”) được ban hành và áp dụng bởi Công ty cổ phần Chứng khoán VIX (“VIX”), nhằm quy định các hoạt động của VIX liên quan đến việc thu thập, xử lý và bảo vệ Dữ liệu cá nhân.

1.2. Quy định này áp dụng đối với mọi Chủ thể dữ liệu cá nhân (như quy định tại Điều 2 Quy định này) có Dữ liệu cá nhân được VIX xử lý.

1.3. Quy định này là một phần không thể tách rời và cần được đọc, hiểu, thống nhất với các hợp đồng, thỏa thuận, văn kiện, đề nghị, cam kết, đăng ký sử dụng dịch vụ, các văn bản, tài liệu khác được xác lập giữa Chủ thể dữ liệu cá nhân và VIX.

Điều 2. Giải thích từ ngữ

Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:

2.1. “VIX” hoặc “Công ty”: là Công ty cổ phần Chứng khoán VIX, bao gồm trụ sở chính, chi nhánh, văn phòng đại diện, phòng giao dịch của công ty (nếu có).

2.2. “Dữ liệu cá nhân”: là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là Dữ liệu cá nhân.

2.3. “Chủ thể dữ liệu cá nhân”: là người được Dữ liệu cá nhân phản ánh, bao gồm: (i) tổ chức/cá nhân xác lập giao dịch, phát sinh quan hệ hợp tác, quan hệ pháp lý trực tiếp/gián tiếp với VIX và (ii) tổ chức/cá nhân cho phép VIX xử lý Dữ liệu cá nhân (trực tiếp hoặc thông qua bên thứ ba).

Để làm rõ, Chủ thể dữ liệu cá nhân bao gồm nhưng không giới hạn các nhóm sau:

  1. Nhóm 1: Khách hàng đang tìm hiểu, đăng ký, sử dụng sản phẩm, dịch vụ của VIX hoặc truy cập, sử dụng các trang thông tin điện tử, ứng dụng, nền tảng, hệ thống do VIX quản lý hoặc vận hành;
  2. Nhóm 2: Người nội bộ, người có liên quan của người nội bộ, người có liên quan của VIX theo quy định của pháp luật về chứng khoán, pháp luật về doanh nghiệp; người lao động, người ứng tuyển vào làm việc tại VIX, thực tập sinh, cộng tác viên hoặc cá nhân khác đã và đang làm việc tại VIX;
  3. Nhóm 3: Đối tác, cổ đông của VIX, nhà cung cấp của VIX;
  4. Nhóm 4: Cá nhân khác có quan hệ với VIX.

2.4. “Bên cung cấp Dữ liệu cá nhân”: là tổ chức hoặc cá nhân cung cấp Dữ liệu cá nhân cho VIX. Tùy từng trường hợp, Bên cung cấp Dữ liệu cá nhân có thể đồng thời là Chủ thể dữ liệu cá nhân.

2.5. “Xử lý Dữ liệu cá nhân”: là hoạt động tác động đến Dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao Dữ liệu cá nhân và hoạt động khác tác động đến Dữ liệu cá nhân.

2.6. “Bên Kiểm soát Dữ liệu cá nhân”: là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý Dữ liệu cá nhân.

2.7. “Bên Kiểm soát và xử lý Dữ liệu cá nhân” là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân. Để làm rõ, trong phạm vi Quy định này, VIX có thể đóng vai trò là Bên Kiểm soát Dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý Dữ liệu cá nhân.

2.8. “Bên Xử lý Dữ liệu cá nhân”: là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng. Tùy từng trường hợp, Bên Xử Lý Dữ liệu cá nhân có thể chính là VIX hoặc là cá nhân, tổ chức thực hiện việc Xử Lý Dữ liệu cá nhân thay mặt cho VIX, thông qua một hợp đồng hoặc thỏa thuận với VIX.

2.9. “Bên thứ ba”: là bất kỳ tổ chức hoặc cá nhân nào khác ngoài VIX và Chủ thể dữ liệu cá nhân, bao gồm nhưng không giới hạn ở: cơ quan quản lý nhà nước như: Uỷ ban chứng khoán nhà nước (“UBCKNN”), Tổng công ty lưu ký và bù trừ chứng khoán Việt Nam (“VSDC”),… và các cơ quan nhà nước khác có liên quan, nhà cung cấp dịch vụ, đối tác, tổ chức trung gian thanh toán tham gia vào việc xử lý dữ liệu cá nhân theo quy định của pháp luật.

2.10. Các thuật ngữ chưa được giải thích tại Mục này sẽ được hiểu và áp dụng theo quy định của pháp luật Việt Nam về bảo vệ Dữ liệu cá nhân và các quy định pháp luật có liên quan.

Điều 3. Nguyên tắc bảo vệ Dữ liệu cá nhân

VIX cam kết tuân thủ các nguyên tắc sau trong suốt quá trình xử lý dữ liệu:

3.1. Việc xử lý Dữ liệu cá nhân được thực hiện phù hợp với quy định của pháp luật, Luật bảo vệ Dữ liệu cá nhân, pháp luật Chứng khoán và các quy định khác có liên quan.

3.2. Dữ liệu cá nhân được thu thập và xử lý đúng phạm vi, mục đích cụ thể, rõ ràng, hợp pháp đảm bảo tuân thủ quy định của pháp luật và quy định nội bộ VIX.

3.3. Áp dụng các biện pháp quản lý, kỹ thuật và bảo mật phù hợp nhằm bảo vệ Dữ liệu cá nhân, phòng chống mất mát, truy cập trái phép, tiết lộ, sửa đổi hoặc phá hủy dữ liệu.

3.4. Dữ liệu cá nhân được lưu trữ trong thời hạn phù hợp với mục đích xử lý và quy định của pháp luật chuyên ngành.

Điều 4. Sự đồng ý của Chủ thể dữ liệu cá nhân

4.1. VIX sẽ thực hiện xử lý dựa trên sự đồng ý của Chủ thể dữ liệu cá nhân theo các nguyên tắc sau:

a. Nguyên tắc tự nguyện: Sự đồng ý của Chủ thể dữ liệu cá nhân chỉ có giá trị khi được đưa ra một cách tự nguyện, dựa trên việc Chủ thể dữ liệu cá nhân đã hiểu rõ sau khi được VIX thông báo đầy đủ về: loại dữ liệu cá nhân được xử lý, mục đích xử lý, các tổ chức/cá nhân có liên quan đến kiểm soát và xử lý dữ liệu cá nhân và quyền, nghĩa vụ của Chủ thể dữ liệu cá nhân.

b. Hình thức thể hiện: Sự đồng ý phải được thể hiện rõ ràng và có thể kiểm chứng được thông qua một trong các hình thức:

  • Bằng văn bản;
  • Thông qua cuộc gọi được ghi âm;
  • Thông qua tin nhắn điện thoại, cú pháp điện tử xác nhận đồng ý;
  • Thông qua thư điện tử, trang thông tin điện tử, ứng dụng, nền tảng có thiết lập kỹ thuật xin sự đồng ý;
  • Thông qua các hình thức khác phù hợp với quy định pháp luật, có thể in, sao chép, lưu trữ hoặc kiểm chứng được bằng văn bản, bao gồm cả dưới dạng điện tử.

