1. MỤC ĐÍCH VÀ PHẠM VI ÁP DỤNG

Chính sách bảo mật dữ liệu cá nhân được ban hành nhằm mục đích quy định công khai việc thu thập, sử dụng, bảo mật, cung cấp và xử lý dữ liệu cá nhân tại Eximbank.

2. CÁC LOẠI DỮ LIỆU CÁ NHÂN MÀ EXIMBANK THU THẬP VÀ XỬ LÝ

Tùy thuộc vào sản phẩm hoặc dịch vụ Quý khách hàng sử dụng, Eximbank hoặc đại diện hợp pháp của Eximbank, thực hiện thu thập các loại dữ liệu cá nhân sau theo quy định về thẩm quyền nội bộ từng thời kỳ và pháp luật hiện hành, bao gồm nhưng không giới hạn và có thể thay đổi theo quyết định của Eximbank:

• Dữ liệu cá nhân cơ bản
• Dữ liệu cá nhân nhạy cảm
• Dữ liệu liên quan đến các trang tin điện tử hoặc ứng dụng
• Dữ liệu tiếp thị

3. CÁCH THỨC VÀ PHƯƠNG PHÁP THU THẬP DỮ LIỆU CÁ NHÂN

Eximbank có thể trực tiếp hoặc thông qua Bên xử lý dữ liệu của Eximbank hoặc bên thứ ba thực hiện thu thập và xử lý dữ liệu cá nhân theo các cách thức và phương pháp như
sau:

a) Trực tiếp từ khách hàng: Eximbank thu thập dữ liệu cá nhân của Khách hàng, bao gồm nhưng không giới hạn ở thông tin mà Khách hàng cung cấp cho Eximbank tại các văn bản đăng ký và/hoặc các tài liệu giao dịch giữa Khách hàng với Eximbank khi Khách hành sử dụng các sản phẩm hoặc dịch vụ của Eximbank và/hoặc khi Khách hàng khi tham gia các khảo sát, các cuộc thi và chương trình khuyến mại dành cho Khách hàng tại Chi nhánh, Phòng giao dịch của Eximbank hoặc trên trang thông tin điện tử của Eximbank hoặc thông qua các phương tiện trao đổi khác giữa Eximbank với Khách hàng như các cuộc hội thoại qua điện thoại cố định và điện thoại di động, thư điện tử, tin nhắn hoặc các phương tiện trao đổi thông tin khác,…. Để làm rõ, Dữ Liệu Cá Nhân có thể được thu thập thông qua các Dữ Liệu Cá Nhân do Khách hàng tự cung cấp và/hoặc theo yêu cầu của Eximbank với Khách hàng hoặc thông qua người đại diện hợp pháp của Khách hàng.

b) Gián tiếp từ các nguồn cung cấp hợp pháp sau:

(i) Từ đối tác, nhà cung cấp dịch vụ, đối tác, đơn vị tư vấn và bên thứ ba của Eximbank, bao gồm nhưng không giới hạn: các bên có quan hệ hợp tác với Eximbank, trung gian thanh toán, các bên thực hiện thực hiện thu thập dữ liệu cá nhân, các bên khảo sát, truyền thông mạng xã hội, tiếp thị, ngăn ngừa gian lận, tập hợp dữ liệu, các bên hỗ trợ cơ sở hạ tầng và phương tiện công
nghệ, và các bên thứ ba khác có giao dịch với Eximbank.

(ii) Từ các bên thứ ba có quan hệ với Chủ Thể Dữ Liệu Cá Nhân, bao gồm nhưng không giới hạn ở cổ đông, khách hàng sử dụng sản phẩm, dịch vụ của Eximbank, người sử dụng lao động, người lao động, đồng sở hữu tài khoản, bên cấp tín dụng, bên bảo đảm, bên bảo lãnh,…;

(iii) Từ bất kỳ bên cung cấp sản phẩm thông tin tín dụng, bên xếp hạng tín dụng, Ngân hàng Nhà nước Việt Nam và các cơ quan có thẩm quyền tại Việt Nam và/hoặc từ bất kỳ nguồn công cộng hợp pháp sẵn có, từ các hướng dẫn, quy định, giải đáp của cơ quan có thẩm quyền;

