CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

1. Định nghĩa

Trong phạm vi Chính sách này, các từ ngữ dưới đây được hiểu như sau:

• 1.1. “VnClear” là Công ty Cổ phần Thanh toán Bù trừ Hàng hóa Việt Nam.
• 1.2. “Thành viên” bao gồm Thành viên Kinh doanh, Thành viên Môi giới, Thành viên lưu ký/giao nhận hàng hóa.
• 1.3. “Khách hàng” là cá nhân, tổ chức tham gia hoặc có liên quan đến hoạt động giao dịch mua bán hàng hóa qua Sở Giao dịch hàng hóa thông qua Thành viên, có dữ liệu cá nhân được xử lý theo mô tả tại Chính sách này.
• 1.4. “Chủ thể dữ liệu” là cá nhân được dữ liệu cá nhân phản ánh, bao gồm Khách hàng là cá nhân, người đại diện theo pháp luật, người đại diện theo ủy quyền, người liên hệ, cá nhân thuộc Thành viên, đối tác, nhà cung cấp hoặc cá nhân khác có dữ liệu cá nhân được VnClear xử lý theo Chính sách này.
• 1.5. “Dữ liệu cá nhân” là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
• 1.6. “Dữ liệu cá nhân cơ bản” là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
• 1.7. “Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
• 1.8. “Xử lý dữ liệu cá nhân” là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.
• 1.9. “Bên kiểm soát dữ liệu cá nhân” là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Tùy từng hoạt động cụ thể, VnClear có thể đóng vai trò Bên kiểm soát dữ liệu cá nhân.
• 1.10. “Bên xử lý dữ liệu cá nhân” là tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân thay mặt Bên kiểm soát dữ liệu cá nhân theo thỏa thuận hoặc hợp đồng. Tùy từng hoạt động cụ thể, VnClear có thể đóng vai trò Bên xử lý dữ liệu cá nhân hoặc thuê bên khác xử lý dữ liệu cá nhân cho VnClear.
• 1.11. “Bên kiểm soát và xử lý dữ liệu cá nhân” là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện xử lý và trực tiếp xử lý dữ liệu cá nhân. Tùy từng hoạt động cụ thể, VnClear có thể đóng vai trò Bên kiểm soát và xử lý dữ liệu cá nhân.
• 1.12. “Bên thứ ba” bao gồm nhưng không giới hạn cơ quan nhà nước có thẩm quyền, Sở Giao dịch hàng hóa, Thành viên, ngân hàng thanh toán, tổ chức cung cấp dịch vụ công nghệ thông tin, trung tâm dữ liệu, nhà cung cấp dịch vụ bảo mật, kiểm toán, tư vấn, luật sư, nhà thầu, đối tác trong và ngoài nước hoặc tổ chức, cá nhân khác có liên quan đến việc xử lý dữ liệu cá nhân theo Chính sách này.
• 1.13. “Hệ thống công nghệ thông tin của VnClear” là hệ thống hạ tầng kỹ thuật, phần mềm, cơ sở dữ liệu, ứng dụng, cổng kết nối, hệ thống bù trừ, hệ thống quản lý ký quỹ, hệ thống quản lý tài khoản, hệ thống lưu trữ, hệ thống an toàn thông tin và các hệ thống khác do VnClear quản lý, vận hành hoặc sử dụng để phục vụ hoạt động nghiệp vụ.
• 1.14. “Chuyển dữ liệu cá nhân xuyên biên giới” là việc chuyển dữ liệu cá nhân của Chủ thể dữ liệu ra khỏi lãnh thổ Việt Nam hoặc sử dụng địa điểm, nền tảng, hệ thống, phương tiện xử lý dữ liệu cá nhân đặt ngoài lãnh thổ Việt Nam theo quy định pháp luật.
• 1.15. “Mục đích” là mục đích xử lý dữ liệu cá nhân được mô tả tại Chính sách này và/hoặc tại thông báo xử lý dữ liệu cá nhân, thỏa thuận, hợp đồng, biểu mẫu hoặc văn bản khác được VnClear công bố, gửi hoặc áp dụng hợp lệ tại từng thời điểm.