c. Phạm vi và Hiệu lực:

  • Sự đồng ý áp dụng đối với toàn bộ Dữ liệu cá nhân mà Chủ thể dữ liệu cá nhân cung cấp, cũng như các dữ liệu cập nhật, phát sinh trong suốt quá trình thiết lập, duy trì quan hệ với VIX;
  • Sự đồng ý có hiệu lực kể từ thời điểm VIX tiếp nhận cho đến khi: (i) Chủ thể dữ liệu cá nhân rút lại sự đồng ý hợp lệ; hoặc (ii) Việc xử lý chấm dứt theo quy định pháp luật; hoặc (iii) Các bên có thỏa thuận khác. Để làm rõ, việc Chủ thể dữ liệu cá nhân rút lại sự đồng ý không làm ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được thực hiện trước thời điểm VIX nhận được yêu cầu rút lại sự đồng ý, và không ảnh hưởng đến quyền của VIX trong việc tiếp tục lưu trữ, xử lý dữ liệu nhằm phục vụ các nghĩa vụ pháp lý bắt buộc theo quy định của pháp luật chuyên ngành;
  • Chủ thể dữ liệu cá nhân/Bên cung cấp Dữ liệu cá nhân hiểu và đồng ý rằng, Dữ liệu cá nhân (bao gồm cả Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm) được cung cấp cho VIX sẽ không giới hạn trong phạm vi các dữ liệu cá nhân sẽ được cung cấp mà còn bao gồm các dữ liệu cá nhân đã được cung cấp cho VIX. Việc Chủ thể dữ liệu cá nhân/Bên cung cấp Dữ liệu cá nhân tiếp tục sử dụng các dịch vụ, sản phẩm của VIX hoặc tiếp tục duy trì các giao dịch, thỏa thuận đã thiết lập với VIX sau thời điểm chấp thuận Quy định này chính là sự đồng ý rõ ràng, tự nguyện và khẳng định của Chủ thể dữ liệu cá nhân/Bên cung cấp Dữ liệu cá nhân cho phép VIX xử lý Dữ liệu cá nhân (bao gồm cả Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm) trong suốt quá trình tiếp nhận và xử lý Dữ liệu cá nhân, bắt đầu từ khi VIX tiếp nhận được thông tin cho đến khi có yêu cầu chấm dứt việc xử lý dữ liệu từ Chủ thể dữ liệu cá nhân/Bên cung cấp Dữ liệu hoặc theo quy định của pháp luật.

4.2. Các trường hợp xử lý Dữ liệu cá nhân không cần sự đồng ý của Chủ thể dữ liệu cá nhân

Dữ liệu cá nhân có thể được thu thập, sử dụng và xử lý mà không cần sự đồng ý của Chủ thể dữ liệu cá nhân trong các trường hợp sau đây, phù hợp với quy định của Luật Bảo vệ Dữ liệu cá nhân:

  1. Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của Chủ thể dữ liệu cá nhân hoặc của người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, cơ quan, tổ chức một cách cần thiết trước hành vi xâm phạm các lợi ích nói trên;
  2. Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
  3. Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;
  4. Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật;
  5. Các trường hợp khác theo quy định pháp luật.

Điều 5. Mục đích xử lý Dữ liệu cá nhân

VIX xử lý Dữ liệu cá nhân trong phạm vi cần thiết, phù hợp với quy định pháp luật cho các mục đích cụ thể sau đây:

5.1. Tuân thủ pháp luật, quản trị rủi ro và bảo vệ lợi ích hợp pháp (Áp dụng đối với tất cả các nhóm Chủ thể dữ liệu cá nhân), bao gồm nhưng không giới hạn:

  1. Xác minh, xác thực danh tính; rà soát tính chính xác, đầy đủ và hợp lệ của Dữ liệu cá nhân do Chủ thể dữ liệu cá nhân cung cấp hoặc phát sinh trong quá trình tương tác, nhằm bảo đảm việc nhận biết đúng Chủ thể dữ liệu cá nhân, phòng ngừa hành vi giả mạo, gian lận và bảo đảm an toàn trong quá trình thiết lập, duy trì quan hệ;
  2. Thiết lập, duy trì, quản lý và thực hiện các quan hệ pháp lý, giao dịch, hợp đồng, thỏa thuận và các quyền, nghĩa vụ phát sinh giữa VIX với Chủ thể dữ liệu cá nhân, Bên cung cấp Dữ liệu cá nhân hoặc các bên thứ ba có liên quan theo quy định pháp luật;
  3. Phục vụ hoạt động quản trị, vận hành nội bộ, bao gồm việc nhập liệu, lưu trữ, cập nhật, quản lý hệ thống thông tin, bảo đảm tính ổn định, an toàn và tính liên tục của hoạt động kinh doanh và hệ thống công nghệ thông tin;
  4. Bảo đảm an ninh, an toàn thông tin; phòng ngừa, phát hiện, ngăn chặn và xử lý các hành vi gian lận, truy cập trái phép, lạm dụng dữ liệu, vi phạm nghĩa vụ hoặc các hành vi vi phạm pháp luật khác có thể ảnh hưởng đến quyền, lợi ích hợp pháp của các bên liên quan;
  5. Phục vụ công tác quản trị rủi ro, phân tích, thống kê, kiểm toán nội bộ và các hoạt động đánh giá cần thiết khác nhằm bảo đảm tuân thủ pháp luật, chuẩn mực quản trị và yêu cầu quản lý nội bộ;
  6. Tuân thủ quy định của pháp luật hiện hành, điều ước quốc tế mà Việt Nam là thành viên và các yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền, bao gồm nhưng không giới hạn nghĩa vụ báo cáo, công bố thông tin, lưu trữ hồ sơ, phòng, chống rửa tiền, tài trợ khủng bố và các nghĩa vụ pháp lý khác;
  7. Tiếp nhận, giải quyết khiếu nại, phản ánh, tranh chấp, tố tụng và các yêu cầu pháp lý khác; thiết lập, thực hiện hoặc bảo vệ quyền và lợi ích hợp pháp của VIX, Chủ thể dữ liệu cá nhân và các bên có liên quan theo quy định của pháp luật;
  8. Bảo vệ lợi ích công cộng, bảo vệ tính mạng, sức khỏe con người hoặc ngăn chặn, giảm thiểu nguy cơ gây thiệt hại nghiêm trọng theo quy định của pháp luật;
  9. Trong phạm vi cần thiết và phù hợp với quy định pháp luật, Dữ liệu hình ảnh, âm thanh được thu thập thông qua hệ thống camera giám sát (CCTV), thiết bị ghi âm, ghi hình hoặc các phương tiện kỹ thuật khác tại trụ sở, chi nhánh, địa điểm giao dịch của VIX hoặc trong quá trình giao dịch trực tiếp, giao dịch từ xa (bao gồm nhưng không giới hạn qua điện thoại, hệ thống giao dịch trực tuyến, thư điện tử hoặc các kênh liên lạc khác được VIX chấp thuận) có thể được xử lý nhằm phục vụ các mục đích bảo đảm an ninh, an toàn, phòng ngừa, phát hiện và ngăn chặn hành vi gian lận, vi phạm pháp luật; bảo đảm chất lượng dịch vụ; giải quyết khiếu nại, tranh chấp; điều tra, xử lý sự cố theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền hoặc theo quy định của pháp luật.

