Chính sách bảo mật
Cập nhập ngày 18 tháng 09 năm 2025
Chính sách quyền riêng tư này quy định cách VAQ Digital (“chúng tôi”, “VAQ”) thu thập, sử dụng, tiết lộ, lưu trữ và bảo vệ dữ liệu cá nhân khi bạn truy cập và/hoặc sử dụng website https://vaqdigital.com cùng các tính năng, biểu mẫu và dịch vụ liên quan (“Dịch vụ”).
Chính sách áp dụng cho mọi người dùng, bao gồm cư dân EU/EEA/UK (GDPR), cư dân California (CCPA/CPRA) và các khu vực có quy định tương tự (CalOPPA, COPPA khi có liên quan). Khi tiếp tục sử dụng Dịch vụ, bạn xác nhận đã đọc, hiểu và đồng ý với các điều khoản tại đây. Trong phạm vi chính sách này, “Dữ liệu cá nhân” là mọi thông tin về một cá nhân đã được xác định hoặc có thể được xác định; “xử lý dữ liệu” là bất kỳ thao tác nào (thu thập, ghi, tổ chức, lưu trữ, sử dụng, truyền đạt, xóa…).
VAQ Digital là bên kiểm soát dữ liệu (Controller) đối với dữ liệu do chúng tôi quyết định mục đích và phương thức xử lý; các nhà cung cấp dịch vụ được chỉ định có thể đóng vai bên xử lý dữ liệu (Processor) theo hợp đồng bảo mật và chỉ xử lý theo chỉ dẫn của chúng tôi.
Chính sách này không tạo ra bất kỳ quyền hoặc nghĩa vụ nào vượt quá luật bắt buộc; nếu có mâu thuẫn giữa bản dịch và bản tiếng Anh (nếu được công bố), phiên bản rõ nghĩa hơn sẽ được ưu tiên. Mọi câu hỏi liên hệ [email protected] hoặc 0398689223.
1. Dữ liệu chúng tôi thu thập & nguồn dữ liệu
Chúng tôi thu thập các nhóm dữ liệu sau:
– Thông tin nhận dạng: họ tên, email, số điện thoại, tổ chức/chức danh, địa chỉ (nếu bạn cung cấp);
– Thông tin giao dịch: nội dung yêu cầu, gói dịch vụ quan tâm, lịch sử tương tác; nếu có thanh toán, dữ liệu được xử lý qua cổng bên thứ ba (ví dụ PayPal) và chúng tôi chỉ nhận các định danh tối thiểu (mã giao dịch, 4 số cuối thẻ nếu có), không lưu thông tin thẻ đầy đủ;
– Nội dung do bạn gửi qua biểu mẫu liên hệ, ticket hỗ trợ, bình luận;
– Dữ liệu kỹ thuật/Usage: địa chỉ IP, user-agent, loại/phiên bản trình duyệt, hệ điều hành, ngôn ngữ, thiết bị, nguồn giới thiệu/UTM, trang xem, thời lượng, sự kiện nhấp;
– Cookie, pixel và công nghệ tương tự (bao gồm bộ nhớ cục bộ) phục vụ phân tích và cá nhân hóa;
– Vị trí xấp xỉ suy từ IP;
– Suy luận từ các tín hiệu trên để cải thiện trải nghiệm.
Nguồn dữ liệu gồm: bạn cung cấp trực tiếp (đăng ký nhận tin, tải biểu mẫu, yêu cầu báo giá, đăng nhập xã hội); hệ thống thu thập tự động (cookie/pixel/SDK như Google Analytics, Google Ads/remarketing, Mouseflow, Invisible reCAPTCHA, Google Places); và bên thứ ba (nhà cung cấp thanh toán như PayPal, nền tảng email marketing như Mailchimp hoặc tương đương, dịch vụ gửi email giao dịch như Amazon SES, hệ thống hỗ trợ như Freshdesk).
Trừ khi pháp luật yêu cầu, chúng tôi không chủ ý thu thập dữ liệu nhạy cảm; nếu bạn vô tình gửi, chúng tôi chỉ xử lý tối thiểu để phản hồi rồi ẩn/xóa khi phù hợp. Bạn có thể từ chối cookie không thiết yếu qua banner hoặc cài đặt trình duyệt (chi tiết tại Mục Cookie). Việc cung cấp dữ liệu là tự nguyện, nhưng một số mục là bắt buộc để cung cấp Dịch vụ.
