QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

Quy định về bảo vệ dữ liệu cá nhân này (gọi tắt là “Quy định BVDLCN”) được Công ty cổ phần chứng khoán MB (“MBS”) công bố và thông báo công khai trên website của MBS, bản bổ sung sửa đổi lần 1 có hiệu lực từ ngày 01/06/2024 và được áp dụng theo pháp luật Việt Nam. Bằng việc sử dụng các sản phẩm, dịch vụ, tiện ích và/hoặc thực hiện bất kỳ giao dịch, quan hệ nào với MBS theo bất kỳ phương thức nào, tổ chức, cá nhân cần đọc, hiểu rõ và tự nguyện chấp thuận, tuân thủ Quy định BVDLCN này.

  1. Mục tiêu và phạm vi của quy định
    1. Quy định các hoạt động của MBS về việc thu thập, mục đích, loại dữ liệu, cách thức, địa điểm xử lý dữ liệu cá nhân, phạm vi sử dụng dữ liệu cá nhân, thời hạn xử lý, thời gian lưu trữ dữ liệu cá nhân và các biện pháp mà MBS xử lý, quản lý các dữ liệu cá nhân trong quá trình Chủ thể dữ liệu (được định nghĩa tại Mục 2 dưới đây) sử dụng hoặc tương tác với các sản phẩm, dịch vụ, trang tin điện tử hoặc dịch vụ của MBS và/hoặc thực hiện bất kỳ giao dịch, quan hệ nào với MBS.
    2. Quy định BVDLCN có phạm vi áp dụng kể từ khi Chủ thể dữ liệu tương tác, giao tiếp, xác lập bất kỳ quan hệ, giao dịch nào và/hoặc truy cập, sử dụng các kênh, nền tảng, ứng dụng của MBS.
    3. MBS khuyến nghị Chủ thể dữ liệu cần đọc kỹ Quy định BVDLCN này và thường xuyên kiểm tra website của MBS, các thông báo của MBS theo bất kỳ phương thức nào tới Chủ thể dữ liệu để cập nhật các thay đổi của Quy định BVDLCN. Đồng thời MBS cũng khuyến nghị Chủ thể dữ liệu thường xuyên kiểm tra lại thông tin của mình để cập nhật bất kỳ thay đổi nào mà MBS có thể thực hiện theo các quy định được nêu tại Quy định này. Chủ thể dữ liệu đồng ý áp dụng, phối hợp và cam kết tuân thủ Quy định BVDLCN. 
  2. Giải thích từ ngữ
    1. Chủ thể dữ liệu” là cá nhân có dữ liệu cá nhân được MBS xử lý. Chủ thể dữ liệu có thể là Khách hàng/đối tác cá nhân của MBS hoặc người lao động của MBS hoặc bất kỳ cá nhân nào khác tham gia/thực hiện bất kỳ giao dịch, quan hệ nào với MBS theo bất kỳ phương thức nào, ở hiện tại và trong tương lai.
    2. “Dữ liệu cá nhân”là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
    3. “Dữ liệu cá nhân cơ bản”là thông tin cơ bản nhất của một cá nhân, bao gồm: 
      1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
      2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
      3. Giới tính;
      4. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
      5. Quốc tịch;
      6. Hình ảnh của cá nhân;
      7. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
      8. Tình trạng hôn nhân;
      9. Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
      10. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
      11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không thuộc trường hợp Dữ liệu cá nhân nhạy cảm.
    4. Dữ liệu cá nhân nhạy cảm” là dữ liệu, thông tin cá nhân gắn liền với quyền riêng tư của cá nhân mà khi xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm: 
      1. Quan điểm chính trị, quan điểm tôn giáo;
      2. Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
      3. Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
      4. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; 
      5. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
      6. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
      7. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
      8. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
      9. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
      10. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
    5. Xử lý dữ liệu cá nhân” là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
    6. Xử lý dữ liệu cá nhân tự động” là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
    7. Khách hàng” là tổ chức, cá nhân tiếp cận, tìm hiểu, đăng ký, sử dụng sản phẩm, dịch vụ, tiện ích và/hoặc có quan hệ/giao dịch trong quá trình hoạt động, cung cấp các sản phẩm, dịch vụ, tiện ích của MBS.
    8. Công ty” hoặc “MBS” là Công ty Cổ phần Chứng khoán MB, bao gồm trụ sở, chi nhánh, văn phòng, phòng giao dịch của công ty (nếu có).
    9. Bên thứ ba” là tổ chức, cá nhân ngoài MBS và Chủ thể dữ liệu.
    10. Cookie” là một tệp văn bản nhỏ được đặt trên máy tính hoặc thiết bị di động của Chủ thể dữ liệu khi Chủ thể dữ liệu truy cập trang web hoặc sử dụng ứng dụng. Cookie thu thập thông tin về người dùng và lượt truy cập của họ vào trang web hoặc sử dụng ứng dụng, chẳng hạn như địa chỉ giao thức Internet (IP) của họ, cách họ đến trang web (ví dụ: thông qua một công cụ tìm kiếm hoặc một liên kết từ một trang web khác) và cách họ điều hướng trong trang web hoặc ứng dụng. MBS sử dụng cookie và các công nghệ khác để tạo điều kiện thuận lợi cho các phiên truy cập Internet của Chủ thể dữ liệu và việc Chủ thể dữ liệu sử dụng các ứng dụng của MBS, cung cấp cho Chủ thể dữ liệu các sản phẩm và/hoặc dịch vụ theo cài đặt ưa thích của Chủ thể dữ liệu, theo dõi việc sử dụng các trang web và ứng dụng của MBS và để tổng hợp thống kê về các hoạt động được thực hiện trên các trang web của MBS và/hoặc thông qua các ứng dụng của MBS.
    11. Thẻ pixel”, còn được gọi là đèn hiệu web, là một thẻ vô hình được đặt trên các trang nhất định của trang web của MBS nhưng không phải trên máy tính của Chủ thể dữ liệu. Thẻ pixel thường được sử dụng cùng với cookie và được sử dụng để theo dõi hành vi của người dùng truy cập trang web.
      Để làm rõ, các từ ngữ nào chưa được giải thích tại Quy định BVDLCN này sẽ được hiểu và áp dụng theo các quy định tại các văn bản nội bộ có liên quan do MBS ban hành từng thời kỳ và/hoặc trong các hợp đồng, thoả thuận, văn bản được giao kết giữa Chủ thể dữ liệu và MBS hoặc được giải thích theo quy định của pháp luật Việt Nam.
  3. Quy định chung
    1. Quy định BVDLCN này là một phần không thể tách rời của Yêu cầu kiêm hợp đồng mở tài khoản và đăng ký sử dụng dịch vụ giao dịch chứng khoán, các hợp đồng, thỏa thuận, giấy đề nghị, đăng ký… có phát sinh và chi phối, thiết lập mối quan hệ giữa Chủ thể dữ liệu với MBS.  
