Tin EVS 04/09/2024

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

(Kèm theo Quyết định số 180/2024/QĐ–TGĐ ngày 26/8/2024 của Tổng Giám đốc Công ty cổ phần Chứng khoán Everest)

 

            Chính sách bảo vệ Dữ liệu cá nhân (“Chính sách”) này được thực hiện bởi Công ty cổ phần Chứng khoán Everest (“EVS”), mô tả các hoạt động liên quan đến việc xử lý dữ liệu cá nhân của Chủ thể dữ liệu để Chủ thể dữ liệu hiểu rõ hơn về mục đích, phạm vi thông tin mà EVS xử lý, các biện pháp EVS áp dụng để bảo vệ thông tin và quyền của Chủ thể dữ liệu đối với các hoạt động này.

  1. PHẠM VI ĐIỀU CHỈNH, ĐỐI TƯỢNG ÁP DỤNG

    Chính sách này điều chỉnh cách thức mà EVS thu thập và xử lý, lưu trữ dữ liệu cá nhân. Bên cạnh các quy định của Chính sách này, EVS có thể ban hành các chính sách về dữ liệu cá nhân đặc thù cho từng sản phẩm và dịch vụ cụ thể mà EVS cung cấp.

    Chính sách này áp dụng với Chủ thể dữ liệu được quy định tại mục 2.6 Chính sách này kể từ khi Chủ thể dữ liệu tương tác, giao tiếp, xác lập bất kỳ quan hệ, giao dịch nào và/hoặc truy cập, sử dụng các kênh, nền tảng, ứng dụng của EVS.

    EVS khuyến khích Chủ thể dữ liệu đọc kỹ Chính sách này và thường xuyên kiểm tra trang tin điện tử của EVS để cập nhật bất kỳ thay đổi nào mà EVS có thể thực hiện theo các điều khoản của Chính sách.

  2. GIẢI THÍCH TỪ NGỮ
    1. Đơn vị: Là (i) các khối/phòng/bộ phận thuộc EVS; (ii) phòng/ bộ phận thuộc các khối; hoặc (iii) các chi nhánh của Công ty, tùy vào từng trường hợp.
    2. Dữ liệu cá nhân/DLCN: Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. DLCN bao gồm DLCN cơ bản và DLCN nhạy cảm.
    3. DLCN cơ bản bao gồm:

      - Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

      - Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

      - Giới tính;

      - Các thông tin về cư trú: Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

      - Quốc tịch;

      - Hình ảnh của cá nhân;

      - Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế, số chứng chỉ/giấy phép hành nghề;

      - Tình trạng hôn nhân;

      - Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

      - Thông tin về tài khoản số của cá nhân; DLCN phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

      Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc DLCN nhạy cảm quy định tại Mục 2.4.

    4. DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

      - Quan điểm chính trị, quan điểm tôn giáo;

      - Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

      - Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

      - Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

      - Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

      - Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

      - Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

      - Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

      - Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

      - DLCN khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

    5. Bảo vệ DLCN: Là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN theo quy định của pháp luật.
    6. Chủ thể dữ liệu: Là cá nhân được DLCN phản ánh, bao gồm nhưng không giới hạn các cá nhân là khách hàng của EVS; người dùng trên các nền tảng số của EVS; cá nhân thuộc các tổ chức có quan hệ pháp lý với EVS và/hoặc người có liên quan của khách hàng/đối tác theo các mối quan hệ do pháp luật yêu cầu phải thu thập; ứng viên tiềm năng, đối tác phát triển khách hàng, người lao động, người quản lý, cổ đông,… của EVS hoặc bất kỳ cá nhân nào khác có liên quan hoặc tham gia/thực hiện bất kỳ giao dịch, quan hệ nào với EVS theo bất kỳ phương thức nào, ở hiện tại và trong tương lai.
    7. Xử lý DLCN: Là một hoặc nhiều hoạt động tác động tới DLCN, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy DLCN hoặc các hành động khác có liên quan.
    8. Chuyển DLCN ra nước ngoài: Là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của chủ thể được quy định tại Mục 2.9 tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam (sau đây gọi tắt là “Việt Nam”) hoặc sử dụng một địa điểm nằm ngoài lãnh thổ Việt Nam để xử lý DLCN.
    9. Khách hàng: là tổ chức, cá nhân tiếp cận, tìm hiểu, đăng ký, sử dụng sản phẩm, dịch vụ, tiện ích và/hoặc có quan hệ/giao dịch trong quá trình hoạt động, cung cấp các sản phẩm, dịch vụ, tiện ích của EVS.
    10. Bên cung cấp dữ liệu: Là cá nhân hoặc tổ chức cung cấp DLCN của chính mình hoặc của (các) cá nhân khác.
    11. Bên Kiểm soát DLCN: Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý DLCN. Bên Kiểm soát DLCN có thể là EVS, là bất kỳ đơn vị và/hoặc cá nhân nào trong mối quan hệ với các bên thứ ba khác là tổ chức, cá nhân trong và ngoài EVS.
    12. Bên Xử lý DLCN: Là EVS hoặc tổ chức, đơn vị, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho EVS, thông qua một hợp đồng hoặc thỏa thuận với EVS.
    13. Bên Kiểm soát và xử lý DLCN: Là EVS hoặc tổ chức, đơn vị, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý DLCN.
    14. Bên thứ ba: Là tổ chức, cá nhân ngoài EVS, Chủ thể dữ liệu, Bên Kiểm soát DLCN, Bên Xử lý DLCN, Bên Kiểm soát và xử lý DLCN.
    15. Người có thẩm quyền: Là người đại diện theo pháp luật của EVS hoặc người được người đại diện theo pháp luật ủy quyền/giao việc.
    16. Để làm rõ, các từ ngữ nào chưa được giải thích tại Chính sách này sẽ được giải thích theo quy định của pháp luật Việt Nam, Điều lệ và các văn bản nội bộ của EVS tại từng thời điểm.
  3. NGUYÊN TẮC BẢO VỆ DLCN
    1. Chính sách này là một phần không thể tách rời của các hợp đồng, thỏa thuận, giấy đề nghị, đăng ký, các văn bản, tài liệu khác có phát sinh, ảnh hưởng, chi phối, thiết lập mối quan hệ giữa Chủ thể dữ liệu với EVS.
    2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý DLCN của mình, trừ trường hợp luật có quy định khác.
    3. DLCN chỉ được xử lý đúng với mục đích đã được EVS đăng ký, tuyên bố về xử lý DLCN. EVS chỉ thu thập, xử lý và lưu trữ DLCN của Chủ thể dữ liệu phù hợp với quy định của pháp luật nhằm mục đích cung cấp các dịch vụ đến Chủ thể dữ liệu và/hoặc thực hiện các hợp đồng, thỏa thuận, văn bản được giao kết giữa EVS và Chủ thể dữ liệu hoặc giữa EVS và (các) bên liên quan đến Chủ thể dữ liệu.
    4. DLCN thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. DLCN không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
    5. DLCN được cập nhật, bổ sung phù hợp với mục đích xử lý.
    6. DLCN được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ DLCN và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
    7. DLCN chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
    8. Phụ thuộc vào vai trò của EVS trong từng tình huống cụ thể là (i) Bên Kiểm soát DLCN; (ii) Bên Xử lý DLCN; hoặc (iii) Bên Kiểm soát và xử lý dữ liệu, EVS sẽ thực hiện các quyền hạn, trách nhiệm cũng như các nguyên tắc xử lý DLCN tương ứng theo quy định của pháp luật hiện hành.
    9. Chủ thể dữ liệu hiểu và đồng ý rằng, việc DLCN của mình được cung cấp cho EVS (bao gồm và không giới hạn bởi các thông tin EVS đã có trước, trong và sau khi chấp thuận Chính sách này) chính là sự chấp nhận toàn phần của Chủ thể dữ liệu cho phép EVS có đầy đủ các quyền hợp pháp khi sử dụng DLCN trong suốt quá trình tiếp nhận và xử lý DLCN trong phạm vi và đúng mục đích, bắt đầu từ khi EVS tiếp nhận thông tin cho đến khi có yêu cầu chấm dứt việc xử lý dữ liệu từ Chủ thể dữ liệu hoặc việc chấm dứt xử lý dữ liệu được EVS thực hiện theo quy định của pháp luật.
    10. Bằng việc cung cấp DLCN của một bên thứ ba (bao gồm nhưng không giới hạn bởi: thông tin của người phụ thuộc, người có liên quan theo quy định pháp luật, vợ/chồng, con cái và/hoặc cha mẹ và/hoặc người giám hộ, bạn bè, người tham chiếu, bên thụ hưởng, người ủy quyền, đối tác, người liên hệ trong các trường hợp khẩn cấp hoặc cá nhân, người đại diện, người được uỷ quyền của Chủ thể dữ liệu) cho EVS, bên cung cấp dữ liệu cam đoan, bảo đảm và chịu trách nhiệm rằng đã cung cấp thông tin đầy đủ, đã có được sự đồng ý hợp pháp của bên thứ ba đó cho việc xử lý và thông tin về việc EVS là chủ thể xử lý các DLCN cho các mục đích được nêu tại Chính sách này. Bên cung cấp DLCN phải cung cấp bằng chứng chứng minh về sự đồng ý của Chủ thể dữ liệu trên trong trường hợp EVS có yêu cầu. EVS được miễn trách nhiệm và được yêu cầu bồi thường các thiệt hại, chi phí liên quan khi bên cung cấp dữ liệu không thực hiện đúng nội dung quy định tại khoản này.
    11. Chính sách này sẽ được ưu tiên áp dụng trong trường hợp có bất kỳ xung đột hoặc mâu thuẫn nào với các thỏa thuận, điều khoản và điều kiện trong các hợp đồng, thoả thuận, văn bản, tài liệu chi phối mối quan hệ giữa Chủ thể dữ liệu với EVS, cho dù các hợp đồng, thoả thuận, văn bản, tài liệu đó được ký kết trước, vào ngày hoặc sau ngày Chủ thể dữ liệu nhận được Chính sách này.
    12. Tất cả các quyền và nghĩa vụ của EVS và Chủ thể dữ liệu tại Chính sách này sẽ không thay thế, chấm dứt hoặc thay đổi mà sẽ đồng thời là các quyền, nghĩa vụ mà EVS và Chủ thể dữ liệu đang có ở bất kỳ văn bản nào và không một điều khoản nào trong Chính sách này hàm ý hạn chế hoặc xóa bỏ bất kỳ quyền, nghĩa vụ nào trong số các quyền, nghĩa vụ của các bên đã được xác lập.
  4. MỤC ĐÍCH XỬ LÝ DLCN

    EVS có thể xử lý DLCN cho một hoặc nhiều mục đích sau đây:

    1. Phục vụ cho việc giao kết hợp đồng, thực hiện hợp đồng giữa EVS với Chủ thể dữ liệu/Bên cung cấp dữ liệu/Bên thứ ba có liên quan và quá trình cung cấp sản phẩm, dịch vụ của EVS:
      1. Nhận biết, rà soát, xác minh tính chính xác, đầy đủ của các DLCN được cung cấp; xác định hoặc xác thực danh tính của Chủ thể dữ liệu; đánh giá rủi ro nguy cơ giả mạo hoặc nghi ngờ giả mạo Chủ thể dữ liệu trong giao dịch với EVS, bảo vệ Chủ thể dữ liệu khỏi các hành vi gian lận hoặc hành vi bất hợp pháp khác;
      2. Xác minh và tiến hành các hoạt động về phòng chống rửa tiền, và các kiểm tra khác với Chủ thể dữ liệu theo yêu cầu;
      3. Thẩm định hồ sơ pháp lý, khả năng tài chính và điều kiện cần đáp ứng khác của Chủ thể dữ liệu đối với sản phẩm và dịch vụ do EVS đề xuất và/hoặc cung cấp;
      4. Xác lập giao dịch giữa EVS với Chủ thể dữ liệu/Bên cung cấp dữ liệu/Bên thứ ba có liên quan; cung cấp các sản phẩm, dịch vụ do EVS triển khai (bao gồm nhưng không giới hạn các sản phẩm mà Bên thứ ba phối hợp với EVS thực hiện theo quy định của pháp luật);
      5. Liên hệ nhằm trao đổi thông tin, cung cấp các văn bản hoặc các tài liệu khác có liên quan đến giao dịch và việc sử dụng các sản phẩm, dịch vụ tại EVS;
      6. Thực hiện nghĩa vụ theo hợp đồng, thỏa thuận và các văn bản có liên quan được ký kết bởi EVS và Chủ thể dữ liệu/Bên cung cấp dữ liệu/Bên thứ ba có liên quan nhằm thực hiện các hoạt động kinh doanh của EVS;
      7. Hiển thị trên nền tảng giao dịch, ứng dụng của EVS các thông tin riêng rẽ và tích hợp về tài sản, tài chính, giao dịch, hợp đồng của Chủ thể dữ liệu, và/hoặc bất kỳ tính năng, tiện ích nào Chủ thể dữ liệu có thể lựa chọn, truy vấn thông tin và nhắc thực hiện quyền, nghĩa vụ của Chủ thể dữ liệu liên quan đến việc giao kết và thực hiện các hợp đồng, giao dịch của Chủ thể dữ liệu với EVS và đối tác của EVS (trong trường hợp có các sản phẩm, dịch vụ, tiện ích được đối tác của EVS cung cấp hoặc uỷ thác, uỷ nhiệm, giao đại lý cho EVS cung cấp, thông tin cho Chủ thể dữ liệu);
      8. Liên hệ, chăm sóc khách hàng, đánh giá và xử lý các yêu cầu, giải quyết khiếu nại, khởi kiện của Chủ thể dữ liệu;
      9. Liên hệ với Chủ thể dữ liệu, tiếp thị trực tiếp, gián tiếp các sản phẩm, dịch vụ với Chủ thể dữ liệu, thực hiện các chương trình khuyến mại, đổi quà, trao thưởng, giao quà tặng.
    2. Phục vụ cho quá trình phát triển, cải tiến, nâng cấp, nâng cao kết quả, chất lượng của các sản phẩm, dịch vụ do EVS cung cấp:
      1. Thực hiện nghiên cứu thị trường, khảo sát, tổng hợp và phân tích dữ liệu liên quan đến bất kỳ các sản phẩm, dịch vụ nào do EVS cung cấp nhằm nâng cao chất lượng sản phẩm, dịch vụ cung cấp cho khách hàng (dù được thực hiện bởi EVS hay một bên thứ ba khác mà EVS hợp tác) mà có thể liên quan đến Chủ thể dữ liệu (bao gồm nhưng không giới hạn bởi phân tích tài chính, phân tích hành vi, xu hướng giao dịch, sở thích và phân tích các yếu tố khác, …);
      2. Kiểm tra, kiểm thử, cài đặt, quản lý, nâng cấp, cải tiến kỹ thuật và thực hiện các biện pháp khác nhằm đảm bảo an toàn, bảo mật, bảo vệ Chủ thể dữ liệu và DLCN của Chủ thể dữ liệu trước các trường hợp gây hại, nguy cơ gây hại;
      3. Thông báo các thông tin về nghĩa vụ, quyền lợi, thay đổi các tính năng, cải tiến và nâng cao tiện ích, chất lượng của sản phẩm, dịch vụ;
      4. Các mục đích khác nhằm hướng tới nâng cao chất lượng phục vụ và/hoặc vì nhu cầu, lợi ích của Chủ thể dữ liệu.
    3. Thực hiện nghĩa vụ theo các quy định nội bộ của EVS và quy định pháp luật từng thời kỳ và/hoặc yêu cầu của các cơ quan Nhà nước có thẩm quyền:
      1. Lưu trữ hồ sơ, chứng từ liên quan đến các nghiệp vụ hoạt động của EVS theo quy định pháp luật;
      2. Lập và nộp hoặc công bố thông tin các báo cáo tài chính, báo cáo hoạt động, thuế, lao động,… và các loại báo cáo liên quan khác tuân thủ theo quy định nội bộ EVS và quy định của pháp luật;
      3. Giám sát, kiểm tra, kiểm toán, quản lý rủi ro, quản lý tuân thủ, an ninh an toàn, quản lý nhân sự và các mục đích quản lý khác nhằm đáp ứng, tuân thủ các chính sách nội bộ của EVS và quy định pháp luật;
      4. Bảo vệ quyền, lợi ích hợp pháp của EVS và tuân thủ các quy định pháp luật liên quan (bao gồm và không giới hạn việc để thu các khoản phí, lệ phí và/hoặc để thu hồi bất kỳ khoản nợ nào, hay xử lý các thủ tục khiếu kiện, khiếu nại hay theo bất kỳ thỏa thuận nào giữa Chủ thể dữ liệu/Bên cung cấp dữ liệu/Bên thứ ba có liên quan và EVS);
      5. Đánh giá bất kỳ đề xuất nào có liên quan nhằm bảo vệ quyền, lợi ích hợp pháp của EVS và Chủ thể dữ liệu;
      6. Tạo cơ sở dữ liệu, báo cáo và thống kê trên cơ sở yêu cầu của UBCK hoặc cơ quan có thẩm quyền theo quy định của pháp luật;
      7. Phát hiện, ngăn chặn và điều tra tội phạm hoặc các hành vi vi phạm pháp luật (bao gồm nhưng không giới hạn bởi việc thực hiện phòng chống rửa tiền, tội phạm và tài trợ khủng bổ; phòng, chống gian lận, hối lộ, tham nhũng hoặc trốn thuế);
      8. Cung cấp thông tin phục vụ điều tra, thanh tra, kiểm tra của các CQNNCTQ;
      9. Ngăn chặn hoặc giảm thiểu mối đe doạ đối với tính mạng, sức khỏe của người khác và lợi ích công cộng trong trường hợp cần thiết;
      10. Đáp ứng, tuân thủ các chính sách, quy định nội bộ của EVS, các thủ tục và bất kỳ quy tắc, quy định pháp luật, hướng dẫn, chỉ thị hoặc yêu cầu khác được ban hành bởi CQNNCTQ.
    4. Đối với ứng viên tiềm năng, đối tác phát triển khách hàng, người lao động:
      1. Rà soát điều kiện ứng viên, đối tác phát triển khách hàng; đánh giá hồ sơ, tài liệu, chứng từ với mục đích thẩm định, đánh giá tư cách ứng viên, đối tác phát triển khách hàng, đăng ký hồ sơ ứng viên, đối tác phát triển khách hàng và phục vụ quá trình tuyển dụng;
      2. Ký kết và quản lý hợp đồng, thỏa thuận việc làm, dịch vụ với ứng viên, đối tác phát triển khách hàng, người lao động;
      3. Đào tạo và tuân thủ các nghĩa vụ tại hợp đồng, thỏa thuận, cam kết giữa đối tác phát triển khách hàng với EVS;
      4. Đào tạo, kiểm tra, đánh giá chất lượng công việc và việc tuân thủ các nghĩa vụ tại hợp đồng, thỏa thuận, cam kết giữa người lao động với EVS;
      5. Quản lý hồ sơ nhân sự và thực hiện các thủ tục theo quy định của pháp luật với các cơ quan chức năng, cơ quan có thẩm quyền như cơ quan lao động, bảo hiểm, thuế, UBCK;
      6. Thực hiện các hoạt động, công việc cần thiết từ các thỏa thuận, hợp đồng được ký kết với các bên thứ ba tùy theo mục đích, nhu cầu phát sinh tại từng thời điểm như dịch vụ đào tạo, bảo hiểm sức khỏe, khám chữa bệnh, vận tải, du lịch, tổ chức sự kiện;
      7. Thực hiện các mục đích khác liên quan đến việc phát triển, quản trị nguồn nhân lực.
    5. Để phục vụ các mục đích khác có liên quan đến hoạt động quản trị, điều hành, đầu tư, kinh doanh của EVS mà EVS cho là phù hợp tại từng thời điểm.
    6. Trường hợp xử lý DLCN cho các mục đích khác ngoài các mục đích nêu trên, EVS sẽ yêu cầu sự cho phép từ Chủ thể dữ liệu trước khi sử dụng dữ liệu và chỉ thực hiện theo thỏa thuận với Chủ thể dữ liệu hoặc khi đạt được sự chấp thuận của Chủ thể dữ liệu.
  5. CÁC LOẠI DỮ LIỆU CÁ NHÂN MÀ EVS THU THẬP, XỬ LÝ
    1. Loại DLCN của Chủ thể dữ liệu được xử lý bao gồm:
      1. Các DLCN cơ bản; và
      2. Các DLCN nhạy cảm.
    2. Các loại DLCN được xử lý phù hợp với quan hệ, giao dịch cụ thể giữa Chủ thể dữ liệu với EVS theo các thỏa thuận, hợp đồng, văn bản có liên quan khác phát sinh giữa các bên.
  6. CÁCH THỨC XỬ LÝ DLCN