2. Đối tượng áp dụng

Chính sách này áp dụng đối với VnClear, Thành viên, Khách hàng, Chủ thể dữ liệu, Bên thứ ba và các tổ chức, cá nhân khác có liên quan đến việc xử lý dữ liệu cá nhân trong phạm vi hoạt động của VnClear.

3. Phạm vi áp dụng

Để thực hiện Mục đích, phạm vi áp dụng của Chính sách bao gồm:

• Hoạt động thu thập, tiếp nhận, kiểm tra, xác minh, lưu trữ, sử dụng, cung cấp, chia sẻ và xử lý dữ liệu cá nhân do VnClear thực hiện trong hoạt động thanh toán bù trừ, quản lý ký quỹ, quản lý tài khoản, đối soát, quyết toán, quản trị rủi ro, hỗ trợ giao dịch và hoạt động nghiệp vụ có liên quan.
• Hoạt động cung cấp dữ liệu cá nhân cho VnClear bởi Thành viên, Khách hàng, Sở Giao dịch hàng hóa, ngân hàng thanh toán, Bên thứ ba hoặc nguồn hợp pháp khác.
• Hoạt động xử lý dữ liệu cá nhân do Bên thứ ba thực hiện theo hợp đồng, thỏa thuận, yêu cầu nghiệp vụ hoặc yêu cầu pháp luật liên quan đến VnClear.
• Hoạt động chuyển dữ liệu cá nhân xuyên biên giới, nếu có, trong trường hợp cần thiết để thực hiện Mục đích và phù hợp với quy định pháp luật.
• Các hoạt động khác có liên quan được quy định tại Chính sách này hoặc được pháp luật cho phép.

1. Dữ liệu cá nhân do Thành viên, Khách hàng, Sở Giao dịch hàng hóa hoặc Bên thứ ba cung cấp

• Họ tên, ngày tháng năm sinh, giới tính, quốc tịch, địa chỉ liên hệ, địa chỉ thường trú/tạm trú, số điện thoại, email, chức danh, thông tin người đại diện, người được ủy quyền hoặc người liên hệ.
• Thông tin, hình ảnh, số, ngày cấp, nơi cấp, ngày hết hạn của giấy tờ chứng thực cá nhân, giấy tờ định danh, giấy tờ chứng minh tư cách đại diện, giấy ủy quyền và các tài liệu định danh khác theo quy định pháp luật.
• Chữ ký, mẫu chữ ký, thông tin tài khoản ngân hàng và các thông tin tài chính khác có liên quan.
• Các thông tin cập nhật, sửa đổi, bổ sung, thay thế hoặc các dữ liệu cá nhân khác được cung cấp cho VnClear trong từng thời điểm.

2. Dữ liệu cá nhân phát sinh trong quá trình giao dịch, thanh toán bù trừ và quản lý ký quỹ

• Dữ liệu về lệnh, giao dịch, vị thế, nghĩa vụ ký quỹ, nghĩa vụ thanh toán, phí, thuế, lãi/lỗ, lịch sử sử dụng tài khoản, hoặc yêu cầu nghiệp vụ khác có liên quan đến Khách hàng, Thành viên hoặc Chủ thể dữ liệu.
• Dữ liệu nhận diện và kiểm soát truy cập khi Chủ thể dữ liệu, Thành viên hoặc hệ thống của Bên thứ ba truy cập trực tiếp hoặc gián tiếp vào hệ thống công nghệ thông tin của VnClear.
• Nhật ký hệ thống, nhật ký truy cập, nhật ký thay đổi, dữ liệu cảnh báo, dữ liệu an toàn thông tin, dữ liệu lỗi, dữ liệu đối soát và các dữ liệu kỹ thuật phát sinh trong quá trình vận hành hệ thống.
• Dữ liệu khác phát sinh trong quá trình VnClear thực hiện chức năng thanh toán bù trừ, quản lý ký quỹ, quản lý tài khoản, quản trị rủi ro, hỗ trợ giao dịch, báo cáo và tuân thủ.

