Chính sách bảo mật

Chính sách bảo mật của Cas được xây dựng theo quy định tại Nghị định 13/2023/NĐ-CP của Chính phủ Việt Nam về bảo vệ dữ liệu cá nhân cùng với các văn bản quy phạm pháp luật có liên quan. 

Các phiên bản : Tiếng Việt, Tiếng Anh

————————————————

Cập nhật: 05/05/2025

Khi sử dụng dịch vụ của chúng tôi, bạn tin tưởng cung cấp thông tin của bạn cho chúng tôi.
Chúng tôi hiểu rằng đây là một trách nhiệm lớn và chúng tôi nỗ lực bảo vệ thông tin của bạn cũng như để bạn nắm quyền kiểm soát.

Cas được xây dựng với sứ mệnh mở khóa những tiềm năng của ngân hàng mở. Bằng việc cung cấp một ứng dụng cho phép bạn quản lý tập trung tất cả tài khoản dữ liệu tài chính của mìnhcấp quyền truy cập dữ liệu cho các nhà phát triển phần mềm, Chúng tôi giúp cho việc xây dựng những ứng dụng tài chính mở trở nên dễ dàng, an toàn và bảo mật.

Mục tiêu của chúng tôi với Chính sách này là cung cấp giải thích đơn giản và dễ hiểu về dữ liệu mà Cas thu thập từ bạn cũng như cách chúng tôi sử dụng và chia sẻ thông tin đó. Chúng tôi đánh giá cao tính minh bạch và muốn cung cấp cho bạn mô tả rõ ràng và ngắn gọn về cách chúng tôi xử lý dữ liệu của bạn.

Các dịch vụ của Cas không hướng đến các cá nhân dưới 18 tuổi và chúng tôi không thu thập dữ liệu liên quan đến trẻ em..

CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

Chính sách bảo vệ dữ liệu cá nhân đối với người dùng của Cas (sau đây gọi tắt là “Người dùng”) nhằm mục đích thông báo với Người dùng những Dữ liệu cá nhân của Người dùng do Cas và các nhà phát triển dùng Cas để kết nối với ngân hàng (“Bên thứ ba”) xử lý, mục đích xử lý, cách thức xử lý, thời gian lưu trữ, quyền và nghĩa vụ của Người dùng đối với Dữ liệu cá nhân của mình theo quy định của pháp luật Việt Nam về bảo vệ Dữ liệu cá nhân (sau đây gọi chung là “Chính sách”). Chính sách này đồng thời đưa ra các khuyến nghị để giúp Người dùng nâng cao nhận thức về bảo vệ Dữ liệu cá nhân.

Chính sách này là một phần không thể tách rời của Hợp đồng, Điều khoản chung, Điều khoản sử dụng sản phẩm, dịch vụ của Cas. Chính sách này được áp dụng cho toàn bộ hoạt động cung cấp sản phẩm, dịch vụ của Cas và áp dụng trên toàn bộ các nền tảng có tương tác với Người dùng trên môi trường số có sử dụng Cas là nền tảng trung gian.

Cas có trách nhiệm cung cấp đầy đủ Chính sách này cho Người dùng trước khi ký hợp đồng hoặc giao dịch và lấy chấp thuận của Người dùng đối với Chính sách này trước khi thực hiện hoạt động xử lý dữ liệu cá nhân theo quy định của pháp luật. Bằng việc tích vào ô “Tôi đã đọc và chấp thuận” hoặc “Tôi đồng ý với Chính sách, Điều khoản sử dụng của Cas” hoặc bằng việc ký kết hợp đồng với Cas có dẫn chiếu và đính kèm Chính sách này, hoặc bằng việc tiếp tục đăng ký, đăng nhập, sử dụng website (trang mạng)/ứng dụng của Cas hoặc sử dụng sản phẩm, dịch vụ của Cas và Bên thứ ba mà không có bất kỳ khiếu nại nào, Người dùng xác nhận rằng đã đọc kỹ, hiểu rõ và chấp thuận toàn bộ nội dung Chính sách này.

