CHÍNH SÁCH BẢO MẬT VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN

Chào mừng Quý khách đến với Công ty Cổ phần Tập đoàn BFC (dưới đây được gọi là “BFC”, “Công ty” hoặc “chúng tôi”). Chúng tôi trân trọng sự tin tưởng của Quý khách khi truy cập website, sử dụng ứng dụng và các dịch vụ của BFC.

BFC nhận thức sâu sắc về tầm quan trọng của quyền riêng tư và bảo vệ dữ liệu cá nhân (“DLCN”) trong kỷ nguyên số. Do đó, BFC cam kết ưu tiên hàng đầu cho việc bảo mật thông tin cá nhân của Quý khách thông qua các thực hành tốt nhất và tuân thủ nghiêm ngặt các quy định pháp luật hiện hành của Việt Nam.

Chính sách này (“Chính sách”) được ban hành để làm rõ một cách minh bạch các hoạt động của BFC liên quan đến việc thu thập, sử dụng, lưu trữ và xử lý dữ liệu cá nhân mà Quý khách cung cấp.

I. PHẠM VI VÀ ĐỐI TƯỢNG ÁP DỤNG

1. Mục tiêu: Chính sách này giải thích cách thức BFC xử lý DLCN của khách hàng, đối tác, nhân viên, ứng viên và mọi cá nhân (“Chủ Thể Dữ Liệu”) có tương tác, giao dịch hoặc sử dụng dịch vụ của BFC, bao gồm cả khách truy cập website và người dùng ứng dụng (nếu có).
2. Phạm vi áp dụng: Chính sách này áp dụng cho tất cả các hoạt động của BFC có liên quan đến DLCN, bất kể được thực hiện trực tuyến (qua website, ứng dụng) hay trực tiếp (tại văn phòng, điểm giao dịch).
3. Hiệu lực của sự đồng ý: Bằng việc cung cấp sự chấp thuận rõ ràng (ví dụ: đánh dấu vào ô đồng ý, ký vào biểu mẫu) hoặc thực hiện các hành vi ngụ ý (như tiếp tục truy cập website, sử dụng dịch vụ sau khi đã được thông báo về Chính sách này), Chủ Thể Dữ Liệu thừa nhận đã đọc, hiểu và đồng ý rằng sự chấp thuận này, cùng với nội dung Chính sách, sẽ cấu thành một thỏa thuận pháp lý có giá trị ràng buộc giữa Chủ Thể Dữ Liệu và BFC.
4. Tính không thể tách rời: Chính sách này được xem là một bộ phận không thể tách rời của các Hợp đồng dịch vụ, Điều khoản Sử dụng, Hợp đồng lao động và/hoặc bất kỳ thỏa thuận nào khác được xác lập giữa Chủ Thể Dữ Liệu và BFC.
5. Hiệu lực duy trì: Hiệu lực của Chính sách này được duy trì ngay cả khi các hợp đồng hoặc giao dịch khác giữa hai bên đã hết hạn, chấm dứt hoặc bị tuyên vô hiệu. Hiệu lực chỉ chấm dứt khi BFC nhận được yêu cầu hợp lệ về việc rút lại chấp thuận hoặc xóa dữ liệu từ Chủ Thể Dữ Liệu, theo đúng trình tự pháp luật, và BFC không còn nghĩa vụ pháp lý nào phải lưu trữ dữ liệu đó.
6. Khuyến nghị: BFC khuyến khích Chủ Thể Dữ Liệu nên xem xét kỹ lưỡng Chính sách này và định kỳ kiểm tra website chính thức của chúng tôi để nắm bắt các bản cập nhật, điều chỉnh (nếu có).

II. GIẢI THÍCH THUẬT NGỮ

1. “Pháp luật”: Bao gồm toàn bộ hệ thống các văn bản quy phạm pháp luật của Việt Nam mà BFC và Chủ Thể Dữ Liệu có nghĩa vụ tuân thủ, đặc biệt là Bộ luật Dân sự, Luật An ninh mạng, Luật Công nghệ thông tin và các Nghị định liên quan đến bảo vệ dữ liệu cá nhân.
2. “Dữ liệu cá nhân (DLCN)”: Là bất kỳ thông tin nào được thể hiện dưới dạng ký hiệu, văn bản, chữ số, hình ảnh, âm thanh hoặc các dạng tương tự trên môi trường điện tử, có khả năng xác định hoặc giúp xác định một con người cụ thể (Chủ Thể Dữ Liệu). DLCN được chia thành hai loại:

• DLCN cơ bản: Như họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, v.v.
• DLCN nhạy cảm: Là các dữ liệu gắn liền với quyền riêng tư mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân, như thông tin sức khỏe, tài chính, quan điểm tôn giáo, v.v.