    2. Bằng việc cung cấp Dữ liệu cá nhân của một bên thứ ba (bao gồm nhưng không giới hạn bởi: thông tin của người phụ thuộc, người có liên quan theo quy định pháp luật, vợ/chồng, con cái và/hoặc cha mẹ và/hoặc người giám hộ, bạn bè, người tham chiếu, bên thụ hưởng, người ủy quyền, đối tác, người liên hệ trong các trường hợp khẩn cấp hoặc cá nhân, người đại diện, người được uỷ quyền của Chủ thể dữ liệu) cho MBS, Chủ thể dữ liệu cam đoan, bảo đảm và chịu trách nhiệm rằng Chủ thể dữ liệu đã có được sự đồng ý hợp pháp của bên thứ ba đó cho việc xử lý và thông tin về việc MBS là chủ thể xử lý các Dữ liệu cá nhân cho các mục đích được nêu tại Quy định BVDLCN. 
    3. Phụ thuộc vào vai trò của MBS trong từng tình huống cụ thể là (i) Bên Kiểm soát dữ liệu cá nhân; (ii) Bên Xử lý dữ liệu cá nhân; hoặc (iii) Bên Kiểm soát và xử lý dữ liệu, MBS sẽ thực hiện các quyền hạn, trách nhiệm cũng như các nguyên tắc xử lý Dữ liệu cá nhân tương ứng theo quy định của pháp luật hiện hành.
    4. Chủ thể dữ liệu hiểu và đồng ý rằng, việc cung cấp Dữ liệu cá nhân của Chủ thể dữ liệu cho MBS (bao gồm và không giới hạn bởi các thông tin MBS đã có trước, trong và sau khi Chủ thể dữ liệu chấp thuận các Quy định BVDLCN này) chính là sự chấp nhận toàn phần của Chủ thể dữ liệu cho phép MBS sử dụng Dữ liệu cá nhân trong suốt quy trình tiếp nhận và xử lý dữ liệu cá nhân, bắt đầu từ khi MBS tiếp nhận thông tin cho đến khi có yêu cầu chấm dứt việc xử lý dữ liệu từ Chủ thể dữ liệu.
    5. Quy định BVDLCN sẽ được ưu tiên áp dụng trong trường hợp có bất kỳ xung đột hoặc mâu thuẫn nào với các thỏa thuận, điều khoản và điều kiện trong các hợp đồng, thoả thuận, văn bản, tài liệu chi phối mối quan hệ giữa Chủ thể dữ liệu với MBS, cho dù các hợp đồng, thoả thuận, văn bản, tài liệu đó được ký kết trước, vào ngày hoặc sau ngày Chủ thể dữ liệu chấp thuận Quy định BVDLCN này.
    6. Tất cả các quyền và nghĩa vụ của MBS và Chủ thể dữ liệu tại Quy định BVDLCN này sẽ không thay thế, chấm dứt hoặc thay đổi mà sẽ đồng thời là các quyền, nghĩa vụ mà MBS và Chủ thể dữ liệu đang có ở bất kỳ văn bản nào và không một điều khoản nào trong Quy định BVDLCN này hàm ý hạn chế hoặc xóa bỏ bất kỳ quyền, nghĩa vụ nào trong số các quyền, nghĩa vụ của các bên đã được xác lập.
  4. Hoạt động xử lý dữ liệu cá nhân
    1. Loại Dữ liệu cá nhân được xử lý
      Loại Dữ liệu cá nhân của Chủ thể dữ liệu được xử lý bao gồm:
      • Các Dữ liệu cá nhân cơ bản được nêu tại khoản 2.3 Mục 2 của Quy định BVDLCN này; và
      • Các Dữ liệu cá nhân nhạy cảm được nêu tại khoản 2.4 Mục 2 của của Quy định BVDLCN này.
        Các loại Dữ liệu cá nhân được xử lý phù hợp với quan hệ, giao dịch cụ thể giữa Chủ thể dữ liệu với MBS theo các thỏa thuận, hợp đồng, văn bản có liên quan khác phát sinh giữa các bên.
    2. Cách thức xử lý dữ liệu
      Tùy thuộc vào từng mục đích xử lý dữ liệu nêu tại khoản 4.3 dưới đây, MBS có thể thực hiện xử lý Dữ liệu của Chủ thể dữ liệu theo một hoặc một số cách thức sau:
      • Thu thập dữ liệu
        • Để MBS cung cấp các sản phẩm, dịch vụ, tính năng, tiện ích cho Chủ thể dữ liệu, hoặc xử lý các yêu cầu của Chủ thể dữ liệu, hoặc thực hiện các nghĩa vụ hợp đồng khác với Chủ thể dữ liệu, hoặc theo quy định pháp luật, MBS có thể cần phải và/hoặc được yêu cầu phải thu thập Dữ liệu cá nhân của Chủ thể dữ liệu và các cá nhân liên quan đến Chủ thể dữ liệu. 
        • Cách thức thu thập và phương thức thu thập: MBS (và các bên xử lý dữ liệu cá nhân do MBS sử dụng – nếu có) có thể thu thập trực tiếp hoặc gián tiếp những Dữ liệu cá nhân của Chủ thể dữ liệu khi Chủ thể dữ liệu yêu cầu và/hoặc trong quá trình MBS cung cấp bất kỳ sản phẩm, dịch vụ nào cho Chủ thể dữ liệu và/hoặc trong quá trình Chủ thể dữ liệu tương tác, giao tiếp, truy cập, sử dụng các kênh, nền tảng, ứng dụng của MBS và từ một hoặc một số các nguồn như được liệt kê dưới đây, bao gồm nhưng không giới hạn:Trực tiếp từ Chủ thể dữ liệu: MBS thu thập trong quá trình tiếp xúc, làm việc, cung cấp dịch vụ, gặp mặt trực tiếp Chủ thể dữ liệu và được Chủ thể dữ liệu cung cấp thông tin.
        • Từ các trang tin điện tử, hệ thống giao dịch trực tuyến của MBS: MBS có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi Chủ thể dữ liệu truy cập bất kỳ trang tin điện tử, hệ thống giao dịch trực tuyến nào của MBS hoặc sử dụng bất kỳ tính năng, tài nguyên nào có sẵn trên hoặc thông qua trang tin điện tử, hệ thống giao dịch trực tuyến này.
        • Từ ứng dụng di động: MBS có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi Chủ thể dữ liệu tải xuống hoặc sử dụng ứng dụng dành cho thiết bị di động của MBS.
        • Từ các trao đổi, liên lạc với Chủ thể dữ liệu: MBS có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu khi Chủ thể dữ liệu và MBS liên hệ với nhau, như qua email, gọi video call, gọi qua tổng đài, liên lạc điện tử hoặc bất kỳ phương tiện nào khác (bao gồm và không giới hạn cả các cuộc khảo sát, điều tra mà MBS tiến hành hoặc có được).
        • Từ việc Chủ thể dữ liệu lựa chọn đăng ký/liên kết tài khoản của Chủ thể dữ liệu trên nền tảng ứng dụng của MBS với tài khoản mạng xã hội của Chủ thể dữ liệu và/hoặc trên nền tảng của bên thứ ba với tài khoản giao dịch chứng khoán của Chủ thể dữ liệu tại MBS. Chủ thể dữ liệu đồng ý để MBS có thể truy cập và thu thập, xử lý dữ liệu cá nhân của Chủ thể dữ liệu mà Chủ thể dữ liệu đã tự nguyện cung cấp cho các nhà cung cấp dịch vụ tài khoản này theo chính sách của họ và MBS sẽ quản lý, sử dụng các dữ liệu cá nhân này của Chủ thể dữ liệu theo Quy định BVDLCN này tại mọi thời điểm.
