Đầu tư, Hướng dẫn sử dụng

CHÍNH SÁCH BẢO VỆ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN

Chính Sách Bảo Vệ Và Xử Lý Dữ Liệu Cá Nhân này (“Chính Sách”) được ban hành nhằm công khai cho Khách Hàng biết về việc thu thập, sử dụng, lưu trữ, chia sẻ, chuyển giao, bảo vệ và các hoạt động xử lý dữ liệu cá nhân của Khách Hàng khi Khách Hàng truy cập, đăng ký, xác thực tài khoản, sử dụng Website, Ứng dụng BUFF và/hoặc các sản phẩm, dịch vụ do Công Ty cung cấp.

Chính Sách này được xây dựng và áp dụng phù hợp với Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 ngày 26/6/2025 và các văn bản hướng dẫn thi hành, văn bản pháp luật có liên quan được sửa đổi, bổ sung hoặc thay thế tại từng thời điểm.

Bằng việc nhấp chọn “Đồng ý”, “Tôi đã đọc và đồng ý” với từng mục đích xử lý hoặc các hình thức xác nhận điện tử khác có giá trị tương đương, Khách Hàng xác nhận đã đọc, hiểu và đồng ý với nội dung của Chính Sách này trong phạm vi lựa chọn và xác nhận của mình.

ĐIỀU 1. GIẢI THÍCH TỪ NGỮ

1.1. “Công Ty” là Công ty Cổ phần BUFF Fintech, được thành lập hợp pháp và hoạt động theo pháp luật của nước Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam, có Giấy chứng nhận đăng ký doanh nghiệp số 0109615121 do Sở Kế hoạch và Đầu tư Thành phố Hà Nội cấp lần đầu ngày 08/04/2021. Tùy từng hoạt động xử lý cụ thể, Công Ty có thể là:

a. Bên kiểm soát dữ liệu cá nhân;

b. Bên xử lý dữ liệu cá nhân; hoặc

c. Bên kiểm soát và xử lý dữ liệu cá nhân.

1.2. “Khách Hàng” là người có quốc tịch Việt Nam, đã đủ 18 tuổi và có năng lực hành vi dân sự đầy đủ truy cập, đăng ký, xác thực tài khoản, sử dụng Website, Ứng dụng BUFF và/hoặc sản phẩm, dịch vụ do Công Ty cung cấp hoặc cung cấp Dữ liệu cá nhân cho Công Ty nhằm sử dụng Dịch vụ của Công Ty.

1.3. “Ứng dụng BUFF” hoặc “Ứng Dụng” là ứng dụng, hệ thống phần mềm và hạ tầng kỹ thuật liên quan do Công Ty sở hữu hoặc quản lý vận hành để cung cấp sản phẩm, dịch vụ cho Khách Hàng.

Công Ty có quyền thay đổi tên gọi của Ứng Dụng, thay đổi địa chỉ truy cập và cách thức cung cấp Ứng Dụng, cũng như thay đổi bất kỳ tính năng, chức năng hoặc cấu thành nào của Ứng Dụng.

1.4. “Dịch vụ” là các sản phẩm, dịch vụ, tính năng, tiện ích do Công Ty trực tiếp cấp hoặc phối hợp cung cấp cho Khách Hàng thông qua Ứng dụng, Website hoặc phương thức khác theo thỏa thuận.

1.5. “Dữ liệu cá nhân” là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm. 

1.6. “Dữ liệu cá nhân cơ bản” là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, bao gồm:

a. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

b. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

c. Giới tính;

d. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

e. Quốc tịch;

f. Hình ảnh của cá nhân;

g. Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;

h. Tình trạng hôn nhân;

i. Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);

j. Thông tin về tài khoản số của cá nhân; 

k. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc trường hợp Dữ liệu cá nhân nhạy cảm.

1.7. “Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, bao gồm:

a. Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

b. Quan điểm về chính trị, tôn giáo, tín ngưỡng;

c.Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;

d. Tình trạng sức khỏe;

e. Dữ liệu sinh trắc học, đặc điểm di truyền;

f. Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

g. Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h. Vị trí của cá nhân được xác định qua dịch vụ định vị;

i. Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;

j. Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của Khách Hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

k. Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

l. Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

1.8. “Xử lý dữ liệu cá nhân” là hoạt động tác động đến Dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.

1.9. “Bên kiểm soát dữ liệu cá nhân” là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

1.10.   “Bên xử lý dữ liệu cá nhân” là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của Bên kiểm soát dữ liệu cá nhân hoặc Bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng.

1.11.   “Bên kiểm soát và xử lý dữ liệu cá nhân” là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

1.12.   “Bên thứ ba” là tổ chức, cá nhân ngoài Chủ thể dữ liệu cá nhân, Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân tham gia vào việc xử lý dữ liệu cá nhân theo quy định của pháp luật.

1.13.   “Khử nhận dạng dữ liệu cá nhân” là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể.

1.14. “Chủ thể dữ liệu cá nhân” là người được Dữ liệu cá nhân phản ánh.

ĐIỀU 2. NGUYÊN TẮC BẢO VỆ DỮ LIỆU CÁ NHÂN

2.1. Hoạt động bảo vệ dữ liệu cá nhân và xử lý dữ liệu cá nhân theo Chính Sách này được thực hiện theo Luật Bảo vệ dữ liệu cá nhân 2025 và các quy định pháp luật có liên quan.