3. “Chủ Thể Dữ Liệu”: Là cá nhân được DLCN phản ánh, bao gồm khách hàng, đối tác, nhà cung cấp, nhân viên, ứng viên, khách truy cập website và bất kỳ cá nhân nào khác mà BFC xử lý DLCN.
4. “Bên Kiểm soát Dữ liệu cá nhân”: Là BFC (Công ty Cổ phần Tập đoàn BFC), đơn vị quyết định mục đích và phương tiện xử lý DLCN.
5. “Bên Xử lý Dữ liệu cá nhân”: Là các cá nhân hoặc tổ chức (Bên thứ ba) thực hiện việc xử lý DLCN thay mặt cho BFC thông qua một hợp đồng hoặc thỏa thuận.
6. “Xử lý dữ liệu cá nhân”: Gồm một hoặc nhiều hành động tác động đến DLCN, ví dụ: thu thập, ghi lại, phân tích, xác nhận, lưu giữ, sửa đổi, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, sao chép, chia sẻ, truyền tải, cung cấp, chuyển giao, xóa, hủy bỏ hoặc các hành động liên quan khác.

III. CÁC LOẠI DỮ LIỆU CÁ NHÂN CHÚNG TÔI THU THẬP

Phụ thuộc vào loại hình dịch vụ, sản phẩm hoặc bối cảnh tương tác giữa Quý khách và BFC, chúng tôi có thể thu thập các nhóm dữ liệu sau, với các ví dụ cụ thể:

1. Dữ liệu cá nhân cơ bản

• Thông tin nhận dạng: Họ và tên, tên thường gọi (nếu có), ngày tháng năm sinh, ảnh chân dung. Chúng tôi thu thập thông tin này khi Quý khách ký hợp đồng hoặc đăng ký tài khoản.
• Thông tin nhân khẩu học: Giới tính, quốc tịch, dân tộc.
• Thông tin liên hệ: Số điện thoại (cố định, di động), địa chỉ email, địa chỉ thường trú, tạm trú, nơi ở hiện tại, địa chỉ liên lạc. Chúng tôi sử dụng thông tin này để gửi thông báo, xác nhận giao dịch, hoặc hỗ trợ khách hàng.
• Thông tin pháp lý: Số CMND, số CCCD, số hộ chiếu, mã số thuế cá nhân, số an sinh xã hội, số thẻ bảo hiểm y tế (và ngày cấp, nơi cấp của các giấy tờ này). Đây là thông tin bắt buộc để xác minh danh tính (KYC) theo quy định pháp luật trong nhiều dịch vụ.
• Thông tin khác: Hình ảnh cá nhân (kể cả hình ảnh từ camera an ninh tại các địa điểm giao dịch của BFC với mục đích an ninh), tình trạng hôn nhân, thông tin về quan hệ gia đình (khi cần thiết, ví dụ: liên hệ khẩn cấp cho nhân viên).
• Dữ liệu trực tuyến: Thông tin tài khoản số (tên đăng nhập, ID người dùng), lịch sử hoạt động trên không gian mạng (trong phạm vi website/ứng dụng của BFC).

