Chính sách Quyền riêng tư

Trong Chính sách này, các thuật ngữ dưới đây được hiểu theo Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15:

• BANA: Là Bên kiểm soát dữ liệu cá nhân đối với dữ liệu tài khoản trên nền tảng BANA. Trong trường hợp dữ liệu do nhà cung cấp nhập vào (thông tin khách hàng, nhân viên của nhà cung cấp), BANA đóng vai trò là Bên xử lý dữ liệu theo ủy quyền của nhà cung cấp, được điều chỉnh bởi Hợp đồng Xử lý Dữ liệu (DPA).
• Dữ liệu cá nhân: Là dữ liệu số hoặc thông tin dưới dạng khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (Điều 2 Luật 91/2025/QH15).
• Dữ liệu cá nhân nhạy cảm: Là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp, bao gồm thông tin tài chính, sinh trắc học, sức khỏe, vị trí và dữ liệu liên quan đến trẻ em.
• Chủ thể dữ liệu: Là cá nhân mà dữ liệu cá nhân phản ánh.
• Bên kiểm soát dữ liệu: Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
• Bên xử lý dữ liệu: Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu theo yêu cầu của Bên kiểm soát dữ liệu.

Chúng tôi thu thập dữ liệu cá nhân mà bạn cung cấp trực tiếp khi tạo tài khoản, cấu hình doanh nghiệp hoặc tương tác với dịch vụ của chúng tôi. Bao gồm:

• Thông tin định danh: Họ tên đầy đủ, địa chỉ email, số điện thoại và ảnh hồ sơ (tùy chọn).
• Thông tin doanh nghiệp: Tên doanh nghiệp, số đăng ký kinh doanh, mã số thuế (MST), địa chỉ doanh nghiệp và ngành nghề kinh doanh.
• Thông tin thanh toán: Địa chỉ thanh toán, thông tin tài khoản ngân hàng để chi trả và thông tin phương thức thanh toán. Lưu ý: số thẻ đầy đủ không bao giờ được lưu trữ trên máy chủ của chúng tôi — việc xử lý thẻ thanh toán được thực hiện bởi các đơn vị xử lý thanh toán bên thứ ba được chứng nhận.
• Dữ liệu nhân viên: Tên, vai trò, thông tin liên hệ và quyền truy cập của nhân viên mà bạn thêm vào tài khoản BANA.
• Dữ liệu khách hàng: Thông tin về khách hàng mà bạn chọn lưu trữ trong BANA, chẳng hạn như tên, số điện thoại, lịch sử mua hàng và tham gia chương trình khách hàng thân thiết.

Dữ liệu cá nhân nhạy cảm — theo Nghị định 356/2025/NĐ-CP, thông tin tài chính được phân loại là dữ liệu nhạy cảm và chúng tôi áp dụng các biện pháp bảo vệ đặc biệt:

• Thông tin thanh toán: Tài khoản ngân hàng được kết nối, lịch sử giao dịch tài chính.
• Biện pháp bảo vệ đặc biệt: Mã hóa AES-256, kiểm soát truy cập nghiêm ngặt, xác thực đa yếu tố bắt buộc, không lưu trữ số thẻ đầy đủ trên máy chủ BANA.

Bạn có trách nhiệm đảm bảo rằng bất kỳ dữ liệu cá nhân nào của bên thứ ba (nhân viên, khách hàng) mà bạn nhập vào BANA đã được thu thập với sự đồng ý phù hợp và tuân thủ pháp luật hiện hành.