2.2. Dữ liệu cá nhân của Khách Hàng chỉ được thu thập, xử lý đúng mục đích, trong phạm vi cần thiết, phù hợp với loại dữ liệu được xử lý.

2.3. Khách Hàng được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

2.4. Công Ty không mua, bán dữ liệu cá nhân của Khách Hàng dưới mọi hình thức, trừ trường hợp pháp luật có quy định khác.

2.5. Dữ liệu cá nhân được cập nhật, chỉnh sửa khi cần thiết để bảo đảm tính chính xác, đầy đủ, phù hợp với mục đích xử lý.

2.6. Dữ liệu cá nhân được áp dụng các biện pháp quản trị, kỹ thuật, tổ chức và bảo mật phù hợp để phòng, chống truy cập trái phép, lộ, mất, phá hủy, hủy hoại hoặc xử lý trái phép.

2.7. Dữ liệu cá nhân chỉ được lưu trữ trong thời gian cần thiết để phục vụ mục đích xử lý đã công bố, thực hiện nghĩa vụ theo hợp đồng, tuân thủ quy định pháp luật hoặc giải quyết tranh chấp, khiếu nại, kiểm tra, thanh tra, tố tụng.

2.8. Công Ty chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định tại Điều này.

ĐIỀU 3. LOẠI DỮ LIỆU CÁ NHÂN ĐƯỢC THU THẬP

Tùy theo từng sản phẩm, dịch vụ, tính năng và phương thức giao dịch, Công Ty có thể thu thập các nhóm dữ liệu cá nhân sau đây:

3.1. Dữ liệu cá nhân cơ bản

Bao gồm các thông tin định danh và thông tin liên hệ thông thường của Khách Hàng, như: họ và tên, ngày tháng năm sinh, giới tính, số điện thoại, địa chỉ thư điện tử (email), địa chỉ liên hệ, quốc tịch và các thông tin cơ bản khác do Khách Hàng cung cấp trong quá trình đăng ký, xác thực hoặc sử dụng sản phẩm, dịch vụ và dữ liệu cá nhân khác do Khách Hàng chủ động cung cấp hoặc được thu thập hợp pháp theo quy định của pháp luật và phù hợp với sản phẩm, dịch vụ Khách Hàng yêu cầu mà không phải là dữ liệu cá nhân nhạy cảm.

3.2. Dữ liệu cá nhân nhạy cảm

a. Dữ liệu sinh trắc học: dữ liệu nhận dạng khuôn mặt (FaceID), dấu vân tay hoặc các dữ liệu sinh trắc học khác phục vụ việc nhận diện, xác thực danh tính, eKYC và bảo mật tài khoản;

b. Dữ liệu tài chính: thông tin tài khoản ngân hàng, thông tin thanh toán, lịch sử giao dịch, thông tin về tài sản, khoản tích lũy, dòng tiền, thông tin thu nhập và các dữ liệu tài chính khác liên quan đến việc Khách Hàng sử dụng sản phẩm, dịch vụ trên Ứng dụng BUFF;

c. Dữ liệu vị trí: dữ liệu xác định vị trí của Khách Hàng được thu thập trong phạm vi cần thiết thông qua GPS hoặc công nghệ định vị phù hợp khác nhằm phục vụ mục đích xác thực, tăng cường bảo mật, phòng chống gian lận và kiểm soát truy cập bất thường.

d. Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng.

ĐIỀU 4. MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

Công Ty thu thập và xử lý dữ liệu cá nhân của Khách Hàng cho một hoặc nhiều mục đích sau:

4.1. Tiếp nhận đăng ký, tạo lập, quản lý và xác thực tài khoản của Khách Hàng.

4.2. Xác minh danh tính, eKYC, nhận biết Khách Hàng, phòng chống gian lận, phòng chống rửa tiền, kiểm soát rủi ro, bảo đảm an ninh và an toàn hệ thống.

4.3. Cung cấp, duy trì, vận hành, nâng cấp, cá nhân hóa và cải thiện Dịch vụ.

4.4. Thực hiện nghĩa vụ theo hợp đồng, điều khoản sử dụng, thỏa thuận, văn bản hoặc cam kết giữa Công Ty và Khách Hàng.

4.5. Liên hệ với Khách Hàng để hỗ trợ, chăm sóc Khách Hàng, giải quyết khiếu nại, phản hồi yêu cầu, thông báo sự cố hoặc các vấn đề cần thiết trong quá trình sử dụng Dịch vụ.

4.6. Thực hiện nghĩa vụ pháp lý về kế toán, kiểm toán, thuế, báo cáo, lưu trữ, kiểm tra, thanh tra, tố tụng hoặc theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền.

4.7. Phân tích, thống kê, đánh giá hiệu quả vận hành, nghiên cứu, phát triển sản phẩm, kiểm thử, bảo trì hệ thống, với điều kiện phù hợp mục đích và phạm vi xử lý.

4.8. Gửi thông tin giới thiệu sản phẩm, dịch vụ, chương trình ưu đãi, quảng cáo, tiếp thị trực tiếp hoặc hoạt động marketing khác nếu Khách Hàng đã đồng ý riêng cho mục đích này.