        • Từ các tương tác hoặc các công nghệ thu thập dữ liệu tự động: MBS có thể thu thập Dữ liệu cá nhân của Chủ thể dữ liệu và các bên liên quan được ghi tự động từ kết nối của Chủ thể dữ liệu đến MBS như cookie, thẻ pixel, plug-in, trình tự kết nối mạng xã hội của bên thứ ba hoặc bất kỳ công nghệ nào có khả năng theo dõi, thu nhận Dữ liệu cá nhân trên các thiết bị hoặc trang tin điện tử đó (facebook, youtube, tiktok, instagram…).
        • Từ Cơ quan nhà nước có thẩm quyền: MBS có thể tiếp nhận Dữ liệu cá nhân của Chủ thể dữ liệu từ các cơ quan quản lý như Ủy ban chứng khoán Nhà nước, Trung tâm lưu ký chứng khoán Việt Nam/Tổng công ty lưu ký và bù trừ chứng khoán Việt Nam, các Sở giao dịch chứng khoán hoặc các cơ quan có thẩm quyền khác tại Việt Nam.
        • Các nguồn được công khai: MBS có thể tiếp nhận Dữ liệu cá nhân của Chủ thể dữ liệu từ các nguồn công khai như danh bạ điện thoại, thông tin quảng cáo/tờ rơi, các thông tin được công khai trên mạng….
        • Từ người có liên quan của MBS, các nhà cung cấp, bên cung cấp dịch vụ, đối tác, bên liên kết và các bên thứ ba có liên quan đến hoạt động kinh doanh của MBS;
        • Từ các bên thứ ba có quan hệ với Chủ thể dữ liệu; 
        • Từ những nguồn khác mà Chủ thể dữ liệu đồng ý việc chia sẻ/cung cấp Dữ liệu cá nhân, hoặc những nguồn mà việc thu thập được pháp luật yêu cầu hoặc cho phép.
      • Lưu trữ dữ liệu:
        Dữ liệu cá nhân được lưu trữ tại hệ thống cơ sở dữ liệu của MBS hoặc tại bất cứ đâu mà MBS hoặc các chi nhánh, công ty con, công ty liên kết, đối tác hoặc nhà cung cấp dịch vụ của MBS có cơ sở và tạo bản sao lưu trữ cho trung tâm dữ liệu ở một khu vực khác. Dữ liệu cá nhân của Chủ thể dữ liệu được MBS lưu trữ theo các hình thức phù hợp với hoạt động của mình. Các dữ liệu sẽ được áp dụng các biện pháp hợp lý để bảo vệ khi được lưu trữ tại MBS.
        Trong quá trình Chủ thể dữ liệu truy cập Trang thông tin điện tử, website, ứng dụng, mạng xã hội của MBS, MBS cũng có thể lưu trữ thông tin tạm thời qua cookie, clickstream hoặc các công cụ lưu trữ dữ liệu tương tự để lưu trữ những dữ liệu mà máy chủ có thể truy lại.
      • Phân tích dữ liệu: Việc phân tích Dữ liệu cá nhân được thực hiện theo các quy trình nội bộ của MBS. MBS luôn có cơ chế giám sát nghiêm ngặt từng quy trình phân tích dữ liệu, trong đó yêu cầu kiểm tra việc đáp ứng các yêu cầu của pháp luật về bảo mật dữ liệu, bảo đảm an toàn thông tin đối với hệ thống công nghệ thông tin trước khi tiến hành phân tích. MBS có các quy tắc nghiêm ngặt đảm bảo rằng thông tin cá nhân được ẩn danh hoặc hủy nhận dạng ở giai đoạn thích hợp trong quá trình xử lý.
      • Mã hóa dữ liệu: Dữ liệu cá nhân thu thập được mã hóa theo các tiêu chuẩn mã hóa phù hợp khi cần thiết trong quá trình lưu trữ hoặc chuyển giao dữ liệu, để đảm bảo các dữ liệu được bảo vệ, xác thực, toàn vẹn và không thể bị thay đổi sau khi đã được gửi đi.
      • Xóa không thể khôi phục
        Dữ liệu cá nhân của Chủ thể dữ liệu sẽ được MBS và/hoặc bên xử lý dữ liệu cho MBS và/hoặc bên thứ ba được phép xử lý dữ liệu cá nhân xóa không thể khôi phục trong các trường hợp sau:
        • Việc xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân theo Quy định này.
        • Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của MBS/bên xử lý dữ liệu cho MBS/bên thứ ba.
        • MBS/bên xử lý dữ liệu cho MBS/Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
      • Cách thức xử lý khác: ngoài các cách thức nêu trên, MBS có thể thực hiện xử lý dữ liệu của Chủ thể dữ liệu bằng các cách thức khác, gồm có: ghi, xác nhận, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, giải mã, chia sẻ, truyền đưa, cung cấp, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
    3. Mục đích xử lý dữ liệu cá nhân 
      • MBS (và các bên được phép xử lý Dữ liệu cá nhân cho MBS) có thể sử dụng, xử lý Dữ liệu cá nhân cho một hoặc nhiều mục đích (gọi chung là “Mục đích”) sau đây:
        • Phục vụ cho việc cung cấp sản phẩm, dịch vụ của MBS tới Chủ thể dữ liệu hoặc cho việc thực hiện các nghĩa vụ theo hợp đồng giữa MBS và Chủ thể dữ liệu, hướng tới vì nhu cầu, lợi ích của Chủ thể dữ liệu, cụ thể:
          • Nhận biết, xác thực danh tính, xác nhận giao dịch của Chủ thể dữ liệu với MBS, đánh giá rủi ro nguy cơ giả mạo hoặc nghi ngờ giả mạo Chủ thể dữ liệu trong giao dịch với MBS, bảo vệ Chủ thể dữ liệu khỏi các hành vi gian lận hoặc hành vi bất hợp pháp khác;
          • Rà soát điều kiện pháp lý, tài chính và các điều kiện khác của Chủ thể dữ liệu đối với bất kỳ sản phẩm, dịch vụ hoặc giao dịch nào do MBS đề xuất hoặc cung cấp;
          • Hiển thị trên nền tảng giao dịch, ứng dụng của MBS các thông tin riêng rẽ và tích hợp về tài sản, tài chính, giao dịch, hợp đồng của Chủ thể dữ liệu, và/hoặc bất kỳ tính năng, tiện ích nào Chủ thể dữ liệu có thể lựa chọn, truy vấn thông tin và nhắc thực hiện quyền, nghĩa vụ của Chủ thể dữ liệu liên quan đến việc giao kết và thực hiện các hợp đồng, giao dịch của Chủ thể dữ liệu với MBS và đối tác của MBS (trong trường hợp có các sản phẩm, dịch vụ, tiện ích được đối tác của MBS cung cấp hoặc uỷ thác, uỷ nhiệm, giao đại lý cho MBS cung cấp, thông tin cho Chủ thể dữ liệu);