2. Dữ liệu cá nhân nhạy cảm

• Thông tin tài chính: Dữ liệu về tài khoản ngân hàng (số tài khoản, tên chủ thẻ), thông tin giao dịch (lịch sử thanh toán, số tiền), thông tin về tài sản đảm bảo (khi áp dụng cho các dịch vụ tài chính, cầm cố). Chúng tôi thu thập để xử lý thanh toán, đánh giá khả năng tài chính hoặc thực hiện hợp đồng.
• Thông tin về sức khỏe: Tình trạng sức khỏe, thông tin trong hồ sơ bệnh án (không bao gồm nhóm máu). Chỉ thu thập khi thực sự cần thiết và có sự đồng ý rõ ràng, ví dụ: cho mục đích quản lý lao động (khám sức khỏe định kỳ) hoặc cung cấp dịch vụ đặc thù.
• Thông tin sinh trắc học: Đặc điểm vật lý, đặc điểm sinh học riêng, thông tin di truyền (ví dụ: dữ liệu giọng nói cho mục đích xác thực, nếu có).
• Dữ liệu về vị trí: Thông tin vị trí chính xác (GPS) khi Chủ Thể Dữ Liệu cho phép trên thiết bị hoặc ứng dụng. Chúng tôi có thể sử dụng để cung cấp dịch vụ dựa trên vị trí (như tìm chi nhánh gần nhất) hoặc tăng cường chống gian lận.
• Thông tin về lý lịch: Dữ liệu về tiền án, tiền sự. Chỉ thu thập trong các trường hợp đặc biệt như tuyển dụng vào các vị trí nhạy cảm và tuân thủ tuyệt đối quy định pháp luật.
• Quan điểm cá nhân: Quan điểm chính trị, tôn giáo. BFC không chủ trương thu thập loại dữ liệu này, trừ khi được cung cấp tự nguyện hoặc liên quan đến các hoạt động đặc thù (ví dụ: nghỉ lễ tôn giáo của nhân viên) và được pháp luật cho phép.

3. Dữ liệu kỹ thuật và sử dụng (Website/Ứng dụng)

• Thông tin thiết bị: Loại thiết bị (máy tính, điện thoại), hệ điều hành và phiên bản, loại trình duyệt và phiên bản, địa chỉ IP, cài đặt múi giờ, ID thiết bị duy nhất.
• Thông tin truy cập: Ngày giờ kết nối, thời gian truy cập, các trang đã xem, thống kê sử dụng ứng dụng, dữ liệu vị trí kỹ thuật (suy ra từ IP).
• Thông tin tài khoản: Tên đăng nhập, mật khẩu (đã mã hóa), chi tiết đăng nhập, lịch sử sử dụng, các cài đặt ưu tiên của người dùng.
• Dữ liệu điều hướng (Clickstream): Lịch sử các trang Quý khách đã truy cập, các liên kết đã nhấp, thời gian ở lại mỗi trang.

4. Dữ liệu phục vụ tiếp thị và khảo sát

• Sở thích và tương tác: Các chủ đề Quý khách quan tâm, phản ứng với các chiến dịch quảng cáo, email marketing (ví dụ: tỷ lệ mở email, nhấp vào liên kết).
• Lựa chọn cá nhân: Ghi nhận việc đồng ý hoặc từ chối (opt-out) nhận thông tin tiếp thị trực tiếp.
• Phản hồi khảo sát: Các câu trả lời của Quý khách khi tham gia các chương trình khảo sát ý kiến, nghiên cứu thị trường của BFC.

IV. PHƯƠNG THỨC THU THẬP DỮ LIỆU CÁ NHÂN

BFC áp dụng nhiều phương thức để thu thập DLCN, đảm bảo tính minh bạch và tuân thủ pháp luật:

1. Thông tin Quý khách trực tiếp cung cấp (Thu thập chủ động)

• Qua các biểu mẫu/Hợp đồng: Khi Quý khách điền thông tin vào các biểu mẫu đăng ký (giấy hoặc điện tử), ký kết hợp đồng dịch vụ, hợp đồng lao động.
• Qua Dịch vụ & Giao dịch: Khi Quý khách đăng ký sử dụng dịch vụ, thực hiện giao dịch tại các văn phòng, chi nhánh của chúng tôi.
• Qua trao đổi, liên lạc: Khi Quý khách chủ động liên hệ với BFC qua bất kỳ phương tiện nào (gặp mặt, điện thoại, email, thư tín, mạng xã hội). Lưu ý: Các cuộc gọi đến bộ phận CSKH có thể được ghi âm để nâng cao chất lượng dịch vụ và Quý khách sẽ được thông báo trước.
• Khi tham gia sự kiện: Khi Quý khách tham gia các chương trình khảo sát ý kiến, khuyến mãi, hội thảo do BFC tổ chức.