2. Mục đích sử dụng & cơ sở pháp lý xử lý dữ liệu
Chúng tôi sử dụng dữ liệu để:
– Cung cấp dịch vụ, xử lý yêu cầu/báo giá, hỗ trợ kỹ thuật, phòng chống gian lận và lạm dụng (bao gồm Invisible reCAPTCHA);
– Quản trị tài khoản, giao tiếp vận hành, thông báo thay đổi điều khoản/tính năng;
– Đo lường, phân tích, thử nghiệm A/B, ghi phiên/heatmap (ví dụ Mouseflow) để tối ưu sản phẩm;
– Tiếp thị hợp pháp: bản tin, nội dung được cá nhân hóa, chiến dịch remarketing/retargeting (Google Ads, mạng xã hội);
– Xử lý thanh toán qua nhà cung cấp thứ ba (ví dụ PayPal), kế toán/đối soát;
– Tuân thủ nghĩa vụ pháp lý, giải quyết khiếu nại, bảo vệ quyền và tài sản.
Cơ sở pháp lý (GDPR): thực hiện hợp đồng (khi bạn sử dụng/đặt dịch vụ); lợi ích hợp pháp (vận hành, bảo mật, phân tích, tiếp thị B2B nhẹ – chúng tôi cân bằng với quyền lợi của bạn); tuân thủ pháp luật; đồng ý (cookie/remarketing, bản tin – bạn có thể rút lại bất cứ lúc nào); và trong trường hợp hi hữu, bảo vệ lợi ích sống còn. CCPA/CPRA: các “mục đích kinh doanh” gồm bảo mật, chống gian lận, gỡ lỗi/sửa lỗi, đo lường, cải tiến nội bộ, quảng cáo theo ngữ cảnh/ngắn hạn, kiểm toán tuân thủ.
Đối với “quảng cáo hành vi liên nền tảng/“chia sẻ” dữ liệu”, bạn có quyền từ chối (bao gồm tín hiệu GPC); với email marketing, luôn có liên kết hủy đăng ký. Bạn có thể điều chỉnh tùy chọn cookie trong banner/cài đặt quyền riêng tư bất cứ lúc nào.
3. Cookie, SDK & công nghệ theo dõi
Chúng tôi sử dụng cookie, thẻ pixel, local storage, beacon và SDK của bên thứ ba để vận hành, bảo mật và cải thiện trải nghiệm.
Các nhóm chính:
– Bắt buộc (ví dụ: cân bằng tải, đăng nhập, chống gian lận);
– Chức năng (ghi nhớ tùy chọn ngôn ngữ, biểu mẫu);
– Phân tích (đo lường lưu lượng/hiệu suất, thử nghiệm A/B);
– Tiếp thị/remarketing (cá nhân hóa, giới hạn tần suất, đo chuyển đổi).
Cookie có thể là phiên (xóa khi đóng trình duyệt) hoặc lưu lâu (tồn tại cho đến khi hết hạn hoặc bạn xóa). Thời hạn lưu phụ thuộc từng nhà cung cấp; thông thường cookie phân tích/tiếp thị có thể kéo dài từ 24 giờ đến 26 tháng, tiếp thị lại có thể làm mới khi bạn tương tác.
Công cụ bên thứ ba (nếu được triển khai):
Google Analytics (GA4) để thống kê ẩn danh ở mức tổng hợp; GA4 hỗ trợ che/masking IP theo mặc định.
Google Ads & các mạng đối tác dùng thẻ chuyển đổi và cookie quảng cáo để đo hiệu quả và phục vụ quảng cáo theo ngữ cảnh/quan tâm; bạn có thể tắt cá nhân hóa quảng cáo trong cài đặt cookie hoặc tài khoản Google của mình.
Mouseflow (ghi phiên/heatmap) giúp phát hiện lỗi giao diện, loại trừ trường nhạy cảm theo cấu hình.
Email marketing có thể dùng pixel theo dõi mở thư để đo tỷ lệ mở/nhấp.
Trang/biểu mẫu được bảo vệ bởi Invisible reCAPTCHA nhằm ngăn spam; Chính sách quyền riêng tư và Điều khoản dịch vụ của Google được áp dụng. Một số plugin có thể tải SDK của nền tảng (ví dụ, nút chia sẻ mạng xã hội) và các bên này có thể đặt cookie riêng.
Sự lựa chọn của bạn: Khi lần đầu truy cập, banner cookie cho phép đồng ý/ từ chối theo nhóm; bạn có thể thay đổi bất cứ lúc nào trong Trung tâm Tùy chọn Cookie trên website. Trình duyệt cũng cho phép chặn/xóa cookie.
