THÔNG BÁO VÀ THỎA THUẬN VỀ XỬ LÝ DỮ LIỆU CÁ NHÂN VÀ QUY TẮC BẢO VỆ THÔNG TIN CỦA NGƯỜI TIÊU DÙNG

PHẦN 1: THÔNG BÁO VÀ THỎA THUẬN VỀ XỬ LÝ DỮ LIỆU CÁ NHÂN

Thông Báo Và Thỏa Thuận Về Xử Lý Dữ Liệu Cá Nhân (“Thông Báo”) này xác lập sự thỏa thuận giữa Công Ty và Chủ Thể Dữ Liệu Cá Nhân về việc Xử Lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu Cá Nhân căn cứ theo quy định của Luật Bảo vệ dữ liệu cá nhân hiện hành.

Để đảm bảo quyền lợi, Chủ Thể Dữ Liệu Cá Nhân nên đọc kỹ các nội dung dưới đây. Công Ty sẽ chủ động tiến hành cập nhật nội dung của Thông Báo để phản ánh những thay đổi nếu có và sẽ lấy lại sự đồng ý của Chủ Thể Dữ Liệu Cá Nhân trong trường hợp pháp luật có yêu cầu.

Thông Báo này được lập và sử dụng bằng tiếng Việt. Thông Báo này có thể được dịch từ tiếng Việt sang tiếng dân tộc khác của Việt Nam hoặc tiếng nước ngoài (nếu có) chỉ cho mục đích tham khảo. Nội dung Thông Báo bằng tiếng Việt sẽ được sử dụng làm căn cứ chính thức để thông báo, thỏa thuận, giải thích và xử lý các vấn đề liên quan.

1. Định nghĩa:

Các chữ được viết hoa trong Thông Báo này sẽ có ý nghĩa như sau đây:

(a) Dữ Liệu Cá Nhân: là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: Dữ Liệu Cá Nhân cơ bản và Dữ Liệu Cá Nhân nhạy cảm. Dữ Liệu Cá Nhân sau khi khử nhận dạng không còn là Dữ Liệu Cá Nhân.

(b) Xử Lý Dữ Liệu Cá Nhân: là hoạt động tác động đến Dữ Liệu Cá Nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao Dữ Liệu Cá Nhân và hoạt động khác tác động đến Dữ Liệu Cá Nhân.

(d) Bên Kiểm Soát Dữ Liệu Cá Nhân: là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý Dữ Liệu Cá Nhân.

(e) Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân: là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý Dữ Liệu Cá Nhân.

Trong trường hợp Luật Bảo vệ dữ liệu cá nhân có quy định khác đi về các chữ được viết hoa tại Mục 1 này, thì ý nghĩa của các chữ viết hoa đó sẽ được diễn giải theo quy định tương ứng.

2. Loại Dữ Liệu Cá Nhân được xử lý:

Trừ trường hợp pháp luật có quy định khác, các loại Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu
Cá Nhân mà Công Ty có thu thập một phần hoặc toàn bộ, bao gồm:

2.1. Dữ Liệu Cá Nhân cơ bản:

(a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

(b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

(d) Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

(e) Quốc tịch;

(f) Hình ảnh của cá nhân;

(g) Số điện thoại; số định danh cá nhân, số hộ chiếu;

(h) Số giấy phép lái xe, số biển số xe;

(i) Tình trạng hôn nhân;

(j) Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);

(k) Thông tin về tài khoản số của cá nhân;

(l) Địa chỉ thư điện tử (email);

(m) Số chứng minh nhân dân, số căn cước, số căn cước công dân, mã số thuế cá nhân;

(n) Thông tin về người giám hộ, người phụ thuộc, người đại diện, người được ủy quyền, thành viên, số lượng thành viên trong gia đình, người thân thích, người liên quan khác;

(o) Ngày, tháng, năm cấp, nơi cấp của thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân hoặc các giấy tờ pháp lý cá nhân có tính chất tương tự;

(p) Thông tin về nghề nghiệp, lĩnh vực làm việc;

(q) Danh xưng cá nhân trên các nền tảng mạng xã hội;

(r) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là Dữ Liệu Cá Nhân nhạy cảm;

(s) Dữ Liệu Cá Nhân cơ bản khác theo quy định pháp luật tại từng thời điểm.

2.2. Dữ Liệu Cá Nhân nhạy cảm:

(a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

(b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;

(d) Tình trạng sức khỏe;

(e) Dữ liệu sinh trắc học, đặc điểm di truyền;

(f) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

(g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

(h) Vị trí của cá nhân được xác định qua dịch vụ định vị;

(i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;

(j) Thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng với Công Ty;

(k) Thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

(l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

(m) Dữ Liệu Cá Nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng như:

(i) các dữ liệu liên quan đến các trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(ii) dữ liệu kỹ thuật (như loại thiết bị, hệ điều hành, loại trình duyệt, cài đặt trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với trang thông tin điện tử (website) hoặc ứng dụng của Công Ty, nguồn truy cập, thống kê tần suất, thời gian sử dụng trang thông tin điện tử (website) hoặc ứng dụng của Công Ty, thông tin liên lạc kỹ thuật khác);
(iii) dữ liệu tài khoản, tên đăng nhập, mật khẩu, thông tin và lịch sử đăng nhập, truy cập, đăng xuất trang thông tin điện tử (website) hoặc ứng dụng của Công Ty; trạng thái đăng nhập, lịch sử phiên truy cập, phương thức xác thực, cũng như các hoạt động liên quan đến bảo mật và quản lý tài khoản trên trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(iv) dữ liệu sử dụng trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(v) cookies, các công nghệ tương đương cookies (là các tệp dữ liệu nhỏ được lưu trữ trên thiết bị của người dùng khi truy cập trang thông tin điện tử (website) hoặc ứng dụng của Công Ty);
(vi) dòng dữ liệu nhấp chuột (clickstream), cuộn trang trên trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(vii) lịch sử xem kênh, VOD (video theo yêu cầu) cùng các dữ liệu liên quan như thời lượng xem, tần suất, nội dung đã xem, các tương tác với nội dung và các Dữ Liệu Cá Nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng khác;

(n) Số tài khoản ngân hàng, thu nhập cá nhân;

(o) Lịch sử, tần suất, thời gian, địa điểm cửa hàng mua sắm hàng hóa, sử dụng dịch vụ, giá trị thành tiền, giá trị hóa đơn tại Công Ty hoặc tại các đối tác của Công Ty;

(p) Lịch sử và tần suất tích, đổi điểm, đổi quà, phiếu mua hàng, phiếu sử dụng dịch vụ, phiếu đổi quà, phiếu ưu đãi;

(q) Loại hàng hóa, dịch vụ được quan tâm, yêu thích, thường xuyên mua sắm, sử dụng;

(r) Thông tin liên quan tới việc sử dụng dịch vụ trung gian thanh toán;

(s) Hình ảnh hộ chiếu, giấy phép lái xe;

(t) Trạng thái, kết quả xác thực dữ liệu sinh trắc học, đặc điểm di truyền;

(u) Dữ Liệu Cá Nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ;

(v) Dữ Liệu Cá Nhân nhạy cảm khác theo quy định pháp luật tại từng thời điểm.