(iv) Từ việc thu thập và phân tích dữ liệu tại các trang thông tin điện tử của đối tác có kết nối với trang thông tin điện tử của Eximbank thông qua truy cập của Khách hàng hoặc sử dụng bất kỳ các phương thức khác thông qua trang thông tin điện tử của Eximbank (bao gồm nhưng không giới hạn cookie(s) hoặc các thiết bị/công cụ giám sát tương tự, loại trình duyệt, cài đặt trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với trang thông tin điện tử và các thông tin liên lạc kỹ thuật khác,…) mà tất cả hoặc một số thông tin này có thể cấu thành dữ liệu cá nhân.

(v) Từ ứng dụng dành cho Smart phone của Eximbank: Eximbank thu thập dữ liệu cá nhân của Khách hàng khi Khách hàng tải và sử dụng ứng dụng dành cho thiết bị di động của Eximbank (bao gồm nhưng không giới hạn thống kê sử dụng ứng dụng, loại thiết bị, hệ điều hành, cài đặt ứng dụng, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với ứng dụng, dữ liệu vị trí và các thông tin liên lạc kỹ thuật khác) mà tất cả hoặc một số thông tin này có thể tạo thành dữ liệu cá nhân theo Chính sách bảo mật riêng do Eximbank quy định từng thời kỳ.

(vi) Từ các phương tiện hợp pháp khác mà từ đó Eximbank có thể thu thập dữ liệu cá nhân của Khách hàng phù hợp với quy định của pháp luật và Eximbank từng thời kỳ. Bất cứ khi nào thu thập dữ liệu cá nhân như vậy, Eximbank đảm bảo các bên/nguồn cung cấp dữ liệu cá nhân đó đã nhận được sự đồng ý của Chủ thể dữ liêu đối với việc cung cấp dữ liệu cá nhân đó cho Eximbank và Eximbank tuân thủ các quy định của pháp luật khi xử lý dữ liệu theo Chính sách bảo mật dữ liệu cá nhân này. 

4. MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN CỦA KHÁCH HÀNG 

Việc thu thập và xử lý dữ liệu cá nhân của Khách hàng tại Eximbank nhằm các mục đích sau:

a) Cung cấp các sản phẩm, dịch vụ, chương trình khuyến mại, ưu đãi, hỗ trợ của Eximbank cho khách hàng;

b) Tìm hiểu, nhận diện nhu cầu của Khách hàng cho mục đích cải tiến, nâng cao chất lượng sản phẩm, dịch vụ hiện hành và xây dựng các sản phẩm, dịch vụ mới nhằm phục vụ và đáp ứng tốt nhất các yêu cầu của Khách hàng.

c) Đánh giá, xác định, thẩm định và phê duyệt đối với đề nghị cung cấp sản phẩm, dịch vụ theo các văn bản đăng ký của Khách hàng và/hoặc người liên quan của Khách hàng.

d) Thực hiện các nghĩa vụ theo thỏa thuận với Khách hàng tại các Hợp đồng/Thỏa thuận và hoặc các hình thức cam kết khách theo quy định của pháp luật.

e) Kiểm tra, giám sát và hỗ trợ Khách hàng trong các tình huống khẩn cấp nhằm đảm bảo an toàn giao dịch của Khách hàng và phòng, chống tội phạm công nghệ cao.

f) Liên hệ với Khách hàng để xử lý, giải quyết kịp thời các vấn đề phát sinh liên quan đến việc cung cấp sản phẩm, dịch vụ, chương trình khuyến mại, giải đáp khiếu nại, thắc mắc, khởi kiện,….

g) Thực hiện KYC Khách hàng cho các hoạt động phòng, chống rửa tiền, chống tài trợ khủng bố, tuân thủ cấm vận, kiểm soát tín dụng và quản trị rủi ro theo quy định của pháp luật và Eximbank từng thời kỳ.