    Tùy thuộc vào từng mục đích xử lý dữ liệu, EVS có thể thực hiện xử lý Dữ liệu của Chủ thể dữ liệu theo một hoặc một số cách thức sau:

    1. Thu thập dữ liệu
      1. Để EVS cung cấp các sản phẩm, dịch vụ, tính năng, tiện ích cho Chủ thể dữ liệu, hoặc xử lý các yêu cầu của Chủ thể dữ liệu, hoặc thực hiện các nghĩa vụ hợp đồng khác với Chủ thể dữ liệu, hoặc theo quy định pháp luật, EVS có thể cần phải và/hoặc được yêu cầu phải thu thập DLCN của Chủ thể dữ liệu và các cá nhân liên quan đến Chủ thể dữ liệu. 
      2. Cách thức thu thập và phương thức thu thập: EVS (và các bên xử lý DLCN do EVS sử dụng – nếu có) có thể thu thập trực tiếp hoặc gián tiếp những DLCN của Chủ thể dữ liệu khi Chủ thể dữ liệu yêu cầu và/hoặc trong quá trình EVS cung cấp bất kỳ sản phẩm, dịch vụ nào cho Chủ thể dữ liệu và/hoặc trong quá trình Chủ thể dữ liệu tương tác, giao tiếp, truy cập, sử dụng các kênh, nền tảng, ứng dụng của EVS và từ một hoặc một số các nguồn như được liệt kê dưới đây, bao gồm nhưng không giới hạn:
        1. Trực tiếp từ Chủ thể dữ liệu: EVS thu thập trong quá trình tiếp xúc, làm việc, cung cấp dịch vụ, gặp mặt trực tiếp Chủ thể dữ liệu và được Chủ thể dữ liệu cung cấp thông tin.
        2. Từ các trang tin điện tử, hệ thống giao dịch trực tuyến của EVS: EVS có thể thu thập DLCN của Chủ thể dữ liệu khi Chủ thể dữ liệu truy cập bất kỳ trang tin điện tử, hệ thống giao dịch trực tuyến nào của EVS hoặc sử dụng bất kỳ tính năng, tài nguyên nào có sẵn trên hoặc thông qua trang tin điện tử, hệ thống giao dịch trực tuyến này.
        3. Từ ứng dụng di động: EVS có thể thu thập DLCN của Chủ thể dữ liệu khi Chủ thể dữ liệu tải xuống hoặc sử dụng ứng dụng dành cho thiết bị di động của EVS.
        4. Từ các trao đổi, liên lạc với Chủ thể dữ liệu: EVS có thể thu thập DLCN của Chủ thể dữ liệu khi Chủ thể dữ liệu và EVS liên hệ với nhau, như qua email, gọi video call, gọi qua tổng đài, liên lạc điện tử hoặc bất kỳ phương tiện nào khác (bao gồm và không giới hạn cả các cuộc khảo sát, điều tra mà EVS tiến hành hoặc có được).
        5. Từ việc Chủ thể dữ liệu lựa chọn đăng ký/liên kết tài khoản của Chủ thể dữ liệu trên nền tảng ứng dụng của EVS với tài khoản mạng xã hội của Chủ thể dữ liệu và/hoặc trên nền tảng của bên thứ ba với tài khoản giao dịch chứng khoán của Chủ thể dữ liệu tại EVS. Chủ thể dữ liệu đồng ý để EVS có thể truy cập và thu thập, xử lý DLCN của Chủ thể dữ liệu mà Chủ thể dữ liệu đã tự nguyện cung cấp cho các nhà cung cấp dịch vụ tài khoản này theo chính sách của họ và EVS sẽ quản lý, sử dụng các DLCN này của Chủ thể dữ liệu theo Quy định này tại mọi thời điểm.
        6. Từ các tương tác hoặc các công nghệ thu thập dữ liệu tự động: EVS có thể thu thập DLCN của Chủ thể dữ liệu và các bên liên quan được ghi tự động từ kết nối của Chủ thể dữ liệu đến EVS như cookie, thẻ pixel, plug-in, trình tự kết nối mạng xã hội của bên thứ ba hoặc bất kỳ công nghệ nào có khả năng theo dõi, thu nhận DLCN trên các thiết bị hoặc trang tin điện tử đó (facebook, youtube, tiktok, instagram…).
        7. Từ Cơ quan nhà nước có thẩm quyền: EVS có thể tiếp nhận DLCN của Chủ thể dữ liệu từ các cơ quan quản lý như Ủy ban chứng khoán Nhà nước, Trung tâm lưu ký chứng khoán Việt Nam/Tổng công ty lưu ký và bù trừ chứng khoán Việt Nam, các Sở giao dịch chứng khoán hoặc các cơ quan có thẩm quyền khác tại Việt Nam.
        8. Các nguồn được công khai: EVS có thể tiếp nhận DLCN của Chủ thể dữ liệu từ các nguồn công khai như danh bạ điện thoại, thông tin quảng cáo/tờ rơi, các thông tin được công khai trên mạng….
        9. Từ người có liên quan của EVS, các nhà cung cấp, bên cung cấp dịch vụ, đối tác, bên liên kết và các bên thứ ba có liên quan đến hoạt động kinh doanh của EVS;
        10. Từ các bên thứ ba có quan hệ với Chủ thể dữ liệu; 
        11. Từ những nguồn khác mà Chủ thể dữ liệu đồng ý việc chia sẻ/cung cấp DLCN, hoặc những nguồn mà việc thu thập được pháp luật yêu cầu hoặc cho phép.
    2. Lưu trữ dữ liệu:

      DLCN được lưu trữ tại hệ thống cơ sở dữ liệu của EVS hoặc tại bất cứ đâu mà EVS hoặc các chi nhánh, công ty con, công ty liên kết, đối tác hoặc nhà cung cấp dịch vụ của EVS có cơ sở và tạo bản sao lưu trữ cho trung tâm dữ liệu ở một khu vực khác. DLCN của Chủ thể dữ liệu được EVS lưu trữ theo các hình thức phù hợp với hoạt động của mình. Các dữ liệu sẽ được áp dụng các biện pháp hợp lý để bảo vệ khi được lưu trữ tại EVS.

      Trong quá trình Chủ thể dữ liệu truy cập Trang thông tin điện tử, website, ứng dụng, mạng xã hội của EVS, EVS cũng có thể lưu trữ thông tin tạm thời qua cookie, clickstream hoặc các công cụ lưu trữ dữ liệu tương tự để lưu trữ những dữ liệu mà máy chủ có thể truy lại.

    3. Phân tích dữ liệu: Việc phân tích DLCN được thực hiện theo các quy trình nội bộ của EVS. EVS luôn có cơ chế giám sát nghiêm ngặt từng quy trình phân tích dữ liệu, trong đó yêu cầu kiểm tra việc đáp ứng các yêu cầu của pháp luật về bảo mật dữ liệu, bảo đảm an toàn thông tin đối với hệ thống công nghệ thông tin trước khi tiến hành phân tích. EVS có các quy tắc nghiêm ngặt đảm bảo rằng thông tin cá nhân được ẩn danh hoặc hủy nhận dạng ở giai đoạn thích hợp trong quá trình xử lý.
    4. Mã hóa dữ liệu: DLCN thu thập được mã hóa theo các tiêu chuẩn mã hóa phù hợp khi cần thiết trong quá trình lưu trữ hoặc chuyển giao dữ liệu, để đảm bảo các dữ liệu được bảo vệ, xác thực, toàn vẹn và không thể bị thay đổi sau khi đã được gửi đi.
    5. Xóa không thể khôi phục

      DLCN của Chủ thể dữ liệu sẽ được EVS và/hoặc bên xử lý dữ liệu cho EVS và/hoặc bên thứ ba được phép xử lý DLCN xóa không thể khôi phục trong các trường hợp sau:

      1. Việc xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý DLCN theo Quy định này.
      2. Việc lưu trữ DLCN không còn cần thiết với hoạt động của EVS/bên xử lý dữ liệu cho EVS/bên thứ ba.
      3. EVS/bên xử lý dữ liệu cho EVS/Bên thứ ba bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
    6. Cách thức xử lý khác: ngoài các cách thức nêu trên, EVS có thể thực hiện xử lý dữ liệu của Chủ thể dữ liệu bằng các cách thức khác, gồm có: ghi, xác nhận, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, giải mã, chia sẻ, truyền đưa, cung cấp, hủy DLCN hoặc các hành động khác có liên quan.
  7. THỜI GIAN BẮT ĐẦU, THỜI GIAN KẾT THÚC XỬ LÝ DLCN

                Tùy thuộc từng hoạt động cụ thể, DLCN có thể được bắt đầu xử lý sau khi được cung cấp, thu thập và kết thúc khi các mục đích xử lý DLCN quy định tại Mục 4 Chính sách này được hoàn thành hoặc các trường hợp chấm dứt xử lý DLCN theo quy định.

