Chính sách về bảo vệ DLCN

CHÍNH SÁCH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

(Ban hành kèm theo Quyết định số 03/2026/QĐ-APSC ngày 21/01/2026 của Tổng Giám đốc)

Điều 1. Định nghĩa và giải thích

Trong Chính Sách này, các thuật ngữ dưới đây được hiểu như sau:

1.1 APSC: là Công ty Cổ phần Chứng khoán Alpha, được thành lập hợp pháp và hoạt động theo Giấy phép thành lập và hoạt động số 44/UBCK-GPHĐKD do Ủy ban Chứng khoán Nhà nước cấp ngày 28/12/2006.

1.2. Đơn Vị Kinh Doanh: là trụ sở, chi nhánh, phòng giao dịch, các đơn vị có chức năng kinh doanh của APSC.

1.3. Dịch Vụ: là các sản phẩm, dịch vụ, tiện ích mà APSC cung cấp cho Chủ Thể Dữ Liệu là Khách hàng của APSC, bao gồm nhưng không giới hạn hoạt động môi giới chứng khoán, tư vấn đầu tư chứng khoán, bảo lãnh phát hành, giao dịch chứng khoán trực tuyến và các dịch vụ khác có liên quan thuộc lĩnh vực hoạt động của APSC.

1.4. Dữ Liệu Cá Nhân: là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm Dữ Liệu Cá Nhân Cơ Bản và Dữ Liệu Cá Nhân Nhạy Cảm. Dữ Liệu Cá Nhân sau khi khử nhận dạng không còn là Dữ Liệu Cá Nhân.

1.5. Chủ Thể Dữ Liệu: là người được Dữ Liệu Cá Nhân phản ánh, bao gồm: (i) tổ chức/cá nhân xác lập giao dịch, phát sinh quan hệ hợp tác, quan hệ pháp lý trực tiếp/gián tiếp với APSC và (ii) tổ chức/cá nhân cho phép APSC xử lý Dữ Liệu Cá Nhân (trực tiếp hoặc thông qua bên thứ ba).

Để rõ ràng, tổ chức/cá nhân xác lập giao dịch, phát sinh quan hệ hợp tác, quan hệ pháp lý trực tiếp/gián tiếp với APSC bao gồm nhưng không giới hạn các nhóm chủ thể sau:

• Nhóm 1: Khách hàng đang sử dụng Dịch Vụ của APSC hoặc truy cập vào bất kỳ trang thông tin điện tử, ứng dụng hoặc thiết bị của APSC hoặc được kết nối đến APSC.
• Nhóm 2: Người nội bộ, người có liên quan của người nội bộ, người có liên quan của APSC theo quy định của Luật Chứng khoán, Luật Doanh nghiệp; người ứng tuyển vào làm việc tại APSC, người lao động, thực tập sinh, cộng tác viên của APSC hoặc cá nhân khác đang làm việc tại APSC.
• Nhóm 3: Đối tác, cổ đông
• Nhóm 4: Cá nhân khác có phát sinh quan hệ với APSC.

1.6. Chính Sách: là Chính sách về bảo vệ dữ liệu cá nhân này (và bao gồm mọi bản sửa đổi, bổ sung), được APSC công bố trên website: https://apsc.vn/ hoặc thông báo cho Chủ Thể Dữ Liệu qua các kênh khác mà APSC cho rằng là phù hợp.
1.7. Dữ Liệu Cá Nhân Cơ bản: Là Dữ Liệu Cá Nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân, thông tin có được từ các hệ thống giám sát an ninh, kể cả bản ghi âm, ghi hình của cá nhân thu được từ hệ thống giám sát an ninh; số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng); thông tin về tài khoản số của cá nhân; các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là Dữ Liệu Cá Nhân Nhạy Cảm.

1.8. Dữ Liệu Cá Nhân Nhạy Cảm: là Dữ Liệu Cá Nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, gồm: Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc; quan điểm chính trị, tôn giáo, tín ngưỡng; thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình; tình trạng sức khỏe; dữ liệu sinh trắc học, đặc điểm di truyền; dữ liệu tiết lộ về đời sống tình dục, xu hướng tình dục của cá nhân; dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; vị trí của cá nhân được xác định qua dịch vụ định vị; thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân; tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác; dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng và dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

