Chính sách bảo vệ dữ liệu cá nhân dành cho khách hàng

 

2.1.    Phạm vi xử lý:

Dữ liệu cá nhân của Khách hàng được OCB xử lý bao gồm:

(a)    Dữ liệu cá nhân cơ bản

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh;
• Nơi sinh, nơi đăng ký khai sinh;
• Giới tính;
• Các thông tin về cư trú (bao gồm nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; địa chỉ công tác, địa chỉ văn phòng, thông tin liên hệ khác);
• Quốc tịch;
• Hình ảnh của cá nhân; thông tin có được từ các hệ thống an ninh (đối với khách hàng thực hiện giao dịch tại chi nhánh và phòng giao dịch của OCB, ví dụ đoạn ghi âm, ghi hình tại các khu vực có lắp máy quay giám sát – CCTV);
• Số giấy tờ tùy thân;
• Địa chỉ email; Số điện thoại;
• Số mã số thuế cá nhân;
• Số giấy phép lái xe, số biển số xe;
• Số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
• Tình trạng hôn nhân;
• Họ tên, số điện thoại và địa chỉ của bên có liên quan của Khách hàng;
• Đối với Khách hàng là trẻ em (là người dưới 16 tuổi): Thông tin về cha, mẹ hoặc người giám hộ hợp pháp được luật quy định, được Ủy ban nhân dân cấp xã hoặc Tòa án chỉ định theo quy định pháp luật (gọi chung là “Người Đại diện theo pháp luật”), bao gồm thông tin về họ và tên, số CMND, số CCCD, số Hộ chiếu, số điện thoại liên hệ, mối quan hệ giữa Người Đại diện theo pháp luật với Khách hàng là trẻ em;
• Thông tin về tài khoản số của Khách hàng, dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động của Khách hàng trên không gian mạng;  
• Các thông tin khác do Khách hàng cung cấp để thực hiện quyền hoặc yêu cầu của Khách hàng và không thuộc loại Dữ liệu cá nhân nhạy cảm;
• Bất kỳ dữ liệu, thông tin khác do Khách hàng chủ động cung cấp cho OCB trong quá trình sử dụng sản phẩm, dịch vụ hoặc khi tham gia các chương trình/ sự kiện của OCB có thu thập thông tin, không thuộc loại Dữ liệu cá nhân nhạy cảm; 
• Các Dữ liệu cá nhân cơ bản khác, gắn liền với một người cụ thể hoặc giúp xác định một người cụ thể.

Khi Khách hàng cung cấp Dữ liệu cá nhân của các cá nhân khác cho OCB, Khách hàng hiểu rõ rằng mình đang đóng vai trò Bên Kiểm soát Dữ liệu cá nhân đối với việc cung cấp Dữ liệu cá nhân của các chủ thể này cho OCB, và chúng tôi chỉ xử lý Dữ liệu cá nhân của các chủ thể này trên cơ sở thỏa thuận với Khách hàng cho các mục đích xử lý tại Điều 2.2 của Chính sách Bảo mật này.

Khách hàng có trách nhiệm đảm bảo rằng các cá nhân này đã được thông báo đầy đủ về các mục đích xử lý có liên quan và việc xử lý Dữ liệu cá nhân theo quy định pháp luật và có được sự đồng ý của họ trước khi cung cấp thông tin đó cho OCB. 

(b)    Dữ liệu cá nhân nhạy cảm

• Thông tin liên quan đến nguồn gốc dân tộc; 
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Thông tin định danh khách hàng khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác theo quy định của pháp luật, bao gồm nhưng không giới hạn:
  • Thông tin về tài khoản khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác;
  • Thông tin về tiền gửi khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác;
  • Thông tin về tài sản gửi khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác;
  • Thông tin về giao dịch khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác; và
  • Thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán.
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
• Các Dữ liệu cá nhân nhạy cảm khác có liên quan. 