4.9. Chia sẻ dữ liệu cá nhân với đối tác, nhà cung cấp dịch vụ, bên xử lý dữ liệu hoặc bên thứ ba khác trong phạm vi cần thiết, phù hợp với mục đích xử lý đã thông báo cho Khách Hàng hoặc trên cơ sở căn cứ pháp lý hợp lệ theo quy định pháp luật.

4.10. Thực hiện xử lý dữ liệu cá nhân bằng phương thức tự động, bao gồm thông qua cookie hoặc các công nghệ kỹ thuật tương tự, nhằm phục vụ hoạt động xác minh danh tính, đánh giá rủi ro, phòng chống gian lận, bảo đảm an toàn hệ thống và hỗ trợ cung cấp sản phẩm, dịch vụ theo quy định pháp luật.

4.11. Thực hiện các mục đích khác để tuân thủ pháp luật.

ĐIỀU 5. NGUỒN THU THẬP DỮ LIỆU CÁ NHÂN

Công Ty có thể thu thập Dữ liệu cá nhân của Khách Hàng từ các nguồn sau:

5.1. Trực tiếp từ Khách Hàng khi Khách Hàng đăng ký, xác thực, sử dụng Dịch vụ hoặc liên hệ với Công Ty;

5.2. Từ Ứng Dụng, Website, hệ thống kỹ thuật trong quá trình Khách Hàng sử dụng Dịch vụ;

5.3. Từ Bên xử lý dữ liệu cá nhân, đối tác, nhà cung cấp dịch vụ, tổ chức liên kết hoặc bên thứ ba khác mà Khách Hàng đã đồng ý hoặc pháp luật cho phép;

5.4. Từ cơ quan nhà nước có thẩm quyền hoặc nguồn hợp pháp khác theo quy định của pháp luật.

ĐIỀU 6. PHẠM VI CHIA SẺ, CUNG CẤP VÀ CHUYỂN GIAO DỮ LIỆU CÁ NHÂN

6.1. Công Ty có thể chia sẻ, cung cấp hoặc chuyển giao dữ liệu cá nhân của Khách Hàng cho các bên sau đây trong phạm vi cần thiết:

a. Các đơn vị, bộ phận nội bộ của Công Ty, bao gồm các chi nhánh, phòng ban, đơn vị trực thuộc, đơn vị thành viên hoặc các bộ phận có liên quan khác của Công Ty.

b. Công ty mẹ, công ty con, công ty liên kết, đơn vị liên quan của Công Ty trong phạm vi phục vụ hoạt động vận hành/ cung cấp Dịch vụ;

c. Bên xử lý dữ liệu cá nhân, nhà thầu, đại lý, nhà cung cấp dịch vụ công nghệ, lưu trữ, xác thực, chăm sóc Khách Hàng, thanh toán, kiểm toán, tư vấn, vận hành;

d. Đối tác cung cấp sản phẩm, dịch vụ cho Khách Hàng theo yêu cầu, đề nghị hoặc sự lựa chọn của Khách Hàng nhằm phục vụ việc cung cấp sản phẩm, dịch vụ mà Khách hàng đăng ký hoặc sử dụng;

e. Cơ quan nhà nước có thẩm quyền theo yêu cầu hợp pháp;

f. Tổ chức, cá nhân khác khi có sự đồng ý của Khách Hàng hoặc theo căn cứ pháp lý hợp lệ;

g. Các tổ chức, cá nhân tham gia vào việc tổ chức lại, tái cấu trúc hoặc giao dịch doanh nghiệp bao gồm các tổ chức, cá nhân có liên quan đến việc chia, tách, sáp nhập, hợp nhất, chuyển nhượng, chuyển đổi hình thức sở hữu, giải thể, chấm dứt hoạt động hoặc các giao dịch tương tự theo quy định của pháp luật.

6.2. Tùy từng trường hợp cụ thể, Công Ty áp dụng biện pháp pháp lý, kỹ thuật phù hợp nhằm bảo đảm an toàn, bảo mật dữ liệu cá nhân và bảo vệ quyền, lợi ích hợp pháp của Chủ thể dữ liệu theo quy định của pháp luật. Đối với từng nhóm bên nhận dữ liệu, Công Ty áp dụng cơ chế chia sẻ và biện pháp bảo vệ dữ liệu phù hợp với vai trò, phạm vi và mục đích xử lý của bên nhận dữ liệu theo quy định pháp luật.

ĐIỀU 7. CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

7.1. Trong phạm vi cần thiết để cung cấp Dịch vụ, vận hành hệ thống, lưu trữ dữ liệu, sử dụng nền tảng công nghệ, phần mềm, dịch vụ điện toán đám mây hoặc làm việc với đối tác, nhà cung cấp dịch vụ có máy chủ, cơ sở hạ tầng hoặc hiện diện thương mại ở ngoài lãnh thổ Việt Nam, Công Ty có thể thực hiện chuyển dữ liệu cá nhân của Khách Hàng xuyên biên giới hoặc cho phép truy cập dữ liệu từ nước ngoài theo mục đích xử lý đã thông báo cho Khách Hàng và phù hợp với quy định pháp luật.