1.9. Xử lý Dữ Liệu Cá Nhân: là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.

1.10. Bên Thứ Ba: là bất kỳ tổ chức, cá nhân nào khác ngoài APSC, Chủ Thể Dữ Liệu.

1.11. UBCKNN: là Ủy ban Chứng khoán Nhà nước của Việt Nam.

1.12. SGDCK: là Sở giao dịch chứng khoán Việt Nam và các công ty con của Sở giao dịch chứng khoán Việt

1.13. VSDC: là Tổng công ty lưu ký và bù trừ chứng khoán Việt Nam.

1.14. NHNN: là Ngân hàng nhà nước Việt Nam.

Điều 2. Đối tượng áp dụng

2.1. Chính Sách này được áp dụng cho tất cả Chủ Thể Dữ Liệu, là một phần không thể tách rời và cần được đọc, hiểu, thống nhất với các hợp đồng, thỏa thuận, văn kiện, đề nghị, cam kết, đăng ký sử dụng Dịch Vụ, các văn bản, tài liệu khác được xác lập giữa Chủ Thể Dữ Liệu và APSC (“Giao Dịch”).

2.2. Chính sách này được ưu tiên áp dụng trong trường hợp có bất kỳ xung đột hoặc mâu thuẫn nào với các Giao Dịch, cho dù Giao Dịch được ký kết trước, trong hoặc sau ngày Chính Sách này có hiệu lực.

Điều 3. Sự đồng ý của Chủ Thể Dữ Liệu

3.1Chủ Thể Dữ Liệu hiểu và đồng ý rằng:

• a.Việc Chủ Thể Dữ Liệu cung cấp Dữ Liệu Cá Nhân cho APSC được hiểu là việc chia sẻ Dữ Liệu Cá Nhân cho APSC và những người lao động, người được APSC phân công, ủy quyền hợp pháp để thực hiện các chức năng, nhiệm vụ liên quan đến việc tiếp nhận, quản lý và Xử Lý Dữ Liệu cá Nhân theo quy định của pháp luật.
• b. Dữ Liệu Cá Nhân được cung cấp cho APSC không chỉ bao gồm các Dữ Liệu Cá Nhân được cung cấp tại từng thời điểm mà còn bao gồm toàn bộ Dữ Liệu Cá Nhân đã được Chủ Thể Dữ Liệu cung cấp cho APSC trước đó và các Dữ Liệu Cá Nhân được cung cấp, cập nhật, phát sinh trong suốt quá trình thiết lập, duy trì và thực hiện quan hệ giữa Chủ Thể Dữ Liệu và APSC.
• c. Chủ Thể Dữ Liệu đồng ý và cho phép APSC toàn quyền thực hiện Xử Lý Dữ Liệu Cá Nhân theo quyết định của APSC tại từng thời kỳ trong trường hợp Chủ Thể Dữ Liệu tiếp tục duy trì bất kỳ hành vi hoặc trạng thái nào sau đây:
  • Sử dụng Dịch Vụ của APSC hoặc truy cập vào bất kỳ trang thông tin điện tử, ứng dụng hoặc thiết bị của APSC hoặc được kết nối đến APSC.
  • Là người nội bộ, người có liên quan của APSC theo quy định của Luật Chứng khoán Luật Doanh nghiệp, người ứng tuyển vào làm việc tại APSC, người lao động, thực tập sinh, cộng tác viên của APSC hoặc cá nhân khác đang làm việc tại APSC.
  • Là Đối tác, cổ đông của APSC.
  • Duy trì các Giao Dịch, các mối quan hệ pháp lý đã thiết lập với APSC.
• d. Dữ Liệu Cá Nhân do Chủ Thể Dữ Liệu cung cấp cho APSC bao gồm nhưng không giới hạn các Dữ Liệu Cá Nhân mà APSC đã thu thập, tiếp nhận trước, trong và sau thời điểm Chủ Thể Dữ Liệu chấp nhận Chính Sách này.

• Để rõ ràng, việc Chủ Thể Dữ Liệu cho phép APSC Xử Lý Dữ Liệu Cá Nhân có hiệu lực kể từ thời điểm APSC tiếp nhận Dữ Liệu Cá Nhân cho đến khi APSC nhận được yêu cầu hợp lệ từ Chủ Thể Dữ Liệu về việc chấm dứt Xử Lý Dữ Liệu Cá Nhân hoặc việc Xử Lý Dữ Liệu Cá Nhân phải chấm dứt theo quy định của pháp luật, tùy theo thời điểm nào đến trước.
• e. Nhằm thực hiện mục đích xử lý Dữ Liệu Cá Nhân theo quy định tại Chính Sách này, APSC có thể cung cấp, chia sẻ hoặc tiết lộ Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu cho bất kỳ Bên Thứ Ba nào hợp tác với APSC để cung cấp Dịch Vụ cho Chủ Thể Dữ Liệu và Bên Thứ Ba này có thể tại Việt Nam hoặc bất cứ địa điểm nào khác nằm ngoài lãnh thổ Việt Nam.