3. Mục đích Xử Lý Dữ Liệu Cá Nhân:

Các Dữ Liệu Cá Nhân đề cập tại Mục 2 của Thông Báo này có thể được xử lý cho các mục đích sau:

3.1. Mục đích cần thiết để đảm bảo quyền lợi của Chủ Thể Dữ Liệu Cá Nhân:

(a) Liên hệ, kiểm tra thông tin của Chủ Thể Dữ Liệu Cá Nhân, đánh giá khả năng cung cấp hàng hóa, dịch vụ cho Chủ Thể Dữ Liệu Cá Nhân; tiến hành báo giá, giao kết đơn đặt hàng, hợp đồng và chứng từ liên quan với Chủ Thể Dữ Liệu Cá Nhân hoặc người đại diện hợp pháp của Chủ Thể Dữ Liệu Cá Nhân;

(b) Thực hiện các quyền và nghĩa vụ phát sinh từ giao dịch với Chủ Thể Dữ Liệu Cá Nhân nhằm cung cấp hàng hóa, dịch vụ cho Chủ Thể Dữ Liệu Cá Nhân như: cung cấp; giao hàng; lắp đặt; thanh toán; xuất hóa đơn; đổi trả, hoàn tiền; đối soát dữ liệu với các đối tác liên quan; và các quyền, nghĩa vụ khác theo quy định pháp luật, theo thỏa thuận giữa Công Ty và Chủ Thể Dữ Liệu Cá Nhân tại từng thời điểm;

(c) Tổ chức và quản lý các hoạt động khuyến mại, hội chợ, triển lãm thương mại, trưng bày và giới thiệu hàng hóa như: tiếp nhận đăng ký tham gia của Chủ Thể Dữ Liệu Cá Nhân, công bố kết quả, trao thưởng, báo cáo cơ quan nhà nước (nếu có), thực hiện các quyền, nghĩa vụ khác theo quy định pháp luật, theo thỏa thuận giữa Công Ty và Chủ Thể Dữ Liệu Cá Nhân tại từng thời điểm;

(d) Tạo điều kiện cho Chủ Thể Dữ Liệu Cá Nhân truy cập, đăng ký và sử dụng các tính năng trên trang thông tin điện tử (website), ứng dụng của Công Ty; xác thực, kiểm soát quyền truy cập, quản lý tài khoản của Chủ Thể Dữ Liệu Cá Nhân trên trang thông tin điện tử (website), ứng dụng của Công Ty; thực hiện các hoạt động thương mại điện tử trên trang thông tin điện tử (website) và ứng dụng của Công Ty;

(e) Cung cấp các dịch vụ, tiện ích có sẵn (như tủ gửi đồ; cho mượn xe lăn, xe đẩy em bé; các dịch vụ tự phục vụ, v.v.) tại các địa điểm kinh doanh của Công Ty tùy từng thời điểm;

(f) Chăm sóc, trao đổi và phản hồi các câu hỏi, yêu cầu hoặc khiếu nại từ Chủ Thể Dữ Liệu Cá Nhân; thực hiện các biện pháp hỗ trợ cần thiết để giải quyết sự việc phát sinh có liên quan đến các câu hỏi, yêu cầu hoặc khiếu nại từ Chủ Thể Dữ Liệu Cá Nhân; tiếp nhận và xử lý tài sản, giấy tờ bị bỏ quên hoặc đánh rơi tại các địa điểm kinh doanh của Công Ty;

(g) Phân tích, tổng hợp, lưu trữ, báo cáo, thống kê phục vụ hoạt động kinh doanh, vận hành; thực hiện đo lường, đánh giá thực tế để xây dựng chiến lược phát triển kinh doanh cũng như cải tiến chất lượng hàng hóa, dịch vụ của Công Ty, cải tiến chất lượng hàng hóa, dịch vụ, các hoạt động, chương trình thành viên, chương trình khuyến mại, sự kiện của Công Ty nhằm mang đến trải nghiệm tốt hơn trong phạm vi phù hợp quy định của pháp luật.

(h) Thực hiện nghĩa vụ của Công Ty theo quy định pháp luật và theo yêu cầu của cơ quan nhà nước, như các quy định về thanh tra, kiểm tra, kiểm toán, thống kê, báo cáo, tài chính, kế toán và thuế, phòng chống rửa tiền và hoặc theo các quy định pháp luật khác có liên quan hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

3.2. Mục đích quảng cáo:Thực hiện các hoạt động được xem là quảng cáo theo quy định pháp luật, dịch vụ hỗ trợ hoạt động marketing. Theo đó, tùy theo từng hoạt động, Công Ty được gửi và Chủ Thể Dữ Liệu Cá Nhân nhận các thông tin với nội dung, phương thức, hình thức, tần suất phù hợp như sau:

(a) Nội dung:

(i) Các nội dung giới thiệu về Công Ty, các đối tác của Công Ty;
(ii) Các nội dung giới thiệu về:
- - – sản phẩm, hàng hóa, dịch vụ được cung cấp bởi Công Ty, đối tác của Công Ty,
  - – hoạt động, sự kiện được tổ chức bởi Công Ty, đối tác của Công Ty mà được xem là nội dung quảng cáo theo quy định của pháp luật;

(b) Phương thức: Công Ty có thể lựa chọn trong các phương thức như gửi tin nhắn SMS, MMS; gửi thư điện tử; gọi điện thoại; gửi tin nhắn, gửi thông báo thông qua các trang mạng xã hội; gửi thông báo thông qua các tính năng trên các trang thông tin điện tử (website), ứng dụng của Công Ty; hoặc bằng các phương thức khác phù hợp với quy định pháp luật;

(c) Hình thức: gửi cho Chủ Thể Dữ Liệu Cá Nhân thông qua thiết bị, phương tiện điện tử hoặc các hình thức khác phù hợp với quy định pháp luật;

(d) Tần suất: không vượt quá mức tối đa (nếu có) theo quy định của pháp luật.

4. Phương tiện Xử Lý Dữ Liệu Cá Nhân:

Công Ty sử dụng các phương tiện phù hợp để Xử Lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu Cá Nhân như:

(a) Phương tiện điện tử (kỹ thuật số): Các hệ thống phần mềm, ứng dụng, trang thông tin điện tử (website), hệ thống máy chủ, điện toán đám mây;

(b) Phương tiện vật lý: Máy tính, điện thoại, ổ cứng, thẻ nhớ, thiết bị quét, thiết bị ghi âm, ghi hình;

(d) Các phương tiện cần thiết, phù hợp khác không trái với quy định của pháp luật.

5. Chỉnh sửa Dữ Liệu Cá Nhân:

(a) Chủ Thể Dữ Liệu Cá Nhân có thể tự mình truy cập và chỉnh sửa một số Dữ Liệu Cá Nhân của mình thể hiện trên website hoặc ứng dụng của Công Ty (lưu ý: chỉ áp dụng cho các trường Dữ Liệu Cá Nhân có áp dụng tính năng tự chỉnh sửa);

(b) Đối với các Dữ Liệu Cá Nhân mà Chủ Thể Dữ Liệu Cá Nhân không thể tự chỉnh sửa, Chủ Thể Dữ Liệu Cá Nhân có quyền đề nghị Công Ty chỉnh sửa Dữ Liệu Cá Nhân theo quy định pháp luật.

6. Xóa, hủy Dữ Liệu Cá Nhân:

(a) Dữ Liệu Cá Nhân sẽ được xóa, hủy theo quy định của pháp luật;

(b) Trừ trường hợp pháp luật có quy định khác, Công Ty sẽ chủ động xóa, hủy Dữ Liệu Cá Nhân khi cần thiết nhằm đảm bảo việc quản lý dữ liệu phù hợp và an toàn.

7. Các hoạt động khác trong Xử Lý Dữ Liệu Cá Nhân:

(a) Trừ trường hợp pháp luật có quy định khác, Công Ty sẽ lưu trữ, truy cập, truy xuất, kết nối, điều phối, xác nhận, xác thực Dữ Liệu Cá Nhân và các hoạt động khác tác động đến Dữ Liệu Cá Nhân phù hợp với các mục đích đã thỏa thuận;

(b) Việc lưu trữ, truy cập, truy xuất, kết nối, điều phối, xác nhận, xác thực Dữ Liệu Cá Nhân, hoạt động khác tác động đến Dữ Liệu Cá Nhân được thực hiện theo quy định pháp luật và theo các hình thức phù hợp với hoạt động của Công Ty.

8. Bảo vệ Dữ Liệu Cá Nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi:

(a) Công Ty không chủ động thu thập hay xử lý bất kỳ Dữ Liệu Cá Nhân nào của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi (sau đây gọi chung là “Người Được Đại Diện”) mà chưa được sự đồng ý của người đại diện theo pháp luật của Người Được Đại Diện.