          • Phát triển, cải thiện, nâng cấp các sản phẩm, dịch vụ, tính năng, tiện ích, hệ thống giao dịch của MBS thông qua việc báo cáo, thống kê, tổng hợp, phân tích dữ liệu (gồm cả phân tích tài chính, phân tích hành vi, xu hướng giao dịch, sở thích và phân tích các yếu tố khác, …);
          • Cung cấp cho các bên cung cấp dịch vụ/đối tác của MBS để thực hiện dịch vụ, tính năng, tiện ích cho Chủ thể dữ liệu và/hoặc MBS;
          • Liên hệ, đánh giá và xử lý các chỉ thị hoặc yêu cầu từ Chủ thể dữ liệu, bao gồm việc phản hồi các truy vấn hoặc góp ý, giải quyết hoặc điều tra bất kỳ khiếu nại, yêu cầu pháp lý hoặc tranh chấp nào hoặc nhằm trao đổi thông tin, cung cấp các văn bản hoặc các tài liệu khác có liên quan đến giao dịch hoặc việc sử dụng các sản phẩm, dịch vụ, tính năng, tiện ích của MBS;
          • Thông báo cho Chủ thể dữ liệu các chính sách sản phẩm, dịch vụ, thể lệ chương trình, hướng dẫn sử dụng các tính năng, tiện ích, các cải tiến và nâng cao tiện ích, chất lượng của sản phẩm, dịch vụ của MBS, cũng như các thông tin khác về quyền lợi, nghĩa vụ có liên quan của Chủ thể dữ liệu mà MBS nhận thấy cần thiết thông báo;
          • Quảng bá, giới thiệu, thông tin về các sản phẩm, dịch vụ, chương trình khuyến mại, nghiên cứu, khảo sát, tin tức, thông tin cập nhật, các sự kiện, cuộc thi có thưởng, chương trình khách hàng thân thiết, chương trình trao thưởng, rút thăm may máy, gửi quà tặng và giải thưởng có liên quan, các hoạt động truyền thông và bất kỳ hình thức xúc tiến thương mại nào có liên quan về các dịch vụ, sản phẩm, tính năng, tiện ích của MBS và các sản phẩm, dịch vụ, hoạt động của đối tác khác có hợp tác với MBS;
          • Kiểm tra, kiểm thử, cài đặt, quản lý, nâng cấp, cải tiến kỹ thuật và thực hiện các biện pháp khác nhằm đảm bảo an toàn, bảo mật, bảo vệ Chủ thể dữ liệu và dữ liệu cá nhân của Chủ thể dữ liệu trước các trường hợp gây hại, nguy cơ gây hại;
          • Các mục đích khác nhằm hướng tới nâng cao chất lượng phục vụ và/hoặc vì nhu cầu, lợi ích của Chủ thể dữ liệu.
        • Để thực hiện các nghĩa vụ theo quy định pháp luật và/hoặc yêu cầu của cơ quan Nhà nước có thẩm quyền và/hoặc theo các quy tắc, thỏa thuận, yêu cầu hoạt động, điều hành, quản trị kinh doanh từng thời kỳ của MBS, cụ thể:
          • Lưu trữ hồ sơ, chứng từ liên quan đến các nghiệp vụ hoạt động của MBS theo quy định pháp luật;
          • Lập và nộp hoặc công bố thông tin các báo cáo tài chính, báo cáo hoạt động, thuế, lao động hoặc các loại báo cáo liên quan khác; cung cấp thông tin phục vụ điều tra, thanh tra, kiểm tra của các cơ quan có thẩm quyền;
          • Để giám sát, kiểm tra, kiểm toán, quản lý rủi ro, quản lý tuân thủ, an ninh an toàn, quản lý nhân sự và các mục đích quản lý khác nhằm đáp ứng, tuân thủ các chính sách nội bộ của MBS và quy định pháp luật;
          • Bảo vệ lợi ích hợp pháp của MBS, bao gồm và không giới hạn việc để thu các khoản phí, lệ phí và/hoặc để thu hồi bất kỳ khoản nợ, nghĩa vụ tài chính nào, hay phục vụ giải quyết các thủ tục khiếu kiện, khiếu nại giữa Chủ thể dữ liệu và MBS và/hoặc bên khác có liên quan;
          • Thực hiện phòng chống rửa tiền, tội phạm và tài trợ khủng bổ, tuân thủ cấm cận, phòng, chống tham nhũng theo quy định;
          • Nhằm ngăn chặn hoặc giảm thiểu mối đe doạ đối với tính mạng, sức khỏe của người khác và lợi ích công cộng trong trường hợp cần thiết;
          • Để phục vụ các mục đích khác có liên quan đến hoạt động, quản trị, điều hành, đầu tư, kinh doanh của MBS mà MBS cho là phù hợp tại từng thời điểm, hoặc theo quy định pháp luật ban hành từng thời kỳ;
        • MBS sẽ yêu cầu sự cho phép từ Chủ thể dữ liệu trước khi sử dụng Dữ liệu cá nhân của Chủ thể dữ liệu cho mục đích khác ngoài các mục đích đã được nêu tại Quy định BVDLCN này.
        • MBS chỉ xử lý các dữ liệu cá nhân của Chủ thể dữ liệu đúng với mục đích đã được MBS đăng ký, tuyên bố theo Quy định này và theo các tài liệu khác đã được chấp thuận, đồng ý bởi Chủ thể dữ liệu.
    4. Các bên tham gia xử lý dữ liệu
      MBS có thể tự mình hoặc sử dụng bên thứ ba cung cấp dịch vụ thực hiện xử lý dữ liệu của chủ thể dữ liệu. Danh sách các bên xử lý dữ liệu cho MBS được MBS công bố thông tin tới các chủ thể dữ liệu. Bên xử lý dữ liệu cho MBS có các trách nhiệm sau:
      • Chỉ xử lý theo các nội dung được ghi nhận tại thỏa thuận với MBS.
      • Phải xóa, trả lại toàn bộ dữ liệu cá nhân của Chủ thể dữ liệu cho MBS khi kết thúc xử lý dữ liệu cá nhân theo thỏa thuận với MBS.
      • Phải ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân của Bên xử lý dữ liệu. Đồng thời phải có quy trình/tài liệu kỹ thuật mô tả việc lưu trữ nhật ký quá trình xử lý dữ liệu cá nhân.
      • Có thể chứng minh được sự tuân thủ các quy định về bảo vệ dữ liệu cá nhân và có biện pháp bảo vệ phù hợp quy định pháp luật.
      • Phải lưu trữ dữ liệu cá nhân của Chủ thể dữ liệu trong thời hạn phù hợp với mục đích xử lý dữ liệu.
      • Cho phép MBS kiểm soát và phải chứng minh được sự tuân thủ pháp luật về bảo vệ dữ liệu cá nhân trước MBS khi được yêu cầu.
      • Các trách nhiệm khác theo Quy định này, thỏa thuận với MBS và theo quy định pháp luật.