————————-

Giải thích từ ngữ và các từ viết tắt

Trong phạm vi Chính sách này, các thuật ngữ dưới đây được hiểu và giải thích như sau:

  1. Cas là giải pháp giúp nhà phát triển kết nối dễ dàng và an toàn với các ngân hàng của chủ thể dữ liệu thông qua quy trình cấp quyền bảo mật, tuân thủ pháp luật và theo chuẩn API thống nhất. Cas trực tiếp tiếp nhận hoặc là trung gian nhận, xử lý, phân tích và tổng hợp dữ liệu từ ngân hàng để cung cấp dịch vụ tài chính cho người dùng cuối và bên thứ ba. 
  2. Bên thứ ba (Các nhà phát triển dùng Cas để kết nối với ngân hàng) là các tổ chức, doanh nghiệp cung cấp các dịch vụ tài chính, phân tích, và các dịch vụ liên quan khác. Các bên thứ ba có thể yêu cầu truy cập vào dữ liệu từ Cas để cung cấp các dịch vụ giá trị gia tăng cho người dùng cuối.
  3. Người dùng là các cá nhân, người đại diện pháp luật doanh nghiệp và tổ chức sử dụng dịch vụ tài chính do Cas và các Bên thứ ba cung cấp. Người dùng cuối cung cấp dữ liệu cá nhân của mình cho Ngân hàng, Cas và Bên thứ ba để tiến hành xử lý dữ liệu.
Xử lý Dữ liệu cá nhân
  1. Các trường hợp xử lý dữ liệu cá nhân:

1.1 Cas và Bên thứ ba có trách nhiệm thông báo Chính sách này cho Người dùng và lấy chấp thuận của Người dùng trước khi tiến hành xử lý Dữ liệu cá nhân trong những trường hợp dưới đây:

  1. Khi Người dùng hoặc người đại diện hợp pháp của Người dùng liên hệ với Cas và Bên thứ ba để yêu cầu tư vấn sản phẩm, dịch vụ.
  2. Khi Người dùng dùng thử, ký kết hợp đồng, đăng ký, sử dụng sản phẩm, dịch vụ của Cas và Bên thứ ba;
  3. Khi Người dùng truy cập và/hoặc đăng ký tài khoản tại các website/ứng dụng sản phẩm, dịch vụ của Cas và Bên thứ ba;
  4. Khi Người dùng đồng thuận cung cấp Dữ liệu cá nhân cho Cas và Bên thứ ba qua các nguồn công khai như: website/ứng dụng sản phẩm, dịch vụ của Cas và Bên thứ ba; cuộc họp, sự kiện, hội thảo, hội nghị, các mạng xã hội, hay chương trình đối thoại, hội thảo do Cas và Bên thứ ba tổ chức, tài trợ hoặc tham dự và/hoặc từ các tệp lưu trữ (cookies) ghi nhận được trên website của Cas và Bên thứ ba;
  5. Khi Người dùng của một tổ chức, doanh nghiệp cho phép tổ chức, doanh nghiệp đó chia sẻ dữ liệu cá nhân của Người dùng với Cas và Bên thứ ba;
  6. Là Người dùng của một tổ chức, doanh nghiệp được Cas và Bên thứ ba thực hiện góp vốn, mua cổ phần; hoặc là Người dùng của một tổ chức, doanh nghiệp có hoạt động hợp tác cung cấp sản phẩm, dịch vụ với Cas và Bên thứ ba.
  7. Khi có yêu cầu của các cơ quan nhà nước có thẩm quyền.
  8. Khi Cas và Bên thứ ba tiến hành các công việc theo mục đích xử lý Dữ liệu cá nhân được quy định tại Điều 3 Chính sách này.
  9. Các trường hợp khác theo quy định của pháp luật.