2.2.    Mục đích xử lý

OCB xử lý Dữ liệu cá nhân của Khách hàng cho các mục đích dưới đây (sau đây gọi là “Mục đích xử lý”):

• Xác minh danh tính của Khách hàng: OCB xử lý thông tin của Khách hàng để xác minh tính chính xác, đầy đủ của các thông tin do Khách hàng cung cấp; xác định hoặc xác thực danh tính khách hàng và thực hiện quy trình xác thực khách hàng.
• Cung cấp các Sản phẩm và Dịch vụ tới Khách hàng: OCB thu thập, xử lý và lưu trữ thông tin của Khách hàng để cung cấp các Sản phẩm và Dịch vụ tại OCB bao gồm nhưng không giới hạn việc thực hiện yêu cầu và/hoặc đăng ký của Khách hàng, dịch vụ chăm sóc Khách hàng, hoạt động quản lý, duy trì, cập nhật những thay đổi liên quan đến các Sản phẩm và Dịch vụ tại OCB.
• Tuân thủ các luật, quy định hiện hành và các yêu cầu khác: OCB cam kết tuân thủ các quy định về phòng chống rửa tiền, chống tài trợ khủng bố và cấm vận của pháp luật Việt Nam và thông lệ quốc tế (bao gồm nhưng không giới hạn các quy định của Liên Hợp Quốc, các quốc gia có khung tuân thủ phòng chống rửa tiền, chống tài trợ khủng bố và cấm vận tiên tiến, các ngân hàng nước ngoài uy tín mà OCB có quan hệ đại lý). Mọi khách hàng, giao dịch tại OCB đều phải cam kết tuân thủ chính sách chấp nhận khách hàng và không vi phạm chính sách cấm vận. OCB không thiết lập quan hệ, không thực hiện giao dịch với một số đối tượng không chấp nhận cam kết và/hoặc không tuân thủ quy định. Để thực hiện được điều này, OCB có trách nhiệm phải thực hiện các biện pháp quản lý có liên quan đến dữ liệu Khách hàng, bao gồm giám sát, giảm thiểu và quản lý rủi ro, thực hiện thẩm định, sàng lọc khách hàng, sàng lọc giao dịch và xác định rủi ro của khách hàng.
• Cải thiện, phát triển Sản phẩm, chất lượng Dịch vụ và khảo sát nhu cầu tiêu dùng: OCB xử lý và phân tích dữ liệu của Khách hàng từ các cuộc khảo sát hoặc trong quá trình trao đổi, tương tác giữa Khách hàng với OCB để hiểu các nhu cầu tiêu dùng và cách khách hàng sử dụng các sản phẩm, dịch vụ của OCB nhằm thúc đẩy quá trình phát triển các sản phẩm, dịch vụ cũng như xác định những điểm chưa phù hợp của các sản phẩm dịch vụ và những hạn chế của hạ tầng công nghệ hiện có. Qua đó, OCB có thể cải tiến, hoàn thiện và đa dạng hóa các sản phẩm dịch vụ, phát triển các sản phẩm dịch vụ được thiết kế riêng cho từng phân khúc khách hàng, cải tiến quy trình, nâng cấp hạ tầng công nghệ nhằm nâng cao chất lượng sản phẩm, dịch vụ và đáp ứng tốt nhất nhu cầu của khách hàng.
• Truyền thông, xúc tiến thương mại, tiếp thị và giới thiệu sản phẩm, dịch vụ: OCB sử dụng thông tin của Khách hàng để cung cấp tới khách hàng thông tin về các sản phẩm và dịch vụ, sự kiện, ưu đãi của OCB, cũng như các sản phẩm dịch vụ từ các đối tác của OCB. Điều này bao gồm tiếp thị qua bưu điện, thư điện tử, điện thoại, văn bản, tin nhắn, ứng dụng dành cho thiết bị di động hoặc quảng cáo cho khách hàng thông qua phương tiện truyền thông xã hội. OCB đảm bảo tuân thủ các quy định về thu thập sự chấp thuận của Khách hàng đối với hoạt động này. Khách hàng hoàn toàn có thể thay đổi ý định về cách nhận thông báo tiếp thị hoặc chọn cách ngừng nhận thông tin bất kỳ lúc nào. 
• Quản lý rủi ro: OCB sử dụng thông tin của Khách hàng để đo lường, phát hiện và ngăn chặn khả năng xảy ra rủi ro về tài chính, uy tín, pháp lý, tuân thủ hoặc rủi ro với khách hàng. Điều này bao gồm rủi ro tín dụng, rủi ro giao dịch, rủi ro hoạt động và rủi ro bảo hiểm (ví dụ: cho mục đích bảo hiểm hoặc quản lý khiếu nại). Điều này giúp OCB bảo vệ được lợi ích hợp pháp trước khi cung cấp tín dụng, cho vay hoặc dịch vụ tài chính khác tới khách hàng.
• Bảo đảm an ninh và an toàn cho Khách hàng của OCB: Với mục đích bảo đảm an ninh và an toàn cho toàn bộ khách hàng đến giao dịch tại các trụ sở, chi nhánh của OCB, Ngân hàng thực hiện các biện pháp kiểm soát và giám sát cần thiết như xác minh danh tính khi ra vào tòa nhà, sử dụng hệ thống camera giám sát tại các chi nhánh, cơ sở và máy ATM…
• Bảo vệ quyền và lợi ích hợp pháp của OCB: OCB sử dụng thông tin của khách hàng để bảo vệ các quyền hợp pháp của mình trong trường hợp liên quan tới pháp lý như thu nợ, thực thi bảo vệ quyền sở hữu trí tuệ, quản lý khiếu nại hoặc tranh chấp trong các trường hợp tái cấu trúc các Ngân hàng, thương vụ sáp nhập hoặc mua lại khác.
• Các mục đích hợp lý khác liên quan đến những mục đích được nêu trên. 