  8. CÁC BÊN THAM GIA XỬ LÝ DLCN
    1. Việc xử lý DLCN có thể được tiến hành trong nội bộ EVS giữa các đơn vị, cá nhân trực thuộc EVS hoặc giữa EVS với bên thứ ba cung cấp dịch vụ thực hiện xử lý dữ liệu của Chủ thể dữ liệu. Việc xử lý DLCN trong nội bộ EVS hay với các đơn vị bên ngoài phải đảm bảo quy định tại Mục 8.2.
    2. Bên xử lý dữ liệu cho EVS có các trách nhiệm sau:
      1. Chỉ xử lý theo các nội dung được ghi nhận tại thỏa thuận giữa các bên.
      2. Phải xóa không thể khôi phục, trả lại toàn bộ DLCN của Chủ thể dữ liệu cho Bên Kiểm soát dữ liệu khi kết thúc xử lý DLCN theo thỏa thuận/quy định.
      3. Phải ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý DLCN của Bên xử lý dữ liệu. Đồng thời phải có quy trình/tài liệu kỹ thuật mô tả việc lưu trữ nhật ký quá trình xử lý DLCN.
      4. Có thể chứng minh được sự tuân thủ các quy định về bảo vệ DLCN và có biện pháp bảo vệ phù hợp quy định pháp luật.
      5. Phải lưu trữ DLCN của Chủ thể dữ liệu trong thời hạn phù hợp với mục đích xử lý dữ liệu.
      6. Cho phép Bên Kiểm soát dữ liệu kiểm soát và phải chứng minh được sự tuân thủ pháp luật về bảo vệ DLCN khi được yêu cầu.
      7. Các trách nhiệm khác theo Quy định này, thỏa thuận với EVS và theo quy định pháp luật.
  9. THỰC HIỆN QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU LIÊN QUAN ĐẾN DLCN ĐÃ CUNG CẤP CHO EVS
    1. Quyền của Chủ thể dữ liệu
      1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý DLCN của mình, trừ trường hợp luật có quy định khác.
      2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý DLCN của mình, trừ các trường hợp sau:
        1. Trong trường hợp khẩn cấp, cần xử lý ngay DLCN có liên quan để bảo vệ tính mạng, sức khỏe của Chủ thể dữ liệu hoặc người khác. EVS có trách nhiệm chứng minh trường hợp này.
        2. Việc công khai DLCN theo quy định của luật.
        3. Để thực hiện nghĩa vụ theo hợp đồng của Chủ thể dữ liệu với EVS theo quy định của luật.
        4. Các trường hợp khác theo quy định của pháp luật.
      3. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa DLCN của mình, trừ trường hợp luật có quy định khác.
      4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
      5. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa DLCN của mình, trừ trường hợp luật có quy định khác.
      6. Quyền hạn chế xử lý dữ liệu:
        1. Chủ thể dữ liệu được yêu cầu hạn chế xử lý DLCN của mình, trừ trường hợp luật có quy định khác;
        2. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của Chủ thể dữ liệu, với toàn bộ DLCN mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
      7. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu EVS cung cấp cho bản thân DLCN của mình, trừ trường hợp luật có quy định khác.
      8. Quyền phản đối xử lý dữ liệu:
        1. Chủ thể dữ liệu được phản đối EVS nhằm ngăn chặn hoặc hạn chế tiết lộ DLCN hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;
        2. EVS thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
      9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
      10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ DLCN của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
      11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự:
        1. Công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự của mình.
        2. Buộc chấm dứt hành vi xâm phạm.
        3. Buộc xin lỗi, cải chính công khai.
        4. Buộc thực hiện nghĩa vụ.
        5. Buộc bồi thường thiệt hại.
        6. Hủy quyết định cá biệt trái pháp luật của cơ quan, tổ chức, người có thẩm quyền.
        7. Yêu cầu khác theo quy định của pháp luật.
    2. Nghĩa vụ của Chủ thể dữ liệu
      1. Tự bảo vệ DLCN của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ DLCN của mình.
      2. Tôn trọng, bảo vệ DLCN của người khác.
      3. Cung cấp đầy đủ, chính xác DLCN khi ký kết hợp đồng hoặc sử dụng các sản phẩm, dịch vụ do EVS cung cấp hoặc khi đồng ý cho phép EVS xử lý DLCN.
      4. Cần phải đưa ra yêu cầu của mình bằng văn bản hoặc sử dụng phương pháp khác để chứng minh và xác thực danh tính của Chủ thể dữ liệu. EVS có thể yêu cầu Chủ thể dữ liệu xác minh danh tính trước khi xử lý yêu cầu của Chủ thể dữ liệu.
      5. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ DLCN.
      6. Thực hiện quy định của pháp luật về bảo vệ DLCN và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ DLCN.
      7. Các nghĩa vụ khác theo quy định của pháp luật.
  10. QUYỀN VÀ NGHĨA VỤ CỦA EVS KHI THỰC HIỆN YÊU CẦU CỦA CHỦ THỂ DỮ LIỆU
    1. EVS sẽ thực hiện các yêu cầu hợp pháp và hợp lệ từ Chủ thể dữ liệu trong khoảng thời gian pháp luật quy định kể từ khi nhận được yêu cầu hoàn chỉnh, hợp lệ và phí xử lý liên quan (nếu có) từ Chủ thể dữ liệu, phụ thuộc vào quyền của EVS khi được viện dẫn đến bất kỳ sự miễn trừ và/hoặc ngoại lệ nào theo quy định pháp luật. Trường hợp không thể thực hiện thì EVS sẽ thông báo kịp thời tới Chủ thể dữ liệu hoặc trong thời hạn pháp luật quy định (nếu có).
    2. Trong trường hợp Chủ thể dữ liệu rút lại sự đồng ý của mình, yêu cầu xóa dữ liệu, hạn chế xử lý dữ liệu và/hoặc thực hiện các quyền có liên quan khác đối với bất kỳ hoặc tất cả các DLCN của Chủ thể dữ liệu, và tuỳ thuộc vào bản chất yêu cầu của Chủ thể dữ liệu, EVS có thể sẽ xem xét và quyết định về việc không xử lý yêu cầu của Chủ thể dữ liệu hoặc không tiếp tục cung cấp các sản phẩm, dịch vụ của EVS cho Chủ thể dữ liệu hoặc chấm dứt các quan hệ/giao dịch khác giữa hai bên do:
      1. Quy định pháp luật và/hoặc cơ quan có thẩm quyền không cho phép EVS thực hiện hoạt động như vậy; hoặc
      2. Không thể đảm bảo tiêu chuẩn/chất lượng của sản phẩm, dịch vụ theo đánh giá của EVS nếu dữ liệu đó bị xoá/hạn chế; hoặc
      3. Quy định của pháp luật yêu cầu EVS cần phải thu thập DLCN của Chủ thể dữ liệu khi cung cấp sản phẩm, dịch vụ; hoặc
      4. Các trường hợp khác theo đánh giá của EVS việc xoá/hạn chế dữ liệu có thể phá vỡ cấu trúc, hạ tầng bảo vệ dữ liệu lịch sử thông tin Chủ thể dữ liệu.
    3. Trong trường hợp EVS quyết định không cung cấp sản phẩm, dịch vụ cho Chủ thể dữ liệu, các hành vi được thực hiện bởi Chủ thể dữ liệu theo quy định này được xem là sự đơn phương chấm dứt giao dịch/hợp đồng/thỏa thuận từ phía Chủ thể dữ liệu/Khách hàng cho bất kỳ mối quan hệ nào với EVS và hoàn toàn có thể dẫn đến sự vi phạm nghĩa vụ hoặc các cam kết theo các văn bản, thỏa thuận giữa Chủ thể dữ liệu/Khách hàng với EVS. Khi đó, EVS có quyền bảo lưu các quyền và biện pháp khắc phục hợp pháp của EVS trong những trường hợp phát sinh. EVS sẽ không chịu trách nhiệm đối với Chủ thể dữ liệu cho bất kỳ tổn thất nào (nếu xảy ra), và các quyền hợp pháp của EVS sẽ được bảo lưu một cách rõ ràng đối với việc giới hạn, hạn chế, tạm ngừng, hủy bỏ, ngăn cản, hoặc cấm đoán đó.
    4. Do đặc thù hoạt động của EVS, pháp luật có quy định EVS phải lưu trữ thông tin Chủ thể dữ liệu trong một số trường hợp nhất định, khi đó EVS không thể đáp ứng yêu cầu xóa dữ liệu của Chủ thể dữ liệu nếu việc xóa dữ liệu dẫn đến vi phạm pháp luật. Việc Chủ thể dữ liệu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu, xoá dữ liệu, phản đối xử lý DLCN không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó đối với DLCN đã được chấp thuận của Chủ thể dữ liệu.

