Chính sách xử lý và bảo vệ dữ liệu cá nhân của

Ngân hàng Woori Việt Nam

Ngân hàng TNHH MTV Woori Việt Nam (sau đây gọi là “Ngân hàng”) luôn nỗ lực hết sức để bảo vệ dữ liệu cá nhân của khách hàng theo các quy định pháp luật hiện hành của Việt Nam. Chính sách xử lý dữ liệu cá nhân này được xây dựng phù hợp với các quy định pháp luật về bảo vệ dữ liệu cá nhân (Được sửa đổi, bổ sung thường xuyên theo Luật Bảo vệ dữ liệu cá nhân và Nghị định hướng dẫn, Luật Dữ liệu và Nghị định hướng dẫn, Luật An ninh mạng và Nghị định hướng dẫn, Thông tư của Ngân hàng Nhà nước, Luật Bảo vệ quyền lợi người tiêu dùng và các quy định pháp luật liên quan đến lĩnh vực tài chính), được xây dựng phù hợp với các quy định pháp luật hiện hành của Việt Nam.

Chính sách này mô tả các hoạt động của Ngân hàng liên quan tới việc xử lý, bảo vệ dữ liệu cá nhân của khách hàng và được áp dụng trên toàn bộ các sản phẩm và dịch vụ tài chính của Ngân hàng tại Việt Nam.

1. Mục đích thu thập và xử lý dữ liệu cá nhân

1.1 Ngân hàng thu thập và xử lý dữ liệu cá nhân của khách hàng cho một hoặc nhiều mục đích sau đây trong phạm vi cần thiết để thực hiện hoạt động nghiệp vụ:

  • Giao dịch ngân hàng và cung cấp dịch vụ:nhằm cung cấp các dịch vụ tài chính cho khách hàng bao gồm nhưng không giới hạn ở việc mở và quản lý tài khoản tiền gửi, thẩm định và giải ngân khoản vay, phát hành thẻ tín dụng, giao dịch điện tử, v.v.
  • Xác minh danh tính khách hàng và tuân thủ pháp luật:nhằm tuân thủ các nghĩa vụ theo quy định pháp luật trong giao dịch tài chính, chẳng hạn như thực hiện xác minh danh tính khách hàng (KYC), giám sát giao dịch bất thường, phòng chống rửa tiền (AML), v.v.
  • Hỗ trợ khách hàng và cải thiện nghiệp vụ:nhằm xử lý các yêu cầu/thắc mắc, khiếu nại của khách hàng, thông báo về lịch sử giao dịch, nâng cao chất lượng dịch vụ, đào tạo nội bộ, thống kê và phân tích thị trường.
  • Tuân thủ các tiêu chuẩn chuyên ngành, chính sách nội bộ của Ngân hàng và yêu cầu bởi các Cơ quan pháp luật hoặc Cơ quan quản lý: nhằm đáp ứng, tuân thủ các tiêu chuẩn chuyên ngành tài chính – ngân hàng, các quy định, yêu cầu nội bộ của Ngân hàng, các thủ tục và bất kỳ quy tắc, quy định, hướng dẫn, chỉ thị hoặc yêu cầu bởi Cơ quan pháp luật hoặc Cơ quan quản lý nào (cả trong nước và quốc tế) có thẩm quyền.
  • Tiếp thị và giới thiệu sản phẩm:nhằm cung cấp thông tin về sản phẩm mới hoặc khuyến mại, ưu đãi, sự kiện, quảng bá dịch vụ cho mục đích tiếp thị. (※ Trường hợp này chỉ được thực hiện khi có sự đồng ý riêng của khách hàng trước, và khách hàng có thể rút lại sự đồng ý bất cứ khi nào nếu không mong muốn.)
  • Bảo vệ quyền và lợi ích hợp pháp của Ngân hàng: nhằm thực hiện quyền hạn, các biện pháp khắc phục và tự bảo vệ trước các khiếu nại pháp lý đối với Ngân hàng, công ty mẹ, các công ty con, công ty liên kết của Ngân hàng và để giải quyết tranh chấp nói chung.
  • Cho các mục đích hợp lý khác: nhằm tiến hành các hoạt động cần thiết có liên quan đến những mục đích được nêu trên và/hoặc cho các mục đích khác được quy định cụ thể tại từng bản điều khoản và điều kiện liên quan đến việc thu thập, xử lý, bảo vệ dữ liệu cá nhân của các sản phẩm, dịch vụ cung cấp bởi Ngân hàng mà đã được thông báo tới khách hàng và được khách hàng chấp thuận.

1.2 Ngân hàng sẽ không sử dụng dữ liệu cá nhân của khách hàng vượt quá phạm vi các mục đích nêu trên. Nếu thay đổi mục đích sử dụng, Ngân hàng sẽ thông báo trước cho khách hàng về nội dung thay đổi và xin ý kiến chấp thuận của khách hàng nếu cần thiết.

1.3 Ngân hàng sẽ yêu cầu sự cho phép của Khách hàng trước khi xử lý dữ liệu cá nhân của Khách hàng cho các mục đích khác ngoài các mục đích nêu tại Chính sách này.

2. Loại dữ liệu, phương thức thu thập và cách thức xử lý

2.1 Các loại dữ liệu cá nhân mà Ngân hàng thu thập và xử lý, cũng như phương thức thu thập cụ thể, có thể thay đổi tùy theo luật pháp và quy định hiện hành. Về nguyên tắc, Ngân hàng thu thập các loại dữ liệu cá nhân được liệt kê dưới đây. Đây chỉ là các ví dụ minh họa, và có thể thu thập thêm dữ liệu tùy thuộc vào đặc thù của sản phẩm, dịch vụ, yêu cầu của khách hàng hoặc quá trình tương tác với Ngân hàng

  • Thông tin thu thập: Thông tin cá nhân cơ bản cần cho việc xác minh danh tính khách hàng và thực hiện giao dịch (ví dụ: họ tên, ngày tháng năm sinh, quốc tịch, số CMND/CCCD/ĐDCN,Giới tính hoặc hộ chiếu, ảnh, chữ ký, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế); thông tin liên hệ (địa chỉ, số điện thoại, email, thông tin tài khoản mạng xã hội – SNS ID v.v.); thông tin nghề nghiệp và đơn vị công tác; thông tin giao dịch tài chính (số tài khoản, số thẻ, lịch sử giao dịch, số dư, thông tin khoản vay, v.v.); thông tin tín dụng (xếp hạng tín dụng, lịch sử giao dịch tín dụng); thông tin sử dụng dịch vụ ngân hàng điện tử (Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân, Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị, ID ngân hàng trực tuyến, nhật ký truy cập, địa chỉ IP, v.v.) và thông tin khác được cung cấp, thu thập trong quá trình đăng ký, sử dụng dịch vụ hoặc tương tác, trao đổi giữa khách hàng và Ngân hàng.
  • Dữ liệu cá nhân nhạy cảm:Trong trường hợp các loại dữ liệu được pháp luật phân loại là dữ liệu cá nhân nhạy cảm thuộc phạm vi triển khai các nghiệp vụ của Ngân hàng, chúng tôi cũng có thể thu thập những dữ liệu đó. Ví dụ, thông tin sinh trắc học (vân tay, khuôn mặt, v.v.) có thể được thu thập với sự đồng ý rõ ràng của khách hàng để xác thực khi thực hiện giao dịch điện tử; hoặc thông tin tín dụng của khách hàng từ các tổ chức tín dụng (lịch sử giao dịch, lịch sử vay/quá hạn, v.v.) được pháp luật phân loại là dữ liệu nhạy cảm và sẽ được xử lý theo quy trình hợp pháp. (Việc xử lý dữ liệu nhạy cảm được giải thích chi tiết dưới Mục 7 bên dưới.)