7.3. Việc chuyển dữ liệu cá nhân xuyên biên giới chỉ được thực hiện trong phạm vi cần thiết, phù hợp với mục đích xử lý dữ liệu cá nhân và trên cơ sở có biện pháp bảo vệ, bảo mật dữ liệu phù hợp theo quy định pháp luật.

7.4. Khi thực hiện chuyển dữ liệu cá nhân xuyên biên giới, Công Ty cam kết tuân thủ các điều kiện, thủ tục và nghĩa vụ theo quy định pháp luật Việt Nam, bao gồm trường hợp phải thực hiện đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định.

7.5. Công Ty yêu cầu bên tiếp nhận dữ liệu ở nước ngoài chỉ xử lý dữ liệu đúng mục đích, đúng phạm vi được phép, áp dụng biện pháp bảo mật phù hợp và phối hợp với Công Ty xử lý sự cố, yêu cầu hoặc khiếu nại liên quan đến dữ liệu cá nhân theo quy định pháp luật.

ĐIỀU 8. GIỚI HẠN TRÁCH NHIỆM

8.1. Công Ty không chịu trách nhiệm đối với thiệt hại, tổn thất phát sinh từ việc Khách Hàng cung cấp thông tin không chính xác, không đầy đủ, không cập nhật hoặc do Khách Hàng tự tiết lộ thông tin cho bên thứ ba, trừ trường hợp phát sinh từ lỗi của Công Ty.

8.2. Công Ty không chịu trách nhiệm đối với sự cố, gián đoạn hoặc thiệt hại phát sinh từ nguyên nhân ngoài khả năng kiểm soát hợp lý của Công Ty, bao gồm nhưng không giới hạn ở sự cố hệ thống, đường truyền, thiết bị, hành vi tấn công mạng hoặc yêu cầu từ cơ quan nhà nước có thẩm quyền, với điều kiện Công Ty đã áp dụng các biện pháp cần thiết và hợp lý theo quy định pháp luật.

8.3.Trường hợp Khách Hàng sử dụng sản phẩm, dịch vụ của bên thứ ba thông qua Ứng Dụng hoặc Website của Công Ty, Khách Hàng hiểu và đồng ý rằng việc xử lý dữ liệu cá nhân của bên thứ ba đó sẽ được thực hiện theo chính sách và quy định riêng của bên thứ ba tương ứng. Công Ty không chịu trách nhiệm đối với hoạt động xử lý dữ liệu của bên thứ ba ngoài phạm vi kiểm soát hợp lý của Công Ty.

8.4. Các giới hạn trách nhiệm quy định tại Điều này được áp dụng trong phạm vi pháp luật cho phép và không loại trừ trách nhiệm của Công Ty đối với các trường hợp phát sinh từ lỗi, hành vi vi phạm hoặc nghĩa vụ pháp lý bắt buộc của Công Ty theo quy định pháp luật.

ĐIỀU 9. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

9.1. Chủ thể dữ liệu cá nhân có các quyền theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, bao gồm:

a. Quyền được biết: Chủ thể dữ liệu cá nhân được biết về việc thu thập, xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

b. Quyền đồng ý, không đồng ý và rút lại sự đồng ý: Chủ thể dữ liệu cá nhân được đồng ý hoặc không đồng ý đối với việc xử lý dữ liệu cá nhân; được rút lại sự đồng ý đã cho phép xử lý dữ liệu cá nhân theo quy định của pháp luật.

c. Quyền truy cập và chỉnh sửa dữ liệu cá nhân: Được truy cập, xem, yêu cầu chỉnh sửa, cập nhật dữ liệu cá nhân của mình theo quy định của pháp luật.

d. Quyền yêu cầu cung cấp, xóa, hạn chế xử lý và phản đối xử lý dữ liệu cá nhân: Được yêu cầu Công ty cung cấp dữ liệu cá nhân; yêu cầu xóa, hạn chế xử lý hoặc phản đối việc xử lý dữ liệu cá nhân của mình theo quy định của pháp luật và trong phạm vi pháp luật cho phép.

e. Quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại: Được khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi quyền, lợi ích hợp pháp liên quan đến dữ liệu cá nhân bị xâm phạm.

f. Quyền tự bảo vệ: Được tự bảo vệ dữ liệu cá nhân của mình; yêu cầu cơ quan có thẩm quyền, tổ chức, cá nhân có liên quan áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

9.2. Chủ thể dữ liệu cá nhân có thể thực hiện quyền của mình theo trình tự, thủ tục, phương thức và trong các trường hợp phù hợp với quy định của pháp luật và Chính Sách này .

9.3. Yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được. Việc rút lại sự đồng ý hoặc hạn chế xử lý không làm ảnh hưởng đến tính hợp pháp của hoạt động xử lý đã được thực hiện trước thời điểm Công Ty nhận được yêu cầu hợp lệ.

9.4. Trong trường hợp Khách Hàng rút lại sự đồng ý hoặc yêu cầu hạn chế/xóa dữ liệu đối với dữ liệu cần thiết để Công Ty cung cấp sản phẩm, dịch vụ, Công Ty có thể không thể tiếp tục cung cấp một phần hoặc toàn bộ sản phẩm, dịch vụ tương ứng. Khi đó, Công Ty sẽ thông báo cho Khách Hàng về hậu quả có thể xảy ra trong phạm vi phù hợp với bản chất dịch vụ và quy định của pháp luật.