      Khi phát sinh tình huống này, EVS sẽ thông báo đến Chủ thể dữ liệu/Khách hàng về việc chấm dứt sản phẩm, dịch vụ và Chủ thể dữ liệu/Khách hàng hoàn toàn chịu trách nhiệm đối với mọi thiệt hại phát sinh có liên quan.

    5. EVS có quyền từ chối thực hiện các yêu cầu của Chủ thể dữ liệu trong một số trường hợp, bao gồm nhưng không giới hạn bởi:
      1. Chủ thể dữ liệu không thực hiện đúng trình tự, thủ tục do EVS hướng dẫn; hoặc
      2. Chủ thể dữ liệu không cung cấp hoặc cung cấp không đầy đủ các giấy tờ, tài liệu để xác minh danh tính; hoặc
      3. Trong trường hợp EVS đánh giá có dấu hiệu gian lận, vi phạm về bảo vệ DLCN; hoặc
      4. Quy định của pháp luật không cho phép thực hiện yêu cầu của Chủ thể dữ liệu.
  11. XỬ LÝ DLCN TRONG MỘT SỐ TRƯỜNG HỢP ĐẶC BIỆT
    1. Xử lý DLCN của người bị tuyên bố mất tích, đã chết
      1. Việc xử lý DLCN liên quan đến DLCN của người bị tuyên bố mất tích, người đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó, trường hợp không có những người này thì phải được sự đồng ý của cha, mẹ của người bị tuyên bố mất tích, người đã chết, trừ trường hợp quy định tại điểm b Mục 9.1 Chính sách này.
      2. Trường hợp không có tất cả những người được nêu tại điểm a Mục này thì được coi là không có sự đồng ý.
    2. Xử lý DLCN của trẻ em
      1. Xử lý DLCN của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
      2. EVS đảm bảo việc xử lý DLCN của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại điểm b Mục 9.1 Chính sách này. EVS, Bên thứ ba có liên quan phải xác minh tuổi của trẻ em trước khi xử lý DLCN của trẻ em.
      3. EVS sẽ ngừng xử lý DLCN của trẻ em, xóa không thể khôi phục hoặc hủy DLCN của trẻ em trong trường hợp:
        1. Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý DLCN được Chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;
        2. Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý DLCN của trẻ em, trừ trường hợp pháp luật có quy định khác;
        3. Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý DLCN gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.
  12. CHUYỂN DLCN RA NƯỚC NGOÀI
    1. Nhằm thực hiện mục đích xử lý DLCN tại Quy định này, EVS có thể phải cung cấp/chia sẻ DLCN của Chủ thể dữ liệu đến các bên thứ ba liên quan của EVS và các bên thứ ba này có thể tại Việt Nam hoặc bất cứ địa điểm nào khác nằm ngoài lãnh thổ Việt Nam.
    2. Khi thực hiện việc cung cấp/chia sẻ DLCN ra nước ngoài, EVS sẽ yêu cầu bên tiếp nhận đảm bảo rằng DLCN của Chủ thể dữ liệu được chuyển giao cho họ sẽ bảo mật và an toàn. EVS đảm bảo tuân thủ các nghĩa vụ pháp lý và quy định liên quan đến việc chuyển giao DLCN của Chủ thể dữ liệu.  
  13. CÁC HẬU QUẢ, THIỆT HẠI KHÔNG MONG MUỐN
    1. Xử lý DLCN sẽ luôn tồn tại những rủi ro tiềm tàng do lỗi của hệ thống, đường truyền, sự kiện bất khả kháng, virut, tấn công mạng hoặc lỗi phần cứng, phần mềm, các hành động, thao tác của khách hàng/Chủ thể dữ liệu hoặc bất kỳ Bên thứ ba nào khác ảnh hưởng đến việc cung cấp và xử lý DLCN của Chủ thể dữ liệu,... Các rủi có thể phát sinh như việc DLCN có thể bị lộ hoặc bị đánh cắp bởi một bên khác dẫn đến việc các DLCN này có thể được sử dụng vào những mục đích không mong muốn hoặc nằm ngoài tầm kiểm soát của EVS và Chủ thể dữ liệu, từ đó gây ra những tổn thất cả về vật chất và tinh thần.
    2. EVS sẽ chịu trách nhiệm trước Chủ thể dữ liệu về các thiệt hại do quá trình EVS xử lý DLCN gây ra, trừ trường hợp không do lỗi của EVS.
    3. Ngoài những cá nhân được giao trách nhiệm quản lý DLCN và hệ thống công nghệ thông tin được thiết lập tính năng bảo mật thông tin khách hàng của EVS, Chủ thể dữ liệu hoặc người được Chủ thể dữ liệu ủy quyền hợp lệ là người duy nhất được truy cập đến thông tin cá nhân của mình. Tài khoản của Chủ thể dữ liệu (nếu có) được bảo vệ bằng mật khẩu và các biện pháp xác thực nhằm ngăn chặn sự truy cập trái phép. Chủ thể dữ liệu phải tự chịu trách nhiệm về việc giữ bí mật cho mật khẩu và/hoặc các thông tin về tài khoản đăng nhập bất kỳ. Vì thế, Chủ thể dữ liệu phải cẩn thận và có trách nhiệm với các hoạt động của mình trên không gian mạng, EVS khuyến nghị Chủ thể dữ liệu không được tiết lộ thông tin mật khẩu cho bất kỳ ai. Trong mọi trường hợp, EVS sẽ không chịu trách nhiệm đối với những rủi ro phát sinh do lỗi của Chủ thể dữ liệu.