Khi bạn truy cập hoặc sử dụng nền tảng BANA, chúng tôi tự động thu thập một số thông tin kỹ thuật và sử dụng, bao gồm:

• Thông tin thiết bị: Loại thiết bị, hệ điều hành, loại và phiên bản trình duyệt, độ phân giải màn hình và mã định danh thiết bị.
• Thông tin mạng: Địa chỉ IP, nhà cung cấp dịch vụ internet và vị trí địa lý chung (cấp thành phố hoặc khu vực).
• Dữ liệu sử dụng: Các trang đã truy cập, tính năng đã sử dụng, mẫu nhấp chuột, thời lượng phiên, dấu thời gian truy cập và đường dẫn điều hướng trong nền tảng.
• Dữ liệu hiệu năng: Thời gian tải trang, nhật ký lỗi và báo cáo sự cố giúp chúng tôi xác định và giải quyết các vấn đề kỹ thuật.

Dữ liệu này được thu thập thông qua nhật ký máy chủ, cookies và các công nghệ tương tự (xem mục Cookies & Công nghệ Theo dõi bên dưới). Dữ liệu được sử dụng ở dạng tổng hợp hoặc bút danh hóa để cải thiện hiệu năng nền tảng, bảo mật và trải nghiệm người dùng.

Theo Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15, chúng tôi xử lý dữ liệu cá nhân của bạn dựa trên một hoặc nhiều cơ sở pháp lý sau:

• Sự đồng ý (Điều 9 Luật 91/2025/QH15): Khi bạn đã đưa ra sự đồng ý rõ ràng, tự nguyện và được thông báo đầy đủ cho một mục đích xử lý cụ thể — ví dụ, khi bạn tạo tài khoản hoặc đồng ý nhận thông tin tiếp thị. Bạn có thể rút lại sự đồng ý bất cứ lúc nào theo Điều 10; việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý đã thực hiện trước đó.
• Thực hiện hợp đồng: Khi việc xử lý cần thiết để thực hiện Điều khoản Dịch vụ giữa BANA và bạn — tạo và quản lý tài khoản, xử lý giao dịch thanh toán, cung cấp hỗ trợ kỹ thuật.
• Nghĩa vụ pháp lý: Lưu giữ hồ sơ tài chính theo yêu cầu của Luật Quản lý Thuế số 38/2019/QH14; cung cấp thông tin theo yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền.
• Lợi ích hợp pháp: Xử lý vì lợi ích hợp pháp của chúng tôi như phòng chống gian lận, bảo mật nền tảng, cải thiện chất lượng dịch vụ — với điều kiện các lợi ích này không lấn át quyền và lợi ích hợp pháp của bạn.

Chúng tôi sử dụng dữ liệu cá nhân thu thập được cho các mục đích sau:

• Cung cấp dịch vụ: Để tạo và quản lý tài khoản, cung cấp các tính năng nền tảng BANA, xử lý giao dịch bán hàng, quản lý kho hàng và tạo báo cáo kinh doanh.
• Xử lý thanh toán: Để hỗ trợ thanh toán, xử lý phí đăng ký, phát hành hóa đơn và phối hợp chi trả thông qua các đối tác xử lý thanh toán của chúng tôi.
• Liên lạc: Để gửi cho bạn các thông báo dịch vụ thiết yếu (cảnh báo tài khoản, nhắc nhở thanh toán, thông báo bảo mật), và — với sự đồng ý của bạn — thông tin tiếp thị về tính năng mới hoặc ưu đãi.
• Cải thiện nền tảng: Để phân tích mẫu sử dụng, tiến hành thử nghiệm A/B, phát triển tính năng mới và tối ưu hóa hiệu năng nền tảng và trải nghiệm người dùng.
• Phòng chống gian lận & bảo mật: Để phát hiện, điều tra và ngăn chặn giao dịch gian lận, truy cập trái phép và các hoạt động có hại khác trên nền tảng.
• Tuân thủ pháp luật: Để tuân thủ các luật, quy định và quy trình pháp lý hiện hành, bao gồm nghĩa vụ báo cáo thuế, yêu cầu kiểm toán và yêu cầu hợp pháp của cơ quan nhà nước.
• Hỗ trợ khách hàng: Để phản hồi yêu cầu của bạn, khắc phục sự cố và cung cấp hỗ trợ kỹ thuật.

