Chính sách bảo vệ dữ liệu cá nhân dành cho khách hàng

 

2.1.    Phạm vi xử lý:

Dữ liệu cá nhân của Khách hàng được OCB xử lý bao gồm:

(a)    Dữ liệu cá nhân cơ bản

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh;
• Nơi sinh, nơi đăng ký khai sinh;
• Giới tính;
• Các thông tin về cư trú (bao gồm nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; địa chỉ công tác, địa chỉ văn phòng, thông tin liên hệ khác);
• Quốc tịch;
• Hình ảnh của cá nhân; thông tin có được từ các hệ thống an ninh (đối với khách hàng thực hiện giao dịch tại chi nhánh và phòng giao dịch của OCB, ví dụ đoạn ghi âm, ghi hình tại các khu vực có lắp máy quay giám sát – CCTV);
• Số giấy tờ tùy thân;
• Địa chỉ email; Số điện thoại;
• Số mã số thuế cá nhân;
• Số giấy phép lái xe, số biển số xe;
• Số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
• Tình trạng hôn nhân;
• Họ tên, số điện thoại và địa chỉ của bên có liên quan của Khách hàng;
• Đối với Khách hàng là trẻ em (là người dưới 16 tuổi): Thông tin về cha, mẹ hoặc người giám hộ hợp pháp được luật quy định, được Ủy ban nhân dân cấp xã hoặc Tòa án chỉ định theo quy định pháp luật (gọi chung là “Người Đại diện theo pháp luật”), bao gồm thông tin về họ và tên, số CMND, số CCCD, số Hộ chiếu, số điện thoại liên hệ, mối quan hệ giữa Người Đại diện theo pháp luật với Khách hàng là trẻ em;
• Thông tin về tài khoản số của Khách hàng, dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động của Khách hàng trên không gian mạng;  
• Các thông tin khác do Khách hàng cung cấp để thực hiện quyền hoặc yêu cầu của Khách hàng và không thuộc loại Dữ liệu cá nhân nhạy cảm;
• Bất kỳ dữ liệu, thông tin khác do Khách hàng cung cấp cho OCB trong quá trình tìm hiểu hoặc sử dụng hoặc dự kiến sử dụng Sản phẩm, Dịch vụ hoặc khi tham gia các Chương trình/ sự kiện của OCB có thu thập thông tin, không thuộc loại Dữ liệu cá nhân nhạy cảm; 
• Các Dữ liệu cá nhân cơ bản khác, xác định hoặc giúp xác định một người cụ thể.

(b)    Dữ liệu cá nhân nhạy cảm

• Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Quan điểm về chính trị, tôn giáo, tín ngưỡng;
• Dữ liệu tiết lộ về đời tư;
• Tình trạng sức khỏe;
• Dữ liệu sinh trắc học, đặc điểm di truyền;
• Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Vị trí của cá nhân được xác định qua dịch vụ định vị;
• Danh tính điện tử của cá nhân;
• Tên đăng nhập, mật khẩu truy cập của tài khoản; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin khác liên quan đến hoạt động giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
• Dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông;
• Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
• Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc do tổ chức, cá nhân xác định cần có biện pháp bảo mật chặt chẽ. 

Khi Khách hàng cung cấp Dữ liệu cá nhân của các cá nhân khác cho OCB, Khách hàng hiểu rõ rằng mình đang đóng vai trò Bên Kiểm soát Dữ liệu cá nhân đối với việc cung cấp Dữ liệu cá nhân của các chủ thể này cho OCB, và chúng tôi chỉ Xử lý Dữ liệu cá nhân của các chủ thể này trên cơ sở thỏa thuận với Khách hàng cho các mục đích xử lý tại Điều 2.2 của Chính sách Bảo mật này.

Khách hàng có trách nhiệm đảm bảo rằng các cá nhân này đã được thông báo đầy đủ về các mục đích xử lý có liên quan và việc Xử lý Dữ liệu cá nhân theo quy định pháp luật và có được sự đồng ý của họ trước khi cung cấp thông tin đó cho OCB. 