    5. Xử lý dữ liệu cá nhân trong một số trường hợp đặc biệt
      • MBS sẽ có thể ghi âm, ghi hình và xử lý Dữ liệu cá nhân thu thập được từ hoạt động ghi âm, ghi hình qua camera giám sát tại các khu vực có lắp camera (bao gồm nhưng không giới hạn bởi khu vực quầy giao dịch, văn phòng, khu vực ở hành lang, khu vực lối ra,...) phù hợp với các yêu cầu đảm bảo an ninh trong hoạt động của MBS và cho Chủ thể dữ liệu theo quy định của của pháp luật.
      • Đối với việc sử dụng, xử lý Dữ liệu cá nhân của người bị tuyên bố mất tích/người đã chết (trong trường hợp MBS được biết, được thông báo), MBS sẽ phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu theo quy định của pháp luật hiện hành. 
      • Xử lý dữ liệu cá nhân của trẻ em
        • MBS tôn trọng và bảo vệ Dữ liệu cá nhân của trẻ em theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
        • Ngoài các biện pháp bảo vệ Dữ liệu cá nhân được quy định theo pháp luật, trước khi xử lý Dữ liệu cá nhân của trẻ em, MBS sẽ thực hiện xác minh tuổi của trẻ em và yêu cầu sự đồng ý của (i) trẻ em từ đủ 7 tuổi trở lên và/hoặc (ii) cha, mẹ hoặc người giám hộ của trẻ em theo quy định của pháp luật.
        • MBS sẽ ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:
          • Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
          • Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;
          • Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
    6. Việc thu thập, chuyển giao và tiết lộ Dữ liệu cá nhân
      • MBS đã và đang áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
      • MBS sẽ không bán, trao đổi, cho thuê, kinh doanh trái phép các thông tin cá nhân của Chủ thể dữ liệu, trừ trường hợp được Chủ thể dữ liệu đồng ý. Tuy nhiên, để thực hiện các mục đích và hoạt động xử lý Dữ liệu cá nhân tại Quy định BVDLCN này, Chủ thể dữ liệu đồng ý MBS được tiết lộ Dữ liệu cá nhân của Chủ thể dữ liệu hoặc Dữ liệu cá nhân của các bên thứ ba có liên quan đến Chủ thể dữ liệu, cho một hoặc các bên dưới đây:
        • Cho các nhân viên và bộ phận trong nội bộ MBS cho các mục đích được nêu trong Quy định BVDLCN này và/hoặc các hợp đồng, thỏa thuận, tài liệu được ký kết giữa Chủ thể dữ liệu;
        • Cho công ty mẹ, công ty con và bất kỳ các chi nhánh, văn phòng đại diện, đại lý hoặc công ty liên kết nào của MBS, hoặc bất kỳ công ty nào là người có liên quan của MBS;
        • Các đối tác, đối tác chiến lược của MBS và nhà thầu của các đối tác này, bao gồm nhưng không giới hạn như các ngân hàng, tổ chức tài chính, định chế tài chính và tổ chức, cá nhân khác có tham gia vào hoạt động nhằm các Mục đích trên và/hoặc quy trình cung cấp sản phẩm dịch vụ riêng lẻ hoặc tích hợp của MBS;
        • Các tổ chức, cá nhân có liên kết, hợp tác với MBS nhằm cung cấp sản phẩm dịch vụ về đầu tư, tài chính, ngân hàng, đánh giá và xếp hạng tín nhiệm, thông tin tín dụng, các hoạt động trung gian, đại lý, môi giới, các loại hình sàn giao dịch, xúc tiến thương mại, quảng cáo, công nghệ thông tin, giải pháp, tiện ích, nền tảng, vận hành, lưu trữ, phát triển hạ tầng, hệ thống, thiết bị, phương tiện, phần mềm, ứng dụng, các dịch vụ quản lý, các tổ chức cung cấp dịch vụ hoặc thương mại tích hợp với ứng dụng của MBS và các nhà cung cấp dịch vụ thực hiện các dịch vụ thay mặt MBS (ví dụ: dịch vụ CNTT, hậu cần, dịch vụ in ấn, viễn thông, thu nợ, tư vấn, phân phối và tiếp thị);
        • Các cơ quan nhà nước có thẩm quyền tại Việt Nam hoặc bất kỳ cá nhân, cơ quan quản lý hoặc bên thứ ba mà MBS được phép hoặc bắt buộc phải tiết lộ theo quy định pháp luật của bất kỳ quốc gia, hoặc theo bất kỳ hợp đồng/thỏa thuận hoặc cam kết nào khác giữa bên thứ ba và MBS;
        • Các đối tác kinh doanh, nhà cung cấp phần thưởng, nhà cung cấp quà tặng, các bên đồng thương hiệu, bên tham gia hoặc phối hợp tổ chức chương trình khách hàng thân thiết, các nhà quảng cáo, tổ chức từ thiện hoặc tổ chức phi lợi nhuận, bất kỳ tổ chức nào liên quan nhằm mục đích điều hành, triển khai hoạt động kinh doanh của MBS, bên triển khai vận hành hệ thống, ứng dụng hoặc thiết bị hay cung cấp cho Chủ thể dữ liệu bất kỳ sản phẩm, dịch vụ nào mà Chủ thể dữ liệu lựa chọn hoặc các mục đích được nêu trong Quy định BVDLCN này;
        • Bất kỳ cá nhân, tổ chức có liên quan đến việc thực thi hoặc duy trì bất kỳ quyền hoặc nghĩa vụ nào theo (các) thỏa thuận giữa Chủ thể dữ liệu với MBS; 
        • Một số chuyên gia nhất định như luật sư, công chứng viên, cơ quan xếp hạng hoặc kiểm toán viên khi cần thiết trong các trường hợp cụ thể (ví dụ: tư vấn, kiện tụng, kiểm toán);
        • Bên nhận chuyển hượng, nhận chuyển giao quyền, nghĩa vụ, tài sản của MBS; các bên trong giao dịch chuyển giao, hợp nhất, sáp nhập trong hoạt động của MBS và/hoặc các bên có nhu cầu tìm hiểu thông tin cho mục đích nhận chuyển nhượng, nhận chuyển giao, hợp nhất, sáp nhập này;
        • Bất kỳ cá nhân, tổ chức nào là bên đại diện, bên được uỷ quyền hoặc được chấp thuận từ Chủ thể dữ liệu, hành động thay mặt và/hoặc nhân danh Chủ thể dữ liệu; hoặc Bên có liên quan đến giao dịch cũng như việc thực hiện giao dịch của Chủ thể dữ liệu (bên nhận thanh toán, bên thụ hưởng, người được chỉ định liên quan đến tài khoản, các tổ chức trung gian cung ứng nền tảng, dịch vụ thu chi hộ, dịch vụ thanh toán không dùng tiền mặt, tổ chức lưu ký, bù trừ, thanh toán…);
        • Các cơ quan, tổ chức, cá nhân có tham gia xử lý Dữ liệu cá nhân và/hoặc liên quan đến Mục đích xử lý dữ liệu cá nhân và cá nhân, tổ chức, cơ quan được MBS tin tưởng ngay tình rằng việc chia sẻ, cung cấp là hợp lý cho Mục đích như tại Mục 4.4 Quy định BVDLCN này;
        • Các cá nhân, cơ quan, tổ chức khác mà MBS thấy là cần thiết để đáp ứng, bảo vệ các quyền, lợi ích hợp pháp của Chủ thể dữ liệu và của MBS;
        • Các bên thứ ba mà Chủ thể dữ liệu đồng ý hoặc MBS có cơ sở pháp lý để chia sẻ Dữ liệu cá nhân của Chủ thể dữ liệu;
      • MBS xem Dữ liệu cá nhân của Chủ thể dữ liệu là riêng tư và bí mật, ngoài các bên đã nêu tại Mục 4.6.b trên, MBS sẽ không tiết lộ Dữ liệu cá nhân của Chủ thể dữ liệu cho bất kỳ bên nào khác. 