2. Thông tin được thu thập tự động (Thu thập bị động)

Qua công nghệ theo dõi: Khi Quý khách tương tác với website hoặc ứng dụng của BFC, chúng tôi tự động thu thập Dữ liệu kỹ thuật (Mục III.3) bằng các công nghệ như:

• Cookies: Các tệp văn bản nhỏ lưu trữ trên thiết bị của Quý khách để ghi nhớ thông tin đăng nhập (cookies chức năng), phân tích cách Quý khách sử dụng website (cookies phân tích), hoặc hiển thị quảng cáo phù hợp (cookies tiếp thị).
• Beacons (Web Beacons/Pixel Tags): Các hình ảnh điện tử nhỏ được nhúng trong website hoặc email để theo dõi hành vi người dùng (ví dụ: xác nhận email đã được mở).
• Nhật ký máy chủ (Server Logs): Ghi lại tự động các hoạt động truy cập hệ thống.

3. Thông tin thu thập từ các nguồn khác (Bên thứ ba)

• Từ đối tác kinh doanh: Chúng tôi có thể nhận DLCN từ các đối tác mà chúng tôi hợp tác cung cấp dịch vụ hoặc thực hiện các chiến dịch tiếp thị chung.
• Từ nhà cung cấp dịch vụ: Ví dụ, khi Quý khách thực hiện thanh toán, chúng tôi nhận thông tin xác nhận từ các đơn vị xử lý thanh toán, cổng thanh toán. Các nhà cung cấp dịch vụ phân tích (như Google Analytics) cũng cung cấp cho chúng tôi dữ liệu thống kê tổng hợp.
• Từ cơ quan công quyền/Nguồn công khai: BFC có thể tiếp nhận DLCN từ các cơ quan nhà nước có thẩm quyền theo yêu cầu của pháp luật (ví dụ: xác minh thông tin) hoặc từ các nguồn thông tin đã được công khai hợp pháp (như danh bạ công cộng, thông tin trên các phương tiện truyền thông, website đăng ký doanh nghiệp).
• Từ các giới thiệu: Từ các khách hàng hiện tại giới thiệu Quý khách sử dụng dịch vụ.
• BFC cam kết chỉ thu thập dữ liệu từ Bên thứ ba khi đảm bảo rằng bên đó đã có sự đồng ý hợp lệ từ Chủ Thể Dữ Liệu cho phép việc chia sẻ thông tin này.

V. MỤC ĐÍCH SỬ DỤNG DỮ LIỆU CÁ NHÂN

BFC chỉ xử lý DLCN của Quý khách cho một hoặc nhiều mục đích cụ thể, hợp pháp, dựa trên các cơ sở pháp lý rõ ràng:

A. Để thực hiện Hợp đồng với Quý khách

1. Cung cấp dịch vụ: Vận hành, duy trì và cung cấp các sản phẩm, dịch vụ mà Quý khách yêu cầu; quản lý hoạt động của website và ứng dụng.
2. Quản lý quan hệ: Xử lý đăng ký, quản lý tài khoản; thực hiện hỗ trợ kỹ thuật và giải quyết các thắc mắc, khiếu nại, phản hồi.
3. Xác thực và Giao dịch: Xác thực danh tính người dùng (KYC), xử lý các giao dịch thanh toán, và thực hiện các nghĩa vụ khác theo hợp đồng (bao gồm cả các hoạt động liên quan đến thu hồi công nợ, nếu có).
4. Thông báo vận hành: Gửi các thông báo quan trọng liên quan đến giao dịch, tình trạng tài khoản, các thay đổi về tính năng, điều khoản hoặc chính sách.

B. Để tuân thủ Nghĩa vụ pháp lý

5. Tuân thủ pháp luật: Để đảm bảo tuân thủ các nghĩa vụ pháp lý (ví dụ: theo Luật Kế toán, Luật Thuế, Luật Phòng chống rửa tiền), báo cáo cho cơ quan nhà nước, và thực hiện yêu cầu từ cơ quan công quyền (Tòa án, Công an…).
6. Quản lý rủi ro & An ninh: Đánh giá, quản lý rủi ro; phát hiện, điều tra và ngăn chặn các hành vi vi phạm pháp luật, gian lận, lừa đảo, tấn công an ninh mạng hoặc các hoạt động bất hợp pháp khác.