2.2.    Mục đích xử lý

OCB xử lý Dữ liệu cá nhân của Khách hàng cho các mục đích dưới đây (sau đây gọi là “Mục đích xử lý”):

• Xác minh danh tính của Khách hàng: OCB Xử lý Dữ liệu cá nhân của Khách hàng để xác minh tính chính xác, đầy đủ của các thông tin do Khách hàng cung cấp; xác định hoặc xác thực danh tính khách hàng và thực hiện quy trình xác thực khách hàng.
• Cung cấp các Sản phẩm và Dịch vụ tới Khách hàng: OCB Xử lý Dữ liệu cá nhân của Khách hàng để cung cấp các Sản phẩm và Dịch vụ tại OCB bao gồm nhưng không giới hạn việc tư vấn, thực hiện yêu cầu và/hoặc đăng ký của Khách hàng, dịch vụ chăm sóc Khách hàng, hoạt động quản lý, duy trì, cập nhật những thay đổi liên quan đến các Sản phẩm và Dịch vụ tại OCB.
• Tuân thủ các luật, quy định hiện hành và các yêu cầu khác: OCB cam kết tuân thủ các quy định về phòng chống rửa tiền, chống tài trợ khủng bố và cấm vận của pháp luật Việt Nam và thông lệ quốc tế (bao gồm nhưng không giới hạn các quy định của Liên Hợp Quốc, các quốc gia có khung tuân thủ phòng chống rửa tiền, chống tài trợ khủng bố và cấm vận tiên tiến, các ngân hàng nước ngoài uy tín mà OCB có quan hệ đại lý). Mọi Khách hàng, giao dịch tại OCB đều phải cam kết tuân thủ chính sách chấp nhận khách hàng và không vi phạm chính sách cấm vận. OCB không thiết lập quan hệ, không thực hiện giao dịch với một số đối tượng không chấp nhận cam kết và/hoặc không tuân thủ quy định. Để thực hiện được điều này, OCB có trách nhiệm phải thực hiện các biện pháp quản lý có liên quan đến dữ liệu Khách hàng, bao gồm giám sát, giảm thiểu và quản lý rủi ro, thực hiện thẩm định, sàng lọc khách hàng, sàng lọc giao dịch và xác định rủi ro của Khách hàng.
• Cải thiện, phát triển Sản phẩm, chất lượng Dịch vụ và khảo sát nhu cầu tiêu dùng/kinh doanh: OCB xử lý Dữ liệu cá nhân của Khách hàng từ các cuộc khảo sát hoặc trong quá trình trao đổi, tương tác giữa Khách hàng với OCB để hiểu các nhu cầu tiêu dùng và cách Khách hàng sử dụng các Sản phẩm, Dịch vụ của OCB nhằm thúc đẩy quá trình phát triển các Sản phẩm, Dịch vụ cũng như xác định những điểm chưa phù hợp của các Sản phẩm, Dịch vụ và những hạn chế của hạ tầng công nghệ hiện có. Qua đó, OCB có thể cải tiến, hoàn thiện và đa dạng hóa các Sản phẩm dịch vụ, phát triển các Sản phẩm dịch vụ được thiết kế riêng cho từng phân khúc Khách hàng, cải tiến quy trình, nâng cấp hạ tầng công nghệ nhằm nâng cao chất lượng Sản phẩm, Dịch vụ và đáp ứng tốt nhất nhu cầu của Khách hàng.
• Truyền thông, xúc tiến thương mại, tiếp thị và giới thiệu Sản phẩm, dịch vụ: OCB Xử lý Dữ liệu cá nhân của Khách hàng để cung cấp tới Khách hàng thông tin về các Sản phẩm và Dịch vụ, sự kiện, ưu đãi của OCB, cũng như các Sản phẩm, Dịch vụ từ các đối tác của OCB. Điều này bao gồm tiếp thị qua bưu điện, thư điện tử, điện thoại, văn bản, tin nhắn, ứng dụng dành cho thiết bị di động/thiết bị điện tử hoặc quảng cáo cho Khách hàng thông qua phương tiện truyền thông xã hội. OCB đảm bảo tuân thủ các quy định về thu thập sự chấp thuận của Khách hàng đối với hoạt động này. Khách hàng hoàn toàn có thể thay đổi ý định về cách nhận thông báo tiếp thị hoặc chọn cách ngừng nhận thông tin bất kỳ lúc nào. 
• Quản lý rủi ro: OCB Xử lý Dữ liệu cá nhân của Khách hàng để thực hiện hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín dụng về tín dụng, đo lường, phát hiện và ngăn chặn khả năng xảy ra rủi ro về tài chính, uy tín, pháp lý, tuân thủ hoặc rủi ro với Khách hàng bao gồm rủi ro tín dụng, rủi ro giao dịch, rủi ro hoạt động và rủi ro bảo hiểm (ví dụ: cho mục đích bảo hiểm hoặc quản lý khiếu nại). Điều này giúp OCB bảo vệ được lợi ích hợp pháp trước khi cung cấp tín dụng, cho vay hoặc dịch vụ tài chính khác tới Khách hàng.
• Bảo đảm an ninh và an toàn cho Khách hàng của OCB: Với mục đích bảo đảm an ninh và an toàn cho toàn bộ Khách hàng đến giao dịch tại các trụ sở, chi nhánh của OCB, OCB thực hiện các biện pháp kiểm soát và giám sát cần thiết như xác minh danh tính khi ra vào tòa nhà, sử dụng hệ thống camera giám sát tại các chi nhánh, cơ sở và máy ATM…
• Bảo vệ quyền và lợi ích hợp pháp của OCB: OCB Xử lý Dữ liệu cá nhân của Khách hàng để bảo vệ các quyền hợp pháp của mình trong trường hợp liên quan tới pháp lý như thu nợ, thực thi bảo vệ quyền sở hữu trí tuệ, quản lý khiếu nại hoặc tranh chấp trong các trường hợp tái cấu trúc các Ngân hàng, thương vụ sáp nhập hoặc mua lại khác.
• Các mục đích hợp lý khác liên quan đến những mục đích được nêu trên. 