h) Tiến hành các hoạt động nghiên cứu thị trường, khảo sát và phân tích dữ liệu cho mục đích cải tiến, nâng cao chất lượng sản phẩm, dịch vụ hiện hành và xây dựng các sản phẩm, dịch vụ mới nhằm phục vụ và đáp ứng tốt nhất các yêu cầu của Khách hàng.

i) Gửi đến Khách hàng các thông tin quảng cáo sản phẩm, dịch vụ, chương trình khuyến mại của Eximbank và/hoặc thông báo việc Eximbank phối hợp với các đối tác triển khai các sản phẩm, dịch vụ, chương trình khuyến mại; gửi các cảnh báo về rủi ro và tội phạm công nghệ cao; các thông báo khi Eximbank có những cập nhật đối với sản phẩm, dịch vụ, quy định nội bộ và chính sách quản lý của Eximbank theo sự thay đổi quy định của Nhà nước, pháp luật hoặc sự biến động bất thường của thị trường tài chính;

j) Thực hiện các hoạt động liên quan đến việc cung cấp cho Khách hàng các sản phẩm, dịch vụ của Eximbank, thông tin giao dịch của Khách hàng và các hoạt động để vận hành hệ thống và quản lý rủi ro phát sinh khi Khách hàng truy cập hệ thống của Eximbank và/hoặc các ứng dụng ngoài Eximbank.

k) Vận hành hoạt động kinh doanh, quản trị rủi ro nội bộ của Eximbank.

l) Thực hiện các hợp đồng, thỏa thuận hoặc cam kết hợp pháp với Khách hàng, đối tác, bên thứ ba có liên quan, bao gồm nhưng không giới hạn việc cung cấp, trao đổi thông tin dữ liệu cá nhân theo quy định của pháp luật.

m) Thực hiện các quyền hợp pháp trong giao dịch dân sự theo sự thỏa thuận với Khách hàng tại hợp đồng, thỏa thuận hoặc cam kết khác phù hợp với quy định của pháp luật (bao gồm nhưng không giới hạn ở quyền thu các khoản phí, thu hồi và xử lý các khoản nợ của Khách hàng tại Eximbank,…) và khiếu nại pháp lý để bảo vệ quyền và lợi ích hợp pháp của Eximbank;

n) Tuân thủ các quy định của pháp luật khi thực hiện các nghĩa vụ về báo cáo, tài chính, kế toán, thuế, kiểm toán, quản lý rủi ro và kiểm soát tuân thủ.

o) Phục vụ các yêu cầu trong hoạt động nội bộ của Eximbank và/hoặc các đơn vị thành viên của Eximbank bao gồm nhưng không giới hạn các mục đích quản lý tín dụng và rủi ro, quy hoạch và phát triển hệ thống/mạng lưới, nhân sự, kiểm toán và điều hành;

p) Cung cấp cho các cơ quan, tổ chức cung cấp dịch vụ đánh giá tín nhiệm, thông tin tín dụng, chấm điểm tín dụng, kiểm toán.q) Cung cấp theo yêu cầu của các cơ quan nhà nước có thẩm quyền theo quy định của pháp luật để phục vụ công tác kiểm tra, đối chiếu, giải quyết tra soát, khiếu nại, tranh chấp,...

r) Đoạn phim giám sát được ghi lại tại các đơn vị của Eximbank được sử dụng cho các mục đích đảm bảo chất lượng, an ninh công cộng, an toàn lao động, phát hiện và ngăn chặn việc sử dụng đáng ngờ, không phù hợp hoặc không được phép của các tiện ích, sản phẩm, dịch vụ và/hoặc phát hiện và ngăn chặn hành vi phạm tội; và/hoặc các yêu cầu điều tra, xét xử của cơ quan Nhà nước có thẩm quyền;

s) Các mục đích khác dành riêng cho hoạt động kinh doanh của Ngân hàng và/hoặc các mục đích khác cần thiết theo nhận định của Eximbank trên cơ sở tuân thủ quy định của pháp luật hiện hành.

t) Thực hiện các chính sách bảo vệ môi trường, an sinh xã hội theo các thỏa thuận với các Tổ chức tài chính quốc tế, Tổ chức phi chính phủ và các quy định của pháp luật Việt Nam.

u) Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.

v) Các mục đích khác theo đánh giá của Eximbank là phù hợp và cần thiết theo quy định của pháp luật và Eximbank từng thời kỳ. Trong trường hợp Eximbank xử lý dữ liệu cá nhân của Khách hàng khác các mục đích quy định tại mục này thì Eximbank cam kết chỉ thực hiện khi được sự đồng ý của Khách hàng và trên cơ sở tuân thủ quy định của pháp luật.