3. Dữ liệu cá nhân được thu thập tự động

Khi Chủ thể dữ liệu, Thành viên hoặc Bên thứ ba truy cập website, cổng kết nối, hệ thống hoặc ứng dụng do VnClear quản lý, vận hành hoặc sử dụng, VnClear có thể thu thập các dữ liệu như địa chỉ IP, cookies, loại trình duyệt, ID thiết bị, định danh phiên truy cập, thông tin thiết bị, hệ điều hành, thời gian truy cập, lịch sử thao tác, dữ liệu vị trí ở mức phù hợp, thông tin mạng, dữ liệu bảo mật và các dữ liệu kỹ thuật khác nhằm bảo đảm vận hành, an toàn thông tin, phòng chống gian lận và cải thiện dịch vụ.

4. Dữ liệu cá nhân được thu thập từ các nguồn hợp pháp khác

• Dữ liệu cá nhân được công bố công khai hoặc được cung cấp bởi cơ quan nhà nước có thẩm quyền theo quy định pháp luật.
• Dữ liệu cá nhân do Sở Giao dịch hàng hóa, Thành viên, ngân hàng thanh toán, đối tác, nhà cung cấp hoặc Bên thứ ba khác cung cấp hợp pháp cho VnClear.
• Dữ liệu cá nhân thu thập được từ khảo sát, phản hồi, yêu cầu hỗ trợ, trao đổi nghiệp vụ, hồ sơ khiếu nại, tra soát, tố cáo, báo cáo vi phạm hoặc nguồn hợp pháp khác.

5. Nguyên tắc đối với dữ liệu cá nhân nhạy cảm

Trong trường hợp VnClear xử lý dữ liệu cá nhân nhạy cảm, VnClear sẽ áp dụng các biện pháp bảo vệ bổ sung theo quy định pháp luật, bao gồm giới hạn phạm vi xử lý, kiểm soát quyền truy cập, ghi nhật ký, mã hóa hoặc biện pháp kỹ thuật phù hợp khác; đồng thời thực hiện thông báo, lấy sự đồng ý hoặc áp dụng căn cứ xử lý khác theo quy định pháp luật tại từng thời điểm.

1. Căn cứ xử lý dữ liệu cá nhân

Tùy từng hoạt động cụ thể, VnClear xử lý dữ liệu cá nhân trên một hoặc nhiều căn cứ sau:

• Sự đồng ý hợp lệ của Chủ thể dữ liệu;
• Việc thực hiện hợp đồng, thỏa thuận hoặc giao dịch có liên quan đến Chủ thể dữ liệu, Thành viên, Khách hàng hoặc Bên thứ ba;
• Việc thực hiện nghĩa vụ pháp lý, yêu cầu của cơ quan nhà nước có thẩm quyền hoặc quy định của Sở Giao dịch hàng hóa, VnClear;
• Bảo vệ quyền, lợi ích hợp pháp của VnClear, Thành viên, Khách hàng, Chủ thể dữ liệu hoặc bên liên quan;
• Các căn cứ khác được pháp luật cho phép.

Trong trường hợp pháp luật yêu cầu phải có sự đồng ý của Chủ thể dữ liệu, sự đồng ý phải được thể hiện đối với từng mục đích xử lý hoặc nhóm mục đích xử lý phù hợp, có thể được ghi nhận bằng văn bản, dữ liệu điện tử, biểu mẫu, thao tác xác nhận, hợp đồng, thỏa thuận hoặc phương thức hợp lệ khác có khả năng kiểm chứng.