Nếu chúng tôi xử lý Dữ liệu cá nhân của Khách hàng cho các mục đích khác ngoài Mục đích xử lý tại đây, chúng tôi sẽ thông báo cho Khách hàng cách chúng tôi xử lý Dữ liệu cá nhân này và thu thập bổ sung sự đồng ý trước khi xử lý Dữ liệu cá nhân của Khách hàng cho các mục đích đó theo các luật và quy định hiện hành.

3.   Tổ chức, cá nhân được xử lý Dữ liệu cá nhân của Khách hàng

OCB sẽ không cung cấp Dữ liệu cá nhân của Khách hàng cho bất kỳ bên thứ ba nào ngoại trừ các bên liên quan liên quan đến Mục đích xử lý. Các bên liên quan đó bao gồm:

• Công ty con và/hoặc công ty liên kết của OCB (nếu có);
• Các đơn vị trực thuộc mạng lưới hoạt động của OCB;
• Các nhà cung cấp dịch vụ, hoặc các bên thứ ba khác có liên quan để tiến hành các hoạt động Xử lý Dữ liệu cá nhân trên cơ sở thay mặt hoặc được ủy quyền bởi OCB và phục vụ cho các Mục đích xử lý, bao gồm nhưng không giới hạn:
  • đối tác cung cấp các hàng hóa, dịch vụ, trang thiết bị, máy móc, camera giám sát; 
  • đối tác cung cấp các dịch vụ viễn thông;
  • đối tác cung cấp dịch vụ phần mềm, công nghệ thông tin;
  • đối tác cung cấp dịch vụ tư vấn chuyên nghiệp như tư vấn pháp lý, tư vấn tài chính, kiểm toán, đơn vị tư vấn chuyên nghiệp khác...;
• Các tổ chức tín dụng và/hoặc chi nhánh ngân hàng nước ngoài tại Việt Nam, các tổ chức tài chính, Hiệp hội Dịch vụ Quốc tế VISA, MasterCard International Incorporated và các hiệp hội thẻ khác liên quan đến bất kỳ Sản phẩm và Dịch vụ nào mà OCB cung cấp cho Khách hàng;
•  Trung tâm Thông tin Tín dụng Quốc gia Việt Nam, các công ty thông tin tín dụng khác (nếu có);
• Các tổ chức xếp hạng, công ty bảo hiểm hoặc môi giới bảo hiểm hoặc nhà cung cấp bảo vệ tín dụng trực tiếp hoặc gián tiếp;
• Bất kỳ bên thứ ba nào có giao dịch với OCB để thực hiện mua, bán nợ và/hoặc mua, bán bất kỳ tài sản nào khác của OCB;
• Các cơ quan nhà nước có thẩm quyền;
• Chuyển giao kinh doanh: OCB có quyền chia sẻ Dữ liệu cá nhân của Khách hàng với các bên khác, liên quan đến mọi thương vụ hợp nhất, mua lại, sáp nhập, hợp tác, tái cơ cấu, cấp vốn hoặc bất kỳ giao dịch kinh doanh nào khác; và
• Các bên thứ ba khác mà OCB xét thấy là cần thiết vì Mục đích xử lý hoặc theo quy định pháp luật.