Nếu chúng tôi Xử lý Dữ liệu cá nhân của Khách hàng cho các mục đích khác ngoài Mục đích xử lý tại đây, chúng tôi sẽ thông báo cho Khách hàng cách chúng tôi Xử lý Dữ liệu cá nhân này và thu thập bổ sung sự đồng ý trước khi Xử lý Dữ liệu cá nhân của Khách hàng cho các mục đích đó theo các luật và quy định hiện hành.

3.   Tổ chức, cá nhân được xử lý Dữ liệu cá nhân của Khách hàng

OCB sẽ không cung cấp Dữ liệu cá nhân của Khách hàng cho bất kỳ bên thứ ba nào ngoại trừ các bên liên quan liên quan đến Mục đích xử lý. Các bên liên quan đó bao gồm:

• Công ty con và/hoặc công ty liên kết của OCB (nếu có);
• Các đơn vị trực thuộc mạng lưới hoạt động của OCB;
• Các nhà cung cấp dịch vụ, hoặc các bên thứ ba khác có liên quan để tiến hành các hoạt động Xử lý Dữ liệu cá nhân trên cơ sở thay mặt OCB thông qua hợp đồng hoặc thỏa thuận với OCB và phục vụ cho các Mục đích xử lý, bao gồm nhưng không giới hạn:
  • đối tác cung cấp các hàng hóa, dịch vụ, trang thiết bị, máy móc, camera giám sát; 
  • đối tác cung cấp các dịch vụ viễn thông;
  • đối tác cung cấp dịch vụ phần mềm, công nghệ thông tin;
  • đối tác cung cấp dịch vụ tư vấn như tư vấn pháp lý, tư vấn tài chính, kiểm toán, đơn vị tư vấn khác...;
• Các tổ chức tín dụng và/hoặc chi nhánh ngân hàng nước ngoài tại Việt Nam, Công ty Cổ phần Thanh toán Quốc gia Việt Nam (Napas), các tổ chức tài chính, Hiệp hội Dịch vụ Quốc tế VISA, MasterCard International Incorporated và các hiệp hội thẻ khác liên quan đến bất kỳ Sản phẩm và Dịch vụ nào mà OCB cung cấp cho Khách hàng;
• Trung tâm Thông tin Tín dụng Quốc gia Việt Nam, các công ty thông tin tín dụng khác (nếu có);
• Các tổ chức xếp hạng, công ty bảo hiểm hoặc môi giới bảo hiểm hoặc nhà cung cấp bảo vệ tín dụng trực tiếp hoặc gián tiếp;
• Bất kỳ bên thứ ba nào có giao dịch với OCB để thực hiện mua, bán nợ và/hoặc mua, bán bất kỳ tài sản nào khác của OCB;
• Các cơ quan nhà nước có thẩm quyền;
• Chuyển giao kinh doanh: OCB có quyền chia sẻ Dữ liệu cá nhân của Khách hàng với các bên khác, liên quan đến mọi thương vụ hợp nhất, mua lại, sáp nhập, hợp tác, tái cơ cấu, cấp vốn hoặc bất kỳ giao dịch kinh doanh nào khác; và
• Các bên thứ ba khác mà OCB xét thấy là cần thiết vì Mục đích xử lý hoặc theo quy định pháp luật.