2.2 Ngân hàng thu thập thông tin, dữ liệu thông qua nhiều phương thức khác nhau, bao gồm phương thức thu thập trực tiếp hoặc gián tiếp từ khách hàng (như là: khách hàng trực tiếp cung cấp qua hồ sơ đăng ký dịch vụ hoặc trong quá trình giao dịch với Ngân hàng; thông tin được tự động thu thập qua việc tương tác, đăng ký, sử dụng các dịch vụ Online Banking trên môi trường mạng, sử dụng phần mềm ứng dụng Mobile Banking; từ các trang tin điện tử của Ngân hàng; từ các trao đổi, liên lạc với khách hàng hàng; từ các phương tiện hoạc công nghệ khác), và thông tin được cung cấp từ bên thứ ba phù hợp với quy định pháp luật. Ví dụ: khi mở tài khoản hoặc đăng ký khoản vay, chúng tôi thu thập thông tin qua các mẫu đơn đề nghị (bản giấy hoặc điện tử); khi khách hàng sử dụng dịch vụ ngân hàng điện tử, thông tin truy cập có thể được thu thập qua cookie hoặc nhật ký; ngoài ra, cho mục đích kiểm tra tín dụng, chúng tôi có thể nhận thông tin đánh giá tín dụng của khách hàng từ cơ quan, tổ chức thông tin tín dụng phù hợp với quy định pháp luật.

Ngân hàng luôn nỗ lực để đảm bảo dữ liệu cá nhân được chính xác và cập nhật, và khi cần thiết có thể yêu cầu khách hàng hỗ trợ cập nhật thông tin. Khi đồng ý cung cấp và sử dụng dữ liệu cá nhân, khách hàng có quyền lựa chọn riêng biệt (Opt-in) cho từng hạng mục và từng mục đích cụ thể, và sự đồng ý này chỉ có hiệu lực trong phạm vi, mục đích đã xác định. Khách hàng có thể rút lại toàn bộ hoặc một phần sự đồng ý bất kỳ lúc nào trong phạm vi pháp luật cho phép và chịu trách nhiệm về các hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.

2.3 Dữ liệu cá nhân của Khách hàng sẽ được xử lý phù hợp với quy định pháp luật, thông qua các cách thức thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy, khử nhận dạng dữ liệu cá nhân hoặc các hành động khác có liên quan phù hợp từng thời điểm. Việc xử lý dữ liệu cá nhân của Khách hàng có thể được thực hiện tự động khi Khách hàng tương tác trên các Nền tảng số hoặc thực hiện theo nhu cầu của Ngân hàng tùy từng thời điểm khi phát sinh các mục đích xử lý dữ liệu tương ứng.Việc xử lý dữ liệu cá nhân của khách hàng có thể do Ngân hàng trực tiếp thực hiện và/hoặc thông qua ủy thác cho bên thứ ba hợp pháp xử lý theo quy định pháp luật và quy định của Ngân hàng.

3. Thời gian xử lý và lưu trữ dữ liệu cá nhân

3.1 Để đạt được các mục đích xử lý dữ liệu, Ngân hàng xử lý, lưu trữ dữ liệu cá nhân của khách hàng kể từ thời điểm dữ liệu cá nhân của khách hàng được Ngân hàng thu thập cho đến khi kết thúc việc xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

3.2 Ngân hàng chỉ lưu trữ và xử lý dữ liệu cá nhân đã thu thập trong thời gian cần thiết, hợp lý để đạt được mục đích xử lý dữ liệu cá nhân và trong thời gian lưu trữ bắt buộc theo quy định của pháp luật có liên quan. Thời gian lưu trữ cụ thể có thể khác nhau tùy theo loại dữ liệu cá nhân và mục đích xử lý, một số ví dụ tiêu biểu như sau:

  • Thông tin giao dịch tài chính:Các hồ sơ liên quan đến giao dịch tài chính như tài khoản, khoản vay, v.v., sẽ được lưu trữ trong một khoảng thời gian nhất định do pháp luật về tài chính của Việt Nam quy định, ngay cả sau khi giao dịch đã kết thúc (ví dụ: theo Luật Phòng, chống rửa tiền, hồ sơ giao dịch phải được lưu giữ tối thiểu 05 năm kể từ ngày kết thúc giao dịch).
  • Thông tin tín dụng:Các thông tin phục vụ mục đích đánh giá và thẩm định tín dụng chỉ được lưu giữ trong thời hạn do pháp luật quy định sau khi mục đích liên quan đã hoàn thành.
  • Thông tin liên quan đến giao dịch ngân hàng điện tử:Theo quy định pháp luật (ví dụ: Luật Giao dịch điện tử; quy định về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành ngân hàng; v.v), các thông tin như chi tiết giao dịch điện tử, nhật ký truy cập, v.v., sẽ được lưu trong một thời gian nhất định theo yêu cầu của các pháp luật liên quan.
  • Yêu cầu k hác ca pháp lut:Ngoài ra, nếu các quy định pháp luật khác (ví dụ: pháp luật điều chỉnh hoạt động của tổ chức tín dụng, pháp luật về thuế, kế toán, bảo vệ người tiêu dùng, v.v.) yêu cầu lưu trữ dữ liệu trong một khoảng thời gian nhất định thì Ngân hàng sẽ lưu giữ dữ liệu trong khoảng thời gian đó.

3.3 Khi thời hạn lưu trữ nêu trên đã hết hoặc mục đích xử lý dữ liệu cá nhân đã đạt được, ngân hàng sẽ thực hiện xóa, hủy, khử nhận dạng dữ liệu cá nhân theo quy định pháp luật và quy định của Ngân hàng. Tuy nhiên, các trường hợp ngoại lệ bao gồm trường hợp có sự đồng ý của khách hàng về một thời hạn lưu trữ khác hoặc trường hợp ngân hàng có nghĩa vụ theo quy định pháp luật phải tiếp tục lưu giữ thông tin.