Chúng tôi không bán, cho thuê hoặc trao đổi dữ liệu cá nhân của bạn cho bất kỳ bên thứ ba nào. Chúng tôi chỉ chia sẻ thông tin của bạn trong các trường hợp giới hạn sau với các biện pháp bảo vệ phù hợp:

• Đơn vị xử lý thanh toán: Chúng tôi chia sẻ dữ liệu giao dịch với các đơn vị xử lý thanh toán được chứng nhận (như VNPAY, Momo, ZaloPay) trong phạm vi cần thiết để xử lý thanh toán của bạn. Các đơn vị này bị ràng buộc bởi nghĩa vụ bảo vệ dữ liệu riêng và yêu cầu tuân thủ PCI DSS.
• Hạ tầng đám mây & lưu trữ: Dữ liệu của bạn được lưu trữ trên hạ tầng đám mây hoạt động tại Việt Nam. Các nhà cung cấp này có nghĩa vụ hợp đồng duy trì các biện pháp bảo mật phù hợp và chỉ xử lý dữ liệu theo chỉ dẫn của chúng tôi.
• Nhà cung cấp phân tích: Chúng tôi sử dụng dịch vụ phân tích để hiểu mẫu sử dụng nền tảng. Khi có thể, dữ liệu chia sẻ với nhà cung cấp phân tích được ẩn danh hoặc bút danh hóa.
• Công cụ hỗ trợ khách hàng: Chúng tôi có thể sử dụng công cụ bên thứ ba để quản lý yêu cầu hỗ trợ và liên lạc, chỉ chia sẻ thông tin cần thiết để giải quyết yêu cầu của bạn.

Chia sẻ theo yêu cầu pháp lý: Chúng tôi có thể tiết lộ dữ liệu cá nhân khi có yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền theo đúng trình tự pháp luật quy định. Trong phạm vi pháp luật cho phép, chúng tôi sẽ thông báo cho bạn về việc tiết lộ này.

Nhà cung cấp sử dụng nền tảng BANA: Nhà cung cấp có thể truy cập dữ liệu khách hàng và nhân viên mà họ đã nhập vào hệ thống BANA với tư cách là Bên kiểm soát dữ liệu. BANA không chịu trách nhiệm về hoạt động xử lý dữ liệu độc lập của nhà cung cấp ngoài nền tảng. Chúng tôi ký kết Hợp đồng Xử lý Dữ liệu (DPA) với tất cả bên thứ ba xử lý dữ liệu thay mặt BANA.

Toàn bộ dữ liệu cá nhân của người dùng tại Việt Nam được lưu trữ trên máy chủ đặt tại lãnh thổ Việt Nam, tuân thủ Khoản 3 Điều 26 Luật An ninh mạng số 24/2018/QH14.

Trong một số trường hợp hạn chế, dữ liệu của bạn có thể được xử lý bên ngoài Việt Nam — ví dụ, khi một nhà cung cấp dịch vụ bên thứ ba với hạ tầng quốc tế tham gia xử lý thanh toán hoặc hỗ trợ kỹ thuật. Trong những trường hợp đó, chúng tôi thực hiện đầy đủ theo Điều 20 Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, bao gồm:

• Lập và nộp Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (CTIA) lên Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Bộ Công an) trong vòng 60 ngày kể từ lần chuyển đầu tiên.
• Ký kết thỏa thuận chuyển giao dữ liệu với bên nhận, đảm bảo tiêu chuẩn bảo vệ tương đương pháp luật Việt Nam.
• Cập nhật hồ sơ trong vòng 6 tháng khi có thay đổi về đối tác, loại dữ liệu hoặc mục đích chuyển.
• Thông báo cho bạn và xin sự đồng ý khi pháp luật yêu cầu.

Bạn sẽ được thông báo nếu có bất kỳ thay đổi quan trọng nào trong hoạt động chuyển dữ liệu, và khi pháp luật yêu cầu, sự đồng ý của bạn sẽ được xin trước khi chuyển dữ liệu cá nhân đến khu vực pháp lý mới.