1.2 Loại dữ liệu cá nhân được xử lý 

Dữ liệu cá nhân của Người dùng được Cas và Bên thứ ba tiến hành xử lý bao gồm những thông tin dưới đây và có thể thay đổi tùy thuộc vào loại sản phẩm hoặc dịch vụ, cách thức tương tác của Người dùng với Cas và Bên thứ ba (Cas và Bên thứ ba sẽ thông báo cụ thể các thay đổi (nếu có) và lấy lại sự đồng ý của chủ thể dữ liệu đối với các nội dung thay đổi đó):

  1. Dữ liệu cá nhân cơ bản
  1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
  2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
  3. Giới tính;
  4. Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
  5. Quốc tịch;
  6. Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
  7. Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
  8. Dữ liệu cá nhân nhạy cảm
  1. Thông tin Người dùng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin cá nhân, thông tin tài khoản và giao dịch.
  2. Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị.
  3. Tại từng thời điểm, Người dùng có thể tự nguyện cung cấp cho Cas và Bên thứ ba các Dữ liệu cá nhân nằm ngoài yêu cầu của Cas và Bên thứ ba theo quy định tại Điều 2.2 Chính sách này. Khi Người dùng cung cấp Dữ liệu cá nhân nằm ngoài yêu cầu của Cas và Bên thứ ba, Người dùng đồng ý rằng đã được thông báo toàn bộ nội dung được quy định trong Chính sách này và cho phép Cas và Bên thứ ba xử lý Dữ liệu cá nhân của Người dùng với mục đích được nêu trong Chính sách này hoặc với mục đích được nêu tại thời điểm Người dùng cung cấp những Dữ liệu cá nhân đó. Ngoài ra, khi Người dùng chủ động cung cấp thông tin nằm ngoài yêu cầu của Cas và Bên thứ ba, Người dùng vui lòng không cung cấp Dữ liệu cá nhân nhạy cảm theo quy định của pháp luật tại từng thời điểm. Cas và Bên thứ ba sẽ không thực hiện xử lý và không chịu bất kì trách nhiệm pháp lý nào đối với các Dữ liệu cá nhân nhạy cảm do Người dùng tự nguyện cung cấp nằm ngoài yêu cầu của Cas và Bên thứ ba.
Mục đích xử lý Dữ liệu cá nhân

Dữ liệu cá nhân thu thập, cập nhật, bổ sung phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý theo quy định tại Chính sách này. Dữ liệu cá nhân của Người dùng chỉ được xử lý cho một hoặc một số mục đích được Người dùng đồng thuận sau đây (“Mục Đích”). Người dùng vui lòng tích chọn các Mục Đích mà Người dùng cho phép Cas và Bên thứ ba thực hiện Xử lý Dữ liệu cá nhân tại cột “Chấp thuận của Người dùng”. Các Mục Đích Người dùng không chấp thuận, Người dùng vui lòng bỏ trống.

  1. Xác minh tính chính xác, đầy đủ của các thông tin được Người dùng cung cấp; xác định hoặc xác thực danh tính của Người dùng và thực hiện quy trình xác thực Người dùng; Xử lý việc đăng ký sử dụng sản phẩm, dịch vụ của Cas và Bên thứ ba;
  2. Cung cấp dịch vụ cho Người dùng, liên hệ với Người dùng nhằm tư vấn, trao đổi thông tin, giải quyết yêu cầu, khiếu nại, giao các hóa đơn, các sao kê, các báo cáo hoặc các tài liệu khác liên quan tới sản phẩm, dịch vụ của Cas và Bên thứ ba thông qua các kênh khác nhau (ví dụ: email, chat) và để trả lời yêu cầu của Người dùng. Liên hệ với Người dùng (hoặc các bên do Người dùng chỉ định hoặc yêu cầu) để thông báo cho Người dùng về thông tin liên quan đến việc sử dụng sản phẩm, dịch vụ của Cas và Bên thứ ba;
  3. Quản lý và đánh giá các hoạt động kinh doanh bao gồm thiết kế, cải tiến và nâng cao chất lượng các sản phẩm, dịch vụ của Cas và Bên thứ ba hoặc thực hiện các hoạt động truyền thông tiếp thị; Thực hiện nghiên cứu thị trường, khảo sát và phân tích dữ liệu liên quan đến sản phẩm, dịch vụ của Cas và Bên thứ ba; nghiên cứu, phát triển các sản phẩm, dịch vụ mới, mô hình cung cấp mới đáp ứng nhu cầu của Người dùng;
  4. Tuân thủ các nghĩa vụ pháp lý theo quy định của pháp luật;
  5. Ngăn chặn gian lận hoặc giảm thiểu mối đe doạ đối với tính mạng, sức khỏe của người khác và lợi ích công cộng: Cas và Bên thứ ba có thể sử dụng thông tin cá nhân của Người dùng để ngăn chặn và phát hiện gian lận, lạm dụng nhằm bảo vệ Người dùng, Cas và Bên thứ ba và các chủ thể liên quan;
  6. Quản trị nội bộ.