4.    Quyền và nghĩa vụ của Khách hàng đối với Dữ liệu cá nhân:

4.1.    Quyền của Khách hàng

Khách hàng với tư cách là Chủ thể dữ liệu có các quyền sau đây đối với Dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác:

• Quyền được biết: Khách hàng được biết về hoạt động xử lý Dữ liệu cá nhân của mình.
• Quyền đồng ý: Khách hàng được đồng ý hoặc không đồng ý cho phép xử lý Dữ liệu cá nhân của mình, trừ trường hợp pháp luật cho phép xử lý Dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.
• Quyền truy cập: Khách hàng được quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ liệu cá nhân của mình.
• Quyền rút lại sự đồng ý: Khách hàng được quyền rút lại sự đồng ý của mình.
• Quyền xóa dữ liệu: Khách hàng được xóa hoặc yêu cầu xóa Dữ liệu cá nhân của mình.
• Quyền hạn chế xử lý dữ liệu: Khách hàng được yêu cầu hạn chế xử lý Dữ liệu cá nhân của mình.
• Quyền cung cấp dữ liệu: Khách hàng được yêu cầu cung cấp cho bản thân Dữ liệu cá nhân của mình.
• Quyền phản đối xử lý dữ liệu: Khách hàng được phản đối việc xử lý Dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ Dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
• Quyền khiếu nại, tố cáo, khởi kiện: Khách hàng được khiếu nại, tố cáo, khởi kiện theo quy định của pháp luật.
• Quyền yêu cầu bồi thường thiệt hại: Khách hàng được yêu cầu bồi thường thiệt hại khi xảy ra vi phạm quy định về bảo vệ Dữ liệu cá nhân của mình.
• Quyền tự bảo vệ: Khách hàng được tự bảo vệ mình theo quy định của Bộ luật Dân sự, các luật khác có liên quan và Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu cá nhân, yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự. Khách hàng có quyền gửi khiếu nại về việc lộ thông tin cá nhân cho bên thứ ba đến OBC. 

Việc thực hiện một số quyền nào của Khách hàng, ví dụ quyền rút lại sự đồng ý, xóa dữ liệu, hạn chế hoặc phản đối xử lý dữ liệu có thể dẫn đến việc OCB không thể thực hiện các hành động cần thiết để đạt được Mục đích xử lý, hoặc không thể cung cấp, hỗ trợ, giải quyết các yêu cầu của Khách hàng. Vì lý do trên, OCB sẽ không chịu trách đối với Khách hàng cho bất kỳ tổn thất nào phát sinh do thực hiện các quyền này với Khách hàng. 

4.2.    Nghĩa vụ của khách hàng

Khách hàng với tư cách là Chủ thể dữ liệu có các nghĩa vụ sau đây đối với Dữ liệu cá nhân của mình:

• Tự bảo vệ Dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ Dữ liệu cá nhân của mình. Nếu Dữ liệu cá nhân bị tiết lộ do sự bất cẩn hay bất kỳ lỗi nào của Khách hàng, thì Khách hàng phải chấp nhận những rủi ro và thiệt hại có thể xảy ra.
• Khách hàng sẽ tự chịu trách nhiệm về bảo mật và lưu giữ mọi hoạt động sử dụng Sản phẩm, Dịch vụ của mình tại OCB. Ngoài ra, Khách hàng có trách nhiệm thông báo kịp thời cho OCB về những hành vi sử dụng trái phép, lạm dụng, vi phạm bảo mật, lưu giữ của bên thứ ba để có biện pháp giải quyết phù hợp; hoặc khi phát hiện có sai sót, nhầm lẫn về Dữ liệu cá nhân của mình hoặc nghi ngờ Dữ liệu cá nhân của mình đang bị xâm phạm.
• Tôn trọng, bảo vệ Dữ liệu cá nhân của người khác.
• Cung cấp đầy đủ, chính xác Dữ liệu cá nhân cho OCB khi đồng ý cho phép xử lý Dữ liệu cá nhân.
• Kịp thời cập nhật cho OCB nếu có bất kỳ sự thay đổi vào đối với Dữ liệu cá nhân mà Khách hàng đã cung cấp. 
• Cung cấp tài liệu có giá trị pháp lý khi OCB yêu cầu để chứng minh rằng Khách hàng đã thu thập được sự đồng ý và sự cho phép cần thiết từ bên liên quan của khách hàng khi cung cấp dữ liệu cá nhân của họ.
• Thực hiện quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.