5.2. Cung cấp, vận hành và phát triển Dịch Vụ (Áp dụng đối với Nhóm 1 tại Điểm a Khoản 2.3 Điều 2), bao gồm nhưng không giới hạn:

  1. Nhận biết, xác minh, xác thực danh tính, lý lịch, định danh Khách hàng; thẩm định hồ sơ pháp lý, khả năng tài chính, mức độ đáp ứng điều kiện đối với từng nghiệp vụ, sản phẩm, dịch vụ do VIX cung cấp hoặc phối hợp cung cấp theo quy định pháp luật;
  2. Phê duyệt, cung cấp, duy trì, quản lý, thay đổi, tạm ngừng hoặc chấm dứt việc cung cấp sản phẩm, dịch vụ; quản lý, giám sát, xử lý giao dịch; bảo đảm an toàn, bảo mật và tính liên tục của việc cung cấp sản phẩm, dịch vụ cho Khách hàng;
  3. Quản lý tài khoản, bao gồm việc mở, duy trì, phong tỏa, tạm khóa hoặc đóng tài khoản, giao dịch theo quy định pháp luật hoặc theo thỏa thuận với Khách hàng;
  4. Triển khai sản phẩm, dịch vụ liên kết: Phối hợp với các đối tác, nhà cung cấp, bên thứ ba để triển khai các sản phẩm, dịch vụ tích hợp, liên kết hoặc bổ trợ theo quy định pháp luật, bao gồm cả các sản phẩm, dịch vụ do Bên Thứ Ba cung cấp thông qua sự hợp tác với VIX;
  5. Liên hệ, trao đổi, cung cấp thông tin, tài liệu, thông báo liên quan đến giao dịch, quyền và nghĩa vụ của Khách hàng; thông báo về các thay đổi, cải tiến, nâng cấp tính năng, chất lượng sản phẩm, dịch vụ;
  6. Thực hiện hoạt động tiếp thị, quảng bá, giới thiệu sản phẩm, dịch vụ, chương trình ưu đãi, khuyến mại, sự kiện và các hoạt động truyền thông khác theo quy định của pháp luật về tiếp thị trực tiếp và theo lựa chọn của Khách hàng;
  7. Thực hiện nghiên cứu thị trường, khảo sát, phân tích và thống kê dữ liệu nhằm đánh giá nhu cầu, hành vi và mức độ hài lòng của Khách hàng, phục vụ việc cải tiến và nâng cao chất lượng sản phẩm, dịch vụ trong phạm vi pháp luật cho phép;
  8. Thực hiện các nghĩa vụ tài chính, kế toán, thuế, phí, lệ phí và các nghĩa vụ khác theo quy định của pháp luật liên quan đến việc cung cấp sản phẩm, dịch vụ cho Khách hàng.

5.3. Quản trị nhân sự và quản lý tổ chức (Áp dụng đối với Nhóm 2 tại Điểm b Khoản 2.3 Điều 2), bao gồm nhưng không giới hạn:

  1. Phục vụ công tác tuyển dụng, bao gồm rà soát, đánh giá điều kiện, hồ sơ, tài liệu của ứng viên, cộng tác viên; đăng ký hồ sơ, ký kết và quản lý hợp đồng lao động, hợp đồng dịch vụ và các thỏa thuận liên quan;
  2. Quản lý và phát triển nhân sự, bao gồm tiếp nhận, đào tạo, bố trí, điều động, bổ nhiệm, miễn nhiệm, đánh giá, khen thưởng, kỷ luật và chấm dứt quan hệ lao động hoặc quan hệ hợp tác việc tuân thủ nghĩa vụ theo hợp đồng, cam kết; thực hiện các chế độ tiền lương, phúc lợi, bảo hiểm, khen thưởng, kỷ luật theo quy định;
  3. Quản lý hồ sơ nhân sự, phân quyền, bảo đảm an ninh, an toàn hệ thống thông tin; thực hiện các thủ tục, nghĩa vụ với cơ quan nhà nước có thẩm quyền theo quy định của pháp luật về lao động, bảo hiểm, thuế và các quy định chuyên ngành liên quan;
  4. Quản lý thời gian làm việc, chấm công, kiểm soát ra vào, bảo đảm an ninh, an toàn lao động, bảo mật thông tin và tài sản của VIX;
  5. Phối hợp với các bên thứ ba cung cấp các dịch vụ phục vụ người lao động như đào tạo, bảo hiểm, chăm sóc sức khỏe, vận tải, du lịch, tổ chức sự kiện và các dịch vụ hợp pháp khác có liên quan;
  6. Phục vụ hoạt động truyền thông nội bộ, tuyển dụng và các mục đích quản trị nguồn nhân lực hợp pháp khác phát sinh trực tiếp từ việc quản lý, vận hành và phát triển nguồn nhân lực;
  7. Giải quyết khiếu nại, tố cáo, tranh chấp, rủi ro pháp lý và bảo vệ quyền, lợi ích hợp pháp của VIX, người lao động và các bên liên quan;
  8. Quản lý thông tin Người nội bộ và người có liên quan nhằm bảo đảm tuân thủ các quy định của pháp luật về chứng khoán, pháp luật về doanh nghiệp và các quy định pháp luật có liên quan.
  9. Thực hiện các mục đích quản lý nội bộ khác phù hợp với chức năng, hoạt động của VIX và tuân thủ quy định của pháp luật hiện hành.

5.4. Hợp tác kinh doanh và quản lý quan hệ đối tác, cổ đông (Áp dụng đối với Nhóm 3 tại Điểm c Khoản 2.3 Điều 2), bao gồm nhưng không giới hạn:

  1. Xác lập, triển khai, duy trì và quản lý các quan hệ hợp tác kinh doanh, cung ứng dịch vụ, cộng tác và các quan hệ đối tác khác theo quy định pháp luật;
  2. Liên hệ, trao đổi, xác minh thông tin trong quá trình hợp tác; thực hiện thanh toán, quyết toán, đối soát, báo cáo và các nghĩa vụ tài chính, kế toán có liên quan;
  3. Quản lý cổ đông, tổ chức Đại hội đồng cổ đông, thực hiện quyền và nghĩa vụ của VIX/cổ đông theo quy định pháp luật và Điều lệ công;
  4. Phục vụ các giao dịch doanh nghiệp như tái cấu trúc, chuyển nhượng, mua bán, sáp nhập, hợp nhất hoặc các giao dịch tương tự khác theo quy định pháp luật;
  5. Các mục đích hợp pháp khác theo quy định của pháp luật hoặc phát sinh có liên quan trực tiếp đến quan hệ đối tác, quản lý cổ đông, quản trị công ty phù hợp với quy định của pháp luật.