(b) Trong trường hợp Chủ Thể Dữ Liệu Cá Nhân: (i) cung cấp Dữ Liệu Cá Nhân của Người Được Đại Diện cho Công Ty; và (ii) thay mặt thực hiện các quyền của Người Được Đại Diện, thì Chủ Thể Dữ Liệu Cá Nhân đảm bảo rằng Chủ Thể Dữ Liệu Cá Nhân là người đại diện theo pháp luật của Người Được Đại Diện.

9. Cung cấp, chuyển giao Dữ Liệu Cá Nhân:

Tùy theo từng trường hợp, Công Ty được cung cấp, chuyển giao Dữ Liệu Cá Nhân trong phạm vi lãnh thổ Việt Nam hoặc ra nước ngoài như sau:
(a) cung cấp Dữ Liệu Cá Nhân của chính Chủ Thể Dữ Liệu Cá Nhân cho Chủ Thể Dữ Liệu Cá Nhân và hoặc cơ quan, tổ chức, cá nhân khác khi Chủ Thể Dữ Liệu Cá Nhân có yêu cầu phù hợp với quy định của pháp luật và trong phạm vi, khả năng cung cấp của Công Ty;

(b) chuyển giao, cung cấp Dữ Liệu Cá Nhân để tiếp tục xử lý dữ liệu cá nhân:

(i) trong trường hợp chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động của Công Ty;
(ii) cho đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của Công Ty;
(iii) khi thực hiện các hoạt động khác phù hợp với quy định của pháp luật về đầu tư và kinh doanh;

(c) chuyển giao, cung cấp Dữ Liệu Cá Nhân cho bên xử lý Dữ Liệu Cá Nhân, bên thứ ba để xử lý Dữ Liệu Cá Nhân theo quy định;

(d) chuyển giao, cung cấp Dữ Liệu Cá Nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;

(e) chuyển giao, cung cấp Dữ Liệu Cá Nhân cho các bên liên quan, bên liên kết của Công Ty, bên có quan hệ trực tiếp hoặc gián tiếp với Công Ty, các công ty thành viên cùng tập đoàn AEON;

(f) chuyển giao, cung cấp Dữ Liệu Cá Nhân cho các: (i) đối tác cung cấp sản phẩm, hàng hóa, dịch vụ, cung cấp hạ tầng, giải pháp công nghệ thông tin, điện toán đám mây; (ii) đại lý; (iii) đối tác hợp tác kinh doanh; (iv) đơn vị tư vấn, cố vấn, kiểm toán, luật sư.

Các bên được Công Ty cung cấp Dữ Liệu Cá Nhân, nhận chuyển giao Dữ Liệu Cá Nhân có trách nhiệm xử lý Dữ Liệu Cá Nhân, bảo vệ Dữ Liệu Cá Nhân phù hợp với quy định pháp luật; thỏa thuận, hợp đồng với Công Ty.

10. Công khai Dữ Liệu Cá Nhân:

Công Ty có thể công khai Dữ Liệu Cá Nhân bằng các hình thức phù hợp quy định pháp luật trong các trường hợp cần thiết nhằm bảo đảm an toàn tài sản, sức khỏe, tính mạng, quyền, lợi ích hợp pháp của Chủ Thể Dữ Liệu Cá Nhân hoặc hỗ trợ tìm kiếm người thân, giấy tờ, đồ vật bị bỏ quên, thất lạc.

11. Bên Kiểm Soát Dữ Liệu Cá Nhân, Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân:

(a) Tùy từng trường hợp, Công ty TNHH AEON Việt Nam có thể là Bên Kiểm Soát Dữ Liệu Cá Nhân hoặc Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân;

(b) Đối với Dữ Liệu Cá Nhân của các Chủ Thể Dữ Liệu Cá Nhân là thành viên của chương trình điểm thành viên WAON: Công ty TNHH AEON Việt Nam là Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân; đồng thời, Công ty TNHH Thương Mại ACS Việt Nam cũng là Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân trong trường hợp pháp luật cho phép.

Công Ty TNHH AEON Việt Nam và Công Ty TNHH Thương Mại ACS Việt Nam được gọi chung là “Công Ty” trong Thông Báo này.

12. Quyền và nghĩa vụ của Chủ Thể Dữ Liệu Cá Nhân:

12.1. Quyền của Chủ Thể Dữ Liệu Cá Nhân:

(a) Được biết về hoạt động xử lý Dữ Liệu Cá Nhân.

(b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý Dữ Liệu Cá Nhân.

(d) Yêu cầu cung cấp, xóa, hạn chế xử lý Dữ Liệu Cá Nhân; gửi yêu cầu phản đối xử lý Dữ Liệu Cá Nhân.

(e) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật.

(f) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý Dữ Liệu Cá Nhân thực hiện các biện pháp, giải pháp bảo vệ Dữ Liệu Cá Nhân của mình theo quy định của pháp luật.

(g) Các quyền khác theo quy định của pháp luật.

12.3. Chủ Thể Dữ Liệu Cá Nhân khi thực hiện quyền và nghĩa vụ của mình phải tuân thủ đầy đủ các nguyên tắc sau đây:

(a) Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của Chủ Thể Dữ Liệu Cá Nhân. Việc thực hiện quyền và nghĩa vụ của Chủ Thể Dữ Liệu Cá Nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của Chủ Thể Dữ Liệu Cá Nhân đó;

(b) Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của Bên Kiểm Soát Dữ Liệu Cá Nhân, Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân, bên xử lý Dữ Liệu Cá Nhân;

13. Thông tin liên hệ:

Trong trường hợp Chủ Thể Dữ Liệu Cá Nhân: (i) có bất cứ thắc mắc, câu hỏi về hoạt động Xử Lý Dữ Liệu Cá Nhân liên quan đến chính Chủ Thể Dữ Liệu Cá Nhân; hoặc (ii) có yêu cầu thực hiện các quyền của Chủ Thể Dữ Liệu Cá Nhân, Chủ Thể Dữ Liệu Cá Nhân vui lòng liên hệ theo thông tin sau đây:
– Công Ty TNHH AEON Việt Nam.
– Địa chỉ trụ sở chính: số 30 đường Tân Thắng, phường Tân Sơn Nhì, TP. Hồ Chí Minh.
– Điện thoại: 1800-888-886
– Hộp thư điện tử: contact@aeon.com.vn

Trong trường hợp Chủ Thể Dữ Liệu Cá Nhân: (i) có bất cứ thắc mắc, câu hỏi về hoạt động Xử Lý Dữ Liệu Cá Nhân liên quan đến chính Chủ Thể Dữ Liệu Cá Nhân; hoặc (ii) có yêu cầu thực hiện các quyền của Chủ Thể Dữ Liệu Cá Nhân liên quan đến chương trình điểm thành viên WAON, Chủ Thể Dữ Liệu Cá Nhân còn có thể liên hệ tới:
– Công Ty TNHH Thương Mại ACS Việt Nam.
– Địa chỉ: số 246 đường Cống Quỳnh, phường Bến Thành, TP. Hồ Chí Minh.
– Điện thoại: 19005150, Số máy nhánh: 2.
– Hộp thư điện tử: waonpoint.support@acsvietnam.com.vn

hoặc theo thông tin được Công Ty TNHH Thương Mại ACS Việt Nam công khai trong phạm vi chương trình điểm thành viên WAON tùy từng thời điểm.

14. Thời điểm áp dụng của Thông Báo:

Thông Báo này được áp dụng kể từ ngày 10 tháng 5 năm 2026.

PHẦN 2: QUY TẮC BẢO VỆ THÔNG TIN CỦA NGƯỜI TIÊU DÙNG

Quy Tắc Bảo Vệ Thông Tin Của Người Tiêu Dùng (“Quy Tắc”) này được Công Ty TNHH AEON Việt Nam (“Công Ty”) xây dựng căn cứ theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng hiện hành.