Cas không thực hiện hoạt động mua bán hoặc cho thuê Dữ liệu cá nhân dưới bất kỳ hình thức nào.

Cách thức xử lý Dữ liệu cá nhân

Cas áp dụng một hoặc nhiều hoạt động tác động tới Dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy Dữ liệu cá nhân hoặc các hành động khác có liên quan phù hợp với quy định của pháp luật.

Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu
  1. Thời gian bắt đầu xử lý dữ liệu: Kể từ thời điểm phát sinh các Mục Đích quy định tại Điều 3 Chính sách này. 
  2. Thời gian kết thúc xử lý dữ liệu: Cas và Bên thứ ba chấm dứt việc xử lý Dữ liệu cá nhân khi đã hoàn thành Mục Đích được Người dùng lựa chọn, trừ trường hợp pháp luật có quy định khác hoặc Người dùng rút lại sự đồng ý việc xử lý Dữ liệu cá nhân hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
Chia sẻ Dữ liệu cá nhân

Dữ liệu cá nhân của Người dùng được chia sẻ cho các tổ chức, cá nhân dưới đây để thực hiện các Mục Đích quy định tại Chính sách, cụ thể:

  1. Cas, công ty mẹ, công ty liên kết, công ty con và các công ty khác hiện tại và tương lai dưới sự kiểm soát hoặc sở hữu chung;
  2. Bên thứ ba (Các nhà phát triển dùng Cas để kết nối với ngân hàng) có quyền truy cập, thu thập, sử dụng và xử lý Dữ liệu cá nhân của Người dùng trong phạm vi Cas cho phép để thực hiện các chức năng của họ và phải tuân thủ quy định của pháp luật về bảo vệ Dữ liệu cá nhân với tư cách là Bên Xử lý Dữ Liệu;
  3. Tái cấu trúc doanh nghiệp: Trong quá trình phát triển kinh doanh, Cas, công ty mẹ có thể bán hoặc mua các doanh nghiệp hoặc tái cấu trúc doanh nghiệp phù hợp với quy định của pháp luật và nhu cầu sản xuất kinh doanh. Trong các giao dịch như vậy, Dữ liệu cá nhân sẽ được chuyển nhượng và bên nhận chuyển nhượng vẫn phải tuân theo các quy định của Chính sách này;
  4. Cas và Bên thứ ba được phép tiết lộ Dữ liệu cá nhân theo yêu cầu của pháp luật, yêu cầu của cơ quan nhà nước có thẩm quyền.
Quyền của Người dùng
  1. Quyền được biết và Quyền đồng ý

Người dùng có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Trừ trường hợp quy định tại Điều 12 Chính sách này, Người dùng có quyền đồng ý hoặc không đồng ý với các điều khoản và điều kiện của Chính sách này theo cách thức đã được Cas và Bên thứ ba hướng dẫn trên các kênh, phương tiện như tin nhắn SMS, cuộc gọi, dấu tích trên website/ứng dụng hoặc liên hệ với tổng đài chăm sóc Người dùng của Cas và Bên thứ ba phù hợp với quy định của pháp luật. Cas và Bên thứ ba chỉ thực hiện xử lý Dữ liệu cá nhân khi đã có chấp thuận của Người dùng.