4. Cung cấp dữ liệu cá nhân cho bên thứ ba (đối tác liên kết)

4.1 Ngân hàng theo nguyên tắc sẽ không cung cấp dữ liệu cá nhân của khách hàng cho bất kỳ bên thứ ba nào khi chưa có sự đồng ý trước của khách hàng. Tuy nhiên, trong những trường hợp sau đây theo căn cứ pháp luật hoặc có sự đồng ý của khách hàng, chúng tôi có thể cung cấp dữ liệu cá nhân một cách ngoại lệ:

  • Theo quy định pháp luật:Ngân hàng có thể cung cấp dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền (cơquan tư pháp, cơ quan quản lý, v.v.) khi có yêu cầu hợp pháp, hoặc khi pháp luật quy định tổ chức tài chính phải cung cấp thông tin khách hàng (ví dụ: cung cấp hồ sơ theo lệnh của tòa án, yêu cầu cung cấp thông tin vì mục đích an ninh quốc gia, v.v.). Trong những trường hợp này, thông tin chỉ được cung cấp trong phạm vi và theo đúng thủ tục do pháp luật quy định.
  • Cơ quan liên quan đến giao dịch tài chính:Để cung cấp dịch vụ tài chính thuận lợi và tuân thủ pháp luật, Ngân hàng có thể tra cứu và/hoặc cung cấp thông tin tín dụng của khách hàng cho các tổ chức thông tin tín dụng (ví dụ: Trung tâm Thông tin Tín dụng Quốc gia Việt Nam – CIC), và cung cấp thông tin cho các cơ quan nhà nước (ví dụ: cơ quan thuế, cơ quan hải quan, v.v.) trong phạm vi mà pháp luật cho phép.
  • Các công ty thuộc Tập đoàn Tài chính Woori:Chỉ khi có sự đồng ý của khách hàng, Ngân hàng mới chia sẻ một số thông tin cần thiết với công ty mẹ hoặc các công ty thành viên liên quan trong Tập đoàn Woori nhằm cung cấp dịch vụ tích hợp ở cấp độ tập đoàn hoặc để quản trị rủi ro, v.v. (Ví dụ: trong trường hợp tiếp thị chung trong tập đoàn, sẽ chỉ chia sẻ lượng thông tin tối thiểu trong phạm vi mà khách hàng đã đồng ý trước.)
  • Đối tác liên kết khác:Nếu khách hàng đăng ký một dịch vụ liên kết cụ thể (ví dụ: sản phẩm bảo hiểm liên kết ngân hàng, thẻ liên kết marketing, v.v.), Ngân hàng sẽ cung cấp thông tin cần thiết cho nhà cung cấp dịch vụ liên kết đó với sự đồng ý của khách hàng. Trong trường hợp này, Ngân hàng sẽ thông báo riêng cho khách hàng về đối tượng nhận thông tin, loại thông tin sẽ được cung cấp, mục đích cung cấp và lấy sự đồng ý của khách hàng.

4.2 Ngân hàng tuân thủ nghiêm ngặt nghĩa vụ bảo mật thông tin khách hàng, bảo vệ dữ liệu cá nhân theo Luật Các tổ chức tín dụng và các quy định pháp luật có liên quan của Việt Nam, và sẽ không cung cấp dữ liệu cá nhân của khách hàng ra bên ngoài, ngoại trừ những trường hợp liệt kê ở trên. Ngay cả khi cung cấp dữ liệu cá nhân trong các trường hợp trên, Ngân hàng cũng chỉ cung cấp phạm vi thông tin tối thiểu cần thiết và luôn tuân thủ chặt chẽ các quy định pháp luật liên quan.

  • Tham khảo danh sách công ty liên kết tại: ……………

5. Ủy thác xử lý dữ liệu cá nhân

5.1 Ngân hàng có thể ủy thác một hoặc một số số công việc xử lý dữ liệu cá nhân cho bên thứ ba là các công ty chuyên môn bên ngoài nhằm phục vụ vận hành dịch vụ và thực hiện nghiệp vụ trong phạm vi pháp luật cho phép. Một số công việc ủy thác chính và đơn vị nhận ủy thác (đơn vị xử lý) tiêu biểu như sau:

  • Vận hành hệ thống CNTT:Ngân hàng có thể ủy thác một hoặc một số hoạt động xử lý dữ liệu cá nhân cho các công ty công nghệ thông tin chuyên nghiệp nhằm phát triển và bảo trì hệ thống máy tính, lưu trữ máy chủ, v.v. (Ví dụ: công ty quản lý hệ thống máy tính, nhà cung cấp dịch vụ đám mây, v.v.)
  • Phát hành/gửi thẻ:Ngân hàng có thể ủy thác cho các công ty chuyên biệt việc sản xuất thẻ tín dụng và vận chuyển/thư tín giao thẻ cho khách hàng.
  • Trung tâm tư vấn khách hàng:Ngân hàng có thể ủy thác cho các công ty dịch vụ call center bên ngoài việc tiếp nhận hỗ trợ khách hàng hoặc vận hành tổng đài chăm sóc khách hàng.
  • Đại lý tiếp thị:Ngân hàng có thể ủy thác cho các công ty đại lý việc gửi các thông điệp tiếp thị đến khách hàng (chỉ được thực hiện khi đã có sự đồng ý của khách hàng).

5.2 Khi ủy thác xử lý dữ liệu cá nhân, Ngân hàng ghi rõ nghĩa vụ bảo vệ dữ liệu cá nhân, bảo mật dữ liệu và yêu cầu tuân thủ các biện pháp an ninh đối với bên nhận ủy thác trong hợp đồng, đồng thời giám sát định kỳ việc tuân thủ. Nếu có thay đổi về tình hình ủy thác (ví dụ: thay đổi danh sách bên nhận ủy thác), Ngân hàng sẽ cập nhật trong chính sách này và/hoặc thông báo riêng đến khách hàng. Khách hàng cũng có thể liên hệ với Ngân hàng bất kỳ lúc nào để yêu cầu thông tin mới nhất về các hoạt động xử lý dữ liệu cá nhân của mình mà Ngân hàng ủy thác xử lý.

5.3 Tham khảo danh sách các công ty nhận ủy thác và tái ủy thác tại: ………

6. Chuyển dữ liệu cá nhân ra nước ngoài

6.1 Trong quá trình cung cấp dịch vụ cho khách hàng và cho các mục đích xử lý dữ liệu cá nhân của khách hàng, nếu cần thiết, Ngân hàng có thể chuyển dữ liệu cá nhân của khách hàng ra nước ngoài. Một số trường hợp chính có thể dẫn đến việc chuyển dữ liệu ra nước ngoài như sau:

  • Chia sẻ thông tin với trụ sở chính và công ty thành viên:Có những trường hợp cần trao đổi thông tin nghiệp vụ với trụ sở chính hoặc công ty mẹ của Ngân hàng tại Hàn Quốc (hoặc các quốc gia khác). Ví dụ: để phục vụ công tác quản trị rủi ro cấp tập đoàn, kiểm toán nội bộ hoặc hỗ trợ vận hành hệ thống CNTT, Ngân hàng có thể chuyển thông tin khách hàng sang Trụ sở chính Ngân hàng Woori ở Hàn Quốc để xử lý.
  • Sử dụng dịch vụ CNTT toàn cầu:Nếu máy chủ của dịch vụ đám mây hoặc giải pháp CNTT toàn cầu mà Ngân hàng sử dụng được đặt ở nước ngoài, dữ liệu khách hàng có thể được lưu trữ hoặc xử lý tạm thời trên máy chủ ở nước ngoài thông qua các hệ thống đó.