C. Vì Lợi ích hợp pháp của BFC (hoặc của Bên thứ ba)

7. Quản trị nội bộ: Cho các mục đích quản trị nội bộ như tuyển dụng, quản lý nguồn nhân lực, đào tạo nội bộ, đánh giá hiệu suất.
8. Cải tiến sản phẩm: Để thực hiện nghiên cứu, phân tích dữ liệu (thường là dữ liệu tổng hợp, ẩn danh) nhằm tối ưu hóa vận hành, thấu hiểu thị trường và nâng cao chất lượng sản phẩm, dịch vụ.
9. Đảm bảo an ninh: Giám sát hệ thống để đảm bảo an toàn, an ninh mạng, bảo vệ tài sản và lợi ích hợp pháp của BFC và các khách hàng khác.

D. Dựa trên sự đồng ý của Quý khách

10. Tiếp thị và Quảng cáo: Để thực hiện các hoạt động quảng cáo, tiếp thị, giới thiệu sản phẩm mới, gửi bản tin, thông tin khuyến mãi. Quý khách hoàn toàn có quyền từ chối (opt-out) nhận các thông tin này bất kỳ lúc nào thông qua các hướng dẫn được đính kèm trong email hoặc liên hệ với chúng tôi.
11. Các mục đích khác: Cho bất kỳ mục đích nào khác mà chúng tôi đã thông báo rõ ràng và nhận được sự đồng ý cụ thể của Quý khách tại thời điểm thu thập.

VI. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU

1. Quyền của Chủ Thể Dữ Liệu

Trừ khi có các giới hạn pháp lý khác, Quý khách có các quyền sau:

• Quyền được thông báo: Nắm rõ về hoạt động xử lý DLCN của mình (thông qua Chính sách này và các thông báo cụ thể khác).
• Quyền đồng ý: Quyết định cho phép hoặc không cho phép xử lý DLCN của mình.
• Quyền truy cập và chỉnh sửa: Xem xét, truy cập và yêu cầu BFC điều chỉnh, cập nhật, bổ sung DLCN của mình để đảm bảo tính chính xác.
• Quyền rút lại chấp thuận: Rút lại sự đồng ý xử lý dữ liệu đã cấp trước đó (việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã diễn ra trước đó).
• Quyền xóa dữ liệu: Yêu cầu BFC xóa DLCN của mình trong các trường hợp được pháp luật quy định (ví dụ: khi dữ liệu không còn cần thiết cho mục đích ban đầu, hoặc khi Quý khách rút lại sự đồng ý).
• Quyền hạn chế xử lý: Yêu cầu BFC giới hạn phạm vi xử lý DLCN trong một số trường hợp cụ thể.
• Quyền phản đối: Phản đối việc BFC xử lý DLCN của mình (ví dụ: phản đối việc xử lý cho mục đích tiếp thị trực tiếp) nhằm ngăn chặn hoặc chấm dứt hành vi đó.
• Quyền khiếu nại và khởi kiện: Thực hiện các thủ tục khiếu nại, tố cáo, hoặc khởi kiện theo quy định của pháp luật khi cho rằng quyền của mình bị vi phạm.
• Quyền yêu cầu bồi thường: Đòi bồi thường thiệt hại (nếu xảy ra) theo đúng quy định của pháp luật.
• Quý khách có thể thực thi các quyền này bằng cách liên hệ với BFC qua thông tin tại Mục X.

2. Nghĩa vụ của Chủ Thể Dữ Liệu

• Tôn trọng và tuân thủ các quy định của pháp luật, cũng như các quy định và hướng dẫn của BFC liên quan đến DLCN.
• Đảm bảo tính chính xác: Đảm bảo tính trung thực, chính xác và đầy đủ của DLCN khi cung cấp cho BFC; thông báo kịp thời cho BFC khi có bất kỳ thay đổi nào để chúng tôi cập nhật hồ sơ.
• Tự bảo vệ: Tự chịu trách nhiệm bảo vệ DLCN của mình; giữ bí mật tuyệt đối thông tin đăng nhập, mật khẩu, mã OTP và các yếu tố xác thực khác; không chia sẻ cho bất kỳ ai.
• Tôn trọng và bảo vệ DLCN của các cá nhân, tổ chức khác; không sử dụng các dịch vụ của BFC để xâm phạm quyền riêng tư của người khác.