  1. Quyền truy cập và yêu cầu cung cấp Dữ liệu cá nhân

Người dùng có quyền truy cập vào các ứng dụng/website của Cas và Bên thứ ba và/hoặc liên hệ trực tiếp với Cas và Bên thứ ba để xem, chỉnh sửa, trích xuất các Dữ liệu cá nhân của Người dùng, trừ trường hợp pháp luật có quy định khác. Trường hợp Người dùng không thể tự truy cập để xem, chỉnh sửa, trích xuất hoặc gặp khó khăn trong việc truy cập để xem, chỉnh sửa hoặc trích xuất các Dữ liệu cá nhân, Người dùng vui lòng liên hệ với Cas và Bên thứ ba để được hỗ trợ thông qua các thông tin liên hệ được quy định tại Điều 13 Chính sách này.

  1. Quyền chỉnh sửa

Người dùng có quyền chỉnh sửa các Dữ liệu cá nhân của mình với điều kiện việc chỉnh sửa này không vi phạm các quy định của pháp luật. Trường hợp Người dùng không thể tự chỉnh sửa hoặc gặp khó khăn trong việc chỉnh sửa các Dữ liệu cá nhân, Người dùng có thể liên hệ với Cas để được hỗ trợ thông qua các thông tin liên hệ được quy định tại Điều 13 Chính sách này.

  1. Quyền phản đối, hạn chế, rút lại sự đồng ý xử lý dữ liệu
  1. Người dùng có quyền phản đối, yêu cầu hạn chế xử lý Dữ liệu cá nhân hoặc rút lại sự đồng ý xử lý Dữ liệu cá nhân của Người dùng. Tuy nhiên, việc phản đối, hạn chế hoặc rút lại sự đồng ý xử lý Dữ liệu cá nhân của Người dùng có thể dẫn tới việc Cas và Bên thứ ba không thể cung cấp sản phẩm, dịch vụ cho Người dùng. Việc không thể cung cấp sản phẩm, dịch vụ cho Người dùng đồng nghĩa với việc Cas và Bên thứ ba có thể đơn phương chấm dứt hợp đồng mà không cần phải bồi thường cho Người dùng do các điều kiện để thực hiện hợp đồng đã thay đổi (trừ trường hợp do lỗi của Cas và Bên thứ ba). Cas và Bên thứ ba sẽ thông báo đến Người dùng về những dữ liệu cá nhân cần thiết để tiến hành thực hiện dịch vụ và việc đơn phương chấm dứt hợp đồng trong vòng 03 ngày, trước ngày tiến hành chấm dứt trên thực tế. Do đó, Cas và Bên thứ ba khuyến nghị Người dùng cân nhắc kỹ lưỡng trước khi phản đối, hạn chế hoặc rút lại sự đồng ý xử lý Dữ liệu cá nhân của Người dùng.
  2. Trường hợp Người dùng muốn hạn chế nhận nội dung tiếp thị quảng cáo, khuyến mãi từ Cas và Bên thứ ba và muốn rút lại sự chấp thuận trước đó (nếu có), Người dùng vui lòng liên hệ với Cas theo các thông tin được cung cấp tại Điều 13 Chính sách này. Nếu Người dùng không muốn nhận thông báo từ ứng dụng của Cas và Bên thứ ba, vui lòng điều chỉnh cài đặt thông báo trong ứng dụng hoặc thiết bị của mình.
  3. Quyền xóa Dữ liệu cá nhân