6.2 Khi chuyển dữ liệu cá nhân ra nước ngoài, Ngân hàng tuân thủ đầy đủ các yêu cầu của pháp luật về bảo vệ dữ liệu, luật dữ liệu và các quy định pháp luật khác có liên quan. Cụ thể, Ngân hàng chỉ thực hiện chuyển dữ liệu ra nước ngoài trong phạm vi đã được khách hàng đồng ý trước, và tiến hành đánh giá tác động cũng như triển khai các biện pháp bảo mật theo quy định của pháp luật bảo vệ dữ liệu cá nhân, luật dữ liệu trước khi thực hiện chuyển dữ liệu. Khi chuyển dữ liệu ra nước ngoài, Ngân hàng đảm bảo tuân thủ các quy định của pháp luật liên quan đến việc chuyển giao dữ liệu cá nhân của Khách hàng ra nước ngoài . Đồng thời, Ngân hàng cũng ký kết các thỏa thuận hoặc thực hiện các biện pháp cần thiết để đảm bảo bên tiếp nhận ở nước ngoài bảo vệ thích đáng dữ liệu cá nhân, và thực hiện các thủ tục yêu cầu với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) theo quy định (ví dụ: Báo cáo đánh giá tác động).

6.3 Khách hàng có quyền rút lại sự đồng ý đối với việc chuyển dữ liệu ra nước ngoài bất cứ lúc nào. Khi khách hàng rút lại sự đồng ý, Ngân hàng sẽ ngừng việc chuyển dữ liệu cá nhân ra nước ngoài tiếp theo và thực hiện các biện pháp cần thiết khác phù hợp với quy định pháp luật và quy định nội bộ của Ngân hàng.

7. Xử lý dữ liệu cá nhân nhạy cảm

7.1 Dữ liệu cá nhân nhạy cảm (dữ liệu nhạy cảm) được hiểu là những thông tin về đời sống riêng tư của cá nhân mà nếu bị xâm phạm có thể ảnh hưởng trực tiếp đến quyền và lợi ích của chủ thể dữ liệu. Theo pháp luật Việt Nam, các loại dữ liệu sau đây được coi là dữ liệu nhạy cảm: quan điểm chính trị, quan điểm tôn giáo; thông tin về sức khỏe và y tế, thông tin sinh trắc học và thông tin di truyền, đời sống tình dục hoặc xu hướng tình dục, tiền án tiền sự, dữ liệu về vị trí (địa điểm), thông tin khách hàng của tổ chức tín dụng, và các dữ liệu nhạy cảm khác do pháp luật quy định từng thời kỳ.

7.2 Trong phạm vi các dữ liệu cá nhân mà Ngân hàng xử lý, có thể bao gồm những dữ liệu được coi là nhạy cảm nhưtrên. Ngân hàng luôn xử lý các dữ liệu nhạy cảm này với biện pháp bảo vệ đặc biệt như sau:

  • Khi thu thập hoặc sử dụng dữ liệu nhạy cảm, Ngân hàng sẽ lấy sự đồng ý riêng biệt của khách hàng. Ví dụ, nếu cần sử dụng thông tin sinh trắc học như dấu vân tay hoặc nhận diện khuôn mặt trong giao dịch điện tử, chúng tôi sẽ giải thích cho khách hàng về mục đích, phương thức, biện pháp bảo mật liên quan và lấy sự đồng ý rõ ràng của khách hàng.
  • Những thông tin giao dịch tài chính được coi là dữ liệu nhạy cảm (ví dụ: thông tin tín dụng) sẽ được bảo vệ nghiêm ngặt theo các quy định pháp luật tài chính liên quan, và sẽ không được cung cấp cho bên thứ ba nếu không có căn cứ pháp lý.
  • Trong quá trình xử lý dữ liệu nhạy cảm, Ngân hàng áp dụng các biện pháp bảo mật tăng cường như kiểm soát quyền truy cập và mã hóa dữ liệu để bảo vệ thông tin. Ngoài ra, nếu pháp luật yêu cầu, Ngân hàng sẽ tuân thủ các thủ tục như thông báo cho cơ quan bảo vệ dữ liệu cá nhân có thẩm quyền về việc xử lý dữ liệu nhạy cảm (ví dụ: chỉ định bộ phận và người phụ trách bảo vệ dữ liệu nhạy cảm nội bộ, sau đó thông báo cho cơ quan chức năng).

Nếu có trường hợp Ngân hàng có nghĩa vụ thông báo cho khách hàng về việc xử lý dữ liệu nhạy cảm, chúng tôi sẽ thông báo kịp thời và tiến hành các thủ tục lấy sự đồng ý cần thiết. (Ngoại trừ những trường hợp pháp luật cho phép miễn thông báo hoặc miễn lấy sự đồng ý.)

  • 3 Ngân hàng quản lý dữ liệu nhạy cảm một cách an toàn và tách biệt với dữ liệu cá nhân thông thường, đồng thời đáp ứng các tiêu chuẩn bảo vệ bổ sung do pháp luật quy định, đảm bảo không xâm phạm quyền và lợi ích của chủ thể dữ liệu.

8. Căn cứ pháp lý và sự đồng ý trong xử lý dữ liệu cá nhân

8.1 Ngân hàng lấy sự đồng ý của chủ thể dữ liệu làm căn cứ pháp lý chính trong việc xử lý dữ liệu cá nhân của khách hàng. Thông tin cá nhân mà khách hàng cung cấp trong quá trình mở tài khoản, đăng ký sản phẩm, v.v., sẽ được xử lý trên cơ sở sự đồng ý của khách hàng trong phạm vi mục đích tương ứng. Sự đồng ý được khách hàng cung cấp một cách tự nguyện; sự im lặng hoặc không phản hồi của khách hàng sẽ không được coi là sự đồng ý. Khi cần lấy sự đồng ý cho nhiều mục đích khác nhau cùng một lúc, Ngân hàng sẽ phân biệt rõ từng mục đích để khách hàng có thể lựa chọn đồng ý cho từng mục đích một cách độc lập.

8.2 Tuy nhiên, trong những trường hợp ngoại lệ được pháp luật cho phép sau đây, Ngân hàng có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý riêng của khách hàng:

  • Tình huống khẩn cấp:Khi cần xử lý ngay lập tức dữ liệu cá nhân để bảo vệ tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc của người khác (ví dụ: trường hợp cấp cứu y tế khẩn cấp, v.v.).
  • Theo quy định pháp luật:Khi việc công khai hoặc sử dụng dữ liệu cá nhân được pháp luật khác cho phép hoặc yêu cầu (ví dụ: cung cấp dữ liệu theo quy định của pháp luật tố tụng hình sự, v.v.).
  • Xử lý bởi cơ quan nhà nước:Khi cơ quan nhà nước xử lý dữ liệu cá nhân theo quy định pháp luật vì mục đích an ninh quốc gia, duy trì trật tự, điều tra phòng chống tội phạm, v.v.
  • Thực hiện hợp đồng:Khi cần thiết cho việc thực hiện hợp đồng của khách hàng (chủ thể dữ liệu) đã ký với cơquan, tổ chức, cá nhân có liên quan theo quy định pháp luật, Ngân hàng có thể xử lý dữ liệu cá nhân trong phạm vi phục vụ mục đích hợp đồng đó mà không cần sự đồng ý riêng. (Ví dụ: xử lý thông tin trong phạm vi cần thiết để thực hiện giao dịch tài chính theo yêu cầu của khách hàng.)
  • Lợi ích công cộng và các trường hợp khác:Các trường hợp khác có lý do chính đáng mà pháp luật Việt Nam cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.