Chúng tôi tôn trọng tín hiệu Global Privacy Control (GPC) như yêu cầu bởi CPRA để xử lý lựa chọn từ chối “chia sẻ” dữ liệu cho quảng cáo hành vi; hiện chúng tôi không phản hồi tín hiệu Do Not Track (DNT) do thiếu chuẩn chung.
Bạn có thể chọn không bị phân tích/tiếp thị bằng cách: điều chỉnh tùy chọn cookie; cài tiện ích chặn theo dõi; sử dụng tiện ích Google Analytics Opt-out; hoặc nhấp liên kết hủy đăng ký trong email. Lưu ý, từ chối cookie bắt buộc có thể khiến một số chức năng không hoạt động.
4. Loại dữ liệu thu thập & nguồn dữ liệu
Chúng tôi thu thập những nhóm dữ liệu sau, tùy theo cách bạn tương tác với VAQ Digital:
– Định danh & liên hệ như họ tên, email, số điện thoại, tên công ty, chức danh, địa chỉ thanh toán/hoá đơn;
– Dữ liệu giao dịch khi bạn mua dịch vụ (mã đơn, giá, thời điểm, trạng thái), lưu ý thông tin thẻ được xử lý bởi cổng thanh toán và không lưu trên máy chủ của chúng tôi;
– Dữ liệu sử dụng gồm trang đã xem, thời lượng, đường dẫn giới thiệu, sự kiện nhấp/biểu mẫu, tình trạng lỗi;
– Thông tin thiết bị & kỹ thuật như IP, loại/phiên bản trình duyệt, hệ điều hành, vùng giờ, cài đặt ngôn ngữ, loại mạng;
– Cookie/định danh quảng cáo và mã chiến dịch để đo lường/tiếp thị;
– Nội dung bạn cung cấp qua biểu mẫu liên hệ, bình luận, tệp đính kèm, phản hồi hỗ trợ;
– Tuỳ chọn tiếp thị (đăng ký/hủy đăng ký email), cùng dữ liệu suy luận do chúng tôi tạo ra từ tín hiệu sử dụng nhằm cải thiện sản phẩm. Chúng tôi không chủ đích thu thập dữ liệu nhạy cảm (sức khỏe, tôn giáo, khuynh hướng…) và không hướng tới trẻ em dưới 13 tuổi.
Nguồn dữ liệu gồm: trực tiếp từ bạn (đăng ký, hợp đồng, hỗ trợ), tự động qua cookie/SDK khi bạn duyệt web, và bên thứ ba như nhà phân tích (ví dụ Google Analytics), quảng cáo (Google Ads), email marketing (ví dụ Mailchimp/đối tác tương đương), thanh toán (ví dụ PayPal/Stripe), nền tảng chống spam (reCAPTCHA), lưu trữ/đám mây và công cụ hỗ trợ khách hàng; mỗi bên chỉ nhận dữ liệu cần thiết để thực hiện chức năng của họ theo hợp đồng phù hợp.
5. Cơ sở pháp lý & mục đích xử lý
Theo GDPR, chúng tôi xử lý dữ liệu của bạn dựa trên:
– Thực hiện hợp đồng hoặc bước tiền hợp đồng (mở tài khoản, cung cấp dịch vụ, hỗ trợ kỹ thuật, thanh toán, hoá đơn);
– Lợi ích hợp pháp (vận hành an ninh hệ thống, chống gian lận, cải thiện sản phẩm, đo lường hiệu quả tiếp thị; chúng tôi cân đối với quyền và tự do của bạn);
– Đồng ý (nhận bản tin, cookie phân tích/tiếp thị, remarketing);
– Tuân thủ nghĩa vụ pháp lý (kế toán, thuế, yêu cầu từ cơ quan nhà nước). Bạn có thể rút lại đồng ý bất cứ lúc nào mà không ảnh hưởng tính hợp pháp của xử lý trước khi rút.
Theo CCPA/CPRA, chúng tôi xử lý vì các “mục đích kinh doanh”: cung cấp/duy trì dịch vụ, bảo mật và chống gian lận, gỡ lỗi, đo lường & phân tích, nghiên cứu nội bộ, kiểm toán tuân thủ, và tiếp thị/remarketing. Chúng tôi không bán dữ liệu cá nhân theo nghĩa “sale”. Trong một số chiến dịch, chúng tôi có thể “chia sẻ” dữ liệu cho quảng cáo theo ngữ cảnh chéo (cross-context behavioral advertising) qua cookie/ID quảng cáo; bạn có quyền từ chối chia sẻ.