9.5. Công Ty có thể yêu cầu Khách Hàng cung cấp thông tin, tài liệu hợp lý để xác minh danh tính trước khi xử lý yêu cầu nhằm bảo đảm an toàn, bảo mật dữ liệu cá nhân.

9.6. Nghĩa vụ của Khách Hàng

a. Tự bảo vệ dữ liệu cá nhân của mình, áp dụng các biện pháp cần thiết nhằm bảo đảm an toàn, bảo mật dữ liệu cá nhân trong quá trình cung cấp, sử dụng Dịch vụ;

b. Cung cấp thông tin đầy đủ, trung thực, chính xác và kịp thời cập nhật mọi thay đổi liên quan đến dữ liệu cá nhân đã cung cấp cho Công Ty khi sử dụng sản phẩm, dịch vụ. Công Ty được quyền xử lý dữ liệu cá nhân trên cơ sở thông tin do Chủ thể dữ liệu cá nhân cung cấp và không chịu trách nhiệm đối với các rủi ro, thiệt hại phát sinh từ việc cung cấp thông tin không chính xác, không đầy đủ hoặc chậm thông báo thay đổi;

c. Tôn trọng và bảo vệ dữ liệu cá nhân của người khác, không xâm phạm quyền, lợi ích hợp pháp liên quan đến dữ liệu cá nhân của tổ chức, cá nhân khác;

d. Tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

e. Thông báo kịp thời cho Công Ty khi phát hiện nguy cơ lộ, mất, sử dụng trái phép dữ liệu cá nhân;

f. Trường hợp Khách Hàng cung cấp cho Công Ty Dữ liệu cá nhân của bên thứ ba (bao gồm nhưng không giới hạn ở người phụ thuộc, người có liên quan theo quy định pháp luật, vợ/chồng, con, cha/mẹ hoặc người giám hộ, người thụ hưởng, người được ủy quyền, đối tác, người liên hệ trong trường hợp khẩn cấp hoặc cá nhân/tổ chức khác có liên quan), Khách Hàng cam kết và chịu trách nhiệm rằng:

(i) Khách Hàng đã thông báo đầy đủ cho bên thứ ba về việc cung cấp Dữ liệu cá nhân cho Công Ty và các nội dung xử lý theo Chính Sách này;

(ii) Khách Hàng đã có được sự đồng ý hợp pháp của bên thứ ba theo quy định của pháp luật (nếu việc xử lý yêu cầu phải có sự đồng ý);

(iii) Dữ liệu cá nhân cung cấp là chính xác, hợp pháp và không vi phạm quyền, lợi ích hợp pháp của bất kỳ cá nhân, tổ chức nào.

g. Công Ty không có nghĩa vụ chủ động xác minh tính hợp pháp của sự đồng ý do Khách Hàng thu thập, trừ trường hợp pháp luật có quy định khác hoặc Công Ty có căn cứ hợp lý để nghi ngờ việc cung cấp dữ liệu vi phạm pháp luật.

h. Thực hiện các nghĩa vụ khác theo quy định của pháp luật.

ĐIỀU 10. XỬ LÝ YÊU CẦU CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

10.1. Nguyên tắc chung

a. Công Ty xử lý các yêu cầu liên quan đến việc thực hiện các quyền đối với Dữ liệu cá nhân trên cơ sở tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân, bảo đảm quyền, lợi ích hợp pháp của Chủ thể dữ liệu cá nhân, nghĩa vụ pháp lý của Công Ty và quyền, lợi ích hợp pháp của các bên có liên quan.

b. Việc xem xét, xử lý yêu cầu của Chủ thể dữ liệu cá nhân được thực hiện theo từng trường hợp cụ thể, căn cứ vào yêu cầu, loại dữ liệu cá nhân, mục đích và tình hình xử lý dữ liệu, căn cứ pháp lý áp dụng, nghĩa vụ của Công Ty, yêu cầu của cơ quan nhà nước có thẩm quyền và điều kiện thực tế trong hoạt động của Công Ty.

c. Công Ty sẽ phản hồi yêu cầu của Chủ thể dữ liệu cá nhân trong thời hạn phù hợp theo quy định pháp luật và điều kiện xử lý thực tế của Công Ty.

10.2. Hình thức và điều kiện tiếp nhận yêu cầu

a. Yêu cầu của Chủ thể dữ liệu cá nhân phải được thực hiện theo hình thức bằng văn bản, phương tiện điện tử hoặc các hình thức hợp pháp khác theo quy định của pháp luật.

b. Công Ty có quyền yêu cầu Chủ thể dữ liệu cá nhân cung cấp thông tin, tài liệu cần thiết để xác minh danh tính, làm rõ phạm vi, nội dung dữ liệu cá nhân liên quan và căn cứ của yêu cầu trước khi xem xét xử lý. Trường hợp không thể xác minh được danh tính hoặc yêu cầu không đủ thông tin cần thiết, Công Ty có quyền từ chối hoặc tạm dừng xử lý cho đến khi yêu cầu hợp lệ.