Trong các trường hợp nêu trên, Ngân hàng có thể xử lý dữ liệu cá nhân mà không cần lấy sự đồng ý riêng của khách hàng. Tuy nhiên, kể cả trong những trường hợp đó, Ngân hàng cũng sẽ chỉ xử lý dữ liệu ở phạm vi tối thiểu cần thiết, đảm bảo không xâm phạm quyền của chủ thể dữ liệu và giữ an toàn dữ liệu cá nhân, đồng thời tuân thủ nghiêm ngặt các quy định pháp luật liên quan.

8.3 Ngay cả sau khi khách hàng đã đồng ý cho việc xử lý dữ liệu cá nhân, khách hàng vẫn có quyền rút lại sự đồng ý bất cứ lúc nào trong phạm vi pháp luật cho phép. Khi khách hàng rút lại sự đồng ý, Ngân hàng sẽ ngừng hoạt động xử lý dữ liệu cá nhân tương ứng và thực hiện các trách nhiệm, nghĩa vụ khác theo quy định pháp luật. Đối với những xử lý đã được thực hiện trước khi rút lại sự đồng ý, Ngân hàng sẽ áp dụng các biện pháp phù hợp theo quy định pháp luật. Ngân hàng thông báo cho khách hàng về những hậu quả bất lợi có thể phát sinh khi rút lại sự đồng ý (Lưu ý: việc rút lại sự đồng ý không có hiệu lực hồi tố đối với những dịch vụ đã được cung cấp trước đó. Ngoài ra, mặc dù khách hàng rút lại sự đồng ý nhưng đối với các thông tin, dữ liệu mà pháp luật yêu cầu Ngân hàng phải lưu trữ vẫn có thể được lưu giữ cho đến hết thời hạn lưu trữ theo quy định.)

9. Quyền của chủ thể dữ liệu và cách thức thực hiện

9.1 Theo pháp luật bảo vệ dữ liệu cá nhân của Việt Nam, khách hàng có nhiều quyền khác nhau liên quan đến dữ liệu cá nhân của mình. Ngân hàng đã thiết lập các thủ tục cần thiết để đảm bảo khách hàng có thể thực hiện các quyền này. Khách hàng (chủ thể dữ liệu) có các quyền chính và cách thức thực hiện như sau:

  • Quyền được biết (Right to be informed):Khách hàng có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác. Ví dụ dữ liệu cá nhân của mình đang được thu thập và sử dụng dưới hình thức nào, mục đích và phạm vi xử lý ra sao, v.v. Ngân hàng cung cấp thông tin cơ bản đó thông qua Chính sách này, các bản điều khoản và điều kiện liên quan đến việc thu thập, xử lý, bảo vệ dữ liệu cá nhân của các sản phẩm, dịch vụ cung cấp bởi Ngân hàng (nếu có) và sẽ giải thích chi tiết thêm nếu khách hàng có yêu cầu.
  • Quyền lựa chọn đồng ý và quyền rút lại sự đồng ý (Right to consent & withdraw):Khách hàng có quyền quyết định việc cung cấp dữ liệu cá nhân của mình hay không, và sau khi đã đồng ý cung cấp, khách hàng có quyền rút lại sự đồng ý bất cứ lúc nào. Khách hàng có thể rút lại sự đồng ý bằng cách đến chi nhánh của Ngân hàng, liên hệ tổng đài hỗ trợ khách hàng, hoặc thay đổi cài đặt trên website/ứng dụng của Ngân hàng. Khi nhận được yêu cầu rút lại, Ngân hàng sẽ xử lý trong vòng tối đa 72 giờ (trừ trường hợp pháp luật có quy định khác) và sau đó ngừng xử lý dữ liệu cá nhân liên quan theo quy định pháp luật.
  • Quyền yêu cầu truy cập và cung cấp dữ liệu (Right of access & data provision):Khách hàng có quyền yêu cầu được xem hoặc nhận bản sao dữ liệu cá nhân của mình do Ngân hàng lưu giữ theo quy định pháp luật. Sau khi xác minh danh tính của khách hàng, Ngân hàng sẽ cung cấp thông tin đó trong một thời hạn hợp lý. Lưu ý rằng yêu cầu có thể bị từ chối hoặc hạn chế trong trường hợp pháp luật không cho phép (ví dụ: nếu cung cấp thông tin có thể xâm phạm quyền lợi của người khác).
  • Quyền yêu cầu chỉnh sửa và xóa (Right to rectification & deletion):Khách hàng có quyền chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình nếu dữ liệu đó không chính xác hoặc không đầy đủ, trừ trường hợp pháp luật có quy định khác. Khách hàng cũng có quyền yêu cầu xóa dữ liệu cá nhân nếu đã đáp ứng các điều kiện theo quy định pháp luật (ví dụ: dữ liệu không còn cần thiết vì mục đích xử lý đã đạt được). Khi nhận được yêu cầu chỉnh sửa hoặc xóa, Ngân hàng sẽ nhanh chóng xem xét và thực hiện, đồng thời thông báo kết quả cho khách hàng. Tuy nhiên, nếu một luật khác yêu cầu Ngân hàng lưu trữ thông tin đó trong một thời gian nhất định, việc xóa có thể được hoãn lại cho đến khi hết thời hạn lưu trữ theo luật định.
  • Quyền yêu cầu hạn chế xử lý (Right to restrict processing):Khách hàng có quyền yêu cầu tạm thời hạn chế việc xử lý dữ liệu cá nhân của mình trong một số trường hợp đặc biệt. Ví dụ, nếu có tranh cãi về tính chính xác của dữ liệu cá nhân, khách hàng có thể yêu cầu hạn chế xử lý trong thời gian chờ xác minh. Theo quy định pháp luật, việc hạn chế xử lý  dữ liệu được thực hiện trong vòng 72 giờ sau khi có yêu cầu của khách hàng và Ngân hàng sẽ thực hiện các biện pháp cần thiết phù hợp với quy định pháp luật để hạn chế xử lý dữ liệu cá nhân liên quan (trừ những trường hợp pháp luật có quy định khác).
  • Quyền phản đối xử lý (Right to object):Khách hàng có quyền phản đối việc dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp pháp luật có quy định khác. Ngân hàng thực hiện yêu cầu của khách hàng trong vòng 72 giờ, và nếu xác định sự phản đối là có cơ sở hợp lý, Ngân hàng sẽ ngừng việc xử lý dữ liệu liên quan hoặc sẽ thực hiện các biện pháp cần thiết khác phù hợp với quy định pháp luật để xử lý dữ liệu liên quan.
  • Quyền khiếu nại và yêu cầu biện pháp pháp lý (Right to complain & legal action):Khách hàng có quyền gửi câu hỏi hoặc khiếu nại về việc Ngân hàng xử lý dữ liệu cá nhân, và nếu không hài lòng với phản hồi của Ngân hàng, khách hàng có quyền khiếu nại, tố cáo đến cơ quan có thẩm quyền hoặc khởi kiện tại tòa án theo quy định pháp luật. Khách hàng có thể khiếu nại lên cơ quan phụ trách bảo vệ dữ liệu cá nhân của Việt Nam (ví dụ: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an) hoặc cơ quan bảo vệ quyền lợi người tiêu dùng theo quy trình tương ứng, hoặc khởi kiện yêu cầu bồi thường thiệt hại thông qua tòa án nếu phát sinh thiệt hại.
  • Quyền yêu cầu bồi thường thiệt hại: Khách hàng có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc pháp luật có quy định khác.
  • Quyền tự bảo vệ dữ liệu cá nhân (Right to self-defense):Khách hàng có quyền tự mình thực hiện các biện pháp cần thiết để bảo vệ dữ liệu cá nhân của mình theo quy định của Bộ luật Dân sự, quy định pháp luật về bảo vệ dữ liệu cá nhân và quy định pháp luật khác có liên quan hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự 2015. Ngân hàng cung cấp hướng dẫn cho khách hàng về các quy tắc và thông tin bảo mật quan trọng để khách hàng có thể tự bảo vệ dữ liệu cá nhân.