Mục đích sử dụng bao gồm: vận hành tài khoản & hợp đồng, xử lý thanh toán (qua cổng thứ ba), chăm sóc khách hàng, thông báo dịch vụ, gửi bản tin/ưu đãi khi bạn đăng ký, đo lường lưu lượng & hiệu suất (analytics), phân đoạn/remarketing trong phạm vi pháp luật, đảm bảo an toàn, lưu trữ sao lưu và tuân thủ quy định.
6. Cookie, công cụ phân tích & quảng cáo
Chúng tôi dùng cookie và công nghệ tương tự (pixel, local storage, SDK) để vận hành trang, ghi nhớ tùy chọn, đo lường hiệu suất và cá nhân hóa tiếp thị. Cookie được phân nhóm:
– Thiết yếu – bắt buộc để trang hoạt động (đăng nhập, chống gian lận, cân bằng tải);
– Chức năng – ghi nhớ ngôn ngữ, biểu mẫu;
– Phân tích – giúp hiểu cách bạn sử dụng website;
– Tiếp thị/Remarketing – đo chuyển đổi, hiển thị quảng cáo phù hợp.
Một số cookie thiết yếu không thể tắt vì ảnh hưởng trực tiếp đến dịch vụ.
Chúng tôi có thể sử dụng Google Analytics 4 để thu thập số liệu tổng hợp; nơi khả dụng, chúng tôi áp dụng ẩn danh IP/masking và kiểm soát thời hạn lưu trữ sự kiện theo khuyến nghị (ví dụ tối đa đến ~24–26 tháng).
Với quảng cáo, chúng tôi có thể triển khai Google Ads/Meta Pixel cho đo lường chuyển đổi và remarketing theo hành vi. Điều này có thể được coi là “chia sẻ” dữ liệu cho quảng cáo theo ngữ cảnh chéo theo CPRA; bạn có thể từ chối chia sẻ qua trình quản lý cookie hoặc liên kết “Không bán/không chia sẻ dữ liệu của tôi”.
Biểu mẫu và chức năng chống spam có thể dùng Invisible reCAPTCHA; việc sử dụng chịu sự điều chỉnh của chính sách quyền riêng tư và điều khoản của nhà cung cấp.
Bạn có thể quản lý tùy chọn cookie qua banner đồng ý của chúng tôi, cài đặt trình duyệt (chặn/xóa cookie) hoặc đặt lại ID quảng cáo trên thiết bị di động. Chúng tôi tôn trọng tín hiệu Global Privacy Control (GPC) ở các khu vực yêu cầu. Việc rút lại đồng ý không ảnh hưởng tính hợp pháp của xử lý trước đó, nhưng có thể làm giảm một số chức năng.
7. Email marketing & thông điệp giao dịch
Chúng tôi có thể gửi hai nhóm email:
– Email marketing (bản tin, ưu đãi, nội dung hữu ích) chỉ khi bạn chủ động đồng ý (opt-in), và
– Email giao dịch/dịch vụ (xác nhận yêu cầu, khôi phục mật khẩu, thông báo bảo mật, hóa đơn) dựa trên thực hiện hợp đồng hoặc lợi ích hợp pháp.
Với email marketing, bạn luôn có quyền rút lại sự đồng ý bất cứ lúc nào qua liên kết “Hủy đăng ký/Unsubscribe” trong chân email hoặc qua trang quản lý tùy chọn; việc rút lại không ảnh hưởng tính hợp pháp của xử lý trước đó.
Khi gửi email, chúng tôi có thể dùng nhà cung cấp dịch vụ email (ví dụ: Amazon SES, Mailchimp/ tương tự) để phân phối, đo lường và cải thiện chiến dịch. Tùy nhà cung cấp, các dữ liệu sau có thể được xử lý: địa chỉ email, tên, thời điểm gửi/nhận, trạng thái phân phối (delivered, bounce, spam-report), và số liệu tương tác (mở, nhấp). Các số liệu này giúp hạn chế spam, nâng chất lượng nội dung và đảm bảo khả năng gửi. Chúng tôi không bán danh sách email; trong phạm vi áp dụng CPRA, các hoạt động đo lường/nhắm đích có thể được coi là “chia sẻ” cho mục đích quảng cáo – bạn có thể từ chối chia sẻ qua liên kết chuyên biệt trên website.