4.    Quyền và nghĩa vụ của Khách hàng đối với Dữ liệu cá nhân:

4.1.    Quyền của Khách hàng

Khách hàng với tư cách là Chủ thể dữ liệu có các quyền sau đây đối với Dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác:

• Quyền được biết về hoạt động Xử lý Dữ liệu cá nhân: Khách hàng được biết về hoạt động Xử lý Dữ liệu cá nhân của mình.
• Quyền đồng ý hoặc không đồng ý: Khách hàng được đồng ý hoặc không đồng ý cho phép Xử lý Dữ liệu cá nhân của mình, trừ trường hợp pháp luật cho phép Xử lý Dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.
• Quyền yêu cầu rút lại sự đồng ý cho phép Xử lý Dữ liệu cá nhân, hạn chế xử lý Dữ liệu cá nhân: Khách hàng được quyền yêu cầu rút lại sự đồng ý của mình và yêu cầu hạn chế Xử lý Dữ liệu cá nhân của mình.
• Quyền xem, chỉnh sửa và yêu cầu chỉnh sửa Dữ liệu cá nhân: Khách hàng được quyền được xem, tự mình chỉnh sửa dữ liệu cá nhân của mình đối với một số loại DLCN theo thỏa thuận với OCB; đề nghị OCB chỉnh Dữ liệu cá nhân của mình.
• Quyền cung cấp Dữ liệu cá nhân: Khách hàng được yêu cầu cung cấp cho bản thân Dữ liệu cá nhân của mình phù hợp với quy định pháp luật, thỏa thuận với OCB hoặc cung cấp cho cơ quan, tổ chức, cá nhân khác khi được Khách hàng đồng ý.
• Quyền xóa, hủy dữ liệu: Khách hàng được xóa hoặc yêu cầu xóa Dữ liệu cá nhân của mình trong trường hợp phù hợp với quy định của pháp luật.
• Quyền gửi yêu cầu phản đối Xử lý Dữ liệu cá nhân: Khách hàng được gửi yêu cầu phản đối việc Xử lý Dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ Dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
• Quyền khiếu nại, tố cáo, khởi kiện: Khách hàng được khiếu nại, tố cáo, khởi kiện theo quy định của pháp luật.
• Quyền yêu cầu bồi thường thiệt hại: Khách hàng được yêu cầu bồi thường thiệt hại theo quy định pháp luật khi xảy ra vi phạm quy định về bảo vệ Dữ liệu cá nhân của mình.
• Quyền khác: Khách hàng được yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các biện pháp, giải pháp bảo vệ quyền dân sự đối với DLCN của mình theo quy định pháp luật.

Việc thực hiện một số quyền nào của Khách hàng, ví dụ quyền rút lại sự đồng ý, xóa dữ liệu, hạn chế hoặc phản đối xử lý dữ liệu có thể dẫn đến việc OCB không thể thực hiện các hành động cần thiết để đạt được Mục đích xử lý, hoặc không thể cung cấp, hỗ trợ, giải quyết các yêu cầu của Khách hàng. Vì lý do trên, OCB sẽ không chịu trách đối với Khách hàng cho bất kỳ tổn thất nào phát sinh do thực hiện các quyền này với Khách hàng. 