Chúng tôi chỉ lưu giữ dữ liệu cá nhân của bạn trong thời gian cần thiết để thực hiện các mục đích thu thập, hoặc theo yêu cầu của pháp luật. Thời hạn lưu giữ của chúng tôi như sau:

• Dữ liệu tài khoản đang hoạt động: Được lưu giữ trong suốt thời gian đăng ký và tài khoản đang hoạt động của bạn.
• Sau khi chấm dứt: Khi hủy hoặc chấm dứt tài khoản, dữ liệu của bạn được lưu giữ trong 30 ngày để cho phép bạn xuất thông tin hoặc kích hoạt lại tài khoản. Sau thời hạn này, dữ liệu cá nhân được xóa vĩnh viễn khỏi hệ thống hoạt động của chúng tôi.
• Hồ sơ tài chính và thuế: Hồ sơ giao dịch, hóa đơn và dữ liệu tài chính liên quan được lưu giữ trong 10 năm theo yêu cầu của pháp luật thuế Việt Nam (Luật Quản lý Thuế số 38/2019/QH14).
• Nhật ký kiểm toán và bảo mật: Nhật ký truy cập hệ thống và hồ sơ sự kiện bảo mật được lưu giữ trong 2 năm cho mục đích giám sát bảo mật và điều tra sự cố.
• Dữ liệu ẩn danh: Dữ liệu tổng hợp, ẩn danh không thể dùng để nhận diện cá nhân có thể được lưu giữ vô thời hạn cho mục đích thống kê và phân tích.

Khi dữ liệu cá nhân không còn cần thiết, dữ liệu sẽ được xóa an toàn hoặc ẩn danh hóa không thể đảo ngược bằng các phương pháp tiêu chuẩn ngành.

Tuân thủ Điều 25 Luật 91/2025/QH15 và Khoản 2 Điều 17 Luật An ninh mạng 24/2018/QH14, chúng tôi triển khai các biện pháp kỹ thuật và tổ chức toàn diện để bảo vệ dữ liệu cá nhân của bạn:

Biện pháp kỹ thuật:

• Mã hóa dữ liệu truyền tải TLS 1.3 cho tất cả kết nối.
• Mã hóa dữ liệu lưu trữ AES-256 cho dữ liệu nhạy cảm.
• Xác thực đa yếu tố cho quyền truy cập hệ thống quản trị và sản xuất.
• Kiểm soát truy cập dựa trên vai trò với nguyên tắc quyền hạn tối thiểu.
• Đánh giá bảo mật định kỳ, kiểm tra xâm nhập và quét lỗ hổng.
• Sao lưu dữ liệu định kỳ với mã hóa.

• Đào tạo nhân viên về bảo vệ dữ liệu cá nhân định kỳ.
• Kiểm soát quyền truy cập dữ liệu theo vai trò và chức năng.
• Đánh giá bảo mật và kiểm tra xâm nhập hàng năm.
• Chính sách xử lý sự cố dữ liệu với quy trình phân tầng rõ ràng.

Để xem tổng quan chi tiết về các biện pháp bảo mật, kiến trúc và chứng nhận của chúng tôi, vui lòng truy cập trang Bảo mật của chúng tôi.

Theo Khoản 1 Điều 4 Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15, bạn có đầy đủ 7 quyền sau với tư cách là chủ thể dữ liệu:

• 1. Quyền được biết: Được biết về hoạt động xử lý dữ liệu cá nhân của mình — mục đích, phương thức xử lý, các bên liên quan và thời hạn lưu trữ.
• 2. Quyền đồng ý hoặc không đồng ý: Đồng ý hoặc không đồng ý cho phép xử lý dữ liệu; yêu cầu rút lại sự đồng ý bất kỳ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của xử lý đã thực hiện trước đó.
• 3. Quyền truy cập và chỉnh sửa: Xem toàn bộ dữ liệu cá nhân chúng tôi đang lưu giữ và chỉnh sửa thông tin không chính xác hoặc không đầy đủ. Nhiều thông tin có thể chỉnh sửa trực tiếp trong phần Cài đặt tài khoản.
• 4. Quyền xóa, hạn chế xử lý và cung cấp dữ liệu: Yêu cầu xóa dữ liệu cá nhân (ngoại trừ dữ liệu bắt buộc lưu giữ theo nghĩa vụ pháp lý); yêu cầu hạn chế xử lý; nhận dữ liệu cá nhân ở định dạng có thể đọc được (CSV/JSON) để chuyển sang dịch vụ khác.
• 5. Quyền phản đối xử lý: Gửi yêu cầu phản đối việc xử lý dữ liệu cá nhân, đặc biệt khi việc xử lý dựa trên cơ sở lợi ích hợp pháp. Chúng tôi sẽ xem xét và phản hồi theo quy định.
• 6. Quyền khiếu nại, tố cáo và yêu cầu bồi thường: Khiếu nại, tố cáo, khởi kiện ra tòa án và yêu cầu bồi thường thiệt hại theo quy định nếu quyền lợi bị xâm phạm. Bạn cũng có quyền nộp đơn khiếu nại đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an.
• 7. Quyền yêu cầu cơ quan có thẩm quyền bảo vệ: Yêu cầu cơ quan có thẩm quyền hoặc tổ chức liên quan thực hiện các biện pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Để thực hiện bất kỳ quyền nào trong số này, vui lòng liên hệ chúng tôi tại support@bana.com.vn. Chúng tôi sẽ xác nhận yêu cầu của bạn trong vòng 24 giờ và cung cấp phản hồi thực chất trong vòng 72 giờ, theo yêu cầu của pháp luật bảo vệ dữ liệu Việt Nam. Trong các trường hợp phức tạp, chúng tôi có thể gia hạn thời hạn này thêm 30 ngày, với thông báo trước cho bạn.

BANA sử dụng cookies và các công nghệ tương tự để vận hành nền tảng, nâng cao trải nghiệm của bạn và hiểu mẫu sử dụng. Các cookies chúng tôi sử dụng thuộc các loại sau:

• Cookies thiết yếu: Cần thiết để nền tảng hoạt động chính xác. Bao gồm cookies phiên duy trì trạng thái xác thực và mã bảo mật chống tấn công giả mạo yêu cầu xuyên trang. Các cookies này không thể bị tắt.
• Cookies phân tích: Được sử dụng để thu thập thông tin ẩn danh về cách người dùng tương tác với nền tảng — bao gồm các trang đã truy cập, tính năng đã sử dụng và đường dẫn điều hướng. Dữ liệu này giúp chúng tôi xác định các lĩnh vực cần cải thiện và đo lường hiệu quả của tính năng mới.
• Cookies tùy chọn: Được sử dụng để ghi nhớ cài đặt và tùy chọn của bạn, chẳng hạn như lựa chọn ngôn ngữ (tiếng Việt hoặc tiếng Anh), tùy chọn giao diện (sáng hoặc tối) và cấu hình bố cục bảng điều khiển.

Bạn có thể quản lý tùy chọn cookies thông qua cài đặt trình duyệt. Xin lưu ý rằng việc tắt cookies thiết yếu có thể khiến nền tảng không hoạt động chính xác. Chúng tôi không sử dụng cookies cho mục đích quảng cáo của bên thứ ba.

Theo Điều 24 Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15, dữ liệu liên quan đến trẻ em được phân loại là dữ liệu nhạy cảm và phải tuân thủ các biện pháp bảo vệ đặc biệt. BANA là nền tảng thương mại dành cho doanh nghiệp (B2B). Chúng tôi không cố ý thu thập, lưu trữ hoặc xử lý dữ liệu cá nhân của người dưới 16 tuổi cho bất kỳ mục đích nào.