    7. Chuyển Dữ liệu cá nhân ra nước ngoài
      • Nhằm thực hiện mục đích xử lý Dữ liệu cá nhân tại Quy định BVDLCN này, MBS có thể phải cung cấp/chia sẻ Dữ liệu cá nhân của Chủ thể dữ liệu đến các bên thứ ba liên quan của MBS và các bên thứ ba này có thể tại Việt Nam hoặc bất cứ địa điểm nào khác nằm ngoài lãnh thổ Việt Nam.
      • Khi thực hiện việc cung cấp/chia sẻ Dữ liệu cá nhân ra nước ngoài, MBS sẽ yêu cầu bên tiếp nhận đảm bảo rằng Dữ liệu cá nhân của Chủ thể dữ liệu được chuyển giao cho họ sẽ bảo mật và an toàn. MBS đảm bảo tuân thủ các nghĩa vụ pháp lý và quy định liên quan đến việc chuyển giao Dữ liệu cá nhân của Chủ thể dữ liệu.  
    8. Trang web và ứng dụng của các bên thứ ba
      • Quy định BVDLCN này áp dụng cho cả các website và ứng dụng và nền tảng của bên khác có cung cấp dịch vụ, tiện ích của MBS và các website, ứng dụng, nền tảng cung cấp sản phẩm dịch vụ, tiện ích khác của MBS có thông tin quảng cáo, các nội dung, liên kết, tích hợp, đường dẫn đến các website, ứng dụng, nền tảng của bên khác.
      • Khi truy cập các website, ứng dụng, nền tảng của bên thứ ba này, Chủ thể dữ liệu nên đọc và tìm hiểu các điều khoản và điều kiện về bảo vệ dữ liệu cá nhân, chính sách quyền riêng tư, bảo mật thông tin của họ hoặc các quy định nội bộ có liên quan của họ. MBS không thể kiểm soát nội dung hoặc các liên kết xuất hiện trên các website, ứng dụng, nền tảng dịch vụ của bên khác và không chịu trách nhiệm về các hoạt động của Chủ thể dữ liệu sử dụng bởi các website, ứng dụng, nền tảng khác của bên khác được liên kết đến hoặc từ bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị nào cũng như việc bên khác xử lý dữ liệu của Chủ thể dữ liệu.
    9. Các điều cấm trong xử lý dữ liệu cá nhân
      • Không mua, bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp luật có quy định khác.
      • Không cung cấp dữ liệu cá nhân trong trường hợp:
        • Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;
        • Việc cung cấp dữ liệu cá nhân của Chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;
        • Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.
      • Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của Chủ thể dữ liệu là vi phạm pháp luật;
      • Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
      • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
      • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
      • Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
      • Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
  5. Thực hiện quyền và nghĩa vụ của Chủ thể dữ liệu liên quan đến Dữ liệu cá nhân
    1. Quy định chung
      • Chủ thể dữ liệu có các quyền sau đây: (i) Quyền được biết; (ii) Quyền đồng ý; (iii) Quyền truy cập; (iv) Quyền rút lại sự đồng ý; (v) Quyền xóa dữ liệu; (vi) Quyền hạn chế xử lý dữ liệu; (vii) Quyền cung cấp dữ liệu; (viii) Quyền phản đối xử lý dữ liệu; (ix) Quyền khiếu nại, tố cáo, khởi kiện; (x) Quyền yêu cầu bồi thường thiệt hại; (xi) Quyền tự bảo vệ và các quyền có liên quan khác theo quy định của pháp luật. Nếu Chủ thể dữ liệu có bất kỳ câu hỏi nào về Quy định BVDLCN hoặc bất kỳ thắc mắc nào khác liên quan đến cách MBS quản lý, bảo vệ Dữ liệu cá nhân của Chủ thể dữ liệu và/hoặc có bất kỳ yêu cầu nào để thực hiện các quyền của mình, Chủ thể dữ liệu có thể gửi yêu cầu đến MBS hoặc tự truy cập, truy xuất, cập nhật, chỉnh sửa dữ liệu thông qua các ứng dụng (được hỗ trợ từng thời kỳ) hoặc kênh tiếp nhận yêu cầu của Chủ thể dữ liệu khác do MBS cung cấp từng thời kỳ.
      • MBS bằng sự nỗ lực hợp lý, sẽ thực hiện yêu cầu hợp pháp và hợp lệ từ Chủ thể dữ liệu trong khoảng thời gian pháp luật quy định kể từ khi nhận được yêu cầu hoàn chỉnh, hợp lệ và phí xử lý liên quan (nếu có) từ Chủ thể dữ liệu, phụ thuộc vào quyền của MBS khi được viện dẫn đến bất kỳ sự miễn trừ và/hoặc ngoại lệ nào theo quy định pháp luật. Trường hợp không thể thực hiện thì MBS sẽ thông báo kịp thời tới Chủ thể dữ liệu hoặc trong thời hạn pháp luật quy định (nếu có).   
      • Trong trường hợp Chủ thể dữ liệu rút lại sự đồng ý của mình, yêu cầu xóa dữ liệu và/hoặc thực hiện các quyền có liên quan khác đối với bất kỳ hoặc tất cả các Dữ liệu cá nhân của Chủ thể dữ liệu, và tuỳ thuộc vào bản chất yêu cầu của Chủ thể dữ liệu, MBS có thể sẽ xem xét và quyết định về việc không xử lý yêu cầu của Chủ thể dữ liệu hoặc không tiếp tục cung cấp các sản phẩm, dịch vụ của MBS cho Chủ thể dữ liệu hoặc chấm dứt các quan hệ/giao dịch khác giữa hai bêndo (i) quy định pháp luật và/hoặc cơ quan có thẩm quyền không cho phép MBS thực hiện hoạt động như vậy hoặc (ii) không thể đảm bảo tiêu chuẩn/chất lượng của sản phẩm, dịch vụ nếu dữ liệu đó bị xoá/hạn chế hoặc (iii) quy định của pháp luật yêu cầu MBS cần phải thu thập dữ liệu cá nhân của Chủ thể dữ liệu khi cung cấp sản phẩm, dịch vụ hoặc (iv) các trường hợp khác theo đánh giá của MBS việc xoá/hạn chế dữ liệu có thể phá vỡ cấu trúc, hạ tầng bảo vệ dữ liệu lịch sử thông tin Chủ thể dữ liệu. Trong trường hợp MBS quyết định không cung cấp sản phẩm, dịch vụ cho Chủ thể dữ liệu, các hành vi được thực hiện bởi Chủ thể dữ liệu theo quy định này sẽ được xem là sự đơn phương chấm dứt từ phía Chủ thể dữ liệu cho bất kỳ mối quan hệ nào giữa Chủ thể dữ liệu với MBS, và hoàn toàn có thể dẫn đến sự vi phạm nghĩa vụ hoặc các cam kết theo hợp đồng, thỏa thuận giữa Chủ thể dữ liệu với MBS; khi đó, MBS có quyền bảo lưu các quyền và biện pháp khắc phục hợp pháp của MBS trong những trường hợp phát sinh. MBS sẽ không chịu trách nhiệm đối với Chủ thể dữ liệu cho bất kỳ tổn thất nào (nếu xảy ra), và các quyền hợp pháp của MBS sẽ được bảo lưu một cách rõ ràng đối với việc giới hạn, hạn chế, tạm ngừng, hủy bỏ, ngăn cản, hoặc cấm đoán đó. Chủ thể dữ liệu cần lưu ý, do đặc thù hoạt động của MBS, pháp luật có quy định MBS phải lưu trữ thông tin Chủ thể dữ liệu trong một số trường hợp nhất định, khi đó MBS không thể đáp ứng yêu cầu xóa dữ liệu của Chủ thể dữ liệu nếu việc xóa dữ liệu dẫn đến vi phạm pháp luật. Việc Chủ thể dữ liệu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu, xoá dữ liệu, phản đối xử lý Dữ liệu cá nhân không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó đối với Dữ liệu cá nhân đã được chấp thuận của Chủ thể dữ liệu.