5.    Thời gian bắt đầu và thời gian kết thúc xử lý Dữ liệu cá nhân

OCB thực hiện xử lý Dữ liệu cá nhân của Khách hàng từ thời điểm nhận được Chấp thuận của Khách hàng về việc xử lý Dữ liệu cá nhân (theo cách thức được định nghĩa tại Điều 1 của Chính sách Bảo mật này). Dữ liệu cá nhân của Khách hàng sẽ được lưu trữ trong khoảng thời gian cần thiết để đạt được các Mục đích xử lý, trừ khi thời gian lưu trữ Dữ Liệu cá nhân lâu hơn được yêu cầu hoặc cho phép bởi các quy định pháp luật hiện hành (ví dụ, cho mục đích về thuế và kiểm toán,…), hoặc để thực hiện các nghĩa vụ mà OCB đã thông báo cho Khách hàng. Một số loại Dữ liệu cá nhân có thể được lưu trữ lâu hơn các Dữ liệu cá nhân còn lại.

6.    Cách thức xử lý Dữ liệu cá nhân

6.1.    Thu thập và xử lý Dữ liệu cá nhân

OCB có thể thu thập Dữ liệu cá nhân của Khách hàng qua các cách thức sau:

• Khi Khách hàng đăng ký sử dụng các Sản phẩm, Dịch vụ do OCB cung cấp như đăng ký mở tài khoản, dịch vụ ngân hàng số, mở thẻ, đăng ký khoản vay, mở tài khoản tiết kiệm, bảo hiểm, đầu tư hoặc đăng ký giao dịch. 
• Thông qua các giao dịch và hoạt động của khách hàng như gửi tiền, rút tiền, chuyển khoản, thanh toán và sử dụng thẻ tín dụng.
• Từ các trao đổi, liên lạc, tương tác với Khách hàng (gặp trực tiếp, qua thư, điện thoại, trực tuyến, liên lạc điện tử, mạng xã hội, các cuộc khảo sát hoặc bất kỳ phương tiện nào khác).
• Từ các thiết bị ghi âm, ghi hình gắn với hệ thống an ninh được đặt tại chi nhánh, phòng giao dịch và các hệ thống ATM của OCB.
• Từ các Bên Xử lý Dữ liệu Cá nhân của OCB (bao gồm các đối tác kinh doanh), các nguồn dữ liệu công khai có sẵn hay các nguồn dữ liệu của cơ quan nhà nước có thẩm quyền và từ các nguồn khác.
• Từ các biểu mẫu thu thập thông tin Khách hàng tiềm năng tại các các hội nghị/hội thảo/sự kiện do OCB tổ chức;
• Từ các hình thức, phương tiện thu thập Dữ liệu cá nhân hợp pháp khác.

Sau khi thu thập Dữ liệu cá nhân, OCB sẽ tiến hành một hoặc nhiều hoạt động xử lý Dữ liệu cá nhân phù hợp như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan nhằm thực hiện các Mục đích xử lý hoặc để đáp ứng yêu cầu thực hiện quyền của Khách hàng với tư cách là Chủ thể Dữ liệu (ví dụ, quyền chỉnh sửa, cập nhật, cung cấp, hạn chế việc xử lý Dữ liệu cá nhân,…) theo quy định của pháp luật hiện hành. 

6.2.    Xử lý Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng

OCB có thể thu thập và xử lý dữ liệu về hình ảnh của các cá nhân và thông tin có được từ hệ thống an ninh (ví dụ đoạn ghi âm, ghi hình tại các khu vực có lắp máy quay giám sát – CCTV, bao gồm nhưng không giới hạn ở khu vực cửa hàng, bao gồm khu vực siêu thị, hành lang, lối ra vào,… và bãi đỗ xe) cho mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của Khách hàng. 