3.2. Sự đồng ý của Chủ Thể Dữ liệu phải đảm bảo khả năng kiểm chứng được về việc xác định Chủ Thể Dữ Liệu đã đồng ý, thời điểm và nội dung được đồng ý, bao gồm:

1. Bằng văn bản;
2. Bằng cuộc gọi ghi âm;
3. Cú pháp đồng ý qua tin nhắn điện thoại;
4. Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;
5. Bằng các phương thức khác phù hợp có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

3.3. Chủ Thể Dữ Liệu hiểu và đồng ý rằng: Việc rút lại sự đồng ý và/hoặc yêu cầu APSC xóa dữ liệu, hạn chế Xử Lý Dữ Liệu và/hoặc phản đối việc Xử Lý Dữ Liệu Cá Nhân, cũng như thực hiện bất kỳ quyền nào khác liên quan đến một phần hoặc toàn bộ Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu đã cung cấp cho APSC, có thể ảnh hưởng đến khả năng APSC tiếp tục cung cấp Dịch Vụ cho Chủ Thể Dữ Liệu và/hoặc các quyền của Chủ Thể Dữ Liệu tại các Giao Dịch được xác lập giữa Chủ Thể Dữ Liệu và APSC. Trong trường hợp này, APSC không chịu trách nhiệm đối với bất kỳ tổn thất nào phát sinh đối với Chủ Thể Dữ Liệu và bảo lưu đầy đủ các quyền, biện pháp khắc phục hợp pháp của mình, bao gồm nhưng không giới hạn ở quyền giới hạn, hạn chế, tạm ngừng, chấm dứt hoặc từ chối việc Xử Lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu theo quy định pháp luật.

Để rõ ràng, việc Chủ Thể Dữ Liệu thực hiện các quyền nêu trên không ảnh hưởng đến tính hợp pháp của việc Xử Lý Dữ Liệu đã được đồng ý trước khi Chủ Thể Dữ Liệu thực hiện các quyền quy định tại khoản này.

Điều 4. Nguyên tắc Xử Lý Dữ Liệu Cá Nhân

APSC cam kết tuân thủ các nguyên tắc sau khi thực hiện Xử Lý Dữ Liệu Cá Nhân:

4.1. Tuân thủ quy định của pháp luật về xử lý Dữ Liệu Cá Nhân.

4.2. Thu thập và Xử lý Dữ Liệu Cá Nhân với mục đích cụ thể, rõ ràng, hợp pháp, trong phạm vi các mục đích đã nêu tại Chính Sách này và phù hợp với luật định;

4.3. Không mua, bán Dữ Liệu Cá Nhân dưới mọi hình thức, trừ trường hợp có sự đồng ý của Chủ Thể Dữ Liệu hoặc pháp luật có quy định khác.

4.4. Áp dụng các biện pháp bảo vệ, bảo mật Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ Dữ Liệu Cá Nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

4.5. Dữ Liệu Cá Nhân được lưu trữ/lưu giữ trong khoảng thời gian phù hợp với mục đích xử lý và phù hợp với quy định pháp luật.

Điều 5. Quyền và nghĩa vụ của Chủ Thể Dữ Liệu:

5.1. Chủ Thể Dữ Liệu có các quyền sau đây:

1. Được biết về hoạt động Xử Lý Dữ Liệu Cá Nhân;
2. Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép Xử Lý Dữ Liệu Cá Nhân;
3. Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa Dữ Liệu Cá Nhân;
4. Yêu cầu cung cấp, xóa, hạn chế Xử Lý Dữ Liệu Cá Nhân; gửi yêu cầu phản đối Xử Lý Dữ Liệu Cá Nhân;
5. Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
6. Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

5.2. Nghĩa vụ của Chủ Thể Dữ Liệu:

1. Tự bảo vệ dữ liệu cá nhân của mình;
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
3. Cung cấp đầy đủ, chính xác Dữ Liệu Cá Nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép Xử Lý Dữ Liệu Cá Nhân của mình;
4. Chấp hành pháp luật về bảo vệ Dữ Liệu Cá Nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân;
5. Vì mục đích bảo mật, Chủ thể Dữ Liệu cần phải đưa ra yêu cầu của mình bằng văn bản hoặc phương thức khác để đảm bảo việc xác thực danh tính, thời điểm và nội dung yêu cầu của Chủ Thể Dữ Liệu;

Điều 6. Quyền của APSC khi Xử Lý Dữ Liệu

Khi nhận được sự đồng ý và chấp thuận của Chủ Thể Dữ Liệu theo Điều 3 của Chính Sách này, APSC sẽ có các quyền như sau:

6.1. Toàn quyền Xử Lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu theo quyết định của APSC tại từng thời kỳ và phù hợp với phạm vi mà Chủ Thể Dữ Liệu cho phép trong Chính Sách này;