      • Vì mục đích bảo mật, Chủ thể dữ liệu có thể cần phải đưa ra yêu cầu của mình bằng văn bản hoặc sử dụng phương pháp khác được MBS chấp thuận từng thời kỳ để chứng minh và xác thực danh tính của Chủ thể dữ liệu. MBS có thể yêu cầu Chủ thể dữ liệu xác minh danh tính trước khi xử lý yêu cầu của Chủ thể dữ liệu.
    2. Chủ thể dữ liệu có trách nhiệm tự bảo vệ Dữ liệu cá nhân của mình, yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ Dữ liệu cá nhân của mình. Đồng thời, Chủ thể dữ liệu cũng phải tôn trọng và bảo vệ Dữ liệu cá nhân của người khác.
    3. Cung cấp đầy đủ, chính xác Dữ liệu cá nhân cho MBS khi thiết lập quan hệ, giao kết hợp đồng và/hoặc trong suốt thời gian sử dụng sản phẩm, dịch vụ, giao dịch với MBS.
    4. Thực hiện và tuân thủ quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
    5. Trong trường hợp có sự thay đổi, điều chỉnh Dữ liệu cá nhân, Chủ thể dữ liệu có trách nhiệm truy cập hệ thống giao dịch trực tuyến của MBS (nếu hệ thống có hỗ trợ) để chủ động kiểm tra, cập nhật Dữ liệu cá nhân hoặc liên hệ và thông báo ngay cho MBS để MBS thực hiện cập nhật kịp thời những thay đổi, điều chỉnh đó. Chủ thể dữ liệu sẽ chịu trách nhiệm toàn bộ đối với việc chậm trễ cập nhật hay chậm thông báo cho MBS để cập nhật các Dữ liệu cá nhân này; đồng thời, việc chậm trễ cập nhật hay chậm trễ thông báo cho MBS cập nhật dữ liệu từ phía Chủ thể dữ liệu sẽ miễn trừ cho MBS khỏi mọi thiệt hại, rủi ro phát sinh cho Chủ thể dữ liệu và các bên liên quan (nếu có).
  6. Biện pháp bảo vệ Dữ liệu cá nhân; Các hậu quả, thiệt hại không mong muốn
    1. Biện pháp bảo vệ dữ liệu cá nhân
      • MBS luôn coi trọng quyền riêng tư và nỗ lực bảo mật, bảo đảm an toàn các Dữ liệu cá nhân của Chủ thể dữ liệu như là tài sản quan trọng nhất của MBS và MBS luôn cố gắng đảm bảo tính bảo mật, an toàn, tuân thủ pháp luật, hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra. MBS đã và đang áp dụng các biện pháp cần thiết để bảo vệ dữ liệu cá nhân của Chủ thể dữ liệu (bao gồm cả những chủ thể có liên quan của Chủ thể dữ liệu) và trách nhiệm bảo mật Dữ liệu cá nhân của Chủ thể dữ liệu là yêu cầu bắt buộc MBS đặt ra cho toàn thể cán bộ nhân viên. MBS thực hiện trách nhiệm bảo vệ Dữ liệu cá nhân theo quy định của pháp luật hiện hành với các phương pháp bảo mật phù hợp theo quy định pháp luật, thông lệ thị trường và thường xuyên xem xét, cập nhật các biện pháp quản lý và kỹ thuật khi xử lý Dữ liệu cá nhân của Chủ thể dữ liệu (nếu có).
      • Biện pháp quản lý: tùy từng thời kỳ, MBS sẽ ban hành các quy chế/quy trình/chính sách/hướng dẫn liên quan đến bảo vệ dữ liệu cá nhân của Chủ thể dữ liệu, bao gồm nhưng không giới hạn bởi quy định về bảo đảm an toàn thông tin trong hoạt động của MBS; quy trình quản lý ra, vào trung tâm dữ liệu; quy định phòng chống virus, v.v.
      • Biện pháp kỹ thuật: tùy từng thời kỳ, MBS thực hiện các biện pháp kỹ thuật nhằm kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý DLCN trước khi đưa vào vận hành, định kỳ thực hiện rò quét và đánh giá an toàn bảo mật hệ thống thông tin, bao gồm cả quản lý, sử dụng thiết bị phần cứng, quản lý phần mềm, áp dụng các tiêu chuẩn kỹ thuật theo quy định pháp luật chuyên ngành.
      • MBS thực hiện chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân theo quy định pháp luật.
    2. Các hậu quả, thiệt hại không mong muốn có thể xảy ra
      Chủ thể dữ liệu hiểu rằng việc cung cấp và chấp thuận cho MBS sử dụng, xử lý Dữ liệu cá nhân sẽ luôn tồn tại những rủi ro tiềm tàng như rủi ro rò rỉ một phần Dữ liệu hoặc việc xử lý dữ liệu chưa phù hợp, kịp thời, có thể phát sinh từ các nguyên nhân như: lỗi của hệ thống, đường truyền, sự kiện bất khả kháng, virut, tấn công mạng hoặc lỗi phần cứng, phần mềm, các hành động, thao tác của Chủ thể dữ liệu hoặc bất kỳ bên thứ ba nào khác ảnh hưởng đến việc cung cấp và xử lý Dữ liệu cá nhân của Chủ thể dữ liệu…. Các rủi ro có thể phát sinh như việc Dữ liệu cá nhân của Chủ thể dữ liệu có thể bị lộ hoặc bị đánh cắp bởi một bên khác dẫn đến việc các Dữ liệu cá nhân này có thể được sử dụng vào những mục đích không mong muốn hoặc nằm ngoài tầm kiểm soát của MBS và Chủ thể dữ liệu gây ra những tổn thất cả về vật chất và tinh thần. MBS sẽ chịu trách nhiệm trước Chủ thể dữ liệu về các thiệt hại do quá trình MBS xử lý Dữ liệu cá nhân gây ra, trừ trường hợp không do lỗi của MBS.