5. CUNG CẤP DỮ LIỆU CÁ NHÂN CỦA KHÁCH HÀNG

Theo quy định của pháp luật hiện hành, nhằm thực hiện các mục đích xử lý Dữ Liệu Cá Nhân quy định tại mục 5 Chính sách bảo mật dữ liệu cá nhân này, Khách hàng đồng ý và cấp quyền cho Eximbank được cung cấp Dữ Liệu Cá Nhân cho đối tượng sau:

a) Các nhân sự, đơn vị thành viên, công ty con, công ty liên danh, công ty liên kết của Eximbank từng thời kỳ.

b) Bên thứ ba thực hiện việc thu thập, xác minh và xử lý thông tin của Khách hàng.

c) Các tổ chức có chức năng cung cấp dịch vụ thông tin tín dụng, đánh giá tín nhiệm; các đơn vị chấm điểm tín dụng; các tổ chức xếp hạng tín dụng; công ty bảo hiểm;
công ty môi giới bảo hiểm; công ty kiểm toán và các nhà cung cấp dịch vụ khác về tín dụng;

d) Công ty cổ phần thông tin tín dụng Việt Nam (PCB), Trung tâm Thông tin tín dụng Quốc gia Việt Nam (CIC) hoặc bất kỳ cơ quan hoặc tổ chức nào được thành lập bởi Ngân hàng Nhà nước Việt Nam.

e) Các cơ quan nhà nước có thẩm quyền, bao gồm cơ quan thuế, tòa án, trọng tài, cơ quan tố tụng, thi hành án, hải quan, Ủy ban chứng khoán nhà nước, Ngân hàng nhà nước và các cơ quan quản lý nhà nước khác theo quy định của pháp luật từng thời kỳ;

f) Các đối tác của Eximbank, các bên cung cấp dịch vụ cho Eximbank và/hoặc các Bên hợp tác để phát triển, cung cấp hoặc liên quan tới việc phát triển, cung cấp các sản phẩm, dịch vụ của Eximbank theo Mục đích quy định tại mục 5 Chính sách bảo mật dữ liệu cá nhân.

g) Nhà thầu, đại lý, bên cung cấp dịch vụ, nhà tư vấn hoặc các bên hợp tác với Eximbank, các công ty cung cấp các dịch vụ hỗ trợ cho các hoạt động kinh doanh của Eximbank (dịch vụ về hành chính, thư từ, tiếp thị qua điện thoại, bán hàng trực tiếp, trung tâm gọi điện, du lịch, thị thực, quản trị nhân sự, xử lý dữ liệu, công nghệ thông tin, máy tính, thanh toán, thu hồi nợ, tham chiếu tín dụng và các kiểm tra lý lịch khác, nghiên cứu trị trường, mô hình hóa dữ liệu, đổi thưởng, lưu trữ và quản lý hồ sơ, nhập liệu, sàng lọc trước và xác minh, pháp lý, trang mạng hoặc phương tiện truyền thông xã hội, viễn thông, gửi tin nhắn hoặc gửi thư điện tử, kết nối mạng, điện thoại, cơ sở hạ tầng và hỗ trợ công nghệ, quản lý lực lượng lao động, báo cáo rủi ro, quyết định tín dụng, an toàn thông tin, duy trì phần mềm và giấy
phép, trung tâm dữ liệu, hội thoại và hội thảo, các dịch vụ tư vấn, dịch vụ trung gian thanh toán, chuyển mạch,…) và/hoặc các dịch vụ khác có liên quan đến hoặc để hỗ trợ cho việc vận hành hoạt động kinh doanh của Eximbank;