Tại OCB, hệ thống an ninh và CCTV hoạt động 24/7 để đảm bảo trật tự an toàn cho khách hàng, phòng chống tội phạm, bảo vệ cơ sở và phòng cháy chữa cháy. OCB cam kết chỉ xử lý Dữ liệu cá nhân của Khách hàng theo các nội dung của Chính sách Bảo mật này và quy định của pháp luật.

6.3.    Xử lý Dữ liệu cá nhân của Khách hàng là trẻ em

OCB xử lý Dữ liệu cá nhân của trẻ em theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. Trước khi xử lý Dữ liệu cá nhân của trẻ em, chúng tôi sẽ có các biện pháp thích hợp để xác minh tuổi của trẻ em. Việc xử lý Dữ liệu cá nhân của trẻ em phải có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định và trong trường hợp trẻ em từ đủ 7 tuổi trở lên thì cần có thêm sự đồng ý của trẻ về việc xử lý Dữ liệu cá nhân, trừ trường hợp xử lý dữ liệu không cần sự đồng ý của Chủ thể Dữ liệu theo quy định pháp luật.

6.4.    Xóa Dữ liệu cá nhân của Khách hàng 

OCB sẽ xóa không thể khôi phục Dữ liệu cá nhân của Khách hàng trong các trường hợp sau:

• Xử lý dữ liệu không đúng mục đích;
• Đã hoàn thành mục đích xử lý Dữ liệu cá nhân được Khách hàng đồng ý;
• Việc lưu trữ Dữ liệu cá nhân không còn cần thiết với hoạt động của OCB;
• OCB bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.

OCB sẽ thực hiện các bước cần thiết để ngăn chặn việc truy cập hoặc sử dụng Dữ liệu cá nhân cho bất kỳ mục đích nào khác ngoài việc tuân thủ Chính sách Bảo mật này hoặc vì mục đích an toàn, bảo mật, phát hiện gian lận và ngăn chặn các rủi ro đối với an toàn hệ thống thông tin, an ninh mạng, an toàn đối với Dữ liệu cá nhân của Khách hàng.

6.5.    Chuyển Dữ liệu cá nhân ra nước ngoài

OCB có thể chuyển hoặc cấp quyền truy cập vào Dữ liệu cá nhân của Khách hàng cho các cơ quan chức năng, tổ chức và bộ phận quản lý ở nước ngoài (bao gồm các đối tác, nhà cung cấp dịch vụ ở nước ngoài để xử lý phù hợp với Mục đích xử lý đã được Khách hàng đồng ý. Trong một số trường hợp khác, các đối tác, nhà cung cấp dịch vụ của OCB có trụ sở tại Việt Nam có thể sử dụng thiết bị, hệ thống xử lý dữ liệu nằm ngoài lãnh thổ của Việt Nam để thay mặt OCB xử lý Dữ liệu Cá nhân. Các trường hợp này đều xem là chuyển Dữ liệu cá nhân của Khách hàng ra nước ngoài.

Cần lưu ý rằng một số quốc gia có thể có mức độ hoặc thực tiễn về việc bảo vệ Dữ liệu cá nhân thấp hơn hoặc cao hơn Việt Nam. Trong mọi trường hợp có hoạt động chuyển Dữ liệu cá nhân ra nước ngoài, OCB sẽ nỗ lực đưa ra các biện pháp thích hợp để đảm bảo bảo vệ Dữ liệu cá nhân của Khách hàng, bao gồm việc ký kết các thỏa thuận, cam kết về bảo mật dữ liệu, lựa chọn đối tác là Bên Xử lý Dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc khi các đối tác này có các biện pháp bảo vệ phù hợp.

7.    Biện pháp bảo vệ Dữ liệu cá nhân

OCB sẽ thực hiện các biện pháp bảo vệ Dữ liệu cá nhân phù hợp, bao gồm biện pháp quản lý về mặt tổ chức, con người, và các biện pháp kỹ thuật phù hợp theo quy định pháp luật nhằm phát hiện, ngăn chặn sự cố rò rỉ hoặc các hành vi vi phạm đối với Dữ liệu Cá nhân, bao gồm nhưng không giới hạn:

• Xây dựng, ban hành các quy định về bảo vệ Dữ liệu cá nhân, trong đó nêu rõ những việc cần thực hiện theo quy định pháp luật.
• Chỉ định bộ phận và nhân sự phụ trách bảo vệ Dữ liệu cá nhân. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý Dữ liệu cá nhân.
• Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý Dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa Dữ liệu cá nhân.
• Thiết kế các hệ thống bảo mật, kiểm soát truy cập, phòng chống xâm nhập, xác thực, mã hóa dữ liệu, sao lưu dự phòng dữ liệu. 
• Các biện pháp khác theo quy định của pháp luật.