Trong trường hợp bạn hủy đăng ký, địa chỉ của bạn có thể được lưu ở danh sách chặn/suppression list để đảm bảo không tiếp tục nhận email marketing. Với yêu cầu về quyền truy cập, chỉnh sửa, xóa hoặc phản đối xử lý theo GDPR, vui lòng liên hệ chúng tôi (xem Phần Liên hệ). Nếu bạn tin rằng email được gửi nhầm, hãy dùng liên kết hủy đăng ký hoặc phản hồi lại để chúng tôi xử lý ngay.
8. Thanh toán & xử lý giao dịch
Chúng tôi có thể xử lý thanh toán cho sản phẩm/dịch vụ thông qua các cổng thanh toán và đơn vị xử lý như Stripe, PayPal, VNPay, ZaloPay… (tùy thời điểm).
Khi bạn thanh toán, đối tác thanh toán sẽ thu thập và xử lý trực tiếp thông tin thẻ/ví; VAQ Digital không lưu trữ toàn bộ dữ liệu thẻ (số thẻ đầy đủ, CVV). Chúng tôi chỉ nhận các mã token, 4 số cuối, loại thẻ, kết quả ủy quyền, mã giao dịch, giá trị đơn hàng, gói dịch vụ, thời điểm, tên, email, địa chỉ thanh toán/hóa đơn, mã số thuế (nếu có) để phát hành chứng từ, đối soát, phòng chống gian lận và hỗ trợ sau bán.
Cơ sở pháp lý: thực hiện hợp đồng; lợi ích hợp pháp (bảo mật, chống gian lận, thu hồi công nợ); và tuân thủ nghĩa vụ pháp lý về kế toán/thuế. Dữ liệu thanh toán có thể được chia sẻ cho ngân hàng phát hành, tổ chức thẻ, cổng thanh toán, đối tác chống gian lận, kiểm toán; hoặc tiết lộ khi có yêu cầu hợp lệ từ cơ quan nhà nước/tòa án.
Chúng tôi áp dụng các biện pháp tổ chức – kỹ thuật phù hợp; các cổng thanh toán phải tuân thủ PCI-DSS và cơ chế mã hóa/tokenization. Thời hạn lưu trữ: theo vòng đời giao dịch, yêu cầu bảo hành/hỗ trợ và thời hạn lưu chứng từ theo luật hiện hành. Chúng tôi không “bán” dữ liệu thanh toán; theo CPRA, một số hoạt động đối sánh có thể được coi là “chia sẻ”, bạn có quyền từ chối chia sẻ.
Với hoàn tiền/chargeback, chúng tôi có thể cung cấp thông tin giao dịch cần thiết để xử lý tranh chấp. Nếu bạn yêu cầu xóa hoặc hạn chế xử lý dữ liệu thanh toán (GDPR), hãy liên hệ; một số bản ghi vẫn phải giữ để đáp ứng nghĩa vụ pháp lý.
9. Phân tích, cookie & công nghệ theo dõi (Google Analytics, v.v.)
Chúng tôi sử dụng cookie, web beacon, pixel, local storage và SDK trình duyệt/thiết bị để vận hành website, ghi nhớ tùy chọn, phân tích hiệu năng và phục vụ/đo lường quảng cáo. Với phân tích, chúng tôi dùng Google Analytics 4 (GA4) để thu thập sự kiện truy cập, URL đã xem, nguồn giới thiệu, loại thiết bị/trình duyệt, vị trí địa lý gần đúng, thời lượng phiên và định danh cookie.
GA có thể tiếp nhận địa chỉ IP cho mục đích định tuyến; chúng tôi bật ẩn danh IP và không kết hợp dữ liệu GA với thông tin nhận dạng cá nhân trừ khi bạn chủ động cung cấp. Đối với remarketing/đo lường, GA có thể được liên kết với Google Ads và thẻ quảng cáo nhằm tạo tệp đối tượng, giới hạn tần suất, đo chuyển đổi; bạn có thể tắt quảng cáo cá nhân hóa qua banner đồng ý cookie, cài đặt Google Ads và/hoặc trình duyệt.
Cơ sở pháp lý (GDPR): cookie cần thiết dựa trên lợi ích hợp pháp; cookie/SDK không thiết yếu (phân tích, quảng cáo) dựa trên sự đồng ý.
CCPA/CPRA: cookie quảng cáo/đo lường có thể cấu thành “bán/chia sẻ”; chúng tôi cung cấp cơ chế Do Not Sell or Share và tôn trọng tín hiệu GPC khi khả dụng.
Lưu trữ: cookie có vòng đời khác nhau; dữ liệu GA được giữ theo cấu hình (ví dụ 14 tháng) trừ khi bạn xóa/thu hồi. Bạn có thể quản lý cookie qua banner, trình duyệt hoặc tiện ích chặn; việc vô hiệu hóa cookie có thể làm suy giảm một số chức năng.