6.2. Yêu cầu Chủ Thể Dữ Liệu cung cấp đầy đủ và chính xác Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu phù hợp với Chính Sách này;

6.3. Được quyền miễn trừ mọi trách nhiệm trong trường hợp Chủ Thể Dữ Liệu cung cấp Dữ Liệu Cá Nhân của Bên Thứ Ba mà chưa được sự đồng ý/chấp thuận hợp pháp của Bên Thứ Ba đó.
Điều 7. Thu thập Dữ Liệu Cá Nhân

7.1. Chủ Thể Dữ Liệu đồng ý rằng APSC và/hoặc Bên Thứ Ba hợp tác với APSC có thể thu thập, ghi nhận, tạo lập, lưu trữ và Xử Lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu, trực tiếp hoặc gián tiếp, trong quá trình thiết lập, thực hiện quản lý quan hệ với Chủ Thể Dữ Liệu bao gồm nhưng không giới hạn các nguồn sau đây:

1. 1. Từ chính Chủ Thể Dữ Liệu cung cấp cho APSC theo bất kỳ hợp đồng, thỏa thuận, biên bản ghi nhớ, biên bản xác nhận hoặc bất kỳ văn bản, tài liệu nào khác được ký kết giữa Chủ Thể Dữ Liệu và APSC hoặc theo bất kỳ quy định, quy chế, chính sách nào do APSC ban hành, áp dụng đối với Chủ Thể Dữ Liệu.
   2. Thông qua các trao đổi bằng lời nói, văn bản giữa Chủ Thể Dữ Liệu với APSC và/hoặc giữa Chủ Thể Dữ Liệu với các tổ chức được APSC ủy quyền, hợp tác.
   3. Từ Bên Thứ Ba hợp tác với APSC để cung cấp Dịch Vụ cho Chủ Thể Dữ Liệu, bao gồm nhưng không giới hạn các bên tư vấn về khảo sát, truyền thông mạng xã hội, tiếp thị, tham chiếu thông tin tín dụng, ngăn ngừa gian lận, tập hợp dữ liệu, các bên hỗ trợ cơ sở hạ tầng/trang thiết bị,…
   4. Từ đối tác, nhà cung cấp dịch vụ, đơn vị tư vấn và các Bên Thứ Ba khác có quan hệ với Chủ Thể Dữ Liệu (như người sử dụng lao động, đồng sở hữu tài khoản, người có liên quan theo quy định của pháp luật về chứng khoán, bên cho vay, bên bảo lãnh, bên cung cấp các biện pháp bảo đảm, đối tác, cổ đông,…).
   5. Từ UBCKNN, SGDCK, VSDC, NHNN và các cơ quan nhà nước có thẩm quyền khác tại Việt Nam hoặc tại nước ngoài.
   6. Thông qua hệ thống kỹ thuật và hạ tầng công nghệ của APSC, bao gồm nhưng không giới hạn: website, ứng dụng, hệ thống liên lạc, cookies và các công nghệ tương tự, hệ thống camera giám sát tại các địa điểm kinh doanh/giao dịch.
   7. Thông tin phát sinh trong quá trình Chủ Thể Dữ Liệu sử dụng Dịch Vụ, truy cập website, ứng dụng của APSC, bao gồm hồ sơ giao dịch, dữ liệu kỹ thuật, thông tin thiết bị, địa chỉ IP, định danh thiết bị, lịch sử và tần suất truy cập, dữ liệu phục vụ thẩm định, quản trị rủi ro, phòng chống rửa tiền, tuân thủ pháp luật và thực hiện nghĩa vụ báo cáo.
   8. Thông tin vị trí thiết bị (nếu được Chủ Thể Dữ Liệu cho phép), phục vụ việc cung cấp Dịch Vụ dựa trên vị trí. Chủ Thể Dữ Liệu có quyền quản lý hoặc thu hồi quyền cho phép này thông qua cài đặt thiết bị.

7.2. Từ cơ sở dữ liệu công công hoặc các nguồn dữ liệu công khai, hợp pháp khác phù hợp với quy định của pháp luật.Dữ Liệu Cá Nhân có thể do Chủ Thể Dữ Liệu trực tiếp cung cấp, do APSC chủ động thu thập hoặc được tổng hợp từ các nguồn hợp pháp khác, bao gồm cả thông tin được công bố rộng rãi, phù hợp với quy định của pháp luật hiện hành.