5.5. Mục đích xử lý Dữ liệu cá nhân đối với Nhóm 4 – Cá nhân khác có quan hệ hợp pháp với VIX (tại Điểm d Khoản 2.3 Điều 2), bao gồm nhưng không giới hạn:

  1. Thiết lập, duy trì và quản lý quan hệ pháp lý phát sinh;
  2. Thực hiện quyền, nghĩa vụ và các mục đích hợp pháp liên quan theo quy định pháp luật.

5.6. Các mục đích hợp pháp khác mà pháp luật cho phép tổ chức, doanh nghiệp được Xử Lý Dữ liệu cá nhân trong phạm vi chức năng, ngành nghề và hoạt động kinh doanh và theo thoả thuận giữa VIX và chủ thể dữ liệu cá nhân.

Lưu ý: VIX chỉ xử lý dữ liệu trong phạm vi các mục đích đã nêu tại Điều này. Trường hợp phát sinh mục đích xử lý mới ngoài phạm vi đã thông báo, VIX sẽ thực hiện theo thỏa thuận hoặc thông báo để có sự đồng ý của Chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

Điều 6. Các loại Dữ liệu cá nhân được thu thập và xử lý

Tùy thuộc vào từng sản phẩm, dịch vụ, chương trình và mối quan hệ pháp lý cụ thể, VIX có thể thu thập và xử lý bao gồm nhưng không giới hạn các loại Dữ liệu cá nhân sau đây:

6.1. Dữ liệu cá nhân cơ bản: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân (bao gồm cả hình ảnh, thông tin có được từ các hệ thống camera an ninh); Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe; số mã số thuế cá nhân; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha, mẹ, con, vợ, chồng); Thông tin về tài khoản số của cá nhân; Thông tin về người có liên quan của Chủ thể dữ liệu cá nhân; Thông tin về tài khoản ngân hàng; Thông tin về dữ liệu đóng thuế; Dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn liền với Chủ thể dữ liệu cá nhân hoặc giúp xác định Chủ thể dữ liệu cá nhân không thuộc Dữ liệu cá nhân nhạy cảm nêu dưới đây.

6.2. Dữ liệu cá nhân nhạy cảm: Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc; Quan điểm về tôn giáo; Tình trạng sức khỏe; Dữ liệu sinh trắc học, đặc điểm di truyền; Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Vị trí của cá nhân được xác định qua dịch vụ định vị; Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân; Tên đăng nhập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác; Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng; Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

6.3. Dữ liệu liên quan đến các trang thông tin điện tử, ứng dụng:Bao gồm nhưng không giới hạn: dữ liệu kỹ thuật (như loại thiết bị truy cập, hệ điều hành, loại và cấu hình trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, múi giờ, thời điểm truy cập, thống kê sử dụng ứng dụng, dữ liệu vị trí và thông tin liên lạc kỹ thuật khác); thông tin định danh và xác thực, bao gồm: tên tài khoản; thông tin đăng nhập; mật khẩu (được mã hóa và bảo mật theo tiêu chuẩn an toàn thông tin); dữ liệu sử dụng và dữ liệu tương tác với trang thông tin điện tử, ứng dụng của VIX.

6.4. Dữ liệu tiếp thị:Bao gồm nhưng không giới hạn: thông tin về mối quan tâm đối với quảng cáo; dữ liệu cookie và các công nghệ tương tự; dữ liệu clickstream, lịch sử duyệt web tương tác với nội dung tiếp thị; phản hồi đối với hoạt động tiếp thị trực tiếp; và thông tin về việc đăng ký hoặc từ chối nhận thông tin tiếp thị.

Điều 7. Cách thức và Nguồn thu thập dữ liệu

VIX có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân trực tiếp hoặc gián tiếp, trong quá trình Chủ thể dữ liệu cá nhân tìm hiểu, yêu cầu, đăng ký, sử dụng sản phẩm, dịch vụ hoặc phát sinh quan hệ hợp pháp với VIX, phù hợp với quy định của pháp luật. Các nguồn thu thập bao gồm nhưng không giới hạn các trường hợp sau:

7.1. Trực tiếp từ Chủ thể dữ liệu cá nhân: VIX thu thập Dữ liệu cá nhân khi Chủ thể dữ liệu cá nhân trực tiếp cung cấp cho VIX thông qua các hình thức như: gặp gỡ, làm việc trực tiếp; đăng ký, kê khai thông tin; ký kết hợp đồng, thỏa thuận; sử dụng sản phẩm, dịch vụ của VIX.

7.2. Thông qua trao đổi, liên lạc: VIX có thể thu thập Dữ liệu cá nhân khi Chủ thể dữ liệu cá nhân liên hệ, trao đổi hoặc tương tác với VIX thông qua các phương tiện như thư tín, điện thoại, thư điện tử, tổng đài, liên lạc điện tử hoặc các hình thức khác, bao gồm cả các khảo sát, điều tra, phản hồi do VIX thực hiện phù hợp với quy định pháp luật.

7.3. Từ các trang thông tin điện tử và hệ thống giao dịch trực tuyến: VIX có thể thu thập Dữ liệu cá nhân khi Chủ thể dữ liệu cá nhân truy cập, đăng nhập, sử dụng các trang thông tin điện tử, hệ thống giao dịch trực tuyến, nền tảng số hoặc các tiện ích trực tuyến khác do VIX quản lý hoặc vận hành. Dữ liệu thu thập có thể bao gồm dữ liệu kỹ thuật như loại thiết bị, hệ điều hành, trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, múi giờ, thời điểm truy cập, thống kê sử dụng và các thông tin kỹ thuật khác theo quy định pháp luật.

7.4. Từ ứng dụng di động: VIX có thể thu thập Dữ liệu cá nhân khi Chủ thể dữ liệu cá nhân tải xuống, đăng ký, đăng nhập hoặc sử dụng các ứng dụng dành cho thiết bị di động của VIX. Các ứng dụng này có thể ghi lại một số thông tin nhất định (bao gồm thống kê sử dụng Ứng dụng, loại thiết bị, hệ điều hành, cài đặt Ứng dụng, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với Ứng dụng, dữ liệu vị trí và các thông tin liên lạc kỹ thuật khác) tất cả hoặc một số thông tin này có thể tạo thành Dữ liệu cá nhân.

7.5. Từ các tương tác hoặc các công nghệ thu thập dữ liệu tự động: VIX có thể thu thập thông tin bao gồm địa chỉ IP, URL giới thiệu, hệ điều hành, trình duyệt tin điện tử và bất kỳ thông tin nào khác được ghi tự động từ kết nối, phù hợp với quy định pháp luật và thông báo liên quan của VIX.