10. Email marketing & thông báo (opt-in/opt-out)
Chúng tôi gửi hai nhóm email:
– Email giao dịch (transactional) như xác nhận biểu mẫu/đơn hàng, hóa đơn, thông báo bảo mật, cảnh báo hệ thống; và
– Email marketing như bản tin, ưu đãi, nội dung giáo dục.
Địa chỉ email được thu thập khi bạn điền biểu mẫu, tạo tài khoản, yêu cầu báo giá, tải tài liệu, tham gia sự kiện hoặc chủ động đăng ký nhận tin. Cơ sở pháp lý theo GDPR: thực hiện hợp đồng/lợi ích hợp pháp cho email giao dịch; đồng ý (consent) cho email marketing. Bạn có thể rút lại đồng ý bất cứ lúc nào mà không ảnh hưởng tính hợp pháp xử lý trước thời điểm rút.
Với CCPA/CPRA, bạn có quyền opt-out việc “bán/chia sẻ” dữ liệu cho mục đích quảng cáo hành vi chéo ngữ cảnh; chúng tôi cung cấp liên kết “Do Not Sell or Share” và tôn trọng tín hiệu GPC khi khả dụng.
Email marketing luôn có đường dẫn hủy đăng ký ở chân thư; bạn cũng có thể quản lý tần suất/chủ đề nếu có trung tâm tùy chọn. Chúng tôi có thể dùng nhà cung cấp gửi email/ESP (ví dụ: Amazon SES, Mailchimp/SendGrid, v.v.) để phân phối và đo lường tỷ lệ mở/nhấp qua pixel theo dõi; bạn có thể hạn chế bằng cách chặn tải ảnh/HTML trong trình đọc thư.
Lưu trữ: chúng tôi giữ bằng chứng đồng ý, trạng thái đăng ký/hủy và danh sách loại trừ (suppression) để tuân thủ pháp luật; dữ liệu marketing được xóa/ẩn danh khi không còn cần thiết. Email giao dịch là thiết yếu cho dịch vụ nên không thể hủy nếu vẫn cần nhận thông tin vận hành/bảo mật cốt lõi.
11. Quảng cáo, remarketing & đối tác đo lường (Google Ads, Meta, v.v.)
Chúng tôi sử dụng mạng quảng cáo và công cụ remarketing để hiển thị nội dung phù hợp và đánh giá hiệu quả chiến dịch. Khi bạn đồng ý với cookie tiếp thị/quảng cáo, các đối tác có thể thu thập hoặc nhận các dữ liệu như: mã định danh cookie/thiết bị (IDFA/GAID), địa chỉ IP rút gọn, user-agent, trang đã xem/sự kiện (ví dụ: gửi form, mua hàng), tham chiếu nguồn truy cập, vị trí gần đúng, và (nếu bạn đồng ý) email băm để khớp đối tượng.
Công nghệ dùng gồm thẻ/pixel (ví dụ: Google Ads, Meta Pixel), Trình quản lý thẻ, hoặc truyền sự kiện máy-chủ-đến-máy-chủ cho mục đích đo lường, giới hạn tần suất, phân bổ chuyển đổi, tạo/loại trừ tệp đối tượng tương tự.
Ở EEA/UK, cơ sở pháp lý là đồng ý cho cookie không thiết yếu; ở nơi khác có thể dựa trên lợi ích hợp pháp (khi luật cho phép) với cân bằng quyền lợi người dùng. Theo CCPA/CPRA, remarketing có thể được coi là “bán/chia sẻ” cho quảng cáo hành vi chéo ngữ cảnh; bạn có thể opt-out qua liên kết “Do Not Sell or Share” và chúng tôi tôn trọng Global Privacy Control (GPC) khi khả dụng.
Bạn có thể thay đổi lựa chọn bất kỳ lúc nào trong Trung tâm tùy chọn cookie của trang; ngoài ra có thể điều chỉnh tùy chọn quảng cáo tại phần cài đặt của từng nền tảng hoặc đặt lại mã ID quảng cáo trong thiết bị di động. Chúng tôi không cố ý xử lý danh mục dữ liệu nhạy cảm cho mục đích quảng cáo.
Thời gian lưu giữ: dữ liệu quảng cáo được giữ ở mức cần thiết để báo cáo/đối soát (thường 13–26 tháng tùy nhà cung cấp), sau đó xóa hoặc ẩn danh. Đối tác quảng cáo có thể là bên kiểm soát độc lập hoặc bên xử lý theo điều khoản của họ; chúng tôi chỉ chia sẻ dữ liệu tối thiểu cần thiết, tuân thủ giới hạn mục đích và yêu cầu bảo mật tương ứng.