VII. CÁC BIỆN PHÁP BẢO MẬT DỮ LIỆU

BFC coi trọng việc bảo mật dữ liệu và triển khai các biện pháp bảo mật đa lớp, nghiêm ngặt:

1. Biện pháp kỹ thuật: Chúng tôi áp dụng các giải pháp kỹ thuật tiên tiến để bảo vệ dữ liệu:

• Mã hóa dữ liệu khi truyền tải (sử dụng giao thức SSL/TLS).
• Mã hóa dữ liệu nhạy cảm khi lưu trữ (ví dụ: mật khẩu).
• Sử dụng tường lửa (Firewall), hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS).
• Áp dụng cơ chế kiểm soát truy cập dựa trên vai trò (Role-Based Access Control) và nguyên tắc “cần phải biết” (need-to-know), đảm bảo chỉ những nhân viên có thẩm quyền mới được truy cập DLCN phù hợp với nhiệm vụ.

2. Biện pháp vật lý: Chúng tôi kiểm soát chặt chẽ việc truy cập vật lý vào các trung tâm dữ liệu và văn phòng làm việc, sử dụng hệ thống camera an ninh và kiểm soát ra vào.
3. Biện pháp tổ chức (Quy trình):

• Ban hành và thường xuyên rà soát các quy định, chính sách nội bộ về an toàn thông tin.
• Tổ chức đào tạo, nâng cao nhận thức về bảo mật thông tin và bảo vệ DLCN cho toàn bộ nhân viên.
• Ký kết các thỏa thuận bảo mật thông tin (NDA) với nhân viên và các Bên thứ ba (đối tác, nhà cung cấp) có tiếp xúc với DLCN.

4. Giới hạn trách nhiệm: Mặc dù BFC nỗ lực tối đa, không có môi trường truyền dẫn nào trên Internet (bao gồm email) hoặc hệ thống lưu trữ nào là an toàn 100%. BFC không thể đưa ra cam kết đảm bảo tuyệt đối. Chủ Thể Dữ Liệu đóng vai trò quan trọng trong việc bảo mật thông tin và phải thông báo ngay lập tức cho BFC nếu nghi ngờ có hành vi lạm dụng hoặc rò rỉ thông tin đăng nhập.

VIII. TIẾT LỘ VÀ CUNG CẤP DỮ LIỆU CÁ NHÂN

1. Cam kết chung: BFC cam kết không thực hiện hành vi bán, trao đổi hoặc cho thuê DLCN của Chủ Thể Dữ Liệu cho bất kỳ bên thứ ba nào vì mục đích lợi nhuận thương mại, trừ khi có sự chấp thuận rõ ràng từ Chủ Thể Dữ Liệu.
2. Các trường hợp chia sẻ: BFC chỉ chia sẻ hoặc cung cấp DLCN của Chủ Thể Dữ Liệu cho các bên sau đây, nhằm thực hiện các mục đích đã nêu tại Mục V:

• Nội bộ BFC: Đội ngũ nhân viên, ban lãnh đạo và các đại lý được ủy quyền của BFC trong phạm vi nhiệm vụ được phân công và trên cơ sở “cần phải biết”. Các công ty con, công ty liên kết trong cùng hệ thống Tập đoàn BFC có thể chia sẻ dữ liệu để vận hành chung, nhưng phải tuân thủ chính sách bảo mật này.
• Nhà cung cấp dịch vụ (Bên xử lý dữ liệu): Các đối tác, nhà thầu, nhà cung cấp dịch vụ hỗ trợ hoạt động kinh doanh của BFC (ví dụ: đơn vị cung cấp hạ tầng CNTT, dịch vụ đám mây, dịch vụ xử lý thanh toán, đơn vị tư vấn pháp lý, kiểm toán viên, dịch vụ SMS/Email marketing). Chúng tôi yêu cầu các bên này tuân thủ nghiêm ngặt các điều khoản bảo mật trong hợp đồng và chỉ được phép sử dụng dữ liệu cho mục đích BFC chỉ định.
• Cơ quan công quyền: Các cơ quan nhà nước có thẩm quyền (như Tòa án, Viện kiểm sát, Cơ quan Công an) khi nhận được yêu cầu hợp pháp, tuân thủ đúng trình tự, thủ tục của pháp luật.
• Chuyển giao kinh doanh: Trong trường hợp BFC thực hiện tái cấu trúc, sáp nhập, hợp nhất, chia tách hoặc chuyển giao tài sản, DLCN của Quý khách có thể được xem là một phần tài sản được chuyển giao, và bên nhận chuyển giao sẽ phải tuân thủ Chính sách này.
• Bên thứ ba khác (khi có sự đồng ý của Quý khách): Cho các bên khác khi chúng tôi nhận được sự đồng ý rõ ràng từ Quý khách.