7.6. Thu thập từ bên thứ ba:

  1. Từ các đối tác, nhà cung cấp dịch vụ, bên liên kết, tổ chức trung gian hoặc các bên thứ ba khác có quan hệ hợp pháp với VIX, nhằm phục vụ việc cung cấp sản phẩm, dịch vụ hoặc thực hiện nghĩa vụ pháp lý của VIX;
  2. Từ các tổ chức, cá nhân cung cấp dịch vụ thanh toán, lưu ký, bù trừ, giao dịch chứng khoán hoặc các dịch vụ liên quan khác theo quy định pháp luật;
  3. Từ cơ quan nhà nước có thẩm quyền, bao gồm nhưng không giới hạn Ủy ban Chứng khoán Nhà nước, Tổng công ty Lưu ký và Bù trừ chứng khoán Việt Nam, các Sở giao dịch chứng khoán và các cơ quan có thẩm quyền khác theo quy định pháp luật;
  4. Từ các nguồn dữ liệu được công khai hợp pháp theo quy định của pháp luật;
  5. Bất cứ khi nào thu thập Dữ liệu cá nhân như vậy, VIX được hiểu, tin tưởng và được đảm bảo rằng các bên thứ ba có liên quan đã có sự đồng ý của Chủ thể dữ liệu cá nhân đối với: (i) việc cung cấp Dữ liệu cá nhân của bên thứ ba cho VIX; và (ii) việc xử lý dữ liệu cho các mục đích của VIX trong Quy định này. Nếu Chủ thể dữ liệu cá nhân không đồng ý, vui lòng không cung cấp Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân cho bên thứ ba.

7.7. Từ những nguồn khác mà Chủ thể dữ liệu cá nhân đồng ý việc chia sẻ/cung cấp Dữ liệu cá nhân, hoặc những nguồn mà việc thu thập được pháp luật yêu cầu hoặc cho phép.

Điều 8. Cookies

8.1. VIX sử dụng Cookie (các tệp dữ liệu nhỏ lưu trữ trên thiết bị) và các công nghệ theo dõi tương tự trên các trang tin điện tử và ứng dụng nhằm:

  1. Nhận diện thiết bị, duy trì trạng thái đăng nhập và phiên làm việc của Chủ thể dữ liệu cá nhân;
  2. Hỗ trợ vận hành hệ thống, bảo đảm an ninh, an toàn thông tin và tính ổn định của nền tảng trực tuyến;
  3. Ghi nhớ các lựa chọn và cài đặt cơ bản của người dùng, như ngôn ngữ hiển thị hoặc các tùy chọn kỹ thuật khác, nhằm nâng cao trải nghiệm sử dụng;
  4. Tổng hợp số liệu thống kê để phân tích hiệu quả hoạt động và cải thiện dịch vụ.

8.2. Trong một số trường hợp, thông tin thu thập thông qua Cookie có thể được coi là Dữ liệu cá nhân (ví dụ: địa chỉ IP, hành vi sử dụng,…). Việc xử lý các dữ liệu này tuân thủ đầy đủ các quy định về bảo vệ Dữ liệu cá nhân tại Quy định này.

8.3. Chủ thể dữ liệu cá nhân có thể thiết lập trình duyệt hoặc thiết bị của mình để từ chối, chặn hoặc xóa Cookie. Tuy nhiên, việc vô hiệu hóa Cookie có thể ảnh hưởng đến khả năng sử dụng đầy đủ các tính năng, tiện ích hoặc dịch vụ trên nền tảng trực tuyến của VIX.

8.4. Các trang tin điện tử của VIX có thể tích hợp công cụ phân tích hoặc quảng cáo của bên thứ ba. Các bên này có thể sử dụng Cookie riêng theo chính sách của họ. VIX không kiểm soát và khuyến nghị Chủ thể dữ liệu cá nhân tham khảo chính sách bảo mật của bên thứ ba tương ứng.

Điều 9. Cung cấp, chia sẻ và tiết lộ Dữ liệu cá nhân

9.1. VIX sẽ không bán, trao đổi, cho thuê (có thời hạn hoặc vô thời hạn) các thông tin cá nhân của Chủ thể dữ liệu cá nhân mà không có sự chấp thuận của Chủ thể dữ liệu cá nhân theo pháp luật hiện hành. Tuy nhiên, để thực hiện các mục đích và hoạt động xử lý Dữ liệu cá nhân tại Quy định này, Bên cung cấp Dữ liệu cá nhân hiểu và đồng ý VIX có thể tiết lộ Dữ liệu cá nhân cho một hoặc các bên dưới đây:

  1. Các đơn vị thành viên của VIX (nếu có), bao gồm nhưng không giới hạn các công ty con, công ty thành viên, công ty liên doanh, công ty liên kết được VIX xác định trong từng thời kỳ;
  2. Các nhân viên và bộ phận trong nội bộ VIX cho các mục đích được nêu trong Quy định này và các văn bản, thỏa thuận được ký kết giữa Chủ thể dữ liệu cá nhân và VIX;
  3. Các đơn vị tư vấn, luật sư, cố vấn, kế toán viên, kiểm toán viên của VIX hoặc Chủ thể dữ liệu cá nhân;
  4. Các cơ quan nhà nước có thẩm quyền tại Việt Nam hoặc bất kỳ cá nhân, cơ quan quản lý hoặc bên thứ ba mà VIX được phép hoặc bắt buộc phải tiết lộ theo quy định pháp luật của bất kỳ quốc gia, hoặc theo bất kỳ văn bản, thỏa thuận nào khác giữa bên thứ ba và VIX;
  5. Các đối tác kinh doanh, nhà cung cấp phần thưởng, nhà cung cấp quà tặng, các bên đồng thương hiệu, bên tham gia hoặc phối hợp tổ chức chương trình khách hàng thân thiết, các nhà quảng cáo, tổ chức từ thiện hoặc tổ chức phi lợi nhuận, bất kỳ tổ chức nào có liên quan nhằm mục đích điều hành, triển khai hoạt động kinh doanh của VIX, bên triển khai vận hành hệ thống, ứng dụng hoặc thiết bị hay cung cấp cho Khách hàng bất kỳ sản phẩm, dịch vụ nào mà Khách hàng lựa chọn hoặc các mục đích được nêu trong Quy định này;
  6. Bất kỳ cá nhân, tổ chức có liên quan đến việc thực thi hoặc duy trì bất kỳ quyền hoặc nghĩa vụ nào theo (các) thỏa thuận giữa Chủ thể dữ liệu cá nhân/Bên cung cấp Dữ liệu cá nhân với VIX;
  7. Cha mẹ, vợ chồng, con, người thừa kế của Chủ thể dữ liệu cá nhân trong trường hợp Chủ thể dữ liệu cá nhân đã chết, bị tuyên bố mất tích;
  8. Các bên thứ ba mà Chủ thể dữ liệu cá nhân đồng ý hoặc VIX có cơ sở pháp lý để chia sẻ Dữ liệu cá nhân.