Điều 8. Xử Lý Dữ Liệu Cá Nhân

8.1. Mục đích Xử Lý Dữ Liệu: Chủ thể Dữ Liệu đồng ý rằng APSC có thể chia sẻ và/hoặc chuyển giao Dữ Liệu Cá Nhân cho các bên thứ ba có liên quan mà không phải thu thập lại sự đồng ý của Chủ thể Dữ Liệu tại từng thời điểm chuyển giao (trừ trường hợp pháp luật có quy định khác) để thực hiện các mục đích sau đây:
a. Cung cấp, vận hành và phát triển Dịch Vụ (Áp dụng đối với Nhóm 1 tại Khoản 1.5 Điều 1), bao gồm nhưng không giới hạn:

1. 1. 1. Xác minh và thẩm định: Nhận biết, xác minh, xác thực danh tính, lý lịch, định danh Khách hàng; thẩm định hồ sơ pháp lý, khả năng tài chính, mức độ đáp ứng điều kiện đối với từng nghiệp vụ, sản phẩm, dịch vụ do APSC đề xuất hoặc cung cấ
      2. Cung cấp và quản lý Dịch Vụ: Phê duyệt, cung cấp, duy trì, thay đổi, tạm ngừng hoặc chấm dứt việc cung cấp Dịch Vụ; quản lý, xử lý, giám sát giao dịch; bảo đảm an toàn, bảo mật và tính liên tục của việc cung cấp Dịch Vụ; hỗ trợ, chăm sóc Khách hàng trong suốt quá trình sử dụng Dịch Vụ.
      3. Triển khai sản phẩm, dịch vụ liên kết: Phối hợp với các đối tác, nhà cung cấp, bên thứ ba để triển khai các sản phẩm, dịch vụ tích hợp, liên kết hoặc bổ trợ theo quy định pháp luật, bao gồm cả các sản phẩm, dịch vụ do Bên Thứ Ba cung cấp thông qua sự hợp tác với APSC.
      4. Thông tin, liên hệ và truyền thông: Liên hệ, trao đổi, cung cấp thông tin, tài liệu, văn bản liên quan đến Giao Dịch và việc sử dụng Dịch Vụ tại APSC; thông báo về quyền lợi, nghĩa vụ, các thay đổi, cải tiến, nâng cấp tính năng, chất lượng sản phẩm, dịch vụ; giới thiệu, quảng bá thông tin về sản phẩm, dịch vụ, chương trình ưu đãi, khuyến mại, sự kiện, khảo sát, nghiên cứu, hoạt động truyền thông và các nội dung liên quan khác của APSC hoặc của đối tác có hợp tác với APSC (trong phạm vi pháp luật cho phép).
      5. Phân tích, nghiên cứu và báo cáo: Thực hiện nghiên cứu thị trường, khảo sát, phân tích dữ liệu nhằm đánh giá nhu cầu, hành vi và mức độ hài lòng của Khách hàng.
         vi. Thực hiện các thủ tục, nghĩa vụ theo quy định pháp luật (thuế, phí, lệ phí,…)

b. Quản trị nhân sự và quản lý tổ chức (Áp dụng đối với Nhóm 2 tại Khoản 1.5 Điều 1), bao gồm nhưng không giới hạn:

1. Tuyển dụng và thiết lập quan hệ việc làm: Rà soát, đánh giá điều kiện, hồ sơ, tài liệu của ứng viên, cộng tác viên; tuyển dụng, đăng ký hồ sơ, ký kết và quản lý hợp đồng lao động, hợp đồng dịch vụ, thỏa thuận về việc làm.
2. Quản lý và phát triển nhân sự: Đào tạo, kiểm tra, đánh giá năng lực, chất lượng công việc và việc tuân thủ nghĩa vụ theo hợp đồng, cam kết với APSC; thực hiện các chế độ tiền lương, phúc lợi, bảo hiểm, khen thưởng, kỷ luật.
3. Quản trị nội bộ và tuân thủ: Quản lý hồ sơ nhân sự, phân quyền, bảo đảm an ninh, an toàn hệ thống thông tin; thực hiện các thủ tục, nghĩa vụ theo quy định pháp luật với cơ quan có thẩm quyền (lao động, bảo hiểm, thuế, cơ quan quản lý chuyên ngành…).
4. Dịch vụ hỗ trợ và phúc lợi: Phối hợp với các bên thứ ba để cung cấp các dịch vụ phục vụ người lao động, người quản lý như đào tạo, bảo hiểm, chăm sóc sức khỏe, vận tải, du lịch, tổ chức sự kiện và các dịch vụ liên quan khác.
5. Các mục đích quản trị nhân sự hợp pháp khác phát sinh có liên quan trực tiếp đến việc quản trị, vận hành và phát triển nguồn nhân lực của APSC.