9.2 Nếu muốn thực hiện bất kỳ quyền nào nêu trên, khách hàng có thể gửi yêu cầu đến Cán bộ phụ trách bảo vệ dữ liệu cá nhân hoặc bộ phận phụ trách tương ứng của Ngân hàng (xem thông tin liên hệ tại Mục 13 bên dưới). Ngân hàng sẽ hỗ trợ khách hàng thực hiện quyền một cách nhanh chóng và thiện chí, đồng thời thông báo kết quả trong thời hạn phản hồi luật định. Việc thực hiện các quyền nói trên về nguyên tắc là miễn phí; chỉ trong phạm vi pháp luật cho phép ngân hàng mới thu phí thực tế (ví dụ: trường hợp yêu cầu lặp đi lặp lại quá nhiều lần hoặc đòi hỏi khối lượng công việc quá mức).

10. Các biện pháp đảm bảo an toàn dữ liệu cá nhân

10.1 Để bảo vệ an toàn dữ liệu cá nhân của khách hàng, Ngân hàng đang thực hiện các biện pháp bảo vệ cả về kỹ thuật và quản lý như sau:

  • Hệ thống quản lý nội bộ:Ngân hàng đã ban hành các quy định và hướng dẫn nội bộ về bảo vệ dữ liệu cá nhân, đồng thời tổ chức đào tạo và kiểm tra định kỳ cho nhân viên. Trong mỗi quy trình xử lý dữ liệu cá nhân, Ngân hàng đều chỉ định người chịu trách nhiệm và kiểm soát việc cấp, thay đổi, hủy bỏ quyền truy cập, v.v. nhằm quản lý chặt chẽ.
  • Kiểm soát truy cập và quản lý quyền hạn:Đối với các hệ thống và cơ sở dữ liệu lưu trữ dữ liệu cá nhân, Ngân hàng áp dụng kiểm soát nghiêm ngặt việc cấp, thay đổi, thu hồi quyền truy cập. Ngân hàng cũng triển khai các giải pháp kiểm soát truy cập hệ thống nhằm ngăn chặn việc tiếp cận trái phép bởi những người không có thẩm quyền.
  • Mã hóa dữ liệu:Các dữ liệu cá nhân quan trọng của khách hàng (ví dụ: số CMND/CCCD/ĐDCN, số tài khoản, thông tin xác thực, v.v.) được bảo vệ bằng công nghệ mã hóa mạnh khi lưu trữ và truyền tải. Chẳng hạn, dữ liệu nhạy cảm trong cơ sở dữ liệu được lưu trữ dưới dạng đã mã hóa, và khi truyền qua Internet, ngân hàng sử dụng giao thức truyền thông bảo mật (như SSL) để mã hóa.
  • Bảo mật mạng:Ngân hàng triển khai các tường lửa (Firewall) và hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) để ngăn chặn hành vi tấn công hoặc virus từ bên ngoài. Đồng thời, Ngân hàng tiến hành kiểm tra định kỳ các lỗ hổng bảo mật và cập nhật hệ thống thường xuyên.
  • An ninh vật lý:Phòng máy chủ và phòng lưu trữ tài liệu chứa dữ liệu cá nhân đều được quản lý thông qua hệ thống kiểm soát ra vào, chỉ cho phép những người có thẩm quyền tiếp cận. Chúng tôi cũng áp dụng các biện pháp an ninh vật lý như giám sát bằng camera CCTV, khóa cửa an toàn, v.v., nhằm ngăn chặn truy cập trái phép.
  • Vị trí lưu trữ dữ liệu:Ngân hàng tuân thủ Luật An ninh mạng của Việt Nam và các quy định liên quan, về nguyên tắc lưu trữ các dữ liệu cá nhân quan trọng của khách hàng trên máy chủ an toàn nằm trong lãnh thổ Việt Nam. (Đối với dữ liệu chuyển ra nước ngoài, chúng tôi quản lý an toàn theo thủ tục đề cập tại Mục 6 ở trên.)
  • Ứng phó sự cố xâm phạm dữ liệu:Ngân hàng đã xây dựng kế hoạch ứng phó trong trường hợp xảy ra các sự cố rò rỉ hoặc hư hại dữ liệu cá nhân, và tiến hành diễn tập định kỳ. Nếu không may xảy ra sự cố, ngân hàng sẽ thông báo cho cơ quan quản lý có thẩm quyền trong vòng 72 giờ theo quy định pháp luật, đồng thời nhanh chóng thông báo cho khách hàng liên quan để ngăn chặn thiệt hại lan rộng.
  • Các biện pháp khác: Ngoài các biện pháp nêu trên, Ngân hàng sẽ triển khai các biện pháp bảo vệ dữ liệu cá nhân khác theo quy định của pháp luật và/hoặc quy định nội bộ của Ngân hàng từng thời kỳ.

10.2 Ngân hàng luôn nỗ lực duy trì việc quản lý an toàn dữ liệu cá nhân thông qua các biện pháp nêu trên. Nếu phát hiện bất kỳ điểm yếu nào trong bảo mật, Ngân hàng sẽ lập tức đưa ra biện pháp khắc phục và cải tiến nhằm đảm bảo dữ liệu cá nhân của khách hàng được bảo vệ tối đa.

11. Tiêu hủy, xóa và khử nhận dạng dữ liệu cá nhân

11.1 Ngân hàng sẽ tiêu hủy, xóa dữ liệu cá nhân khi thời hạn lưu trữ đã hết hoặc mục đích xử lý đã đạt được hoặc các trường hợp khác theo quy định pháp luật.