9.2. VIX xem Dữ liệu cá nhân là riêng tư và bảo mật. Ngoài các bên đã nêu ở trên, VIX không tiết lộ Dữ liệu cá nhân cho bất kỳ bên nào khác, trừ các trường hợp:

  1. Khi có sự đồng ý của Chủ thể dữ liệu cá nhân;
  2. Khi VIX được yêu cầu hoặc được phép tiết lộ theo quy định pháp luật; hoặc theo quyết định của cơ quan nhà nước có thẩm quyền;
  3. Khi VIX chuyển giao quyền và nghĩa vụ theo (các) thỏa thuận giữa các bên có liên quan và VIX hoặc thực hiện theo quy định của pháp luật.

Điều 10. Quyền, Nghĩa vụ và Cam kết của Chủ thể dữ liệu cá nhân

10.1. Quyền của Chủ thể dữ liệu cá nhân

  1. Chủ thể dữ liệu cá nhân có các quyền sau đây: (i) Quyền được biết; (ii) Quyền đồng ý hoặc không đồng ý ; (iii) Quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu; (iv) Quyền rút lại sự đồng ý; (v) Quyền yêu cầu xóa dữ liệu; (vi) Quyền yêu cầu hạn chế xử lý dữ liệu; (vii) Quyền yêu cầu cung cấp dữ liệu; (viii) Quyền phản đối dữ liệu; (xi) Quyền khiếu nại, tố cáo, khởi kiện; (x) Quyền yêu cầu bồi thường thiệt hại; (xi) Quyền tự bảo vệ và các quyền có liên quan khác theo quy định của pháp luật.
  2. Khi Chủ thể dữ liệu cá nhân muốn truy cập vào Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân mà VIX đang sở hữu, hoặc khi Chủ thể dữ liệu cá nhân cho rằng Dữ liệu cá nhân được VIX nắm giữ là không chính xác, không đầy đủ, gây hiểu nhầm hoặc không cập nhật, nếu có liên quan, Chủ thể dữ liệu cá nhân có quyền yêu cầu VIX thông qua phương thức liên hệ tại Điều 16 Quy định. VIX, bằng nỗ lực hợp lý, sẽ tuân thủ yêu cầu truy cập hoặc chỉnh sửa Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân khi nhận được yêu cầu hoàn chỉnh, hợp lệ và phí xử lý liên quan (nếu có) từ Chủ thể dữ liệu cá nhân.
  3. Trong trường hợp Chủ thể dữ liệu cá nhân nhận thấy có vi phạm về xử lý Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân, Chủ thể dữ liệu cá nhân có quyền yêu cầu VIX hỗ trợ xử lý, trong khả năng cho phép của mình, nhằm ngăn chặn hoặc hạn chế tiết lộ Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân, trừ trường hợp luật có quy định khác;
  4. Chủ thể dữ liệu cá nhân có quyền yêu cầu VIX xử lý dữ liệu của Chủ thể dữ liệu cá nhân dựa trên sự đồng ý của Chủ thể dữ liệu cá nhân theo mục đích của Điều khoản và Điều kiện này trừ trường hợp luật có quy định khác;
  5. Xin lưu ý rằng các quyền khác như quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường, tự bảo vệ của Chủ thể dữ liệu cá nhân sẽ tuân theo quy định của pháp luật, trừ trường hợp giữa Chủ thể dữ liệu cá nhân và VIX có thỏa thuận khác phù hợp với quy định của pháp luật;
  6. Để rõ ràng, việc Chủ thể dữ liệu cá nhân thực hiện các quyền nêu trên không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi Chủ thể dữ liệu cá nhân thực hiện các quyền quy định tại khoản này.

10.2. Nghĩa vụ của Chủ thể dữ liệu cá nhân:

  1. Tự bảo vệ Dữ liệu cá nhân của mình; tôn trọng, bảo vệ Dữ liệu cá nhân của người khác;
  2. Cung cấp đầy đủ, chính xác, kịp thời Dữ liệu cá nhân theo quy định của pháp luật, theo hợp đồng, thỏa thuận hoặc khi đồng ý cho phép xử lý Dữ liệu cá nhân của mình;
  3. Chịu trách nhiệm đối với tính trung thực, hợp pháp của Dữ liệu cá nhân đã cung cấp;
  4. Chấp hành các quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân;
  5. Trong trường hợp Dữ liệu cá nhân có sự thay đổi, điều chỉnh, Chủ thể dữ liệu cá nhân và/hoặc Bên cung cấp Dữ liệu cá nhân, bên có liên quan có trách nhiệm chủ động cập nhật hoặc thông báo kịp thời cho VIX để thực hiện việc cập nhật theo quy định; chịu trách nhiệm đối với mọi rủi ro, thiệt hại phát sinh từ việc chậm trễ hoặc không thông báo;
  6. Thông báo ngay cho VIX khi phát hiện hoặc nghi ngờ Dữ liệu cá nhân bị lộ, bị truy cập trái phép, bị sử dụng sai mục đích hoặc phát sinh rủi ro trong quá trình sử dụng sản phẩm, dịch vụ, hoặc khi phát hiện bất kỳ hành vi vi phạm nào liên quan đến bảo vệ Dữ liệu cá nhân theo Quy định này.
  7. Trong trường hợp Chủ thể dữ liệu cá nhân rút lại sự đồng ý, yêu cầu xóa dữ liệu, hạn chế xử lý dữ liệu và/hoặc thực hiện các quyền liên quan đối với một phần hoặc toàn bộ Dữ liệu cá nhân của mình, tùy theo tính chất và phạm vi của yêu cầu, Chủ thể dữ liệu cá nhân cam kết đã hiểu rõ và chấp thuận các nội dung sau:
  • Hậu quả và thiệt hại có thể phát sinh:
    • Các hành vi được thực hiện theo quy định trên được xem là sự đơn phương chấm dứt giao dịch từ phía Chủ thể dữ liệu cá nhân cho bất kỳ mối quan hệ nào với VIX và hoàn toàn có thể dẫn đến sự vi phạm nghĩa vụ hoặc các cam kết theo các văn bản, thỏa thuận giữa Chủ thể dữ liệu cá nhân với VIX;
    • VIX không thể tiếp tục cung cấp sản phẩm, dịch vụ và/hoặc duy trì quan hệ hợp tác liên quan đến việc sử dụng Dữ liệu cá nhân. Cụ thể:
      • Đối với Khách hàng: VIX sẽ không thể tiếp tục thực hiện giao dịch hoặc cung cấp sản phẩm, dịch vụ, bao gồm cả việc phải dừng hoạt động tài khoản giao dịch chứng khoán và/hoặc các dịch vụ, sản phẩm khác đã được cung cấp;
      • Đối với các Chủ thể dữ liệu cá nhân khác: Có thể dẫn đến chấm dứt hợp đồng, thỏa thuận, ngừng hợp tác hoặc các hậu quả tương ứng theo quy định pháp luật và thỏa thuận giữa các bên.
  • Các thủ tục liên quan:

Để đảm bảo quyền lợi và thực hiện đúng quy định, VIX đề nghị Chủ thể dữ liệu cá nhân liên hệ và hoàn tất các thủ tục cần thiết trước khi VIX và các tổ chức, cá nhân có liên quan ngừng xử lý Dữ liệu cá nhân theo yêu cầu, cụ thể:

    • Đối với Khách hàng: thực hiện thủ tục đóng tài khoản giao dịch chứng khoán, chấm dứt hợp đồng, thỏa thuận hoặc ngừng sử dụng các dịch vụ liên quan;
    • Đối với các Chủ thể dữ liệu cá nhân khác: hoàn tất các thủ tục chấm dứt hợp đồng, thỏa thuận, ngừng hợp tác hoặc các thủ tục liên quan theo thỏa thuận giữa các bên.
  • Giới hạn trong việc xóa dữ liệu cá nhân:

Nhằm tuân thủ quy định pháp luật về lưu trữ dữ liệu và các quy định pháp luật khác có liên quan, VIX và các tổ chức, cá nhân có liên quan có thể không thực hiện được yêu cầu xóa Dữ liệu cá nhân đã được sử dụng để thực hiện các giao dịch hoặc thực hiện các nghĩa vụ trước đó của Chủ thể dữ liệu cá nhân.

  • Trách nhiệm của Chủ thể dữ liệu cá nhân:

VIX và các tổ chức, cá nhân có liên quan sẽ không chịu trách nhiệm đối với bất kỳ hậu quả, thiệt hại nào phát sinh từ việc ngừng xử lý và/hoặc xóa dữ liệu cá nhân theo yêu cầu của Chủ thể dữ liệu cá nhân. Chủ thể dữ liệu cá nhân vui lòng đọc kỹ và hiểu rõ các hậu quả được nêu trên.

  • Hiệu lực của việc xử lý dữ liệu trước khi rút lại sự đồng ý và/hoặc xóa dữ liệu

Việc rút lại sự đồng ý và/hoặc xóa dữ liệu không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu cá nhân đã được thực hiện trước thời điểm Chủ thể dữ liệu cá nhân rút lại sự đồng ý và/hoặc xóa dữ liệu.

10.3. Cam kết của Chủ thể dữ liệu cá nhân:

  1. Chủ thể dữ liệu cá nhân xác nhận đã được VIX thông báo đầy đủ, rõ ràng và đã hiểu toàn bộ các nội dung cần được thông báo trước khi xử lý Dữ liệu cá nhân theo Quy định này, bao gồm nhưng không giới hạn: loại Dữ liệu cá nhân được xử lý, mục đích xử lý, chủ thể tham gia xử lý dữ liệu và các quyền, nghĩa vụ của Chủ thể dữ liệu cá nhân theo quy định của pháp luật;
  2. Chủ thể dữ liệu cá nhân cam kết rằng việc thể hiện sự đồng ý đối với việc xử lý Dữ liệu cá nhân (bao gồm cả Dữ liệu cá nhân nhạy cảm, nếu có) là hoàn toàn tự nguyện, không bị lừa dối, ép buộc và được thực hiện trên cơ sở đã được cung cấp đầy đủ thông tin theo quy định của pháp luật;
  3. Chủ thể dữ liệu cá nhân cam kết các Dữ liệu cá nhân đã cung cấp cho VIX là trung thực, chính xác, hợp pháp; đồng thời cam kết phối hợp, tạo điều kiện cần thiết trong phạm vi hợp lý để VIX thực hiện các nghĩa vụ pháp lý, nghĩa vụ báo cáo, lưu trữ và cung cấp thông tin theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền;
  4. Trường hợp Chủ thể dữ liệu cá nhân cung cấp Dữ liệu cá nhân của bên thứ ba cho VIX (bao gồm nhưng không giới hạn người phụ thuộc, người có liên quan, người được ủy quyền, người liên hệ trong trường hợp khẩn cấp hoặc các cá nhân khác), Chủ thể dữ liệu cá nhân cam kết đã có đầy đủ sự đồng ý hợp pháp của bên thứ ba đó đối với việc xử lý Dữ liệu cá nhân theo Quy định này và chịu hoàn toàn trách nhiệm liên quan; VIX không có nghĩa vụ thẩm tra tính hợp pháp của sự đồng ý này;
  5. Chủ thể dữ liệu cá nhân hiểu và đồng ý rằng VIX có quyền từ chối thực hiện các yêu cầu của Chủ thể dữ liệu cá nhân trong các trường hợp pháp luật không cho phép hoặc khi Chủ thể dữ liệu cá nhân không đáp ứng đầy đủ điều kiện, trình tự, thủ tục xác minh theo quy định, nhằm phòng ngừa gian lận, bảo đảm an toàn và tuân thủ pháp luật về bảo vệ Dữ liệu cá nhân.

Điều 11. Biện pháp bảo vệ Dữ liệu cá nhân

11.1. VIX cam kết xử lý Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân một cách an toàn, bảo mật và đảm bảo các quyền của Chủ thể dữ liệu cá nhân đối với hoạt động xử lý Dữ liệu cá nhân theo Quy định này và pháp luật hiện hành.

11.2. VIX áp dụng các phương pháp xử lý dữ liệu phù hợp cũng như các biện pháp bảo mật kỹ thuật và tổ chức cần thiết để ngăn chặn việc truy cập, sao chép, sử dụng, thay đổi, cung cấp, phá hủy trái phép hoặc các hành vi xử lý dữ liệu không đúng quy định khác.

11.3. Tuy nhiên, Chủ thể dữ liệu cá nhân hiểu và thừa nhận rằng Internet không phải là một môi trường an toàn tuyệt đối và VIX không thể cam kết bảo đảm rằng dữ liệu chia sẻ qua Internet sẽ luôn được bảo mật hoàn toàn trước mọi rủi ro tấn công mạng. Do đó, để tối ưu hóa hiệu quả bảo mật:

  1. Chủ thể dữ liệu cá nhân có trách nhiệm tự bảo vệ thiết bị cá nhân, chỉ sử dụng các hệ thống, phần mềm và mạng lưới an toàn, tin cậy để truy cập vào các nền tảng của VIX;
  2. Chủ thể dữ liệu cá nhân có nghĩa vụ tự bảo mật tuyệt đối các thông tin xác thực (tên đăng nhập, mật khẩu, mã OTP, chữ ký số) và không tiết lộ cho bất kỳ bên thứ ba nào;
  3. Chủ thể dữ liệu cá nhân cần thông báo ngay lập tức cho VIX qua các kênh chính thức nếu phát hiện hoặc nghi ngờ có hành vi lạm dụng thông tin đăng nhập, truy cập trái phép để VIX kịp thời áp dụng các biện pháp ngăn chặn và hỗ trợ cần thiết.