h) Khách hàng, Bên thứ ba được Khách hàng ủy quyền bằng văn bản hoặc các bên hành động nhân danh Khách hàng (kế toán viên, các kiểm toán viên, các luật sư, tư vấn tài chính, bên nhận thanh toán, bên thụ hưởng, người được chỉ định liên quan tới tài khoản, các ngân hàng trung gian, ngân hàng xác nhận, ngân hàng đại lý,…);

i) Tổ chức tài chính, tổ chức trung gian, tổ chức thẻ, tổ chức chuyển mạch,

j) Tổ chức tổ chức tín dụng, chi nhánh và đại lý ngân hàng nước ngoài, tổ chức tài chính, thương nhân, trung gian, các hiệp hội/tổ chức thẻ quốc tế, tổ chức chuyển mạch thẻ khác liên quan đến sản phẩm, dịch vụ Eximbank cung cấp cho Khách hàng.

k) Các Bên thứ ba cần thiết khác theo đánh giá của Eximbank để thực hiện các hoạt động nhằm bảo vệ quyền và lợi ích hợp pháp của Khách hàng;

l) Khách hàng, đối tác tiềm năng của Eximbank trong giao dịch mua hoặc bán nợ, tài sản của Eximbank;

6. CÁCH THỨC XỬ LÝ DỮ LIỆU CÁ NHÂN

Theo quyết định của Eximbank trên cơ sở mục đích xử lý Dữ Liệu Cá Nhân, Eximbank có thể áp dụng các cách thức xử lý Dữ Liệu Cá Nhân (bao gồm nhưng không giới hạn các cách thức xử lý tự động, thủ công hoặc các cách thức khác) phù hợp với quy định của pháp luật và Eximbank từng thời kỳ.

7. THỜI GIAN XỬ LÝ DỮ LIỆU CÁ NHÂN

Tùy thuộc vào mục đích sử dụng, số lượng, tính chất của Dữ Liệu Cá Nhân.

8. RỦI RO VÀ THIỆT HẠI KHÔNG MONG MUỐN CÓ THỂ XẢY RA

Eximbank hiểu rằng môi trường mạng tại Việt Nam tiềm ẩn rất nhiều rủi ro và nguy cơ xảy ra việc lợi dụng Dữ Liệu Cá Nhân bị rò rỉ để thực hiện các hành vi trục lợi gây tổn thất nghiêm trọng cho Chủ thể dữ liệu. Eximbank nhận thức tầm quan trọng và trách nhiệm trong việc bảo vệ Dữ Liệu Cá Nhân của Khách hàng bằng cách tìm kiếm và áp dụng mọi biện pháp bảo vệ hiệu quả và tối ưu nhất để đảm bảo an toàn trong việc xử lý Dữ Liệu Cá Nhân của Khách hàng để có thể phòng ngừa rủi ro và hạn chế các hậu quả, thiệt hại không mong muốn có thể xảy ra cho Khách hàng.

Tuy nhiên, Eximbank không thể đảm bảo tuyệt đối rằng dữ liệu cá nhân của Khách hàng được chia sẻ bằng Internet sẽ luôn được bảo mật. Vì vậy, trong trường hợp Khách hàng sử dụng Internet để truyền tải dữ liệu cá nhân hoặc thực hiện các giao dịch thanh toán,…,

Eximbank khuyến cáo khách hàng chỉ sử dụng các hệ thống an toàn để truy cập trang thông tin điện tử, ứng dụng hoặc thiết bị có nguồn gốc xác thực và an toàn. Khách hàng có trách nhiệm đảm bảo các thông tin xác thực truy cập (mã đăng nhập và mật khẩu) của mình cho từng trang tin điện tử, ứng dụng hoặc thiết bị được an toàn và bí mật.

Khách hàng cần thông báo ngay cho Eximbank nếu phát hiện có nguy cơ bị rò rỉ hoặc lạm dụng dữ liệu cá nhân và kịp thời thực hiện theo các hướng dẫn của Eximbank.

9. CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI

Nhằm thực hiện các mục đích xử lý Dữ Liệu Cá Nhân tại Chính sách bảo mật an toàn dữ liệu này và các hợp đồng, thỏa thuận, văn kiện khác đã xác lập với Khách hàng và Bên thứ ba có liên quan với Eximbank, Eximbank có thể phải thực hiện việc cung cấp/chuyển Dữ Liệu Cá Nhân của Khách hàng cho bên thứ ba có trụ sở tại Việt Nam hoặc ngoài lãnh thổ Việt Nam hoặc việc xử lý dữ liệu cá nhân của Khách hàng được thực hiện bằng các hệ thống tự động nằm ngoài lãnh thổ Việt Nam. Eximbank cam kết việc chuyển Dữ liệu cá nhân tại mục này thực hiện theo đúng quy định của pháp luật và bên thứ ba tiếp nhận dữ liệu cá nhân tại mục này hiểu rõ về nghĩa vụ bảo mật Dữ liệu cá nhân và có nghĩa vụ đảm bảo an toàn, bảo mật đối với Dữ Liệu Cá Nhân như nghĩa vụ của Eximbank theo quy định của pháp luật Việt Nam.

10. LƯU TRỮ DỮ LIỆU CÁ NHÂN

Eximbank thực hiện lưu trữ Dữ Liệu Cá Nhân theo cách thức và thời hạn lưu trữ theo quy định nội bộ của Eximbank từng thời kỳ và phù hợp với quy định của pháp luật hiện hành.

11. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU (KHÁCH HÀNG)

a) Quyền:

Khách hàng có các Quyền sau:

(i) Quyền được biết về việc Eximbank thu thập và xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

(ii) Quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp khẩn cấp theo quy định tại Điều 17 Nghị định 13/2023/NĐCP.

(iii) Quyền truy cập: Khách hàng được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

(iv) Quyền rút lại sự đồng ý: Khách hàng được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.

(v) Quyền xóa dữ liệu: Khách hàng được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

(vi) Quyền hạn chế xử lý dữ liệu: Khách hàng được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;

(vii) Quyền cung cấp dữ liệu: Khách hàng được yêu cầu Eximbank cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

(viii) Quyền phản đối xử lý dữ liệu: Khách hàng được phản đối Eximbank xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;

(ix) Quyền khiếu nại, tố cáo, khởi kiện: Khách hàng có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

(x) Quyền yêu cầu bồi thường thiệt hại: Khách hàng có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

(xi) Quyền tự bảo vệ: Khách hàng có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

(xii) Các Quyền khác theo quy định của pháp luật. Eximbank được quyền từ chối thực hiện các yêu cầu của Khách hàng tại mục này

khi:

(i) Khách hàng không thực hiện đúng trình tự, thủ tục theo quy định của Eximbank; hoặc (ii) Bên Yêu cầu cung cấp không đầy đủ các giấy tờ, tài liệu để
Eximbank KYC; hoặc

(iii) Eximbank có cơ sở để nhận định yêu cầu của Khách hàng có dấu hiệu gian lận, vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân; hoặc

(iv) theo quy định của pháp luật, Eximbank không được thực hiện yêu cầu của Khách hàng.

b) Nghĩa vụ:

Khách hàng có các Nghĩa vụ sau:

(i) Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.

(ii) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.

(iii) Cung cấp đầy đủ, chính xác dữ liệu cá nhân cho Eximbank khi đồng ý cho phép Eximbank xử lý dữ liệu cá nhân.

(iv) Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.

(v) Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

(vi) Kip thời thông báo cho Eximbank khi phát hiện hoặc nghi ngờ có sự rò rỉ Dữ Liệu Cá Nhân hoặc có nguy cơ bị rủi ro trong quá trình sử dụng dịch vụ hoặc bất kỳ vi phạm nào về bảo vệ Dữ Liệu Cá Nhân theo Chính sách bảo mật dữ liệu cá nhân này mà Khách hàng có thể nhận biết được.

(vii) Đọc kỹ nội dung và thường xuyên truy cập trang thông tin điện tử của Eximbank để cập nhật những thay đổi của “Chính sách bảo mật dữ liệu cá nhân”.

(viii) Các Nghĩa vụ khác theo quy định của pháp luật.