    4. EVS xem các DLCN của Chủ thể dữ liệu như là tài sản quan trọng nhất của EVS và EVS luôn coi trọng quyền riêng tư, đồng thời cố gắng đảm bảo tính bảo mật, an toàn cho DLCN của Chủ thể dữ liệu. EVS thực hiện trách nhiệm này bằng các phương pháp phù hợp với quy định pháp luật, nhằm hạn chế các hậu quả, thiệt hại không mong muốn có khả năng xảy ra.
    5. Trách nhiệm bảo mật DLCN là yêu cầu bắt buộc đặt ra cho toàn thể nhân viên của EVS. EVS thực hiện trách nhiệm bảo vệ DLCN theo quy định của pháp luật hiện hành với các phương pháp bảo mật tốt nhất theo quy định pháp luật và thường xuyên xem xét, cập nhật các biện pháp quản lý và kỹ thuật khi xử lý DLCN của Chủ thể dữ liệu (nếu có).
    6. EVS và Chủ thể dữ liệu đều cần nhận biết rằng không gian mạng (Internet) không phải là một môi trường an toàn và không thể đảm bảo tuyệt đối rằng DLCN của Chủ thể dữ liệu được chia sẻ bằng Internet sẽ luôn được bảo mật. DLCN của Chủ thể dữ liệu được truyền tải khi Chủ thể dữ liệu sử dụng Internet do Chủ thể dữ liệu chịu trách nhiệm và Chủ thể dữ liệu chỉ nên sử dụng các hệ thống an toàn để truy cập trang tin điện tử, ứng dụng hoặc thiết bị. Ngoài nỗ lực bảo vệ DLCN của EVS, Chủ thể dữ liệu cũng phải có trách nhiệm bảo mật thông tin xác thực truy cập của mình cho từng trang tin điện tử, ứng dụng, nền tảng và bảo vệ thiết bị, tài khoản giao dịch, các yếu tố bảo mật, thông tin đăng nhập tài khoản của chính mình và thông báo ngay cho EVS nếu có phát hiện có các hành vi lạm dụng, sử dụng trái phép.
  14. BIỆN PHÁP BẢO VỆ DLCN
    1. Biện pháp bảo vệ DLCN được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý DLCN.
    2. Các biện pháp bảo vệ DLCN, bao gồm:
      1. Biện pháp quản lý do EVS, cá nhân có liên quan tới xử lý DLCN thực hiện;
      2. Biện pháp kỹ thuật do EVS, cá nhân có liên quan tới xử lý DLCN thực hiện;
      3. Biện pháp do cơ quan nhà nước có thẩm quyền thực hiện theo quy định của pháp luật;
      4. Biện pháp điều tra, tố tụng do EVS và/hoặc do cơ quan nhà nước có thẩm quyền thực hiện;
      5. Các biện pháp khác theo quy định của pháp luật.
  15. THÔNG TIN LIÊN HỆ XỬ LÝ DLCN

                Mọi thắc mắc liên quan đến việc xử lý DLCN và/hoặc liên quan đến quyền và nghĩa vụ của Chủ thể dữ liệu, của các bên tham gia xử lý dữ liệu,… xin vui lòng liên hệ với EVS theo thông tin dưới đây:

    1. Đối với Khách hàng:

      Hotline: 0243 772 6699;

      Email: phongdvkh@eves.com.vn

    2. Đối với ứng viên, đối tác phát triển khách hàng, người lao động: Phòng Nhân sự của EVS.
    3. Đối với các bên cung cấp dịch vụ, đối tác khác: theo thông tin đầu mối liên hệ tại các văn bản, thỏa thuận có liên quan.
  16. ĐIỀU KHOẢN CHUNG
    1. Chính sách này có hiệu lực kể từ ngày 26/8/2024.
    2. Mọi cá nhân, tổ chức sử dụng bất kỳ dịch vụ, sản phẩm hoặc truy cập bất kỳ trang tin điện tử, ứng dụng hoặc thiết bị của EVS hoặc được kết nối đến EVS; hoặc có liên quan, có tham gia/thực hiện bất kỳ giao dịch, quan hệ nào với EVS theo bất kỳ phương thức nào, ở hiện tại và trong tương lai đều được coi là đã chấp nhận và không kèm theo bất kỳ điều kiện nào đối với các quy định được đề cập tại Chính sách này và các thay đổi (nếu có) trong từng thời kỳ.
    3. Chính sách này được sửa đổi, bổ sung tùy vào yêu cầu thực tế của công việc tại các thời điểm khác nhau phù hợp với quy định pháp luật và của EVS. Việc sửa đổi, bổ sung và phê duyệt Chính sách do Tổng Giám đốc quyết định.

Đối tác của chúng tôi

Với kinh nghiệm và năng lực của mình, EVS vinh dự là đối tác đồng hành, cung cấp các dịch vụ chứng khoán hàng đầu cho các doanh nghiệp lớn trong nước và quốc tế.

Liên kết nhanh