Nếu phát hiện đã vô tình thu thập dữ liệu của người dưới 16 tuổi, chúng tôi sẽ tiến hành xóa ngay lập tức sau khi xác nhận sự việc. Cha mẹ hoặc người giám hộ pháp lý có thể liên hệ với chúng tôi qua support@bana.com.vn.

Lưu ý theo Điều 24 Luật 91/2025/QH15: Đối với trẻ em từ 7 tuổi trở lên, nếu trong quá trình sử dụng nền tảng có liên quan đến xử lý dữ liệu nhằm công bố hoặc tiết lộ thông tin về đời sống riêng tư, phải có sự đồng ý của cả trẻ em và người đại diện theo pháp luật.

Tuân thủ Điều 23 Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, khi xảy ra sự cố vi phạm dữ liệu cá nhân, chúng tôi thực hiện:

• Thông báo cơ quan có thẩm quyền: Trong 72 giờ kể từ khi phát hiện, gửi đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Bộ Công an).
• Thông báo người dùng bị ảnh hưởng: Kịp thời thông báo qua email và thông báo trên nền tảng, cung cấp chi tiết về bản chất vi phạm, các loại và số lượng ước tính chủ thể dữ liệu bị ảnh hưởng, các hậu quả có thể xảy ra và các biện pháp chúng tôi đã hoặc dự kiến thực hiện để xử lý vi phạm và giảm thiểu ảnh hưởng.
• Điều tra và khắc phục: Ngay lập tức cô lập hệ thống bị ảnh hưởng, điều tra nguyên nhân, xử lý vấn đề.
• Lưu hồ sơ sự cố: Duy trì hồ sơ chi tiết về tất cả các vi phạm dữ liệu, bao gồm sự kiện, ảnh hưởng và các hành động khắc phục đã thực hiện, bất kể có yêu cầu báo cáo cơ quan có thẩm quyền hay không.

Quy trình ứng phó sự cố của chúng tôi được thiết kế để kiểm soát vi phạm nhanh chóng và giảm thiểu tác động. Để biết thêm thông tin, vui lòng xem trang Bảo mật của chúng tôi.

Chúng tôi có thể cập nhật Chính sách Quyền riêng tư này theo thời gian để phản ánh các thay đổi trong hoạt động xử lý dữ liệu, yêu cầu pháp lý hoặc hoạt động kinh doanh. Đối với các thay đổi quan trọng — bao gồm thay đổi về loại dữ liệu thu thập, mục đích xử lý hoặc hoạt động chia sẻ với bên thứ ba — chúng tôi sẽ thông báo cho bạn qua email ít nhất 30 ngày trước khi các thay đổi có hiệu lực.

Tất cả các cập nhật sẽ được thể hiện bằng ngày "Cập nhật lần cuối" được sửa đổi ở đầu trang này. Chúng tôi khuyến khích bạn xem lại Chính sách Quyền riêng tư này định kỳ để cập nhật thông tin về cách chúng tôi bảo vệ dữ liệu của bạn. Việc bạn tiếp tục sử dụng nền tảng sau ngày có hiệu lực của bất kỳ cập nhật nào đồng nghĩa với việc chấp thuận chính sách đã sửa đổi.

Chính sách này có hiệu lực song ngữ (Tiếng Việt và Tiếng Anh). Trong trường hợp có bất kỳ mâu thuẫn nào giữa hai phiên bản, bản Tiếng Việt sẽ được ưu tiên áp dụng.

Nếu bạn có bất kỳ câu hỏi, lo ngại hoặc yêu cầu nào liên quan đến Chính sách Quyền riêng tư này hoặc hoạt động bảo vệ dữ liệu của chúng tôi, vui lòng liên hệ:

• Email hỗ trợ: support@bana.com.vn
• Hotline: (+84) 326 205 555
• Đơn vị chịu trách nhiệm: Nexpando

Chúng tôi cam kết phản hồi mọi yêu cầu liên quan đến quyền riêng tư trong vòng 72 giờ.