12. BẢO ĐẢM CỦA EXIMBANK

a) Việc thu thập, cung cấp, sử dụng và xử lý dữ liệu cá nhân của Khách hàng được thực hiện theo các thỏa thuận với khách hàng, Chính sách bảo mật dữ liệu cá nhân này và trên cơ sở tuân thủ quy định của pháp luật.

b) Bảo mật Dữ liệu cá nhân của Khách hàng theo quy định của pháp luật và Chính sách bảo mật dữ liệu cá nhân này.

c) Các đối tượng được Eximbank cung cấp dữ liệu cá nhân theo quy định tại mục 5 và mục 9 Chính sách bảo mật dữ liệu cá nhân này hiểu rõ về nghĩa vụ bảo mật dữ liệu cá nhân của Khách hàng theo quy định của pháp luật và có nghĩa vụ bảo mật dữ liệu cá nhân của Khách hàng đầy đủ và toàn bộ như Eximbank.

d) Tôn trọng các Quyền của Khách hàng đối với Dữ liệu cá nhân và sẽ xử lý các yêu cầu của Khách hàng phù hợp với quy định của pháp luật trên cơ sở cân nhắc quyền lợi hợp pháp và chính đáng của Khách hàng khi Khách hàng thực hiện đúng trình tự, thủ tục theo quy định của Eximbank.

e) Kịp thời cập nhật trên trang thông tin điện tử của Eximbank trong trường hợp có những sự thay đổi của Chính sách bảo mật dữ liệu cá nhân.

13. CẬP NHẬT, SỬA ĐỔI CHÍNH SÁCH BẢO MẬT DỮ LIỆU CÁ NHÂN

a) Eximbank có quyền thay đổi sửa đổi, điều chỉnh, bổ sung hoặc cập nhật Chính sách bảo mật dữ liệu cá nhân bất kỳ lúc nào và sẽ đăng tải trên trang thông tin điện tử của Eximbank và/hoặc các phương tiện khác theo quyết định của Eximbank.

b) Việc Khách hàng tiếp tục sử dụng trang thông tin điện tử, ứng dụng hoặc thiết bị để truy cập đến hệ thống Eximbank và tiếp tục sử dụng sản phẩm, dịch vụ của Eximbank sau khi Eximbank cập nhật Chính sách bảo mật dữ liệu cá nhân từng thời kỳ được xem là Khách hàng đã biết và chấp nhận Chính sách bảo mật dữ liệu cá nhân cùng các sửa đổi, bổ sung liên quan.

14. CHẤP NHẬN CỦA KHÁCH HÀNG:

a) Khi sử dụng bất kỳ sản phẩm, dịch vụ, trang thông tin điện tử, ứng dụng hoặc thiết bị để truy cập đến hệ thống của Eximbank, Khách hàng được xem là đã đọc, hiểu rõ về các quy định của Chính sách bảo mật dữ liệu cá nhân và đồng ý cấp quyền cho Eximbank được thu thập, cung cấp, sử dụng và xử lý Dữ liệu cá nhân theo Chính sách bảo mật dữ liệu cá nhân.

b) Trong trường hợp Khách hàng rút lại sự đồng ý, yêu cầu xóa dữ liệu và/hoặc thực hiện các quyền có liên quan khác đối với một phần hoặc tất cả các Dữ Liệu Cá Nhân mà Eximbank nhận định rằng việc thực hiện các quyền này của Khách hàng có thể làm ảnh hưởng, giới hạn, hạn chế, tạm ngừng, hủy bỏ, ngăn cản hoặc bị cấm đoán đến khả năng cung cấp/duy trì các sản phẩm, dịch vụ, chương trình khuyến mại của Eximbank đối với Khách hàng, tuỳ thuộc vào tính chất yêu cầu của Khách hàng và quyết định của Eximbank, Khách hàng có thể được xem như đã thực hiện hành động đơn phương để chấm dứt các thỏa thuận đã giao kết với Eximbank.