Người dùng có quyền yêu cầu Cas và Bên thứ ba thực hiện xóa Dữ liệu cá nhân của Người dùng với điều kiện là yêu cầu của Người dùng phải phù hợp với quy định của pháp luật. Tuy nhiên, yêu cầu xóa Dữ liệu cá nhân của Người dùng có thể dẫn tới việc Cas và Bên thứ ba không thể cung cấp Sản phẩm, dịch vụ cho Người dùng, điều này đồng nghĩa với việc Cas và Bên thứ ba có thể đơn phương chấm dứt hợp đồng mà không cần phải bồi thường cho Người dùng do các điều kiện để thực hiện hợp đồng đã thay đổi (trừ trường hợp do lỗi của Cas và Bên thứ ba). Do đó, Cas và Bên thứ ba khuyến nghị Người dùng cân nhắc kỹ lưỡng trước khi yêu cầu Cas và Bên thứ ba thực hiện xóa Dữ liệu cá nhân.

  1. Quyền khiếu nại, tố cáo, khởi kiện

Người dùng có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

  1. Quyền yêu cầu bồi thường thiệt hại

Người dùng có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ Dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

  1. Quyền tự bảo vệ

Người dùng có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13/2023/NĐ-CP về bảo vệ Dữ liệu cá nhân (và các bản sửa đổi kèm theo), hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Nghĩa vụ của Người dùng

Người dùng có trách nhiệm bảo vệ Dữ liệu cá nhân của mình như sau:

  1. Chủ động thực hiện các biện pháp bảo vệ, quản lý và sử dụng an toàn tài khoản, thiết bị công nghệ cá nhân (bao gồm các thiết bị như điện thoại thông minh, máy tính, máy tính bảng, laptop) bằng cách đăng xuất tài khoản sau khi sử dụng, đặt một mật khẩu mạnh và giữ bí mật thông tin đăng nhập cũng như mật khẩu của mình. Các biện pháp bảo vệ và quản lý sử dụng an toàn tài khoản, thiết bị di động nói trên giúp ngăn chặn việc truy cập trái phép vào tài khoản của Người dùng. Cas và Bên thứ ba được loại trừ trách nhiệm với các thiệt hại của Người dùng trong trường hợp Người dùng bị lộ/mất, bị đánh cắp mật khẩu, dẫn tới việc bị truy cập trái phép vào tài khoản, hoặc bất kỳ hoạt động nào trên tài khoản của Người dùng sử dụng trên thiết bị di động bị mất, thất lạc dẫn đến người không có thẩm quyền tự ý sử dụng dịch vụ, hoặc hệ thống của Cas bị xâm phạm bất hợp pháp bởi bên thứ ba mặc dù Cas đã thực hiện đầy đủ các biện pháp để bảo vệ hệ thống (trừ trường hợp do lỗi của Cas và Bên thứ ba).
  2. Khi đã chấp thuận toàn bộ điều khoản và điều kiện của Chính sách này, Người dùng có trách nhiệm cung cấp Dữ liệu cá nhân đầy đủ, chính xác theo yêu cầu của Cas và Bên thứ ba và có trách nhiệm thông báo cho Cas và Bên thứ ba ngay khi phát hiện hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân. Người dùng có thể chủ động cung cấp Dữ liệu cá nhân nằm ngoài yêu cầu của Cas và Bên thứ ba với điều kiện Người dùng phải tuân thủ quy định tại khoản 2.4 Điều 2 Chính sách này.
  3. Người dùng có trách nhiệm tôn trọng Dữ liệu cá nhân của chủ thể khác và thực hiện quy định của pháp luật về bảo vệ Dữ liệu cá nhân, tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
Lưu trữ Dữ liệu cá nhân
  1. Dữ liệu cá nhân của Người dùng do Cas và Bên thứ ba lưu trữ sẽ được bảo mật. Cas và Bên thứ ba có trách nhiệm thực hiện các biện pháp bảo vệ Dữ liệu cá nhân của Người dùng theo quy định của pháp luật. Việc xác định tính cần thiết của việc lưu trữ sẽ dựa trên mục đích thu thập, sử dụng dữ liệu và các yêu cầu pháp lý liên quan. Dữ liệu của Người dùng sẽ được xem xét định kỳ để đảm bảo tính cần thiết cho mục đích ban đầu hoặc các yêu cầu pháp lý khác. Trong trường hợp Bên thứ ba xóa kết nối của Người dùng khỏi ứng dụng, hệ thống của Cas sẽ được thiết kế để tự động xóa dữ liệu cá nhân của Người dùng, trừ một số ngoại lệ nhất định như sau:
    1. Người dùng đã thiết lập kết nối với một ứng dụng khác thông qua Cas và kết nối này vẫn đang hoạt động;
    2. Cas cần dữ liệu của Người dùng để tiếp tục cung cấp dịch vụ mà Người dùng yêu cầu;
    3. Pháp luật yêu cầu Cas lưu trữ dữ liệu của Người dùng;
    4. Cas cần dữ liệu của Người dùng để ngăn chặn gian lận, bảo vệ quyền riêng tư, cung cấp hỗ trợ hoặc điều tra các hành vi lạm dụng; hoặc
    5. Cas có yêu cầu hợp pháp khác và Người dùng đã đồng ý cho phép chúng tôi lưu trữ dữ liệu lâu hơn.
  2. Địa điểm lưu trữ Dữ liệu cá nhân: Trong phạm vi pháp luật cho phép, Cas và Bên thứ ba có thể lưu trữ Dữ liệu cá nhân của Người dùng tại Việt Nam và ở nước ngoài, kể cả trên giải pháp lưu trữ điện toán đám mây. Cas và Bên thứ ba áp dụng các tiêu chuẩn về bảo mật dữ liệu phù hợp với quy định pháp luật hiện hành. Việc chuyển dữ liệu cá nhân ra nước ngoài phải phù hợp với quy định tại Điều 25 Nghị định 13/2023/NĐ-CP và các văn bản quy phạm pháp luật có liên quan.
  3. Thời gian lưu trữ Dữ liệu cá nhân: Cas và Bên thứ ba chỉ thực hiện lưu trữ Dữ liệu cá nhân của Người dùng để hoàn thành các Mục Đích quy định tại Chính sách này. Tuy nhiên, trường hợp pháp luật hiện hành có quy định khác về thời hạn lưu trữ Dữ liệu cá nhân, Cas và Bên thứ ba có nghĩa vụ tuân thủ quy định của pháp luật.
Nghĩa vụ của Cas và Bên thứ ba
  1. Dữ liệu cá nhân của Người dùng được cam kết bảo mật theo quy định của pháp luật, Chính sách bảo vệ Dữ liệu cá nhân của Cas.
  2. Cas nỗ lực đảm bảo Dữ liệu cá nhân của Người dùng được bảo vệ khỏi các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân và phòng chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. Cas và Bên thứ ba duy trì cam kết bảo mật Dữ liệu cá nhân bằng cách áp dụng những biện pháp vật lý, điện tử và quản lý để bảo vệ Dữ liệu cá nhân, bao gồm:
  1. Các máy chủ trang thông tin điện tử chính thức của Cas và các hệ thống thông tin chứa dữ liệu cá nhân của Cas đều được bảo vệ bởi các biện pháp, công nghệ bảo mật như tường lửa, mã hóa, chống xâm nhập trái phép; ban hành các biện pháp kiểm soát về con người, xây dựng quy trình kiểm tra, đánh giá, rà soát để phòng tránh các hành vi vi phạm quy định về bảo vệ Dữ liệu cá nhân.
  2. Cas sẽ thực hiện tất cả các biện pháp cần thiết để đảm bảo rằng Dữ liệu cá nhân của Người dùng được xử lý đúng với Mục Đích đã thông báo. Cas và Bên thứ ba sẽ luôn tuân thủ những yêu cầu của pháp luật liên quan đến việc lưu trữ Dữ liệu cá nhân.
  1. Thực hiện các yêu cầu của Người dùng liên quan đến dữ liệu cá nhân của Người dùng với điều kiện các yêu cầu của Người dùng phải phù hợp với quy định của pháp luật.
  2. Các nghĩa vụ khác theo quy định của pháp luật và của Chính sách này.
Quyền đơn phương chấm dứt hợp đồng
  1. Cas có quyền đơn phương chấm dứt hợp đồng hoặc thỏa thuận cung cấp dịch vụ với Người dùng trong các trường hợp được pháp luật cho phép và/hoặc theo các điều kiện đã được quy định rõ trong hợp đồng, điều khoản sử dụng dịch vụ, hoặc trong chính sách này, mà không phải bồi thường thiệt hại, nếu hành vi chấm dứt không gây thiệt hại do lỗi của Cas và không vi phạm các quy định pháp luật có liên quan.
  2. Việc chấm dứt hợp đồng không làm ảnh hưởng đến quyền và nghĩa vụ đã phát sinh của các bên trước thời điểm chấm dứt, cũng như không làm hạn chế quyền của Cas trong việc tiếp tục lưu trữ, xử lý dữ liệu cá nhân của Người dùng theo đúng quy định pháp luật và theo phạm vi đã được Người dùng đồng ý, trừ trường hợp có yêu cầu xóa dữ liệu hợp lệ từ Người dùng.
Hậu quả, thiệt hại không mong muốn có khả năng xảy ra