Để đảm bảo quyền lợi, Người Tiêu Dùng nên đọc kỹ các nội dung dưới đây. Công Ty sẽ chủ động tiến hành cập nhật nội dung của Quy Tắc để phản ánh những thay đổi nếu có và sẽ lấy lại sự đồng ý của Người Tiêu Dùng trong trường hợp pháp luật có yêu cầu.

Quy Tắc này được lập và sử dụng bằng tiếng Việt. Quy Tắc này có thể được dịch từ tiếng Việt sang tiếng dân tộc khác của Việt Nam hoặc tiếng nước ngoài (nếu có) chỉ cho mục đích tham khảo. Nội dung Quy Tắc bằng tiếng Việt sẽ được sử dụng làm căn cứ chính thức để thông báo, thỏa thuận, giải thích và xử lý các vấn đề liên quan.

1. Định nghĩa:

Các chữ được viết hoa trong Quy Tắc này sẽ có ý nghĩa như sau đây:

(a) Người Tiêu Dùng: là người mua, sử dụng sản phẩm, hàng hóa, dịch vụ cho mục đích tiêu dùng, sinh hoạt của cá nhân, gia đình, cơ quan, tổ chức và không vì mục đích thương mại.

(b) Thông Tin Của Người Tiêu Dùng: bao gồm thông tin cá nhân của Người Tiêu Dùng, thông tin về quá trình mua, sử dụng sản phẩm, hàng hóa, dịch vụ của người tiêu dùng và thông tin khác liên quan đến giao dịch giữa người tiêu dùng và tổ chức, cá nhân kinh doanh.

Trong trường hợp Luật Bảo vệ quyền lợi người tiêu dùng có quy định khác đi về các chữ được viết hoa tại Mục 1 này, thì ý nghĩa của các chữ viết hoa đó sẽ được diễn giải theo quy định tương ứng.

2. Phạm vi thu thập Thông Tin Của Người Tiêu Dùng:

Trừ trường hợp pháp luật có quy định khác, phạm vi thu thập Thông Tin Của Người Tiêu Dùng gồm một phần hoặc toàn bộ các thông tin:

2.1. Phạm vi Thông Tin Của Người Tiêu Dùng cần thiết cung cấp:

2.1.1.Dữ liệu cá nhân cơ bản:

(a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

(b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

(d) Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

(e) Quốc tịch;

(f) Hình ảnh của cá nhân;

(g) Số điện thoại; số định danh cá nhân, số hộ chiếu;

(h) Số giấy phép lái xe, số biển số xe;

(i) Tình trạng hôn nhân;

(j) Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);

(k) Thông tin về tài khoản số của cá nhân;

(l) Địa chỉ thư điện tử (email);

(m) Số chứng minh nhân dân, số căn cước, số căn cước công dân, mã số thuế cá nhân;

(o) Thông tin về nghề nghiệp, lĩnh vực làm việc;

(p) Danh xưng cá nhân trên các nền tảng mạng xã hội.

2.1.2.Dữ liệu cá nhân nhạy cảm:

(a) Tình trạng sức khỏe;

(b) Dữ liệu sinh trắc học, đặc điểm di truyền;

(d) Thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng với Công Ty;

(e) Thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;

(f) Lịch sử, tần suất, thời gian, địa điểm cửa hàng mua sắm hàng hóa, sử dụng dịch vụ, giá trị thành tiền, giá trị hóa đơn tại Công Ty hoặc tại các đối tác của Công Ty;

(g) Lịch sử và tần suất tích, đổi điểm, đổi quà, phiếu mua hàng, phiếu sử dụng dịch vụ, phiếu đổi quà, phiếu ưu đãi;

(h) Loại hàng hóa, dịch vụ được quan tâm, yêu thích, thường xuyên mua sắm, sử dụng;

(i) Thông tin liên quan tới việc sử dụng dịch vụ trung gian thanh toán;

(j) Hình ảnh hộ chiếu, giấy phép lái xe;

(k) Trạng thái, kết quả xác thực dữ liệu sinh trắc học, đặc điểm di truyền;

(l) Số tài khoản ngân hàng, thu nhập cá nhân;

(m) Dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng như:

(i) các dữ liệu liên quan đến các trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(ii) dữ liệu kỹ thuật (như loại thiết bị, hệ điều hành, loại trình duyệt, cài đặt trình duyệt, địa chỉ IP, cài đặt ngôn ngữ, ngày và giờ kết nối với trang thông tin điện tử (website) hoặc ứng dụng của Công Ty, nguồn truy cập, thống kê tần suất, thời gian sử dụng trang thông tin điện tử (website) hoặc ứng dụng của Công Ty, thông tin liên lạc kỹ thuật khác);
(iii) dữ liệu tài khoản, tên đăng nhập, mật khẩu, thông tin và lịch sử đăng nhập, truy cập, đăng xuất trang thông tin điện tử (website) hoặc ứng dụng của Công Ty; trạng thái đăng nhập, lịch sử phiên truy cập, phương thức xác thực, cũng như các hoạt động liên quan đến bảo mật và quản lý tài khoản trên trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(iv) dữ liệu sử dụng trang thông tin điện tử (website) hoặc ứng dụng của Công Ty.

2.2. Phạm vi Thông Tin Của Người Tiêu Dùng cung cấp để nâng cao trải nghiệm:

2.2.1.Dữ liệu cá nhân cơ bản:

(a) Ngày, tháng, năm cấp, nơi cấp của thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân hoặc các giấy tờ pháp lý cá nhân có tính chất tương tự;

(b) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là dữ liệu cá nhân nhạy cảm;

2.2.2.Dữ liệu cá nhân nhạy cảm:

(a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;

(b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;

(d) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;

(e) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

(f) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;

(g) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

(h) Dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng như:

(i) cookies, các công nghệ tương đương cookies (là các tệp dữ liệu nhỏ được lưu trữ trên thiết bị của người dùng khi truy cập trang thông tin điện tử (website) hoặc ứng dụng của Công Ty);
(ii) dòng dữ liệu nhấp chuột (clickstream), cuộn trang trên trang thông tin điện tử (website) hoặc ứng dụng của Công Ty;
(iii) lịch sử xem kênh, VOD (video theo yêu cầu) cùng các dữ liệu liên quan như thời lượng xem, tần suất, nội dung đã xem, các tương tác với nội dung và các dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng khác.

(i) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ;

(j) Dữ liệu cá nhân nhạy cảm khác theo quy định pháp luật tại từng thời điểm.

3. Mục đích thu thập, sử dụng, phạm vi sử dụng Thông Tin Của Người Tiêu Dùng:

Các Thông Tin Của Người Tiêu Dùng được thu thập, sử dụng theo các mục đích, phạm vi sau:

3.1. Mục đích cần thiết để đảm bảo quyền lợi của Người Tiêu Dùng:

(a) Liên hệ, kiểm tra Thông Tin Của Người Tiêu Dùng, đánh giá khả năng cung cấp hàng hóa, dịch vụ cho Người Tiêu Dùng; tiến hành báo giá, giao kết đơn đặt hàng, hợp đồng và chứng từ liên quan với Người Tiêu Dùng hoặc người đại diện hợp pháp của Người Tiêu Dùng;

(b) Thực hiện các quyền và nghĩa vụ phát sinh từ giao dịch với Người Tiêu Dùng nhằm cung cấp hàng hóa, dịch vụ cho Người Tiêu Dùng như: cung cấp; giao hàng; lắp đặt; thanh toán; xuất hóa đơn; đổi trả, hoàn tiền; đối soát dữ liệu với các đối tác liên quan; và các quyền, nghĩa vụ khác theo quy định pháp luật, theo thỏa thuận giữa Công Ty và Người Tiêu Dùng tại từng thời điểm;

(c) Tổ chức và quản lý các hoạt động khuyến mại, hội chợ, triển lãm thương mại, trưng bày và giới thiệu hàng hóa như: tiếp nhận đăng ký tham gia của Người Tiêu Dùng, công bố kết quả, trao thưởng, báo cáo cơ quan nhà nước (nếu có), thực hiện các quyền, nghĩa vụ khác theo quy định pháp luật, theo thỏa thuận giữa Công Ty và Người Tiêu Dùng tại từng thời điểm;