11.2 Quy trình và phương pháp tiêu hủy, xóa dữ liệu cá nhân được thực hiện như sau:

  • Quy trình tiêu hủy, xóa:Khi thời hạn lưu trữ quy định tại Mục 3 nêu trên kết thúc hoặc dữ liệu cá nhân trở nên không còn cần thiết hoặc theo yêu cầu của pháp luật, Ngân hàng sẽ đưa những dữ liệu đó vào danh sách tiêu hủy, xóa theo quy trình nội bộ. Các dữ liệu được phê duyệt tiêu hủy, xóa không thể khôi phục sẽ được kiểm tra lại bởi người có trách nhiệm nội bộ và sau đó bị tiêu hủy, xóa ngay. Nếu khách hàng yêu cầu xóa dữ liệu cá nhân của mình vì có lý do chính đáng, Ngân hàng sẽ xác minh và tiến hành tiêu hủy, xóa theo quy định pháp luật.
  • Phương pháp tiêu hủy, xóa:Đối với dữ liệu cá nhân ở dạng tệp điện tử, Ngân hàng xóa vĩnh viễn bằng các phương pháp không cho phép khôi phục hoặc tái tạo lại dữ liệu. Ví dụ: sử dụng phần mềm chuyên dụng để xóa vĩnh viễn dữ liệu, hoặc đặt lại và ghi đè lên thiết bị lưu trữ để không thể khôi phục dữ liệu. Đối với dữ liệu cá nhân ở dạng tài liệu giấy, Ngân hàng tiêu hủy bằng cách cho vào máy hủy tài liệu hoặc thiêu hủy.
  • Tiêu hủy, xóa một phần và khử nhận dạng dữ liệu cá nhân:Ngay cả khi chưa hết toàn bộ thời hạn lưu trữ, nếu một phần thông tin không còn cần thiết hoặc cần chuyển đổi sang hình thức không định danh theo yêu cầu pháp luật, Ngân hàng sẽ tiêu hủy, xóa phần thông tin đó hoặc khử nhận dạng dữ liệu cá nhân để thông tin không còn có thể xác định, nhận dạng hoặc giúp xác định, nhận dạng được một cá nhân cụ thể.

11.3 Tuy nhiên, đối với dữ liệu cá nhân mà pháp luật khác yêu cầu phải lưu trữ trong một thời gian nhất định, Ngân hàng sẽ chỉ tiêu hủy, xóa sau khi hết thời hạn lưu trữ đó. Ngoài ra, nếu khách hàng yêu cầu xóa dữ liệu cá nhân nhưng việc xóa ngay lập tức có thể ảnh hưởng đến quyền lợi của người khác hoặc dẫn đến vi phạm pháp luật, Ngân hàng sẽ giải thích lý do cho khách hàng và có thể từ chối hoặc hoãn việc xóa theo từng trường hợp.

11.4 Sau khi hoàn tất việc tiêu hủy, xóa dữ liệu, Ngân hàng ghi nhận nội bộ về việc tiêu hủy, xóa dữ liệu và quản lý các hồ sơ liên quan. Ngân hàng lập tài liệu về quá trình tiêu hủy, xóa dữ liệu để có thể chứng minh việc tiêu hủy, xóa đã diễn ra khi cơ quan bảo vệ dữ liệu cá nhân hoặc cơ quan có thẩm quyền yêu cầu kiểm tra.

12. Bảo vệ dữ liệu cá nhân của trẻ em và bảo vệ người tiêu dùng dễ bị tổn thương

12.1 Ngân hàng đặc biệt chú trọng bảo vệ dữ liệu cá nhân của trẻ em dưới 16 tuổi. Thông thường, các dịch vụ tài chính của ngân hàng chủ yếu dành cho người trưởng thành; việc cung cấp dịch vụ cho người chưa thành niên sẽ được thực hiện với sự đồng ý và tham gia của người đại diện theo pháp luật.

  • Trẻ em dưới 07 tuổi:Theo quy định pháp luật, việc xử lý dữ liệu cá nhân của trẻ em dưới 07 tuổi phải có sự đồng ý của cha, mẹ hoặc người giám hộ. Ngân hàng chúng tôi không trực tiếp thu thập dữ liệu cá nhân từ trẻ em dưới 7 tuổi. Trong trường hợp cần xử lý thông tin liên quan đến trẻ (ví dụ: mở tài khoản mang tên con chưa thành niên), Ngân hàng yêu cầu người đại diện theo pháp luật của trẻ thực hiện việc đăng ký thay và cung cấp sự đồng ý, (trừ trường hợp không cần sự đồng ý theo quy định pháp luật).
  • Trẻ em từ 07 tuổi đến dưới 16 tuổi:Đối với khách hàng chưa thành niên trong độ tuổi này muốn sử dụng sản phẩm hoặc dịch vụ tài chính, phải có sự đồng ý của chính khách hàng đó cùng với sự đồng ý của cha, mẹ hoặc người giám hộ (trừ trường hợp không cần sự đồng ý theo quy định pháp luật). Ngân hàng sẽ xác minh độ tuổi của khách hàng trẻ em, yêu cầu nộp văn bản đồng ý của cha, mẹ hoặc người giám hộ, và chỉ xử lý thông tin ở phạm vi hạn chế cho đến khi nhận được sự đồng ý cần thiết.
  • Xác minh độ tuổi và kiểm tra sự đồng ý:Khi khách hàng đăng ký hoặc thực hiện giao dịch, Ngân hàng kiểm tra giấy tờ tùy thân để xác minh thông tin tuổi và xác định liệu khách hàng có thuộc trường hợp trẻ em hay không nếu cần thiết. Nếu cần xử lý dữ liệu cá nhân của trẻ em, Ngân hàng chỉ tiến hành sau khi đã xác minh độ tuổi và kiểm tra sự đồng ý của người đại diện theo pháp luật.
  • Hạn chế sử dụng dữ liệu của trẻ em:Nếu dữ liệu cá nhân của trẻ em dưới 16 tuổi được thu thập mà không có sự đồng ý của người đại diện theo pháp luật, Ngân hàng sẽ ngay lập tức tiêu hủy, xóa hoặc ngừng sử dụng dữ liệu đó. Ngoài ra, dữ liệu cá nhân của trẻ em tuyệt đối sẽ không được sử dụng cho các mục đích khác như tiếp thị.

12.2 Những quy định, biện pháp trên nhằm tuân thủ pháp luật Việt Nam và các chuẩn mực quốc tế về bảo vệ dữ liệu cá nhân của trẻ em và thanh thiếu niên. Ngân hàng luôn đặt quyền và lợi ích của khách hàng chưa thành niên lên hàng đầu khi xử lý dữ liệu cá nhân của các em. Trường hợp cha, mẹ hoặc người giám hộ có quyền yêu cầu xem xét, chỉnh sửa, xóa dữ liệu cá nhân của trẻ em, Ngân hàng sẽ nhanh chóng xử lý sau khi xác nhận tư cách đại diện theo pháp luật hợp pháp của người yêu cầu.

12.3 Ngân hàng áp dụng các biện pháp bảo vệ đặc biệt khi xử lý dữ liệu cá nhân của người tiêu dùng dễ bị tổn thương như trẻ vị thành niên, người cao tuổi, người khuyết tật, phụ nữ mang thai… và luôn đảm bảo tối đa quyền lợi, lợi ích hợp pháp của họ theo quy định pháp luật.