10.3. Xử lý yêu cầu rút lại sự đồng ý, yêu cầu xóa, hủy hoặc hạn chế xử lý dữ liệu cá nhân

a. Đối với các yêu cầu rút lại sự đồng ý, yêu cầu xóa, hủy hoặc hạn chế xử lý dữ liệu cá nhân, Công Ty xem xét và xử lý trên cơ sở quy định của pháp luật về bảo vệ dữ liệu cá nhân, căn cứ xử lý dữ liệu cá nhân đang được áp dụng và các nghĩa vụ pháp lý, nghĩa vụ hợp đồng mà Công Ty phải tuân thủ.

b. Yêu cầu của Chủ thể dữ liệu cá nhân chỉ được xem xét xử lý khi đáp ứng đầy đủ các điều kiện sau đây: 

(i) Yêu cầu được thực hiện hợp lệ theo hình thức, phương thức do Công Ty quy định (nếu có);

(ii) Chủ thể dữ liệu cá nhân đã được xác minh danh tính hợp lệ;

(iii) Nội dung, phạm vi dữ liệu cá nhân và quyền yêu cầu được xác định rõ ràng;

(iv) Yêu cầu không thuộc trường hợp pháp luật hạn chế hoặc cấm thực hiện.

c. Công Ty có quyền từ chối, tạm ngừng hoặc chỉ thực hiện một phần yêu cầu trong các trường hợp sau:

(i) Pháp luật quy định không được xóa, hủy hoặc hạn chế xử lý dữ liệu cá nhân;

(ii) Dữ liệu cá nhân cần thiết để thực hiện nghĩa vụ pháp lý, nghĩa vụ hợp đồng, yêu cầu quản lý nhà nước, hoạt động thanh tra, kiểm tra, kiểm toán, tố tụng, giải quyết tranh chấp;

(iii) Việc thực hiện yêu cầu có thể ảnh hưởng đến quyền, lợi ích hợp pháp của Công Ty hoặc của bên thứ ba;

(iv) Dữ liệu cá nhân đang được xử lý nhằm bảo đảm an toàn, an ninh hệ thống, quản lý rủi ro, phòng chống gian lận hoặc vi phạm pháp luật;

(v) Yêu cầu không đáp ứng đầy đủ điều kiện theo quy định của pháp luật hoặc theo quy định của Công Ty.

d. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu cá nhân đã được thực hiện trước thời điểm rút lại sự đồng ý hoặc các hoạt động xử lý dựa trên căn cứ pháp lý khác theo quy định pháp luật.

e. Trường hợp việc rút lại sự đồng ý, xóa, hủy, hạn chế hoặc phản đối xử lý dữ liệu cá nhân làm ảnh hưởng đến khả năng cung cấp sản phẩm, dịch vụ, xác minh danh tính, quản lý rủi ro hoặc việc thực hiện nghĩa vụ pháp lý của Công Ty, Công Ty có quyền điều chỉnh, hạn chế, tạm ngừng hoặc chấm dứt một phần hoặc toàn bộ việc cung cấp sản phẩm, dịch vụ theo quy định pháp luật và các thỏa thuận có liên quan.

f. Trong phạm vi pháp luật cho phép, Công Ty có thể áp dụng mức phí hợp lý theo quy định pháp luật (nếu có) đối với các yêu cầu phát sinh chi phí hoặc nguồn lực xử lý đáng kể theo quy định của Công Ty tại từng thời điểm.

ĐIỀU 11. BẢO MẬT, LƯU TRỮ, XÓA, HỦY DỮ LIỆU CÁ NHÂN

11.1. Công Ty thực hiện xử lý và lưu trữ Dữ liệu cá nhân kể từ thời điểm Dữ liệu cá nhân được thu thập hợp pháp và có căn cứ xử lý phù hợp theo quy định pháp luật về bảo vệ dữ liệu cá nhân và các quy định pháp luật có liên quan.

11.2. Dữ liệu cá nhân được Công Ty lưu trữ trong thời gian cần thiết để thực hiện các mục đích xử lý đã thông báo cho Chủ thể dữ liệu và phù hợp với:

a. Thời hạn theo hợp đồng, điều khoản điều kiện hoặc thỏa thuận có liên quan;

b. Yêu cầu quản lý, vận hành, cung cấp sản phẩm, dịch vụ và quản lý quan hệ khách hàng của Công Ty;

c. Nghĩa vụ lưu trữ, báo cáo, kiểm tra, đối chiếu theo quy định pháp luật chuyên ngành và các quy định pháp luật có liên quan;

d. Yêu cầu giải quyết tranh chấp, khiếu nại, thanh tra, kiểm tra, kiểm toán, tố tụng, quản lý rủi ro và bảo vệ quyền, lợi ích hợp pháp của Công Ty và các bên liên quan; và

đ. Các nghĩa vụ pháp lý khác mà Công Ty phải tuân thủ.