(d) tạo điều kiện cho Người Tiêu Dùng truy cập, đăng ký và sử dụng các tính năng trên trang thông tin điện tử (website), ứng dụng của Công Ty; xác thực, kiểm soát quyền truy cập, quản lý tài khoản của Người Tiêu Dùng trên trang thông tin điện tử (website), ứng dụng của Công Ty; thực hiện các hoạt động thương mại điện tử trên trang thông tin điện tử (website) và ứng dụng của Công Ty;

(f) Chăm sóc, trao đổi và phản hồi các câu hỏi, yêu cầu hoặc khiếu nại từ Người Tiêu Dùng; thực hiện các biện pháp hỗ trợ cần thiết để giải quyết sự việc phát sinh có liên quan đến các câu hỏi, yêu cầu hoặc khiếu nại từ Người Tiêu Dùng; tiếp nhận và xử lý tài sản, giấy tờ bị bỏ quên hoặc đánh rơi tại các địa điểm kinh doanh của Công Ty;

3.2. Mục đích quảng cáo:

Thực hiện các hoạt động được xem là quảng cáo theo quy định pháp luật, dịch vụ hỗ trợ hoạt động marketing, giới thiệu sản phẩm, hàng hóa, dịch vụ và hoạt động có tính chất thương mại khác.

3.3. Chia sẻ, tiết lộ, chuyển giao Thông Tin Của Người Tiêu Dùng cho bên thứ ba:

(a) Tùy theo từng trường hợp, Công Ty được chia sẻ, tiết lộ, chuyển giao Thông Tin Của Người Tiêu Dùng trong phạm vi lãnh thổ Việt Nam hoặc ra nước ngoài như sau:

(i) Chia sẻ, tiết lộ Thông Tin Của Người Tiêu Dùng của chính Người Tiêu Dùng cho Người Tiêu Dùng và hoặc cơ quan, tổ chức, cá nhân khác khi Người Tiêu Dùng có yêu cầu phù hợp với quy định của pháp luật và trong phạm vi, khả năng cung cấp của Công Ty.
(ii) Chia sẻ, tiết lộ, chuyển giao Thông Tin Của Người Tiêu Dùng để tiếp tục xử lý:
- (ii.1) trong trường hợp chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động của Công Ty;
- (ii.2) cho đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của Công Ty;
- (ii.3) khi thực hiện các hoạt động khác phù hợp với quy định của pháp luật về đầu tư và kinh doanh.

(b) Chia sẻ, tiết lộ, chuyển giao Thông Tin Của Người Tiêu Dùng cho bên ủy quyền, bên thứ ba để thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ Thông Tin Của Người Tiêu Dùng;

(d) Chia sẻ, tiết lộ, chuyển giao Thông Tin Của Người Tiêu Dùng cho các bên liên quan, bên liên kết của Công Ty, bên có quan hệ trực tiếp hoặc gián tiếp với Công Ty, các công ty thành viên cùng tập đoàn AEON;

(e) Chia sẻ, tiết lộ, chuyển giao Thông Tin Của Người Tiêu Dùng cho các: (i) đối tác cung cấp sản phẩm, hàng hóa, dịch vụ, cung cấp hạ tầng, giải pháp công nghệ thông tin, điện toán đám mây; (ii) đại lý; (iii) đối tác hợp tác kinh doanh; (iv) đơn vị tư vấn, cố vấn, kiểm toán, luật sư.

Các bên được Công Ty chia sẻ, tiết lộ Thông Tin Của Người Tiêu Dùng, nhận chuyển giao Thông Tin Của Người Tiêu Dùng có trách nhiệm thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ Thông Tin Của Người Tiêu Dùng, bảo vệ Thông Tin Của Người Tiêu Dùng phù hợp với quy định pháp luật; thỏa thuận, hợp đồng với Công Ty.

4. Thời hạn lưu trữ Thông Tin Của Người Tiêu Dùng:

Công Ty sẽ lưu trữ Thông Tin Của Người Tiêu Dùng trong thời hạn cần thiết để thực hiện các mục đích, phạm vi thu thập, sử dụng Thông Tin Của Người Tiêu Dùng được nêu tại Quy Tắc này. Trừ trường hợp pháp luật có quy định khác, Công Ty sẽ chủ động xóa, hủy Thông Tin Của Người Tiêu Dùng khi cần thiết nhằm đảm bảo việc quản lý dữ liệu phù hợp và an toàn.

5. Công Ty có thể tự mình hoặc ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ Thông Tin Của Người Tiêu Dùng theo quy định của pháp luật.

6. Biện pháp bảo vệ thông tin, bảo đảm an ninh Thông Tin Của Người Tiêu Dùng:

Để bảo vệ thông tin, bảo đảm an ninh Thông Tin Của Người Tiêu Dùng, Công Ty sẽ áp dụng các biện pháp sau:

(a) Chỉ định nhân sự hoặc bộ phận phụ trách bảo vệ thông tin, bảo đảm an ninh Thông Tin Của Người Tiêu Dùng;

(b) Xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;

(c) Áp dụng các biện pháp kỹ thuật cần thiết nhằm bảo vệ thông tin, bảo đảm an ninh Thông Tin Của Người Tiêu Dùng phù hợp với quy định của pháp luật.

7. Thông tin liên hệ:

Trong trường hợp Người Tiêu Dùng: (i) có bất cứ thắc mắc, câu hỏi về hoạt động thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ Thông Tin Của Người Tiêu liên quan đến chính Người Tiêu Dùng; hoặc (ii) có yêu cầu thực hiện các quyền của Người Tiêu Dùng, Người Tiêu Dùng vui lòng liên hệ theo thông tin sau đây:

– Công ty TNHH AEON Việt Nam.
– Địa chỉ trụ sở chính: số 30 đường Tân Thắng, phường Tân Sơn Nhì, TP. Hồ Chí Minh.
– Điện thoại: 1800-888-886
– Hộp thư điện tử: contact@aeon.com.vn

8. Thời điểm áp dụng của Quy Tắc:

Quy Tắc này được áp dụng kể từ ngày 10 tháng 5 năm 2026.

PART 1: NOTICE AND AGREEMENT ON PERSONAL DATA PROCESSING

This is a translation (for reference purposes only) of the original Vietnamese

This Notice and Agreement on Personal Data Processing (“Notice”) sets out the agreement between the Company and the Personal Data Subject regarding the Personal Data Processing of the Personal Data Subject in accordance with the applicable Personal Data Protection Law.

To ensure the rights and interests, the Personal Data Subject is advised to carefully read the contents below. The Company may proactively update this Notice from time to time to reflect any changes and shall re-obtain the Personal Data Subject’s consent where required by applicable laws.

This Notice is prepared and used in Vietnamese. It may be translated from Vietnamese into other ethnic minority languages of Vietnam or foreign languages (if any) for reference purposes only. The content of this Notice in Vietnamese will be used as the official basis for notifying, agreeing upon, explaining, and resolving related issues.

1. Definition:

The capitalized letters in this Notice shall have the following meanings:

(a) Personal Data: means digital data or other information in other forms that identifies or helps identify a specific person, including: Basic Personal Data and Sensitive Personal Data. Personal Data after de-identification is no longer Personal Data.

(b) Personal Data Processing: means an activity affecting Personal Data, including one or more of the following activities: collection, analysis, aggregation, encryption, decryption, modification, deletion, destruction, de-identification, provision, disclosure, transfer of Personal Data and other activities affecting Personal Data.

(d) Personal Data Controller: means the agency, organization or individual that decides the purposes and means of Personal Data Processing.

(e) Personal Data Controller and Processor: means an agency, organization or individual that decides the purpose, means and directly processes Personal Data.

In the event that the Personal Data Protection Law provides differently for capitalized letters in this Section 1, the meaning of such capital letters shall be construed in accordance with the respective provisions.