12. Thanh toán & xử lý giao dịch (PayPal, thẻ, chuyển khoản, v.v.)
Khi bạn thanh toán cho sản phẩm/dịch vụ, chúng tôi xử lý một số dữ liệu cá nhân để hoàn tất giao dịch, phòng chống gian lận và tuân thủ nghĩa vụ kế toán – thuế. Tùy phương thức, dữ liệu có thể gồm: họ tên, email, địa chỉ thanh toán/hoá đơn, mã bưu chính, số điện thoại, chi tiết đơn hàng, số tham chiếu giao dịch, thông tin thiết bị/IP, cùng trạng thái ủy quyền/hoàn tiền/chargeback.
Nếu dùng cổng thanh toán (ví dụ: thẻ qua nhà cung cấp, PayPal), chúng tôi không lưu trữ số thẻ đầy đủ, CVV; dữ liệu thẻ được xử lý trực tiếp bởi bên cung cấp đạt chuẩn PCI DSS.
Mục đích xử lý: thực hiện hợp đồng (xử lý và giao hàng/dịch vụ), xác minh/giảm rủi ro gian lận, hỗ trợ dịch vụ khách hàng, đối soát kế toán, thực hiện hoàn tiền và giải quyết tranh chấp.
Cơ sở pháp lý (EEA/UK): thực hiện hợp đồng, nghĩa vụ pháp lý (hóa đơn, thuế), và lợi ích hợp pháp (chống gian lận, bảo vệ doanh nghiệp và người dùng).
Theo CCPA/CPRA, xử lý thanh toán không phải là “bán/chia sẻ” cho mục đích quảng cáo; chúng tôi chỉ chia sẻ dữ liệu tối thiểu với bộ xử lý thanh toán/đối tác chống gian lận như bên xử lý hoặc đồng kiểm soát theo điều khoản của họ.
Lưu giữ: thông tin giao dịch được giữ trong thời hạn cần thiết theo luật thuế/kế toán (thường 3–10 năm, tùy thẩm quyền), sau đó sẽ được ẩn danh hoặc xóa an toàn. Dữ liệu có thể được truyền xuyên biên giới; khi áp dụng, chúng tôi sử dụng biện pháp bảo vệ phù hợp (ví dụ: SCCs). Không cung cấp dữ liệu thanh toán qua email/tin nhắn; hãy liên hệ chúng tôi qua kênh chính thức nếu nghi ngờ gian lận.
13. Bảo mật & an toàn thông tin
Chúng tôi áp dụng đồng thời biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân ở mọi giai đoạn xử lý. Dữ liệu được truyền qua TLS và (khi áp dụng) được mã hóa khi lưu trữ (ví dụ AES-256); quyền truy cập nội bộ theo nguyên tắc tối thiểu cần thiết (RBAC), bắt buộc MFA cho tài khoản quản trị, ghi nhật ký và giám sát truy cập, tường lửa ứng dụng web/WAF, chống DDoS, quét lỗ hổng và vá lỗi định kỳ.
Hệ thống có cơ chế sao lưu mã hóa và kế hoạch khôi phục sau thảm họa để giảm thiểu gián đoạn dịch vụ. Ở cấp tổ chức, nhân sự liên quan ký NDA, được đào tạo nhận thức an toàn thông tin, và mọi yêu cầu truy cập đều được kiểm soát/đánh giá.
Đối với nhà cung cấp/đơn vị xử lý, chúng tôi thẩm định bảo mật, ký thỏa thuận xử lý dữ liệu (DPA) và áp dụng cơ chế chuyển giao hợp pháp (ví dụ SCCs khi truyền dữ liệu xuyên biên giới). Chúng tôi duy trì quy trình ứng phó sự cố: phát hiện–khoanh vùng–khắc phục–khôi phục, và sẽ thông báo cho cơ quan quản lý/người dùng khi luật yêu cầu (ví dụ: trong 72 giờ theo GDPR, nếu áp dụng).
Dù nỗ lực tối đa, không phương thức nào an toàn tuyệt đối; bạn cũng có trách nhiệm bảo vệ thông tin đăng nhập, dùng mật khẩu mạnh/2FA, cập nhật thiết bị và cảnh giác lừa đảo. Nếu nghi ngờ rò rỉ hoặc phát hiện lỗ hổng, vui lòng liên hệ [email protected] để phối hợp xử lý theo chính sách tiết lộ có trách nhiệm.