2. Mục đích xử lý dữ liệu cá nhân

VnClear xử lý dữ liệu cá nhân nhằm các mục đích sau:

• Cung cấp, duy trì, vận hành hệ thống công nghệ thông tin, hệ thống bù trừ, hệ thống quản lý ký quỹ, hệ thống quản lý tài khoản và các hệ thống hỗ trợ nghiệp vụ của VnClear.
• Tiếp nhận, kiểm tra, xác minh, đối chiếu thông tin liên quan đến Thành viên, Khách hàng, Chủ thể dữ liệu trong quá trình mở, quản lý, duy trì, thay đổi, tạm ngừng, đóng tài khoản hoặc xử lý nghiệp vụ liên quan.
• Thực hiện thanh toán bù trừ, quản lý ký quỹ, quản lý nghĩa vụ thanh toán, đối soát, quyết toán, quản lý vị thế, quản lý rủi ro, xử lý giao dịch lỗi, giao dịch bất thường, tra soát, khiếu nại và hỗ trợ hoạt động giao dịch mua bán hàng hóa qua Sở Giao dịch hàng hóa.
• Quản lý truy cập, xác thực, phân quyền, giám sát, ghi nhật ký, bảo đảm an toàn, an ninh thông tin, bảo vệ tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu, hệ thống và dịch vụ.
• Phòng chống gian lận, giả mạo, lạm dụng hệ thống, vi phạm quy định giao dịch, vi phạm pháp luật; thực hiện các biện pháp phòng chống rửa tiền, tài trợ khủng bố, tuân thủ lệnh trừng phạt và các yêu cầu tuân thủ khác.
• Lưu trữ dữ liệu, kiểm soát nội bộ, kiểm toán, thanh tra, kiểm tra, quản trị doanh nghiệp, quản trị rủi ro, đánh giá tuân thủ, giải quyết tranh chấp, bảo vệ quyền và lợi ích hợp pháp của VnClear và các bên liên quan.
• Cung cấp thông tin, dữ liệu hoặc báo cáo cho cơ quan nhà nước có thẩm quyền, Sở Giao dịch hàng hóa, ngân hàng thanh toán, Thành viên, đối tác, tổ chức kiểm toán, tư vấn, Bên thứ ba hoặc tổ chức khác theo quy định pháp luật, hợp đồng, thỏa thuận hoặc yêu cầu nghiệp vụ hợp lệ.
• Kết nối kỹ thuật, tích hợp hệ thống, cung cấp, tiếp nhận hoặc đối chiếu dữ liệu với Sở Giao dịch hàng hóa, Thành viên, ngân hàng thanh toán, trung tâm dữ liệu, nhà cung cấp dịch vụ công nghệ thông tin, nhà cung cấp bảo mật, hệ thống giao dịch, hệ thống báo cáo và các nền tảng có liên quan.
• Nghiên cứu, thống kê, phân tích, cải thiện chất lượng dịch vụ, nâng cao hiệu quả vận hành, phát triển sản phẩm, dịch vụ và hệ thống trên cơ sở ưu tiên sử dụng dữ liệu đã được ẩn danh, khử nhận dạng hoặc tổng hợp khi phù hợp.
• Thực hiện các mục đích khác đã được thông báo, được Chủ thể dữ liệu đồng ý hoặc được pháp luật cho phép.