4.2.    Nghĩa vụ của khách hàng

Khách hàng với tư cách là Chủ thể dữ liệu có các nghĩa vụ sau đây đối với Dữ liệu cá nhân của mình:

• Tự bảo vệ Dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ Dữ liệu cá nhân của mình. Nếu Dữ liệu cá nhân bị tiết lộ do sự bất cẩn hay bất kỳ lỗi nào của Khách hàng, thì Khách hàng phải chấp nhận những rủi ro và thiệt hại có thể xảy ra.
• Tôn trọng, bảo vệ Dữ liệu cá nhân của người khác.
• Cung cấp đầy đủ, chính xác Dữ liệu cá nhân cho OCB khi đồng ý cho phép Xử lý Dữ liệu cá nhân.
• Chấp hành quy định của pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
• Kịp thời cập nhật cho OCB nếu có bất kỳ sự thay đổi vào đối với Dữ liệu cá nhân mà Khách hàng đã cung cấp. 
• Cung cấp tài liệu có giá trị pháp lý khi OCB yêu cầu để chứng minh rằng Khách hàng đã thu thập được sự đồng ý và sự cho phép cần thiết từ bên liên quan của Khách hàng khi cung cấp dữ liệu cá nhân của họ.
• Khách hàng sẽ tự chịu trách nhiệm về bảo mật và lưu giữ mọi hoạt động sử dụng Sản phẩm, Dịch vụ của mình tại OCB. Ngoài ra, Khách hàng có trách nhiệm thông báo kịp thời cho OCB về những hành vi sử dụng trái phép, lạm dụng, vi phạm bảo mật, lưu giữ của bên thứ ba để có biện pháp giải quyết phù hợp; hoặc khi phát hiện có sai sót, nhầm lẫn về Dữ liệu cá nhân của mình hoặc nghi ngờ Dữ liệu cá nhân của mình đang bị xâm phạm.

5.    Thời gian bắt đầu và thời gian kết thúc xử lý Dữ liệu cá nhân

OCB thực hiện Xử lý Dữ liệu cá nhân của Khách hàng từ thời điểm nhận được Chấp thuận của Khách hàng về việc Xử lý Dữ liệu cá nhân (theo cách thức được định nghĩa tại Điều 1 của Chính sách Bảo mật này). Dữ liệu cá nhân của Khách hàng sẽ được lưu trữ trong khoảng thời gian cần thiết để đạt được các Mục đích xử lý, trừ khi thời gian lưu trữ Dữ Liệu cá nhân lâu hơn được yêu cầu hoặc cho phép bởi các quy định pháp luật hiện hành (ví dụ, cho mục đích về thuế và kiểm toán, phòng chống rửa tiền hoặc yêu cầu của ngành ngân hàng…), hoặc để thực hiện các nghĩa vụ mà OCB đã thông báo cho Khách hàng. Một số loại Dữ liệu cá nhân có thể được lưu trữ lâu hơn các Dữ liệu cá nhân còn lại.

6.    Cách thức xử lý Dữ liệu cá nhân

6.1.    Thu thập và xử lý Dữ liệu cá nhân

OCB có thể thu thập Dữ liệu cá nhân của Khách hàng qua các cách thức sau:

• Khi Khách hàng đăng ký sử dụng các Sản phẩm, Dịch vụ do OCB cung cấp như đăng ký mở tài khoản, dịch vụ ngân hàng số, mở thẻ, đăng ký khoản vay, mở tài khoản tiết kiệm, bảo hiểm, đầu tư hoặc đăng ký giao dịch. 
• Thông qua các giao dịch và hoạt động của Khách hàng như gửi tiền, rút tiền, chuyển khoản, thanh toán và sử dụng thẻ tín dụng.
• Từ các trao đổi, liên lạc, tương tác với Khách hàng (gặp trực tiếp, qua thư, điện thoại, trực tuyến, liên lạc điện tử, mạng xã hội, các cuộc khảo sát hoặc bất kỳ phương tiện nào khác).
• Từ các thiết bị ghi âm, ghi hình gắn với hệ thống an ninh được đặt tại chi nhánh, phòng giao dịch và các hệ thống ATM của OCB.
• Từ các Bên Xử lý Dữ liệu Cá nhân của OCB (bao gồm các đối tác kinh doanh), các nguồn dữ liệu công khai có sẵn hay các nguồn dữ liệu của cơ quan nhà nước có thẩm quyền và từ các nguồn khác.
• Từ các biểu mẫu thu thập thông tin Khách hàng tiềm năng tại các các hội nghị/hội thảo/sự kiện do OCB tổ chức.
• Từ các hình thức, phương tiện thu thập Dữ liệu cá nhân hợp pháp khác.