c. Hợp tác kinh doanh và quản lý quan hệ đối tác, cổ đông (Áp dụng đối với Nhóm 3 tại Khoản 1.5 Điều 1), bao gồm nhưng không giới hạn:

1. Xác lập, triển khai, duy trì và quản lý các quan hệ hợp tác kinh doanh, cung ứng dịch vụ, cộng tác.
2. Quản lý cổ đông, tổ chức Đại hội đồng cổ đông, thực hiện quyền và nghĩa vụ của cổ đông theo quy định pháp luật và Điều lệ công
3. Thực hiện thanh toán, quyết toán, đối soát, báo cáo và các nghĩa vụ tài chính, kế toán có liên quan;
4. Phục vụ các giao dịch doanh nghiệp như tái cấu trúc, chuyển nhượng, mua bán, sáp nhập, hợp nhất hoặc các giao dịch tương tự khác theo quy định pháp luật.
5. Các mục đích hợp pháp khác phát sinh có liên quan trực tiếp đến quan hệ đối tác, quản lý cổ đông, quản trị công ty phù hợp với quy định của pháp luật.

d. Tuân thủ pháp luật, quản trị rủi ro và bảo vệ lợi ích hợp pháp (Áp dụng đối với TẤT CẢ các nhóm Chủ Thể Dữ Liệu), bao gồm nhưng không giới hạn:

1. Tuân thủ quy định pháp luật, Điều ước quốc tế và yêu cầu của cơ quan Nhà nước có thẩm quyền.
2. Phòng, chống rửa tiền, tài trợ khủng bố, gian lận, tham nhũng và các hành vi vi phạm pháp luật khác.
3. Thực hiện kiểm toán, thanh tra; quản trị rủi ro; giải quyết khiếu nại, tranh chấp, tố tụng.
4. Giao kết, thực hiện các quyền và nghĩa vụ theo hợp đồng, thỏa thuận và các văn bản pháp lý có liên
5. Liên hệ, trao đổi, xác minh thông tin trong quá trình thực hiện công việc, Dịch Vụ giữa Chủ Thể Dữ Liệu và
6. Bảo vệ quyền, lợi ích hợp pháp của APSC, Chủ Thể Dữ Liệu và các bên liên quan;
7. Ngăn chặn hoặc giảm thiểu nguy cơ gây ảnh hưởng đến tính mạng, sức khỏe con người và lợi ích công cộng.
8. Thực hiện nghĩa vụ công, hoặc trách nhiệm pháp lý để hỗ trợ phát hiện và ngăn chặn gian lận, trốn thuế và tội phạm tài chính.
9. Thực hiện các báo cáo quy định, kiện tụng hoặc khẳng định hoặc bảo vệ các quyền và lợi ích hợp pháp.
10. Lập và gửi các báo cáo tài chính, báo cáo hoạt động và các loại báo cáo khác theo quy định pháp luật hoặc theo yêu cầu quản trị nội bộ.
11. Thực hiện nghĩa vụ công bố thông tin của Chủ thể Dữ Liệu theo quy định của pháp luật.

e. Các mục đích hợp pháp khác mà pháp luật cho phép tổ chức, doanh nghiệp được Xử Lý Dữ Liệu Cá Nhân trong phạm vi chức năng, ngành nghề và hoạt động kinh doanh của

8.2. Bên cạnh các trường hợp hợp quy định tại 8.1, Dữ Liệu Cá Nhân có thể được xử lý mà không cần sự đồng ý của Chủ Thể Dữ Liệu trong các trường hợp sau:

1. Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của Chủ Thể Dữ Liệu hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này.
2. Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật.
3. Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật.
4. Thực hiện thỏa thuận của Chủ Thể Dữ Liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật.
5. Trường hợp khác theo quy định của pháp luật.

8.3. Chủ Thể Dữ Liệu đồng ý rằng trong quá trình Chủ Thể Dữ Liệu giao dịch tại các Đơn Vị Kinh Doanh của APSC và/hoặc thông qua các kênh liên lạc khác như đường dây nóng (hotline) của APSC, trao đổi trên kênh giao dịch chứng khoán từ xa (bao gồm nhưng không giới hạn ở điện thoại, fax, internet, email, zalo,…hoặc bất kỳ kênh nào khác được APSC chấp thuận), APSC sẽ ghi lại hình ảnh và/hoặc giọng nói của Chủ Thể Dữ Liệu nhằm thực hiện các mục đích theo quy định tại Điều này.