10. Thực hiện quyền của Chủ thể dữ liệu

1. Quyền hạn của VnClear

• Xử lý dữ liệu cá nhân theo Mục đích, căn cứ pháp lý, phạm vi và phương thức được mô tả tại Chính sách này, hợp đồng, thỏa thuận, thông báo xử lý dữ liệu cá nhân hoặc văn bản có liên quan.
• Yêu cầu Thành viên, Khách hàng, Chủ thể dữ liệu, Bên thứ ba cung cấp, cập nhật, xác minh tính chính xác, đầy đủ, hợp pháp của dữ liệu cá nhân và hồ sơ liên quan.
• Từ chối hoặc tạm hoãn xử lý yêu cầu của Chủ thể dữ liệu trong trường hợp yêu cầu không đủ căn cứ, không thể xác minh, trái pháp luật, vượt quá phạm vi dữ liệu VnClear quản lý hoặc thuộc trường hợp pháp luật cho phép từ chối, hạn chế.
• Áp dụng biện pháp kỹ thuật, tổ chức, pháp lý và nghiệp vụ cần thiết để bảo vệ dữ liệu cá nhân, bảo vệ hệ thống, phòng chống gian lận, quản trị rủi ro, bảo vệ quyền và lợi ích hợp pháp của VnClear và các bên liên quan.
• Cung cấp dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền hoặc Bên thứ ba trong các trường hợp được pháp luật, hợp đồng, thỏa thuận hoặc Chính sách này cho phép.

2. Trách nhiệm của VnClear

• Tuân thủ nguyên tắc bảo vệ dữ liệu cá nhân, bao gồm xử lý dữ liệu cá nhân đúng mục đích, đúng phạm vi, phù hợp, cần thiết, minh bạch, bảo mật, an toàn và có trách nhiệm giải trình theo quy định pháp luật.
• Thông báo cho Chủ thể dữ liệu về hoạt động xử lý dữ liệu cá nhân theo quy định pháp luật; quản lý việc đồng ý, rút lại sự đồng ý và các yêu cầu thực hiện quyền của Chủ thể dữ liệu trong trường hợp VnClear có trách nhiệm thực hiện.
• Áp dụng các biện pháp quản lý, kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi nguy cơ truy cập, sử dụng, tiết lộ, thay đổi, mất mát, phá hủy trái phép hoặc sự cố khác.
• Lập, lưu giữ, cập nhật và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp phát sinh nghĩa vụ theo quy định pháp luật.
• Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn luật định khi phát hiện vi phạm thuộc trường hợp phải thông báo; phối hợp ngăn chặn, khắc phục hậu quả và xử lý vi phạm theo quy định pháp luật.

3. Trách nhiệm của Thành viên, Khách hàng và Bên thứ ba

• Thành viên, Khách hàng và Bên thứ ba có trách nhiệm cung cấp dữ liệu cá nhân hợp pháp, chính xác, đầy đủ; thông báo kịp thời cho VnClear khi dữ liệu cá nhân thay đổi hoặc phát hiện dữ liệu không chính xác.
• Trường hợp cung cấp dữ liệu cá nhân của Chủ thể dữ liệu cho VnClear, bên cung cấp dữ liệu phải bảo đảm đã thực hiện đầy đủ nghĩa vụ thông báo, lấy sự đồng ý hoặc có căn cứ xử lý hợp pháp khác theo quy định pháp luật; đồng thời chịu trách nhiệm đối với việc thu thập, sử dụng và cung cấp dữ liệu cho VnClear.
• Bên thứ ba xử lý dữ liệu cá nhân theo chỉ định, hợp đồng hoặc thỏa thuận với VnClear phải xử lý dữ liệu đúng phạm vi, đúng mục đích, áp dụng biện pháp bảo mật, không chuyển tiếp dữ liệu trái phép, hỗ trợ VnClear thực hiện nghĩa vụ pháp lý và xóa, hủy, hoàn trả hoặc ẩn danh dữ liệu khi kết thúc xử lý theo thỏa thuận hoặc quy định pháp luật.
• Thành viên, Khách hàng, Chủ thể dữ liệu và Bên thứ ba có trách nhiệm bảo mật tài khoản, thông tin xác thực, thiết bị, kênh truy cập và phối hợp với VnClear khi phát hiện sự cố hoặc dấu hiệu vi phạm dữ liệu cá nhân.

4. Giới hạn trách nhiệm