Sau khi thu thập Dữ liệu cá nhân, OCB sẽ tiến hành một hoặc nhiều hoạt động Xử lý Dữ liệu cá nhân phù hợp như: ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan nhằm thực hiện các Mục đích xử lý hoặc để đáp ứng yêu cầu thực hiện quyền của Khách hàng với tư cách là Chủ thể Dữ liệu (ví dụ, quyền chỉnh sửa, cập nhật, cung cấp, hạn chế việc Xử lý Dữ liệu cá nhân,…) theo quy định của pháp luật hiện hành. 

6.2.    Xử lý Dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi

OCB chỉ Xử lý Dữ liệu cá nhân của người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi khi người đại diện theo pháp luật của người này thay mặt thực hiện các quyền của Chủ thể Dữ liệu Cá nhân theo quy định pháp luật.

6.3.    Xử lý Dữ liệu cá nhân của Khách hàng là trẻ em

OCB Xử lý Dữ liệu cá nhân của trẻ em theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. Trước khi Xử lý Dữ liệu cá nhân của trẻ em, OCB sẽ có các biện pháp thích hợp để xác minh tuổi của trẻ em. Việc Xử lý Dữ liệu cá nhân của trẻ em phải có sự đồng ý của người đại diện theo pháp luật của trẻ em theo quy định và trong trường hợp trẻ em từ đủ 7 tuổi trở lên thì cần có thêm sự đồng ý của trẻ về việc Xử lý Dữ liệu cá nhân, trừ trường hợp xử lý dữ liệu không cần sự đồng ý của Chủ thể Dữ liệu theo quy định pháp luật.

6.4.    Xử lý Dữ liệu cá nhân là thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm

Việc Xử lý Dữ liệu cá nhân là thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm phải có sự đồng ý của Khách hàng cho hoạt động Xử lý Dữ liệu cá nhân, trừ trường hợp xử lý dữ liệu không cần sự đồng ý của Chủ thể Dữ liệu theo quy định pháp luật. Ngoài ra, OCB sẽ thực hiện áp dụng đầy đủ quy định về bảo vệ Dữ liệu cá nhân khi Xử lý Dữ liệu cá nhân của Khách hàng.

6.5.    Xử lý Dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng

OCB có thể chuyển hoặc cấp quyền truy cập vào Dữ liệu cá nhân của Khách hàng cho các cơ quan chức năng, tổ chức và bộ phận quản lý ở nước ngoài (bao gồm các đối tác, nhà cung cấp dịch vụ ở nước OCB cam kết thực hiện đầy đủ quy định về bảo vệ Dữ liệu cá nhân nhạy cảm, áp dụng các tiêu chuẩn an toàn, bảo mật phù hợp khi cung cấp Sản phẩm, Dịch vụ cho Khách hàng. OCB sẽ không sử dụng thông tin tín dụng của Khách hàng để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của Chủ thể Dữ liệu cá nhân khi chưa có sự đồng ý của Chủ thể Dữ liệu cá nhân. 

6.6.    Xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây

OCB cam kết xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của Khách hàng trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây, phù hợp với quy định của pháp luật và chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam. 

6.7.    Xử lý Dữ liệu cá nhân là dữ liệu vị trí cá nhân

OCB sẽ thông báo cho người sử dụng Ứng dụng di động về việc sử dụng dữ liệu vị trí cá nhân, có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan và cung cấp cho Khách hàng các tùy chọn theo dõi vị trí cá nhân theo quy định pháp luật.

6.8.    Xử lý Dữ liệu cá nhân là dữ liệu sinh trắc học 

Khi thực hiện thu thập và xử lý dữ liệu sinh trắc, OCB sẽ áp dụng các biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học, hạn chế quyền truy cập vào dữ liệu sinh trắc học, có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học và tuân thủ quy định của pháp luật và tiêu chuẩn của quốc tế có liên quan.