11.3. Khi hết mục đích xử lý, hết thời hạn lưu trữ hoặc khi có căn cứ xóa, hủy dữ liệu theo quy định pháp luật, Công Ty sẽ thực hiện xóa, hủy hoặc khử nhận dạng dữ liệu cá nhân theo biện pháp an toàn phù hợp nhằm bảo đảm dữ liệu không thể được truy cập, khôi phục hoặc sử dụng trái phép. Việc xóa, hủy dữ liệu có thể không áp dụng trong phạm vi dữ liệu phải tiếp tục lưu giữ theo quy định của pháp luật hoặc để bảo vệ quyền, lợi ích hợp pháp của Công Ty trong quá trình giải quyết tranh chấp, khiếu nại, tố tụng, thanh tra, kiểm tra hoặc kiểm toán.

11.4. Công Ty áp dụng các biện pháp kỹ thuật, quản trị và tổ chức phù hợp nhằm bảo đảm an toàn, bảo mật dữ liệu cá nhân; phòng ngừa hành vi truy cập trái phép, mất mát, tiết lộ, sử dụng, sửa đổi hoặc xử lý dữ liệu trái quy định pháp luật.

11.5. Khi phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân có thể gây ảnh hưởng đến quyền, lợi ích hợp pháp của Khách Hàng hoặc theo trường hợp pháp luật yêu cầu, Công Ty sẽ thực hiện biện pháp ngăn chặn, khắc phục và thông báo theo quy định.

11.6. Việc xác định thời gian xử lý, lưu trữ, xóa, hủy dữ liệu cá nhân được Công Ty thực hiện phù hợp với quy định pháp luật và không làm ảnh hưởng đến việc tuân thủ các nghĩa vụ lưu trữ, báo cáo, cung cấp thông tin, bảo quản hồ sơ, chứng từ và các nghĩa vụ pháp lý khác của Công Ty theo quy định pháp luật có liên quan.

ĐIỀU 12. XỬ LÝ DỮ LIỆU CÁ NHÂN TRONG CÁC TRƯỜNG HỢP ĐẶC BIỆT

12.1. Công Ty có thể ghi âm, ghi hình, lưu trữ nhật ký truy cập, log hệ thống, dữ liệu giao dịch hoặc dữ liệu kỹ thuật khác trong phạm vi cần thiết để bảo đảm an ninh, an toàn hệ thống, phòng chống gian lận, xác thực giao dịch, giải quyết khiếu nại, tranh chấp hoặc theo quy định của pháp luật.

12.2. Trong trường hợp Công Ty cung cấp hoặc phối hợp cung cấp sản phẩm, dịch vụ thuộc lĩnh vực tài chính, ngân hàng, thông tin tín dụng, Công Ty và các bên liên quan có trách nhiệm: 

a. Thực hiện đầy đủ quy định về bảo vệ Dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng theo quy định của pháp luật;

b. Không sử dụng thông tin tín dụng của Chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của Chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của Chủ thể dữ liệu cá nhân;

c. Chỉ thu thập dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của của pháp luật về bảo vệ dữ liệu cá nhân;

d. Thông báo cho Chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin tài khoản ngân hàng, tài chính, tín dụng hoặc thông tin tín dụng.

12.3. Công Ty thực hiện việc Xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi theo đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân và pháp luật có liên quan, trên cơ sở mục đích xử lý đã được xác lập, căn cứ xử lý hợp lệ và trong phạm vi cần thiết, phù hợp với tính chất của từng đối tượng dữ liệu.

12.4. Đối với các trường hợp quy định tại Điều 12.3, Công Ty thực hiện việc tiếp nhận, xử lý và phản hồi các quyền của Chủ thể dữ liệu cá nhân thông qua người đại diện theo pháp luật, theo đúng quy định của pháp luật, trừ trường hợp pháp luật quy định khác.

12.5. Công Ty có thể áp dụng các biện pháp xử lý dữ liệu cá nhân bằng phương thức tự động, bao gồm việc phân tích, đối chiếu hoặc đánh giá dữ liệu và sử dụng cookie hoặc các công nghệ kỹ thuật tương tự nhằm phục vụ hoạt động xác minh danh tính, phát hiện và phòng chống gian lận, kiểm soát rủi ro, bảo đảm an toàn hệ thống, phân tích hiệu suất, cải thiện trải nghiệm người dùng và hỗ trợ cung cấp sản phẩm, dịch vụ theo quy định pháp luật. Việc xử lý dữ liệu cá nhân được thực hiện trong phạm vi cần thiết, phù hợp với mục đích xử lý đã thông báo cho Khách Hàng và theo các biện pháp bảo mật, quản trị phù hợp nhằm bảo vệ quyền và lợi ích hợp pháp của Chủ thể dữ liệu cá nhân.

ĐIỀU 13. SỬA ĐỔI, BỔ SUNG CHÍNH SÁCH

13.1. Công Ty có quyền sửa đổi, bổ sung Chính Sách này để phù hợp với thay đổi của pháp luật, hoạt động kinh doanh, công nghệ, sản phẩm, dịch vụ hoặc yêu cầu quản trị nội bộ.

13.2. Mọi sửa đổi, bổ sung sẽ được công bố trên Website, Ứng Dụng hoặc thông báo bằng phương thức phù hợp khác.

13.3. Trường hợp thay đổi trọng yếu ảnh hưởng đến phạm vi xử lý dữ liệu, mục đích xử lý, quyền của Khách Hàng hoặc căn cứ đồng ý, Công Ty sẽ thực hiện thông báo và/hoặc xin lại sự đồng ý theo quy định của pháp luật.