8.    Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Vui lòng lưu ý rằng, mặc dù OCB luôn nỗ lực để đảm bảo rằng Dữ liệu cá nhân của Khách hàng được bảo vệ tốt nhất theo quy định pháp luật, OCB không thể loại trừ hoàn toàn và tuyệt đối mọi rủi ro đối với Dữ liệu cá nhân trong quá trình xử lý. Việc truyền đưa thông tin qua Internet hoặc hệ thống thông tin nội bộ của OCB vẫn có một số rủi ro nhất định xuất phát từ trường hợp bất khả kháng hoặc các sự cố, tội phạm về an ninh mạng như hành vi tấn công mạng, khủng bố mạng, gián điệp mạng trái phép, gây gián đoạn quá trình xử lý dữ liệu hoặc rò rỉ Dữ liệu cá nhân. Trong trường hợp này, OCB sẽ ngay lập tức thực hiện các hành vi cần thiết nhằm ngăn chặn, khắc phục, giảm thiểu các thiệt hại không mong muốn có khả năng xảy ra đối với Dữ liệu cá nhân, đồng thời phối hợp với cơ quan nhà nước có thẩm quyền để xử lý hành vi vi phạm. Khách hàng cũng đồng ý rằng trong chừng mực đã áp dụng các biện pháp hợp lý để ngăn ngừa các mối nguy hại này, OCB sẽ không phải chịu trách nhiệm bồi thường đối với các thiệt hại gây ra bởi hành vi của bất kỳ bên thứ ba nào gây tác động bất lợi đến Dữ liệu cá nhân của Khách hàng nằm ngoài tầm kiểm soát của OCB.

9.    Địa chỉ của đơn vị thu thập, quản lý và hỗ trợ Khách hàng

Trường hợp Khách hàng có bất kỳ câu hỏi và/hoặc yêu cầu nào liên quan đến Chính sách Bảo mật này hoặc đối với Dữ liệu cá nhân của mình, Khách hàng có thể liên hệ trực tiếp với các chi nhánh, phong giao dịch của OCB trên toàn quốc hoặc liên hệ qua các phương thức sau đây:

NGÂN HÀNG CPTM PHƯƠNG ĐÔNG
•    Hotline (Việt Nam): 1800 6678 (Miễn phí cuộc gọi 24/7)
•    Hotline (Quốc tế): (84) 28 7305 6678
•    Email: dvkh@ocb.com.vn 

10.    Cam kết bảo mật Dữ liệu cá nhân của Khách hàng

Dữ liệu cá nhân của Khách hàng tại OCB được cam kết bảo mật tuyệt đối theo Chính sách Bảo mật này. Việc thu thập và sử dụng Dữ liệu cá nhân của Khách hàng chỉ được thực hiện khi có sự đồng ý của chính Khách hàng, trừ những trường hợp pháp luật có quy định khác. 

Chúng tôi cam kết:

• Không sử dụng, không chuyển giao, cung cấp hay tiết lộ cho bên thứ ba nào (trừ các tổ chức, cá nhân được xử lý Dữ liệu cá nhân của Khách hàng được liệt kê tại Điều 3 của Chính sách Bảo mật này) về Dữ liệu cá nhân của Khách hàng khi không có sự cho phép hoặc đồng ý từ Khách hàng, trừ những trường hợp pháp luật có quy định khác.
• Trong trường hợp máy chủ lưu trữ thông tin hoặc hệ thống thông tin của OCB bị xâm phạm bởi hành vi tấn công mạng dẫn đến dữ liệu cá nhân của Khách hàng bị xâm phạm, OCB sẽ có trách nhiệm thông báo vụ việc cho cơ quan chức năng điều tra xử lý kịp thời và thông báo đến Khách hàng.
• Bảo mật tuyệt đối mọi thông tin giao dịch trực tuyến của Khách hàng bao gồm thông tin giao dich, chứng từ kế toán số hóa tại khu vực trung tâm dữ liệu của OCB.