6.9.    Xử lý Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng

OCB có thể thu thập và xử lý dữ liệu về hình ảnh của các cá nhân và thông tin có được từ hệ thống an ninh (ví dụ đoạn ghi âm, ghi hình tại các khu vực có lắp máy quay giám sát – CCTV, bao gồm nhưng không giới hạn ở khu vực cửa hàng, bao gồm khu vực siêu thị, hành lang, lối ra vào,… và bãi đỗ xe) cho mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của Khách hàng. 
Tại OCB, hệ thống an ninh và CCTV hoạt động 24/7 để đảm bảo trật tự an toàn cho Khách hàng, phòng chống tội phạm, bảo vệ cơ sở và phòng cháy chữa cháy. OCB cam kết chỉ Xử lý Dữ liệu cá nhân của Khách hàng theo các nội dung của Chính sách Bảo mật này và quy định của pháp luật.

6.10.    Xóa, hủy Dữ liệu cá nhân của Khách hàng 

OCB sẽ xóa không thể khôi phục Dữ liệu cá nhân của Khách hàng trong các trường hợp sau:

• Xử lý dữ liệu không đúng mục đích;
• Đã hoàn thành mục đích Xử lý Dữ liệu cá nhân được Khách hàng đồng ý;
• Việc lưu trữ Dữ liệu cá nhân không còn cần thiết với hoạt động của OCB;
• OCB bị giải thể hoặc không còn hoạt động hoặc tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật.

OCB sẽ thực hiện các bước cần thiết để ngăn chặn việc truy cập hoặc sử dụng Dữ liệu cá nhân cho bất kỳ mục đích nào khác ngoài việc tuân thủ Chính sách Bảo mật này hoặc vì mục đích an toàn, bảo mật, phát hiện gian lận và ngăn chặn các rủi ro đối với an toàn hệ thống thông tin, an ninh mạng, an toàn đối với Dữ liệu cá nhân của Khách hàng.

6.11.    Chuyển Dữ liệu cá nhân xuyên biên giới

OCB có thể chuyển hoặc cấp quyền truy cập vào Dữ liệu cá nhân của Khách hàng cho các cơ quan chức năng, tổ chức và bộ phận quản lý hoặc hệ thống lưu trữ dữ liệu ở nước ngoài/đặt ngoài lãnh thổ Việt Nam, (bao gồm các đối tác, nhà cung cấp dịch vụ ở nước ngoài) để xử lý phù hợp với Mục đích xử lý đã được Khách hàng đồng ý. Trong một số trường hợp khác, các đối tác, nhà cung cấp dịch vụ của OCB có trụ sở tại Việt Nam có thể sử dụng thiết bị, hệ thống xử lý dữ liệu nằm ngoài lãnh thổ của Việt Nam để thay mặt OCB Xử lý Dữ liệu Cá nhân. Các trường hợp này đều xem là chuyển Dữ liệu cá nhân của Khách hàng ra nước ngoài.

Cần lưu ý rằng một số quốc gia có thể có mức độ hoặc thực tiễn về việc bảo vệ Dữ liệu cá nhân thấp hơn hoặc cao hơn Việt Nam. Trong mọi trường hợp có hoạt động chuyển Dữ liệu cá nhân ra nước ngoài, OCB sẽ nỗ lực đưa ra các biện pháp thích hợp để đảm bảo bảo vệ Dữ liệu cá nhân của Khách hàng, bao gồm việc ký kết các thỏa thuận, cam kết về bảo mật dữ liệu, lựa chọn đối tác là Bên Xử lý Dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc khi các đối tác này có các biện pháp bảo vệ phù hợp.

7.    Biện pháp bảo vệ Dữ liệu cá nhân

OCB sẽ thực hiện các biện pháp bảo vệ Dữ liệu cá nhân phù hợp, bao gồm biện pháp quản lý về mặt tổ chức, con người, và các biện pháp kỹ thuật phù hợp theo quy định pháp luật nhằm phát hiện, ngăn chặn sự cố rò rỉ hoặc các hành vi vi phạm đối với Dữ liệu Cá nhân, bao gồm nhưng không giới hạn:

• Xây dựng, ban hành các quy định về bảo vệ Dữ liệu cá nhân, trong đó nêu rõ những việc cần thực hiện theo quy định pháp luật.
• Chỉ định bộ phận và nhân sự phụ trách bảo vệ Dữ liệu cá nhân. Ghi lại và lưu trữ nhật ký hệ thống quá trình Xử lý Dữ liệu cá nhân.
• Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ Xử lý Dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa Dữ liệu cá nhân.
• Thiết kế các hệ thống bảo mật, kiểm soát truy cập, phòng chống xâm nhập, xác thực, mã hóa dữ liệu, sao lưu dự phòng dữ liệu. 
• Các biện pháp khác theo quy định của pháp luật.