2. Types of Personal Data to be processed:

Unless otherwise prescribed by the law, the types of Personal Data of Personal Data Subject that the Company collects in part or in full, include:

2.1. Basic Personal Data:

(a) Surname, middle name and birth name, other names (if any);

(b) Date of birth; date of death or disappearance;

(d) Place of birth, place of birth registration, place of permanent residence registration, place of temporary residence registration, current place of residence, hometown, contact address;

(e) Nationality;

(f) Images of individuals;

(g) Telephone number; personal identification number, passport number;

(h) Driver’s license number, vehicle registration plate number;

(i) Marital status;

(j) Information about family relationships (parents, children, spouses);

(k) Information about the individual’s digital account;

(l) Email address;

(m) People’s identity card number, identification number, citizen identification number, personal tax identification number;

(n) Information about guardians, dependents, representatives, authorized persons, members, number of family members, relatives and other related persons;

(o) Date, month, year of issuance, place of issuance of identification cards, citizen identification cards, people’s identity cards or personal legal papers of similar nature;

(p) Information about occupations and fields of work;

(q) Personal titles on social media platforms;

(r) Other information that is associated with a specific person or helps to identify a specific person that is not Sensitive Personal Data;

(s) Other basic Personal Data as required by law from time to time.

2.2. Sensitive Personal Data:

(a) Data revealing racial and ethnic origins;

(b) Opinions on politics, religion and belief;

(d) Health status;

(e) Biometric data, genetic characteristics;

(f) Data revealing the sex life, sexual orientation of individuals;

(g) Data on crimes and violations of law collected and stored by law enforcement agencies;

(h) The individual’s location is determined through location services;

(i) Information on usernames and passwords to access electronic identification accounts of individuals; images of identification cards, citizen identification cards, people’s identity cards;

(j) Bank card information, data on the transaction history of bank accounts with the Company;

(k) Financial and credit information and other information relating to activities and history of financial, securities and insurance transactions of customers at credit institutions, foreign bank branches, payment intermediary service providers, securities institutions, insurers, and other authorized organizations;

(l) Data to track behaviors and activities of using telecommunications services, social networks, online communication services and other services in cyberspace;

(m) Personal Data reflects activities and history of activities in cyberspace such as:

(i) data related to the Company’s websites or applications;
(ii) technical data (such as device type, operating system, browser type, browser settings, IP address, language settings, date and time of connection to the Company’s website or application, access source, frequency statistics, time spent on the Company’s website or application, other technical communications);
(iii) account data, usernames, passwords, information and login history, access and logout of the Company’s website or application; login status, session history, authentication method, as well as activities related to security and account management on the Company’s website or application;
(iv) data on the use of the Company’s website or application;
(v) cookies, technologies equivalent to cookies (which are small data files stored on the user’s device when accessing the Company’s website or application);
(vi) clickstreams, scrolling pages on the Company’s website or application;
(vii) channel viewing history, VOD (video on demand) and related data such as viewing time, frequency, content watched, interactions with the content and other Personal Data reflecting activities and activity history in cyberspace;

(n) Bank account number, personal income;

(o) History, frequency, time and location of shops to shop for goods, use of services, cash value, invoice value at the Company or at the Company’s partners;

(p) History and frequency of point accumulation, redemption, gift redemption, vouchers, service vouchers, gift coupons, and discount coupons;

(q) The type of goods and services that are interested, loved, regularly purchased and used;

(r) Information related to the use of payment intermediary services;

(s) Images of passports, driver’s licenses;

(t) Status and results of authentication of biometric data, genetic characteristics;

(u) Other Personal Data that is required by law to be kept confidential or requires strict security measures;

(v) Other Sensitive Personal Data as required by law from time to time.

3. Purposes of Personal Data Processing:

The Personal Data referred to in Section 2 of this Notice may be processed for the following purposes:

3.1. Purposes necessary to ensure the interests of the Personal Data Subject:

(a) Contacting and checking the information of the Personal Data Subject, assessing the ability to provide goods and services to the Personal Data Subject; conduct quotations, conclude purchase orders, contracts and related documents with the Personal Data Subject or the Personal Data Subject’s legal representative;

(b) Exercising the rights and obligations arising from transactions with Personal Data Subject in order to provide goods and services to Personal Data Subject such as: providing; delivery; installation; payment; issuing invoices; exchange, refund; data reconciliation with relevant partners; and other rights and obligations as prescribed by law, as agreed between the Company and the Personal Data Subject from time to time;

(c) Organizing and managing sales promotion activities, fairs, trade exhibitions, displaying and introducing goods such as: receiving registration from Personal Data Subject, announcing results, awarding prizes, reporting to state agencies (if any), exercising other rights and obligations as prescribed by law, as agreed between the Company and the Personal Data Subject from time to time;

(d) Facilitating the Personal Data Subject to access, register and use features on the Company’s website and application; vertifying, control the access and management of the Personal Data Subject’s account on the Company’s website and application; performing e-commerce activities on the Company’s website and application;

(e) Providing available services and facilities (such as lockers; lending of wheelchairs, baby strollers; self-service services, etc.) at the Company’s business locations from time to time;

(f) Taking care, communicating and responding to questions, requests or complaints from Personal Data Subject; implementing necessary support measures to resolve incidents arising in relation to questions, requests or complaints from Personal Data Subjects; receiving and handling assets, documents that are forgotten or dropped at the Company’s business locations;

(g) Analyzing, synthesizing, storaging, reporting, doing statistics for business and operation activities; measuring and evaluating reality to build business development strategies as well as improve the quality of the Company’s goods and services, improve the quality of goods and services, activities, membership programs, sale promotions, and events of the Company in order to bring a better experience within the scope of compliance with the provisions of law.

(h) Performing the Company’s obligations in accordance with the law and at the request from state agencies, such as regulations on inspection, examination, auditing, statistics, reporting, finance, accounting and tax, anti-money laundering and or in accordance with other relevant legal regulations or upon the request of competent state authorities.

3.2. Advertising purpose:

Conducting activities that are considered advertising in accordance with the law, marketing support services. Accordingly, depending on each activity, the Company has the righ to send and the Personal Data Subject will receive information with appropriate content, method, form and frequency as follows:

(a) Content:

(i) introduction content about the Company and its partners;
(ii) introduction to:
- - – products, goods, services provided by the Company, its partners,
  - – activities and events organized by the Company, its partners
  - which are considered advertising content in accordance with the provisions of law;

(b) Methods: The Company may choose from methods such as sending SMS, MMS; sending emails; making phone calls; sending messages, sending notifications through social networking platforms; sending notifications through features on the Company’s websites and applications; or by other methods in accordance with the law;

(d) Frequency: not exceeding the maximum limit (if any) as prescribed by law.

4. Means of Personal Data Processing:

The Company uses appropriate means to process the Personal Data of the Personal Data Subject such as:

(a) Electronic means (digital): Software systems, applications, websites, server systems, cloud computing;

(b) Physical means: Computers, telephones, hard drives, memory cards, scanning devices, audio recording devices, video recording devices;

(d) Other necessary and appropriate means are not contrary to the provisions of law.

5. Personal Data modification:

(a) The Personal Data Subject may access and modify some of their Personal Data displayed on the Company’s website or application (note: only applicable to Personal Data fields with self-modification feature);

(b) With respect to Personal Data that the Personal Data Subject cannot modify personally, the Personal Data Subject has the right to request the Company to modify such Personal Data in accordance with the law.

6. Deletion, destruction of personal data:

(a) Personal Data will be deleted and destroyed in accordance with the provisions of law;

(b) Unless otherwise prescribed by the law, the Company will actively delete and destroy Personal Data when necessary to ensure appropriate and secure data management.

7. Other activities in the Personal Data Processing:

(a) Unless otherwise provided for by law, the Company will store, access, retrieve, connect, coordinate, confirm, verify Personal Data and other activities that affect Personal Data in accordance with the agreed purposes;

(b) The storage, access, retrieval, connection, coordination, confirmation, verification of Personal Data and other activities affecting Personal Data shall be performed in accordance with the provisions of law and in forms appropriate to the Company’s activities.