ĐIỀU 14. CÁC QUY ĐỊNH KHÁC

14.1. Chính Sách này có hiệu lực pháp lý độc lập, không phải và không phụ thuộc vào Hợp đồng cung cấp sản phẩm, hàng hóa, dịch vụ giữa Công Ty với Khách Hàng.

14.2. Trong trường hợp bất kỳ quy định nào của Chính Sách này được xác định là bất hợp pháp hoặc không thể thực thi bằng cách khác thì Công Ty sẽ sửa đổi quy định đó, hoặc (theo toàn quyền quyết định của mình) bỏ quy định đó ra khỏi Chính Sách này. Nếu bất kỳ quy định nào của Chính Sách này được xác định là bất hợp pháp hoặc không thể thực thi, việc xác định như vậy sẽ không ảnh hưởng đến các quy định còn lại của Chính Sách này, và những quy định còn lại sẽ vẫn có đầy đủ hiệu lực.

14.3. Khách Hàng xác nhận rằng, theo các quy định pháp luật và quy định hiện hành hoặc sau khi nhận được chỉ thị của các cơ quan nhà nước có thẩm quyền, Công Ty có thể được yêu cầu thực hiện các hành động mà có thể vi phạm các quy định của Chính Sách này. Trường hợp Công Ty phải thực hiện việc xử lý, cung cấp, chia sẻ hoặc chuyển giao dữ liệu cá nhân theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền hoặc theo quy định pháp luật bắt buộc, việc thực hiện đó không bị coi là vi phạm Chính Sách này.

14.4. Khách Hàng cam kết đã đọc, hiểu, đồng ý và cam kết thực hiện nghiêm túc các điều khoản, điều kiện được nêu tại Chính Sách này. Chính Sách này sẽ có giá trị ràng buộc đối với những người thừa kế, các đại diện cá nhân và đại diện theo pháp luật, các bên kế nhiệm quyền sở hữu và các bên nhận chuyển nhượng được phép về tài sản (nếu có) của Khách Hàng.

14.5. Bất kỳ tranh chấp hoặc bất đồng nào theo Chính Sách này trước hết sẽ được giải quyết thông qua thương lượng hòa giải. Nếu không đạt được thỏa thuận thông qua thương lượng hòa giải, một trong các bên có quyền yêu cầu cơ quan có thẩm quyền giải quyết theo quy định pháp luật.

14.6. Trừ trường hợp pháp luật có quy định khác hoặc lỗi phát sinh từ phía Công Ty, mọi tranh chấp giữa Khách Hàng và bên thứ ba liên quan đến giao dịch độc lập giữa các bên sẽ do các bên đó tự giải quyết; Công Ty có thể hỗ trợ cung cấp thông tin trong phạm vi pháp luật cho phép.

ĐIỀU 15. THÔNG TIN LIÊN HỆ

Mọi thắc mắc, yêu cầu thực hiện quyền của chủ thể dữ liệu cá nhân, khiếu nại hoặc phản ánh liên quan đến dữ liệu cá nhân, Khách Hàng vui lòng liên hệ:

CÔNG TY CỔ PHẦN BUFF FINTECH

Địa chỉ trụ sở: Tầng 6, Tòa nhà Plaschem Tower, số 562 Nguyễn Văn Cừ, Phường Bồ Đề, TP Hà Nội, Việt Nam.

Email tiếp nhận yêu cầu về dữ liệu cá nhân: xinchao@buff.com.vn

Hotline: 0247 1000 688

ĐIỀU 16. HIỆU LỰC THI HÀNH

16.1. Chính Sách này có hiệu lực kể từ ngày được Công Ty công bố trên Website, Ứng Dụng hoặc theo thời điểm khác do Công Ty thông báo.

16.2. Công Ty có quyền sửa đổi, bổ sung Chính Sách này theo từng thời kỳ và sẽ thông báo cho Khách Hàng trước khi áp dụng thông qua các kênh giao dịch và/hoặc phương thức phù hợp khác của Công Ty. Nội dung sửa đổi, bổ sung và thời điểm có hiệu lực sẽ được cập nhật trên các kênh giao dịch và/hoặc thông báo theo phương thức phù hợp. Trường hợp pháp luật có yêu cầu, Công Ty sẽ thực hiện việc xin ý kiến chấp thuận của Khách Hàng đối với các thay đổi đó.

16.3. Khách Hàng được coi là đã đọc, hiểu và chấp thuận nội dung của Chính Sách sửa đổi, bổ sung khi tiếp tục truy cập Website, Ứng dụng BUFF và/hoặc tiếp tục sử dụng Dịch vụ của Công Ty sau thời điểm Chính Sách đó có hiệu lực, trừ trường hợp pháp luật yêu cầu phải có sự đồng ý riêng hoặc hình thức chấp thuận khác./. 

 

QR Code

Nhập mã "BUFF01"

nhận ngay 100k
*Khi tạo B-Funding từ 5 triệu

Messenger Email
App Icon

Nhập mã "BUFF01"

nhận ngay 100k
*Khi tạo B-Funding từ 5 triệu

Tải app ngay