13. Cán bộ chịu trách nhiệm bảo vệ dữ liệu cá nhân (DPO) và thông tin liên hệ

13.1 Ngân hàng đã chỉ định Nhân sự phụ trách bảo vệ dữ liệu cá nhân (DPO – Data Protection Officer) để giám sát việc tuân thủ các quy định liên quan đến xử lý dữ liệu cá nhân và làm đầu mối tiếp nhận các yêu cầu của khách hàng. Cán bộ DPO chịu trách nhiệm toàn diện về công tác bảo vệ dữ liệu cá nhân tại Ngân hàng, bao gồm đào tạo nhân viên, kiểm soát và giám sát nội bộ, cũng như phối hợp với các cơ quan chức năng.

  • Nhân sự phụ trách bảo vệ dữ liệu cá nhân (DPO):Khối Nền tảng ICT

          + Trần Huy – Email: TranHuy@woori.com.vn

          + Shin SeungHoon – Email: shinshoon@woori.com.vn

  • Bộ phận phụ trách bảo vệ dữ liệu cá nhân:Bộ PhậnInformation Security, Khối Nền tảng ICT;

13.2 Khách hàng có thể gửi các câu hỏi, khiếu nại hoặc yêu cầu thực hiện quyền liên quan đến dữ liệu cá nhân đến DPO hoặc Bộ phận phụ trách nêu trên. Khách hàng có thể liên hệ qua điện thoại, email hoặc văn bản tùy theo phương thức thuận tiện; Ngân hàng sẽ phản hồi một cách nhanh chóng và tận tình. Cán bộ DPO có trách nhiệm trả lời các yêu cầu của khách hàng trong thời hạn luật định và thực hiện các biện pháp bổ sung cần thiết nếu có.

14. Quy trình giải quyết thắc mắc và khiếu nại của khách hàng

14.1 Ngân hàng đã thiết lập quy trình để xử lý hiệu quả các thắc mắc và khiếu nại liên quan đến việc bảo vệ, xử lý dữ liệu cá nhân của khách hàng. Nếu khách hàng có câu hỏi, kiến nghị hoặc khiếu nại về việc xử lý dữ liệu cá nhân, khách hàng có thể thực hiện theo quy trình dưới đây vào bất cứ lúc nào:

  • Gửi thắc mắc/khiếu nại:Khách hàng có thể gửi thắc mắc hoặc khiếu nại liên quan đến bảo vệ dữ liệu cá nhân bằng cách đến trực tiếp chi nhánh của Ngân hàng, gọi điện đến tổng đài khách hàng 1800-6003, hoặc gửi email theo thông tin liên hệ tại Mục 13 nêu trên. Khi gửi thắc mắc/khiếu nại, khách hàng vui lòng cung cấp nội dung cụ thể của vấn đề cùng với thông tin xác minh danh tính để Ngân hàng có thể hỗ trợ xử lý một cách thuận lợi.
    Tham khảo tại chi nhánh Ngân hàng: ………
  • Tiếp nhận và xác minh:Ngay sau khi tiếp nhận thắc mắc hoặc khiếu nại của khách hàng, Ngân hàng sẽ chuyển thông tin đến bộ phận phụ trách (Bộ phận IT Security) để kiểm tra và xác minh các tình tiết liên quan. Trong quá trình này, nếu cần bổ sung thông tin, Ngân hàng có thể chủ động liên hệ khách hàng để làm rõ.
  • Phản hồi và giải quyết:Ngân hàng sẽ nỗ lực phản hồi kết quả xử lý cho khách hàng trong thời gian sớm nhất (thông thường không quá 15 ngày làm việc kể từ khi tiếp nhận, trừ trường hợp pháp luật có quy định khác). Đối với trường hợp khiếu nại, Ngân hàng sẽ đề xuất và thực hiện các biện pháp khắc phục phù hợp; nếu việc giải quyết cần nhiều thời gian hơn dự kiến, Ngân hàng sẽ cập nhật cho khách hàng về tiến độ xử lý.
  • Biện pháp giải quyết bổ sung:Nếu khách hàng không hài lòng với phản hồi hoặc cách xử lý của Ngân hàng, khách hàng có thể khiếu nại lên cơ quan giám sát bảo vệ dữ liệu cá nhân của Việt Nam (ví dụ: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an) hoặc các cơ quan chức năng khác, hoặc thực hiện thủ tục khởi kiện theo quy định pháp luật. Ngân hàng sẽ tích cực hợp tác với các cơ quan có thẩm quyền này trong quá trình giải quyết, đồng thời sẽ nỗ lực nội bộ để đề ra biện pháp phòng tránh tái diễn sự việc.

14.2 Ngân hàng luôn trân trọng lắng nghe ý kiến quý báu của khách hàng và đặt ưu tiên hàng đầu cho việc giải quyết các vấn đề liên quan đến bảo vệ dữ liệu cá nhân. Xin vui lòng liên hệ với Ngân hàng bất cứ khi nào khách hàng có thắc mắc; Ngân hàng cam kết sẽ giải đáp một cách thân thiện và chi tiết.

15. Thay đổi và thông báo về Chính sách xử lý dữ liệu cá nhân

15.1 Ngân hàng có quyền thay đổi, sửa đổi, điều chỉnh, bổ sung, cập nhật Chính sách này bất kỳ lúc nào hoặc khi có thay đổi pháp luật. Nếu có bổ sung, sửa đổi hoặc loại bỏ những nội dung quan trọng, Ngân hàng sẽ công bố rõ ràng các thay đổi ít nhất 07 ngày trước khi áp dụng, thông qua thông báo trên website của Ngân hàng và/hoặc phương thức phù hợp khác mà Ngân hàng cho là phù hợp. Đối với những thay đổi có ảnh hưởng đáng kể đến quyền lợi của khách hàng, Ngân hàng sẽ thông báo ít nhất 30 ngày trên website của Ngân hàng trước khi có hiệu lực và nếu cần thiết sẽ gửi thông báo riêng cho từng khách hàng. Chính sách xử lý dữ liệu cá nhân này được công khai không chỉ trên trang web, ứng dụng di động của Ngân hàng mà còn được niêm yết tại các vị trí dễ thấy tại Trụ sở chính và các Chi nhánh, để khách hàng có thể tra cứu bất kỳ lúc nào trước khi việc thu thập dữ liệu cá nhân được thực hiện.

15.2 Ngân hàng khuyến nghị khách hàng nên thường xuyên theo dõi Chính sách này để cập nhật các thay đổi và luôn được thông báo về cách thức Ngân hàng đang bảo vệ và xử lý dữ liệu cá nhân của khách hàng.

15.3 Khi Chính sách này được cập nhật, Ngân hàng sẽ công khai minh bạch bằng cách ghi rõ ngày hiệu lực và nội dung thay đổi thông qua thông báo trên website của Ngân hàng, đồng thời thực hiện các biện pháp giúp khách hàng dễ dàng nhận biết các thay đổi. 

15.4 Lịch sử sửa đổi
Chính sách Xử lý Dữ liệu Cá nhân này đã được sửa đổi, bổ sung toàn diện vào [ngày 13 tháng 10 năm 2025.]
Nội dung của Chính sách có thể được cập nhật định kỳ theo các quy định pháp luật hiện hành và thay đổi trong chính sách nội bộ của Ngân hàng.
Phiên bản mới nhất của Chính sách được đăng tải trên trang website chính thức của Ngân hàng.