8.4.Các tổ chức, cá nhân liên quan đến mục đích Xử Lý Dữ Liệu Cá Nhân của Chủ thể Dữ Liệu:

1. Người lao động tại APSC;
2. Các Đơn Vị Kinh Doanh, công ty con, công ty liên kết của APSC;
3. Các công ty và/hoặc các tổ chức đóng vai trò là các bên cung cấp, đối tác, đại lý và/hoặc các cố vấn, tư vấn chuyên nghiệp của APSC, bao gồm nhưng không giới hạn ở các công ty cung cấp dịch vụ bưu chính, tiếp thị, quản trị nhân sự, xử lý dữ liệu, công nghệ thông tin, máy tính, thanh toán, thu hồi nợ, thông tin tín dụng, định danh, lưu ký, thẻ, nghiên cứu trị trường, mô hình hóa dữ liệu, đổi thưởng, lưu trữ và quản lý hồ sơ, nhập liệu, pháp lý, phương tiện truyền thông xã hội, viễn thông, kết nối mạng, điện thoại, cơ sở hạ tầng và hỗ trợ công nghệ, quản lý lực lượng lao động, báo cáo rủi ro, quyết định tín dụng, an toàn thông tin, trung tâm dữ liệu, hội thảo, tư vấn, và/hoặc các dịch vụ khác có liên quan đến, hoặc để hỗ trợ, cho việc vận hành hoạt động kinh doanh của APSC;
4. UBCKNN, SGDCK, VSDC, NHNN, Tòa án, Trung tâm Trọng tài, các cơ quan nhà nước có thẩm quyền, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và các cơ quan, tổ chức khác mà APSC được phép hoặc có nghĩa vụ phải tiết lộ, cung cấp thông tin theo quy định pháp luật, hoặc theo các hợp đồng, cam kết nào khác giữa APSC với các cơ quan, tổ chức này;
5. Bất kỳ cá nhân, tổ chức nào mà APSC được quyền hoặc bắt buộc phải tiết lộ theo quy định của pháp luật hoặc theo bất kỳ hợp đồng, cam kết giữa Bên Thứ Ba với APSC.

8.5.Thời hạn Xử Lý Dữ Liệu Cá Nhân:

APSC bắt đầu thực hiện quá trình xử lý ngay khi được cung cấp, thu thập Dữ Liệu Cá Nhân và  kết thúc khi APSC không còn lưu trữ bất kỳ Dữ Liệu Cá Nhân nào của Chủ Thể Dữ Liệu/Bên Thứ Ba phù hợp với quy định của APSC và quy định pháp luật.

8.6. Rủi ro khi bị lộ Dữ Liệu Cá nhân:

Chủ Thể Dữ Liệu hiểu và đồng ý rằng, mặc dù APSC đã và sẽ áp dụng các biện pháp kỹ thuật, quản lý và an ninh phù hợp theo quy định của pháp luật hiện hành để bảo vệ Dữ Liệu Cá Nhân. Tuy nhiên, việc Xử Lý Dữ Liệu Cá Nhân trong môi trường điện tử vẫn tiềm ẩn các rủi ro khách quan, bao gồm nhưng không giới hạn rủi ro phát sinh từ lỗi hệ thống, đường truyền, sự kiện bất khả kháng, virus, tấn công mạng, sự cố phần cứng và/hoặc phần mềm, cũng như các hành vi, thao tác của Chủ Thể Dữ liệu hoặc của bất kỳ Bên Thứ Ba nào khác có thể ảnh hưởng đến việc cung cấp và Xử Lý Dữ Liệu Cá Nhân. Theo đó, trong một số  rường hợp ngoài khả năng kiểm soát của APSC, Dữ Liệu Cá Nhân có thể bị truy cập trái phép, tiết lộ, bị chiếm đoạt, thất thoát, rò rỉ thông tin, dẫn đến việc bị sử dụng cho mục đích không mong muốn, gây thiệt hại về vật chất và/hoặc tinh thần cho Chủ Thể Dữ Liệu. Trong trường hợp này, APSC sẽ cố gắng sửa chữa và củng cố hàng rào bảo mật, giảm thiểu thiệt hại phát sinh cho Chủ Thể Dữ Liệu.

Điều 9. Sửa đổi, bổ sung, thay thế

Chủ Thể Dữ Liệu đồng ý vô điều kiện rằng APSC được toàn quyền sửa đổi, bổ sung, thay thế Chính Sách theo quyết định của APSC trong từng thời kỳ và phù hợp với quy định của pháp luật. Bất kỳ sửa đổi, bổ sung, thay thế Chính Sách sẽ có hiệu lực tại thời điểm được công bố và được APSC đăng tải công khai trên website: https://apsc.vn/ và/hoặc thông báo cho Chủ Thể Dữ Liệu thông qua các phương thức phù hợp được APSC triển khai trong từng thời kỳ.