IX. THỜI GIAN LƯU TRỮ DỮ LIỆU CÁ NHÂN

1. Nguyên tắc lưu trữ: BFC sẽ lưu giữ DLCN của Chủ Thể Dữ Liệu trong suốt thời gian Quý khách duy trì quan hệ hợp đồng hoặc sử dụng dịch vụ của BFC, và cho đến khi mục đích xử lý dữ liệu ban đầu đã hoàn tất.
2. Lưu trữ sau khi chấm dứt: Sau khi quan hệ chấm dứt, DLCN có thể tiếp tục được lưu trữ trong một khoảng thời gian bổ sung cần thiết (nhưng không lâu hơn mức cần thiết) nhằm:

• Tuân thủ các nghĩa vụ pháp lý về lưu trữ hồ sơ, chứng từ (ví dụ: thời hạn lưu trữ chứng từ kế toán, hồ sơ thuế theo quy định của Luật Kế toán, Luật Thuế).
• Để phục vụ việc giải quyết các tranh chấp, khiếu nại, hoặc các vấn đề pháp lý có thể phát sinh sau đó (cho đến khi hết thời hiệu khiếu nại/khởi kiện).

3. Xử lý khi hết hạn: Khi hết thời hạn lưu trữ bắt buộc hoặc khi mục đích lưu trữ không còn phù hợp, BFC sẽ thực hiện quy trình xóa, hủy bỏ vĩnh viễn (khỏi các hệ thống đang hoạt động và sao lưu) hoặc thực hiện các biện pháp ẩn danh/tổng hợp dữ liệu một cách an toàn.

X. THÔNG TIN LIÊN HỆ

Nếu Quý khách có bất kỳ thắc mắc, đề xuất, hoặc yêu cầu nào (bao gồm cả việc thực thi các quyền của mình tại Mục VI) liên quan đến Chính sách này hoặc cách thức BFC xử lý dữ liệu, vui lòng liên hệ:

CÔNG TY CỔ PHẦN TẬP ĐOÀN BFC

• Địa chỉ: Số 1A Ngõ 459 Phố Bạch Mai, Phường Trương Định, Quận Hai Bà Trưng, Thành phố Hà Nội, Việt Nam
• Bộ phận chuyên trách: Bộ phận Pháp chế & Tuân thủ (hoặc Người được ủy quyền về Bảo vệ Dữ liệu)
• Điện thoại: 024.665.99999
• Email: [email protected]

Chúng tôi sẽ nỗ lực phản hồi các yêu cầu hợp lệ trong thời gian sớm nhất, tuân thủ các mốc thời gian do pháp luật quy định.

XI. CẬP NHẬT VÀ HIỆU LỰC CỦA CHÍNH SÁCH

1. Chính sách này có thể được BFC điều chỉnh, sửa đổi hoặc cập nhật vào bất kỳ thời điểm nào để phản ánh những thay đổi trong hoạt động kinh doanh của chúng tôi hoặc những thay đổi của pháp luật.
2. Mọi thay đổi sẽ được BFC thông báo công khai trên website chính thức của Công ty (với ngày hiệu lực được cập nhật ở đầu trang) và/hoặc qua các kênh liên lạc trực tiếp (như email) nếu có những thay đổi quan trọng.
3. Việc Quý khách tiếp tục truy cập website hoặc sử dụng dịch vụ của BFC sau khi phiên bản Chính sách mới có hiệu lực được xem là sự chấp thuận và đồng ý của Quý khách đối với các nội dung đã cập nhật đó.