8.    Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Vui lòng lưu ý rằng, mặc dù OCB luôn nỗ lực để đảm bảo rằng Dữ liệu cá nhân của Khách hàng được bảo vệ tốt nhất theo quy định pháp luật, OCB không thể loại trừ hoàn toàn và tuyệt đối mọi rủi ro đối với Dữ liệu cá nhân trong quá trình xử lý. Việc truyền đưa thông tin qua Internet hoặc hệ thống thông tin nội bộ của OCB vẫn có một số rủi ro nhất định xuất phát từ trường hợp bất khả kháng hoặc các sự cố, tội phạm về an ninh mạng như hành vi tấn công mạng, khủng bố mạng, gián điệp mạng trái phép, gây gián đoạn quá trình xử lý dữ liệu hoặc rò rỉ Dữ liệu cá nhân. Trong trường hợp này, OCB sẽ ngay lập tức thực hiện các hành vi cần thiết nhằm ngăn chặn, khắc phục, giảm thiểu các thiệt hại không mong muốn có khả năng xảy ra đối với Dữ liệu cá nhân, đồng thời phối hợp với cơ quan nhà nước có thẩm quyền để xử lý hành vi vi phạm. Khách hàng cũng đồng ý rằng trong chừng mực đã áp dụng các biện pháp hợp lý để ngăn ngừa các mối nguy hại này, OCB sẽ không phải chịu trách nhiệm bồi thường đối với các thiệt hại gây ra bởi hành vi của bất kỳ bên thứ ba nào gây tác động bất lợi đến Dữ liệu cá nhân của Khách hàng nằm ngoài tầm kiểm soát của OCB.

9.    Địa chỉ của đơn vị thu thập, quản lý và hỗ trợ Khách hàng

Trường hợp Khách hàng có bất kỳ câu hỏi và/hoặc yêu cầu nào liên quan đến Chính sách Bảo mật này hoặc đối với Dữ liệu cá nhân của mình, Khách hàng có thể liên hệ trực tiếp với các chi nhánh, phòng giao dịch của OCB trên toàn quốc hoặc liên hệ qua các phương thức sau đây:

NGÂN HÀNG TMCP PHƯƠNG ĐÔNG

• Hotline (Việt Nam): 1800 6678 (Miễn phí cuộc gọi 24/7)
• Hotline (Quốc tế): (84) 28 7305 6678
• Email: qlrrhd.thukybanbvdlcn@ocb.com.vn 

10.    Cam kết bảo mật Dữ liệu cá nhân của Khách hàng

Dữ liệu cá nhân của Khách hàng tại OCB được cam kết bảo mật tuyệt đối theo Chính sách Bảo mật này. Việc thu thập và sử dụng Dữ liệu cá nhân của Khách hàng chỉ được thực hiện khi có sự đồng ý của chính Khách hàng, trừ những trường hợp pháp luật có quy định khác. 

Chúng tôi cam kết:

• Không sử dụng, không chuyển giao, cung cấp hay tiết lộ cho bên thứ ba nào (trừ các tổ chức, cá nhân được Xử lý Dữ liệu cá nhân của Khách hàng được liệt kê tại Điều 3 của Chính sách Bảo mật này) về Dữ liệu cá nhân của Khách hàng khi không có sự cho phép hoặc đồng ý từ Khách hàng, trừ những trường hợp pháp luật có quy định khác.
• Trong trường hợp máy chủ lưu trữ thông tin hoặc hệ thống thông tin của OCB bị xâm phạm bởi hành vi tấn công mạng dẫn đến dữ liệu cá nhân của Khách hàng bị xâm phạm, OCB sẽ có trách nhiệm thông báo vụ việc cho cơ quan chức năng điều tra xử lý kịp thời và thông báo đến Khách hàng.
• Bảo mật tuyệt đối mọi thông tin giao dịch trực tuyến của Khách hàng bao gồm thông tin giao dich, chứng từ kế toán số hóa tại khu vực trung tâm dữ liệu của OCB.