8. Protection of Personal Data of children, persons who have lost or have limited civil capacity, persons with difficulties in cognition and control of behaviors:

(a) The Company does not proactively collect or process any Personal Data of children, persons who have lost or have limited civil capacity, persons with difficulties in cognitive or control behavior (hereinafter collectively referred to as “Represented Person”) without the consent of the legal representative of the Represented Person.

(b) In the case of a Personal Data Subject: (i) providing the Personal Data of the Represented Person to the Company; and (ii) on behalf of exercising the rights of the Represented Person, the Personal Data Subject ensures that the Personal Data Subject is the legal representative of the Represented Person.

9. Provision, transfer of Personal Data:

Depending on the case, the Company may provide, transfer Personal Data within the territory of
Vietnam or abroad as follows:

(a) providing the Personal Data of the Personal Data Subject to the Personal Data Subject and or other agencies, organizations and individuals when the Personal Data Subject requests in accordance with the provisions of law and within the scope and ability of the Company to provide it;

(b) transferring and providing Personal Data for further processing of personal data:

(i) in case of division, separation, merger, consolidation or termination of the Company’s operations;
(ii) for units and organizations established on the basis of the termination of the Company’s operation;
(iii) when performing other activities in accordance with the law on investment and business;

(c) transferring and providing Personal Data to Personal Data processors, third parties to process Personal Data in accordance with regulations;

(d) transferring and providing Personal Data at the request of competent state authorities;

(e) transferring and providing Personal Data to related parties, affiliates of the Company, parties directly or indirectly related to the Company, member companies of the AEON Group;

(f) transferring and providing Personal Data to: (i) partners providing products, goods, services, infrastructure, information technology solutions, cloud computing; (ii) agents; (iii) business cooperation partners; (iv) consultants, advisors, auditors, lawyers. Parties to whom the Company provides Personal Data, recipients of Personal Data transfer are responsible for processing Personal Data and protecting Personal Data in accordance with the law; agreements and contracts with the Company.

10. Disclosure of Personal Data:

The Company may disclose Personal Data in appropriate forms in accordance with the law in necessary cases to ensure the safety of assets, health, life, legitimate rights and benefits of the Personal Data Subject or assist in the search for relatives, documents, neglected or lost objects.

11. Personal Data Controller, Personal Data Controller and Processor:

(c) Depending on the case, AEON Vietnam Co., Ltd. will be the Personal Data Controller or the Personal Data Controller and Processor;

(d) For Personal Data of Personal Data Subject who are members of the WAON membership point program: AEON Vietnam Co., Ltd. is the Personal Data Controller and Processor; simultaneously, ACS Vietnam Trading Co., Ltd. is also the Personal Data Controller and Processor where permitted by law.

AEON Vietnam Co., Ltd. and ACS Vietnam Trading Co., Ltd. are collectively referred to as the “Company” in this Notice.

12. Rights and obligations of Personal Data Subject:

12.1. Personal Data Subject’s Rights:

(a) Be informed about the Personal Data Processing;

(b) Agree or disagree, request withdrawal of consent to the Personal Data Processing;

(d) Request the provision, deletion, restriction of the Personal Data Processing; submit a request to object to the Personal Data Processing;

(e) Filing complaints, denunciations, lawsuits claims for compensation for damages in accordance with the law;

(f) Request competent authorities or agencies, organizations, individuals related to the Personal Data Processing to take measures and solutions to protect their Personal Data in accordance with the provisions of law;

(g) Other rights as prescribed by law.

12.2. Obligations of the Personal Data Subject:

(a) Protect their Personal Data.

(b) Respect and protect the Personal Data of others.

(c) Provide fully and accurately their Personal Data in accordance with the law, contracts or upon their consent to the processing of their Personal Data.

(d) Comply with the law on the protection of Personal Data and participate in the prevention and combat against Personal Data infringement.

(e) Other obligations as prescribed by law

12.3. Personal Data Subject when exercising their rights and fulfilling their obligations must fully comply with the following principles:

(a) Comply with the provisions of law; comply with the obligations of the Personal Data Subject. The exercise of the rights and obligations of the Personal Data Subject must be aimed at protecting the legitimate rights and benefits of such Personal Data Subject;

(b) Must not to cause difficulties or obstruct the exercise of legal rights and obligations of the Personal Data Controller, Personal Data Controller and Processor, and the Personal Data processor;

(c) Must not infringe upon the legitimate rights and benefits of the State, other agencies, organizations and individuals

13. Contact information:

In the event that the Personal Data Subject: (i) has any questions about the Personal Data Processing in relation to the Personal Data Subject; or (ii) have a request to exercise the rights of the Personal Data Subject, please contact the following information:

– AEON Vietnam Co., Ltd.
– Head office address: No. 30 Tan Thang Street, Tan Son Nhi Ward, Ho Chi Minh City.
– Phone: 1800-888-886
– Email Box: contact@aeon.com.vn

In the event that the Personal Data Subject: (i) has any questions about the Personal Data Processing in relation to the Personal Data Subject; or (ii) there is a request to exercise the rights

of the Personal Data Subject in relation to the WAON membership points program, the Personal
Data Subject may also contact:

– ACS Vietnam Trading Co., Ltd.
– Address: No. 246 Cong Quynh Street, Ben Thanh Ward, Ho Chi Minh City.
– Phone: 19005150, Extension Number: 2.
– Email Box: waonpoint.support@acsvietnam.com.vn

or according to the information published by ACS Vietnam Trading Co., Ltd. within the scope of the WAON membership point program from time to time.

14. When the Notice applies:

This Notice is effective as of May 10, 2026.

PART 2: CONSUMER INFORMATION PROTECTION RULE

This is a translation (for reference purposes only) of the original Vietnamese

This Consumer Information Protection Rule (“Rule”) are formulated by AEON Vietnam Co., Ltd. (the “Company”) in accordance with the applicable Consumer Rights Protection Law.

To ensure the rights and benefits, Consumer should carefully read the following contents. The Company will proactively update the content of the Rule to reflect any changes and will regain the Consumer’s consent if required by law.

This Rule is prepared and used in Vietnamese. It may be translated from Vietnamese into other ethnic minority languages of Vietnam or foreign languages (if any) for reference purposes only. The content of this Rule in Vietnamese will be used as the official basis for notifying, agreeing upon, explaining, and resolving related issues.

1. Definition:

The capitalized letters in this Rule shall have the following meanings:

(a) Consumer: means a person who buys and uses products, goods and services for the purpose of consumption and daily life of individuals, families, agencies, organizations and not for commercial purposes.

(b) Consumer Information: includes personal information of Consumers, information about the process of purchasing and using products, goods and services of consumers and other information related to transactions between consumers and business organizations and individuals.

In the event that the Consumer Rights Protection Law provides differently for capitalized letters in this Section 1, the meaning of such capital letters shall be construed in accordance with the corresponding provisions.

2. Collection scope of Consumer Information:

Unless otherwise provided for by law, the scope of collection of Consumer Information includes part or all of the following information:

2.1. The scope of essential Consumer Information provides:

2.1.1.Basic personal data:

(a) Surname, middle name and birth name, other names (if any);

(b) Date of birth; date of death or disappearance;

(d) Place of birth, place of birth registration, place of permanent residence registration, place of temporary residence registration, current place of residence, hometown, contact address;

(e) Nationality;

(f) Images of individuals;

(g) Phone number; personal identification number, passport number;

(h) Driver’s license number, vehicle registration plate number;

(i) Marital status;

(j) Information about family relationships (parents, children, spouses);

(k) Information about the individual’s digital account;

(l) Email address;

(m) People’s identity card number, identification number, citizen identification number, personal tax identification number;

(n) Information about guardians, dependents, representatives, authorized persons, members, number of family members, relatives and other related persons;

(o) Information about occupations and fields of work;

(p) Personal titles on social media platforms.