    3. MBS và Chủ thể dữ liệu đều cần nhận biết rằng không gian mạng (Internet) không phải là một môi trường an toàn và không thể đảm bảo tuyệt đối rằng Dữ liệu cá nhân của Chủ thể dữ liệu được chia sẻ bằng Internet sẽ luôn được bảo mật. Dữ liệu cá nhân của Chủ thể dữ liệu được truyền tải khi Chủ thể dữ liệu sử dụng Internet do Chủ thể dữ liệu chịu trách nhiệm và Chủ thể dữ liệu chỉ nên sử dụng các hệ thống an toàn để truy cập trang tin điện tử, ứng dụng hoặc thiết bị. Ngoài nỗ lực bảo vệ Dữ liệu cá nhân của MBS, Chủ thể dữ liệu cũng phải có trách nhiệm bảo mật thông tin xác thực truy cập của mình cho từng trang tin điện tử, ứng dụng, nền tảng và bảo vệ thiết bị, tài khoản giao dịch, các yếu tố bảo mật, thông tin đăng nhập tài khoản của chính mình và thông báo ngay cho MBS nếu có phát hiện có các hành vi lạm dụng, sử dụng trái phép.
  7. Thời gian bắt đầu và kết thúc xử lý Dữ liệu cá nhân
    1. Thời gian xử lý dữ liệu cá nhân sẽ không phụ thuộc vào thời điểm Chủ thể dữ liệu giao dịch với MBS và/hoặc Chủ thể dữ liệu đã chấm dứt/ngưng sử dụng sản phẩm, dịch vụ hoặc các hợp đồng, thoả thuận, giao dịch, quan hệ khác giữa MBS và Chủ thể dữ liệu. Quy định BVDLCN này luôn có hiệu lực kể từ thời điểm Dữ liệu cá nhân của Chủ thể dữ liệu được ghi, nhận trên hệ thống của MBS cho đến khi các Mục đích xử lý dữ liệu cá nhân tại khoản 4.3 Mục 4 được hoàn thành hoặc các trường hợp chấm dứt xử lý dữ liệu cá nhân theo quy định pháp luật.
    2. MBS lưu trữ Dữ liệu cá nhân của Chủ thể dữ liệu trong khoảng thời gian cần thiết để hoàn thành các mục đích theo các thỏa thuận, hợp đồng, văn bản, tài liệu Chủ thể dữ liệu đã ký với MBS và/hoặc phù hợp với các mục đích được nêu theo Quy định BVDLCN này, trừ khi thời gian lưu trữ Dữ liệu cá nhân có thể kéo dài lâu hơn nếu được cơ quan nhà nước có thẩm quyền yêu cầu hoặc Chủ thể dữ liệu cho phép và theo quy định pháp luật hiện hành.
  8. Hiệu lực, Thông báo và Sửa đổi, bổ sung Quy định BVDLCN 
    1. Khi sử dụng bất kỳ sản phẩm, dịch vụ hoặc truy cập bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị của MBS hoặc được kết nối đến MBS hoặc thực hiện bất kỳ giao dịch, quan hệ nào với MBS theo bất kỳ phương thức nào, Chủ thể dữ liệu được coi là đã chấp nhận toàn bộ Quy định BVDLCN này. Trong trường hợp Chủ thể dữ liệu không chấp nhận Quy định BVDLCN này, Chủ thể dữ liệu có quyền đưa ra quyết định bằng văn bản gửi MBS về việc chấm dứt việc sử dụng các dịch vụ, sản phẩm hoặc chấm dứt việc truy cập vào các trang tin điện tử, ứng dụng hoặc thiết bị của MBS hoặc chấm dứt việc sử dụng các web, ứng dụng, thiết bị được kết nối đến MBS. Trường hợp Chủ thể dữ liệu đưa ra quyết định chấm dứt song vẫn tiếp tục sử dụng sản phẩm, dịch vụ hoặc truy cập vào các trang tin điện tử, ứng dụng của MBS và/hoặc sử dụng thiết bị, ứng dụng kết nối đến MBS thì được hiểu Chủ thể dữ liệu đã thay đổi ý kiến và đồng ý chịu sự điều chỉnh của Quy định BVDLCN này.
    2. Không phụ thuộc vào hiệu lực của các hợp đồng, thoả thuận, văn kiện khác giao kết, xác lập giữa Chủ thể dữ liệu và MBS, Quy định BVDLCN này luôn có hiệu lực áp dụng với Chủ thể dữ liệu cho đến khi các Mục đích xử lý dữ liệu được hoàn thành và có thoả thuận chấm dứt xử lý dữ liệu cá nhân của Chủ thể dữ liệu với MBS và/hoặc khi quy định nội bộ của MBS, quy định pháp luật có liên quan quy định chấm dứt xử lý, xoá, huỷ toàn bộ Dữ liệu cá nhân của Chủ thể dữ liệu.
    3. MBS có quyền sửa đổi, cập nhật hoặc điều chỉnh các điều khoản của Quy định BVDLCN này tùy từng thời điểm và đảm bảo việc sửa đổi, bổ sung phù hợp với các quy định pháp luật có liên quan. Tất cả các thông báo về việc sửa đổi, cập nhật hoặc điều chỉnh nào về Quy định BVDLCN này sẽ được MBS gửi cho Chủ thể dữ liệu qua một hoặc một số cách thức sau: công khai trên website, thư điện tử, ứng dụng di động của MBS, tin nhắn thuê bao di động hoặc các phương thức khác mà MBS cho là phù hợp.
    4. MBS hiểu rằng, việc Chủ thể dữ liệu tiếp tục sử dụng các dịch vụ, sản phẩm, truy cập trang tin điện tử/ứng dụng của MBS đồng nghĩa với việc Chủ thể dữ liệu đồng ý với các nội dung sửa đổi, cập nhật của Quy định BVDLCN này.
  9. Liên hệ với MBS
    Nếu Chủ thể dữ liệu muốn thực hiện các quyền của mình hoặc có bất kỳ góp ý, phản hồi hoặc yêu cầu nào liên quan đến Quy định BVDLCN này, vui lòng liên hệ MBS theo hướng dẫn sau:
    • Gọi điện đến tổng đài: 1900 9088.
    • Gửi thư điện tử cho MBS theo địa chỉ: cskh@mbs.com.vn.
    • Liên hệ trực tiếp tại các địa điểm trụ sở, chi nhánh hoạt động của MBS.
    • Website: https://mbs.com.vn/
    • Hệ thống giao dịch chứng khoán trực tuyến của MBS (hỗ trợ từng thời kỳ).
    • Các địa chỉ hoặc phương thức khác do MBS cung cấp từng thời kỳ.

Quy định về Bảo vệ dữ liệu cá nhân của MBS (Quy định về BVDLCN) ban hành lần đầu có hiệu lực từ ngày 01/07/2023, xem chi tiết tại đây.

© Copyrights 2000 - 2022 MBS, thành viên của Tập đoàn MB
Về đầu trang