Theo đó, Eximbank được xem xét và quyết định về việc ngừng cung cấp các sản phẩm, dịch vụ và chương trình khuyến mại cho Khách hàng. Eximbank bảo lưu các quyền và biện pháp khắc phục hợp pháp theo quy định của pháp luật đối với các ảnh hưởng, giới hạn, hạn chế, tạm ngừng, hủy bỏ, ngăn cản, hoặc cấm đoán đó và quyền yêu cầu Khách hàng bồi thường thiệt hại gây ra cho Eximbank bởi hành vi đơn phương chấm dứt của Khách hàng. Eximbank sẽ không chịu trách nhiệm đối với những tổn thất phát sinh từ việc Khách hàng thực hiện hành vi đơn phương chấm dứt nêu tại mục này.

15. GIẢI THÍCH TỪ NGỮ

a) “Eximbank” hoặc “Chúng tôi”: là Ngân hàng TMCP Xuất Nhập khẩu Việt Nam.

b) “Chính sách bảo mật dữ liệu cá nhân” là văn bản do Eximbank ban hành nhằm quy định việc xử lý dữ liệu cá nhân của Khách hàng tại Eximbank.

c) “Pháp luật”: là các văn bản quy phạm pháp luật được ban hành bởi Quốc Hội, Chính phủ, Bộ, cơ quan ngang Bộ, Ngân hàng Nhà nước Việt Nam để điều chỉnh hoạt động của cá nhân và tổ chức trên lãnh thổ Việt Nam.

d) “Chủ thể dữ liệu”: cá nhân được dữ liệu cá nhân phản ánh bao gồm tất cả khách hàng cá nhân sử dụng sản phẩm, dịch vụ của Eximbank, người lao động, cổ đông và/hoặc các cá nhân khác có phát sinh quan hệ pháp lý với Eximbank.

e) “Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

f) “Dữ liệu cá nhân cơ bản” bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định về Dữ liệu cá nhân nhạy cảm.

g) “Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

(i) Quan điểm chính trị, quan điểm tôn giáo;

(ii) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

(iii) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

(iv) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

(v) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

(vi) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

(vii) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

(viii) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

(ix) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

(x) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

h) “Dữ liệu liên quan đến các trang tin điện tử hoặc ứng dụng”: là dữ liệu kỹ thuật (bao gồm loại thiết bị, hệ điều hành, loại trình duyệt, cài đặt trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với Trang tin điện tử, thống kê sử dụng ứng dụng, cài đặt ứng dụng, ngày và giờ kết nối với Ứng dụng, dữ liệu vị trí và thông tin liên lạc kỹ thuật khác); tên tài khoản; mật khẩu; chi tiết đăng nhập bảo mật; dữ
liệu sử dụng, v.v..

i) “Dữ liệu tiếp thị”: là các dữ liệu liên quan đến sự quan tâm của chủ thể dữ liệu đối với quảng cáo; dữ liệu cookie; dữ liệu clickstream; lịch sử duyệt web; phản ứng với tiếp thị trực tiếp; và lựa chọn không tham gia tiếp thị trực tiếp v.v…

j) “Bảo vệ dữ liệu cá nhân” là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.

k) “Xử lý dữ liệu cá nhân” là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

l) “Sự đồng ý của chủ thể dữ liệu” là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.

m) “Bên Kiểm soát dữ liệu cá nhân” là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

n) “Bên Xử lý dữ liệu cá nhân” là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Eximbank, thông qua một hợp đồng hoặc thỏa thuận với Eximbank.

o) “Bên Kiểm soát và xử lý dữ liệu cá nhân” là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

p) “Bên thứ ba” là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân và/hoặc các cá nhân, tổ chức không thuộc Eximbank nhưng có phát sinh giao dịch hoặc quan hệ pháp lý với Eximbank thông qua Hợp đồng, Thỏa thuận và/hoặc các cam kết khác theo quy định của pháp luật.

q) “Xử lý dữ liệu cá nhân tự động” là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.

r) “Nhận biết khách hàng” (KYC): là những thủ tục cần thiết được thực hiện theo Quy định này nhằm tìm hiểu và xác minh những thông tin có liên quan đến khách hàng và giao dịch của khách hàng.

s) “Chuyển dữ liệu cá nhân ra nước ngoài” là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:

(i) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;

(ii) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý./.