Cas sử dụng nhiều biện pháp, công nghệ bảo mật thông tin khác nhau nhằm bảo vệ Dữ liệu cá nhân của Người dùng không bị sử dụng hoặc chia sẻ ngoài ý muốn. Cas và Bên thứ ba cam kết sẽ bảo mật một cách tối đa Dữ liệu cá nhân của Người dùng trong phạm vi khả năng của Cas. Tuy nhiên, một số hậu quả, thiệt hại không mong muốn có thể xảy ra bao gồm:

  1. Lỗi phần cứng, phần mềm trong quá trình xử lý Dữ liệu cá nhân gây ảnh hưởng không mong muốn (lỗi, hỏng, mất) dẫn đến Dữ liệu cá nhân của Người dùng;
  2. Lỗ hổng bảo mật nằm ngoài khả năng kiểm soát của Cas, hệ thống bị hacker tấn công gây lộ lọt Dữ liệu cá nhân của Người dùng;
  3. Người dùng tự làm lộ lọt Dữ liệu cá nhân của Người dùng do: bất cẩn hoặc bị lừa đảo; truy cập các website/tải các ứng dụng có chứa phần mềm độc hại; tự ý chia sẻ thông tin với người khác.
Xử lý Dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu

Cas và Bên thứ ba có thể tiến hành xử lý Dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu trong các trường hợp sau:

  1. Trong trường hợp khẩn cấp, cần xử lý ngay Dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
  2. Việc công khai Dữ liệu cá nhân theo quy định của pháp luật;
  3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật;
  4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với Cas và Bên thứ ba theo quy định của luật;
  5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Thông tin liên lạc

Trường hợp Người dùng có bất kỳ câu hỏi nào về Chính sách này hoặc muốn thực hiện các quyền của Người dùng liên quan tới Dữ liệu cá nhân, vui lòng liên hệ với Cas theo các phương thức và thông tin dưới đây:

  1. Liên hệ tới tổng đài theo thông tin tại các website/ứng dụng chính thức của Cas tại từng thời điểm.
  2. Gửi công văn tới địa chỉ sau đây: I.102D Khu Công Nghệ Phần Mềm –  Đại học Quốc gia Thành phố Hồ Chí Minh, Khu Phố 6, thành phố Thủ Đức, thành phố Hồ Chí Minh.
  3. Các cách thức liên hệ khác như fanpage (trang thông tin điện tử) chính thức của Cas, email về bảo mật thông tin cskh@cas.so được cung cấp cho Người dùng tại mọi thời điểm./