2.1.2.Sensitive personal data:

(a) Health status;

(b) Biometric data, genetic characteristics;

(d) Bank card information, data on the transaction history of bank accounts with the Company;

(e) Financial and credit information and other information relating to activities and history of financial, securities and insurance transactions of customers at credit institutions, foreign bank branches, payment intermediary service providers, securities institutions, insurers, and other authorized organizations;

(f) History, frequency, time and location of shops to shop for goods, use of services, cash value, invoice value at the Company or at the Company’s partners;

(g) History and frequency of point accumulation, redemption, gift redemption, vouchers, service vouchers, gift coupons, and discount coupons;

(h) Type of goods and services that are interested, loved, regularly purchased and used;

(i) Information related to the use of payment intermediary services;

(j) Images of passports, driver’s licenses;

(k) Status and results of authentication of biometric data, genetic characteristics;

(l) Bank account number, personal income;

(m) Personal data reflects activities and history of activities in cyberspace such as:

(i) Data related to the Company’s websites or applications;
(ii) Technical data (such as device type, operating system, browser type, browser settings, IP address, language settings, date and time of connection to the Company’s website or application, access source, frequency statistics, time spent on the Company’s website or application, other technical communications);
(iii) Account data, usernames, passwords, information and login history, access and logout of the Company’s website or application; login status, session history, authentication method, as well as activities related to security and account management on the Company’s website or application;
(iv) Data on the use of the Company’s website or application.

2.2. The scope of Consumer Information provided to enhance the experience:

2.2.1.Basic personal data:

(a) Date, month, year of issuance, place of issuance of identification cards, citizen identification cards, people’s identity cards or personal legal papers of similar nature;

(b) Other information that is associated with a specific person or helps identify a specific person that is not sensitive personal data;

2.2.2.Sensitive personal data:

(a) Data revealing racial and ethnic origins;

(b) Opinions on politics, religion and belief;

(d) Data revealing the sex life and sexual orientation of individuals;

(e) Data on crimes and violations of law collected and stored by law enforcement agencies;

(f) Information on usernames and passwords to access electronic identification accounts of individuals; images of identification cards, citizen identification cards, people’s identity cards;

(g) Data to track behaviors and activities of using telecommunications services, social networks, online communication services and other services in cyberspace;

(h) Personal data reflects activities and history of activities in cyberspace such as:

(i) cookies, technologies equivalent to cookies (which are small data files stored on the user’s device when accessing the Company’s website or application);
(ii) clickstreams, scrolling pages on the Company’s website or application;
(iii) channel viewing history, VOD (video on demand) and related data such as viewing time, frequency, content watched, interactions with content and personal data reflecting activities and other cyberspace activity history.

(i) Other personal data that is required by law to be kept confidential or requires strict security measures;

(j) Other sensitive personal data as required by law from time to time.

3. Purpose of collection, use, scope of use of Consumer Information:

Consumer Information is collected and used for the following purposes and scope:

3.1. Necessary purposes to ensure the rights and benefits of Consumers:

(a) Contact, check Consumer Information, assess the ability to provide goods and services to Consumers; conduct quotations, conclude purchase orders, contracts and related documents with Consumers or their legal representatives;

(b) Exercise the rights and obligations arising from transactions with Consumers in order to provide goods and services to Consumers such as: providing; delivery; installation; payment; issuing invoices; exchange, refund; data reconciliation with relevant partners; and other rights and obligations as prescribed by law, as agreed between the Company and the Consumer from time to time;

(c) Organizing and managing sales promotion activities, fairs, trade exhibitions, displaying and introducing goods such as: receiving registration from consumers, announcing results, awarding prizes, reporting to state agencies (if any), exercising other rights and obligations as prescribed by law, as agreed between the Company and the Consumer from time to time;

(d) Facilitating for Consumers to access, register and use features on the Company’s website and application; vertifying, control the Consumer’s access and account management on the Company’s website and application; perfoming e-commerce activities on the Company’s website and application;

(e) Provision of available services and utilities (such as lockers; lending of wheelchairs,baby strollers; self-service services, etc.) at the Company’s business locations from time to time;

(f) Taking care, communicating and responding to questions, requests or complaints from Consumers; implementing necessary support measures to resolve incidents arising in relation to questions, requests or complaints from Consumers; receive and handle assets and papers that are forgotten or dropped at the Company’s business locations;

(g) Analyzing, synthesis, storage, reporting, statistics for business and operation activities; measuring and evaluating reality to develop business development strategies as well as improve the quality of the Company’s goods and services, improve the quality of goods and services, activities, membership programs, sale promotions, and events of the Company in order to bring a better experience within the scope of compliance with the provisions of law;

(h) Performing the Company’s obligations in accordance with the law and at the request from state agencies, such as regulations on inspection, examination, auditing, statistics, reporting, finance, accounting and taxation, anti-money laundering and or in accordance with other relevant legal regulations or at the request of competent state authorities.

3.2. Advertising purpose:

Conducting activities considered as advertising in accordance with the law, services supporting marketing activities, introducing products, goods, services and other activities of a commercial nature.

3.3. Sharing, disclosing and transferring Consumer Information to third parties:

(a) Depending on each case, the Company may share, disclose and transfer Consumer Information within the territory of Vietnam or abroad as follows:

(i) Sharing and disclosing Consumer’s own Consumer Information to Consumers and or other agencies, organizations and individuals when the Consumer requests in accordance with the provisions of law and within the scope and ability of the Company.
(ii) Sharing, disclosing and transferring Consumer Information for further processing:
- - (ii.1) in case of division, separation, merger, consolidation or termination of the Company’s operations;
  - (ii.2) for units and organizations established on the basis of the termination of the Company’s operations;
  - (ii.3) when performing other activities in accordance with the provisions of the law on investment and business.

(b) Sharing, disclosing, transferring Consumer Information to authorized parties and third parties to collect, store, use, modify, update, and destroy Consumer Information;

(d) Sharing, disclosing and transferring Consumer Information to related parties, affiliates of the Company, parties who have direct or indirect relations with the Company, member companies of AEON Group;

(e) Sharing, disclosing and transferring Consumer Information to: (i) partners providing products, goods, services, infrastructure, information technology solutions, cloud computing; (ii) agents; (iii) business cooperation partners; (iv) consultants , advisors, auditors, lawyers.

Parties to whom the Company shares or discloses Consumer Information, or who receive the transfer of Consumer Information, are responsible for collecting, storing, using, modifying, updating, destroying Consumer Information, protecting Consumer Information in accordance with legal regulations; agreements, contracts with the Company.

4. Retention period of Consumer Information:

The Company will store Consumer Information for a necessary period to fulfill the purposes, scope of collection and use of Consumer Information stated in this Rule. Unless otherwise provided for by law, the Company will proactively delete and destroy Consumer Information when necessary to ensure appropriate and safe data management.

5. The Company may by itself or authorize or hire a third party to collect, store, use, modify, update, or destroy Consumer Information in accordance with the law.

6. Measures to protect information and ensure the security of Consumer Information:

In order to protect information and ensure the security of Consumer Information, the Company will apply the following measures:

(a) Appoint personnel or departments in charge of information protection and ensure the security of Consumer Information;

(b) Develop policies, processes, regulations, and forms to comply with legal regulations on personal data protection;

(c) Apply necessary technical measures to protect information and ensure the security of Consumer Information in accordance with the provisions of law.

7. Contact information:

In case the Consumer: (i) has any questions or concerns about the collection, storage, use, correction, update, destruction of the Consumer Information related to the Consumer; or (ii) have a request to exercise the rights of the Consumer, please contact the following information:

– AEON Vietnam Co., Ltd.
– Head office address: No. 30 Tan Thang Street, Tan Son Nhi Ward, Ho Chi Minh City.
– Phone: 1800-888-886
– Email Box: contact@aeon.com.vn

8. When the Rule apply:

This Rule is effective as of May 10, 2026.