APSC khuyến nghị Chủ Thể Dữ Liệu thường xuyên theo dõi, kiểm tra Chính sách về bảo vệ dữ liệu cá nhân trên website để cập nhật các thay đổi. Bằng việc tiếp tục duy trì hành vi và/hoặc trạng thái quy định tại điểm c khoản 3.1 Điều 3 Chính Sách này sau ngày Chính sách về bảo vệ dữ liệu cá nhân được sửa đổi, bổ sung, thay thế có hiệu lực, Chủ Thể Dữ Liệu được coi là chấp thuận toàn bộ nội dung của Chính sách về bảo vệ dữ liệu cá nhân.

Điều 10. Cam kết của Chủ Thể Dữ Liệu

10.1 Chủ Thể Dữ Liệu cam kết rằng sự đồng ý của Chủ Thể Dữ Liệu cho APSC xử lý Dữ Liệu Cá Nhân theo Chính Sách này là hoàn toàn tự nguyện, không bị lừa dối hay ép buộc.

10.2 Chủ Thể Dữ Liệu cam kết tại thời điểm thể hiện sự đồng ý với Chính Sách này (xác nhận Chính Sách), Chủ Thể Dữ Liệu đã hiểu rõ (i) loại Dữ Liệu Cá Nhân được xử lý; (ii) mục đích xử lý Dữ Liệu Cá Nhân; (iii) Bên kiểm soát và/hoặc Xử Lý Dữ liệu Cá Nhân và; (iv) các quyền, nghĩa vụ của Chủ Thể Dữ Liệu.

10.3. Khi cung cấp Dữ Liệu Cá Nhân của Bên Thứ Ba (bao gồm nhưng không giới hạn thông tin của người phụ thuộc, người có liên quan theo quy định của pháp luật, người giám hộ, bạn bè, bên thụ hưởng, người được ủy quyền, đối tác, người liên hệ trong các trường hợp khẩn cấp hoặc hoặc cá nhân khác mà Chủ Thể Dữ Liệu có nghĩa vụ cung cấp theo yêu cầu của APSC) cho APSC: (i) Chủ Thể Dữ Liệu cam đoan, bảo đảm và chịu trách nhiệm rằng Chủ Thể Dữ Liệu đã có sự đồng ý/chấp thuận hợp pháp của Bên Thứ Ba đó về việc cho phép APSC Xử Lý Dữ Liệu Cá Nhân của Bên Thứ Ba cho các mục đích được nêu tại Chính Sách này và; (ii) Chủ Thể Dữ Liệu đồng ý rằng APSC không có trách nhiệm phải thẩm định về tính hợp pháp, hợp lệ của sự đồng ý/chấp thuận của Bên Thứ Ba, việc lưu trữ bằng chứng chứng minh thuộc trách nhiệm của Chủ Thể Dữ Liệu.

Điều 11. Điều khoản thi hành

11.1. Tính toàn vẹn: Chính Sách này là một phần đính kèm, không tách rời của các Giao Dịch được xác lập giữa Chủ Thể Dữ Liệu và APSC và/hoặc các quy định, chính sách, quy chế, nội quy mà APSC áp dụng đối với Chủ Thể Dữ Liệu.

11.2. Chính Sách này có hiệu lực áp dụng đối với Chủ Thể Dữ Liệu kể từ thời điểm Chủ Thể Dữ Liệu đồng ý và chấp thuận cho APSC được toàn quyền xử lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu theo quy định tại Điều 3 của Chính Sách này.

11.3. Tất cả các quyền và nghĩa vụ của APSC theo Chính Sách này sẽ không thay đổi, hạn chế, chấm dứt các quyền và nghĩa vụ theo (i) các Giao Dịch được xác lập giữa Chủ Thể Dữ Liệu và APSC và/hoặc (ii) các quy định, chính sách, quy chế, nội quy mà APSC áp dụng đối với Chủ Thể Dữ Liệu. Chính Sách này được xem là bổ sung và không ảnh hưởng đến các quyền khác về thu thập, sử dụng, tiết lộ, xử lý dữ liệu của APSC.

11.4. Chính Sách này được giải thích và điều chỉnh theo quy định pháp luật Việt Nam. Mọi tranh chấp phát sinh liên quan đến Chính Sách này sẽ được giải quyết tại Tòa án có thẩm quyền.

11.5. Chính Sách này có hiệu lực kể từ ngày ký ban hành và thay thế Chính sách về bảo vệ dữ liệu cá nhân ban hành kèm theo Quyết định số 23/2023/QĐ-APSC ngày 02/10/2023.

                                                                                                                                                                                                                                                                                          TỔNG GIÁM ĐỐC

 

                                                                                                                                                                                                                                                                                                         (Đã ký)

 

                                                                                    NGUYỄN ANH TRUNG