Điều 12. Thời hạn lưu trữ Dữ liệu cá nhân

Dữ liệu cá nhân được lưu trữ trong khoảng thời gian cần thiết để thực hiện các mục đích xử lý đã nêu tại Quy định này, theo nguyên tắc sau: (i) Việc lưu trữ là cần thiết để VIX thực hiện các nghĩa vụ bắt buộc theo quy định của pháp luật, bao gồm nhưng không giới hạn: Luật Chứng khoán; Pháp luật về Phòng, chống rửa tiền và tài trợ khủng bố; Pháp luật về Thuế, Kế toán, Lao động và Doanh nghiệp; Các yêu cầu, quyết định của cơ quan nhà nước có thẩm quyền (UBCKNN, VSDC, Cơ quan điều tra, Tòa án…); (ii) Đối với các loại dữ liệu không thuộc trường hợp tại điểm (i) nêu trên, VIX sẽ lưu trữ cho đến khi hoàn thành mục đích xử lý hoặc khi có yêu cầu xóa hợp lệ từ Chủ thể dữ liệu cá nhân phù hợp với quy định pháp luật.

Điều 13. Chuyển Dữ liệu cá nhân xuyên biên giới

13.1. Nhằm phục vụ hoạt động kinh doanh, sử dụng các dịch vụ công nghệ tiêu chuẩn quốc tế (như lưu trữ đám mây, phần mềm quản trị hệ thống), VIX có thể chuyển Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân xuyên biên giới hoặc lưu trữ tại các hệ thống máy chủ đặt ngoài lãnh thổ Việt Nam.

13.2. Việc chuyển Dữ liệu cá nhân xuyên biên giới sẽ được VIX thực hiện khi đáp ứng các điều kiện sau:

    1. Dữ liệu được chuyển phục vụ mục đích xử lý hợp pháp, rõ ràng của VIX và Chủ thể dữ liệu cá nhân;
    2. VIX đã lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài theo quy định của Luật Bảo vệ Dữ liệu cá nhân (nếu áp dụng);
    3. Bên tiếp nhận dữ liệu ở nước ngoài có cam kết bảo vệ Dữ liệu cá nhân đạt tiêu chuẩn tương đương hoặc cao hơn quy định pháp luật Việt Nam.

13.3. VIX cam kết chỉ chuyển Dữ liệu cá nhân xuyên biên giới trong phạm vi cần thiết, áp dụng các biện pháp kỹ thuật và quản lý phù hợp nhằm bảo đảm an toàn, bảo mật thông tin và bảo vệ quyền, lợi ích hợp pháp của Chủ thể dữ liệu cá nhân.

13.4. Bằng việc đồng ý với Quy định này và sử dụng dịch vụ của VIX, Chủ thể dữ liệu cá nhân hiểu và đồng ý cho phép VIX thực hiện việc chuyển dữ liệu cá nhân xuyên biên giới trong phạm vi các mục đích đã nêu, phù hợp với quy định pháp luật.

Điều 14. Hậu quả, thiệt hại không mong muốn xảy ra

14.1. Chủ thể dữ liệu cá nhân hiểu và chấp nhận rằng việc truyền tải và lưu trữ thông tin trên không gian mạng luôn tiềm ẩn những rủi ro nhất định nằm ngoài tầm kiểm soát hợp lý của VIX (như tin tặc tấn công, sự cố đường truyền viễn thông quốc gia/quốc tế, lỗi phần cứng/phần mềm bất ngờ…). VIX cam kết nỗ lực hợp lý để hạn chế các rủi ro này.

14.2. VIX luôn nỗ lực đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, nhằm hạn chế thấp nhất các hậu quả, thiệt hại không mong muốn có khả năng xảy ra đối với Dữ liệu cá nhân.

14.3. VIX thực hiện trách nhiệm bảo vệ Dữ liệu cá nhân theo quy định của pháp luật hiện hành với các phương pháp bảo mật tốt nhất theo quy định pháp luật và thường xuyên xem xét, cập nhật các biện pháp quản lý và kỹ thuật khi xử lý Dữ liệu cá nhân của Chủ thể dữ liệu cá nhân (nếu có).

14.4. Trong trường hợp phát hiện sự cố rò rỉ hoặc vi phạm quy định bảo vệ Dữ liệu cá nhân gây ảnh hưởng đến quyền lợi của Chủ thể dữ liệu cá nhân, VIX sẽ kích hoạt quy trình ứng phó sự cố khẩn cấp, áp dụng các biện pháp khắc phục kịp thời và thực hiện thông báo cho cơ quan nhà nước có thẩm quyền và Chủ thể dữ liệu cá nhân trong thời hạn luật định.

14.5. VIX được miễn trừ trách nhiệm bồi thường đối với các mất mát, thiệt hại về dữ liệu trong các trường hợp:

  1. Sự cố xảy ra do lỗi bảo mật từ phía Chủ thể dữ liệu cá nhân (bao gồm việc lộ mật khẩu, mã OTP, chia sẻ thiết bị sử dụng, truy cập vào các đường dẫn giả mạo…);
  2. Sự kiện bất khả kháng theo quy định của pháp luật (thiên tai, dịch bệnh, sự cố hạ tầng viễn thông diện rộng, thay đổi chính sách pháp luật…);
  3. Dữ liệu đã được công khai hợp pháp hoặc bị rò rỉ từ các nguồn khác không thuộc hệ thống quản lý của VIX.

Điều 15. Hiệu lực và Sửa đổi

15.1. Quy định này có hiệu lực kể từ ngày ký ban hành và thay thế cho các văn bản, chính sách trước đó của VIX có nội dung liên quan đến bảo vệ Dữ liệu cá nhân.

15.2. VIX có quyền sửa đổi, bổ sung, cập nhật Quy định này tại bất kỳ thời điểm nào để phù hợp với quy định của pháp luật và hoạt động thực tế của Công ty.

15.3. Mọi sự thay đổi sẽ được VIX thông báo công khai trên Website chính thức, Ứng dụng giao dịch hoặc gửi qua Email đã đăng ký hoặc các phương tiện liên lạc khác mà VIX cho là phù hợp. Việc Chủ thể dữ liệu cá nhân tiếp tục sử dụng sản phẩm, dịch vụ của VIX sau khi Quy định sửa đổi có hiệu lực được hiểu là sự chấp nhận và đồng ý tuân thủ đối với các nội dung sửa đổi đó.

Điều 16. Thông tin liên hệ

Mọi thắc mắc, khiếu nại hoặc yêu cầu liên quan đến hoạt động xử lý và bảo vệ Dữ liệu cá nhân, Chủ thể dữ liệu cá nhân vui lòng liên hệ với VIX qua các kênh sau:

Đơn vị tiếp nhận: Phòng Dịch vụ khách hàng/Ban Bảo vệ dữ liệu cá nhân

  • Gọi điện đến hotline: (024) 44568888 hoặc;
  • Gửi thư điện tử theo địa chỉ: support@vixs.vn hoặc;
  • Liên hệ trực tiếp tại các địa điểm trụ sở, chi nhánh hoạt động (nếu có) của VIX;
  • Các địa chỉ hoặc phương thức khác do VIX cung cấp từng thời kỳ.

 

Mở tài khoản (024) 4456 8888