14. Lưu trữ & thời hạn lưu giữ dữ liệu
Chúng tôi áp dụng nguyên tắc tối thiểu hoá và giới hạn lưu trữ: chỉ thu thập những dữ liệu cần thiết cho mục đích cụ thể và lưu giữ không lâu hơn mức cần.
Thời hạn được xác định dựa trên
– Yêu cầu pháp lý/kế toán,
– Nhu cầu thực hiện hợp đồng và hỗ trợ khách hàng,
– Lợi ích hợp pháp về bảo mật, phòng chống gian lận,
– Sự đồng ý của bạn (đối với tiếp thị).
Thời lượng tham chiếu: tài khoản: trong suốt vòng đời tài khoản + tối đa 24 tháng sau khi hủy để xử lý tranh chấp/hỗ trợ; bản ghi truy cập & nhật ký bảo mật: 12–24 tháng; thông tin tiếp thị: cho đến khi bạn rút lại đồng ý hoặc phản đối; hồ sơ thanh toán/hóa đơn: theo luật lưu trữ chứng từ, tối đa 10 năm; yêu cầu hỗ trợ: tối đa 24 tháng. Khi hết mục đích, chúng tôi sẽ xoá, ẩn danh hoá hoặc tổng hợp dữ liệu.
Lưu ý: bản sao trong sao lưu có thể tồn tại thêm 30–90 ngày cho mục tiêu khôi phục thảm họa và sẽ bị ghi đè theo chu kỳ; nếu pháp luật yêu cầu, chúng tôi có thể giữ lâu hơn.
Khi bạn gửi yêu cầu xoá, chúng tôi sẽ thực hiện trong thời hạn hợp lý và thông báo (khi áp dụng) cho bên xử lý thứ ba để họ phản ánh thay đổi. Bạn có thể gửi yêu cầu liên quan đến lưu giữ/xoá dữ liệu tới [email protected]; chúng tôi có thể cần xác minh danh tính trước khi xử lý.
15. Quyền và lựa chọn của bạn (GDPR/CCPA/CPRA)
Tuỳ nơi cư trú, bạn có thể thực hiện các quyền sau đối với dữ liệu cá nhân:
– Quyền truy cập: yêu cầu xác nhận chúng tôi có xử lý dữ liệu của bạn và nhận bản sao;
– Chỉnh sửa dữ liệu không chính xác hoặc thiếu;
– Xoá dữ liệu (“quyền được quên”) khi không còn cần thiết, bạn rút lại đồng ý hoặc phản đối và không có căn cứ hợp pháp để tiếp tục;
– Hạn chế xử lý trong một số trường hợp;
– Di chuyển dữ liệu: nhận dữ liệu ở định dạng có cấu trúc, thường dùng, có thể đọc bằng máy và/hoặc yêu cầu chuyển trực tiếp cho bên khác khi khả thi;
– Phản đối xử lý dựa trên lợi ích hợp pháp, trong đó có tiếp thị trực tiếp – bạn có thể hủy đăng ký qua liên kết “unsubscribe” trong email hoặc liên hệ chúng tôi;
– Rút lại đồng ý bất cứ lúc nào (không ảnh hưởng tính hợp pháp trước khi rút);
– Khiếu nại tới cơ quan bảo vệ dữ liệu sở tại.
Theo CCPA/CPRA, cư dân California còn có quyền biết các hạng mục/nguồn/mục đích/chia sẻ; xoá; sửa; không bị phân biệt đối xử khi thực hiện quyền; từ chối “bán”/“chia sẻ” dữ liệu cho mục đích quảng cáo theo ngữ cảnh chéo (“Do Not Sell or Share My Personal Information”); và giới hạn việc dùng/thể hiện thông tin nhạy cảm.
Chúng tôi xác minh danh tính trước khi xử lý (ví dụ: xác minh email/điện thoại hoặc yêu cầu thông tin bổ sung); bạn có thể chỉ định đại diện uỷ quyền kèm bằng chứng uỷ quyền hợp lệ. Thời hạn phản hồi: 30 ngày theo GDPR (có thể gia hạn thêm tối đa 2 tháng cho yêu cầu phức tạp) và 45 ngày theo CCPA/CPRA (có thể gia hạn thêm 45 ngày; chúng tôi sẽ thông báo lý do). Nếu chúng tôi là đơn vị xử lý thay mặt khách hàng doanh nghiệp, chúng tôi sẽ chuyển tiếp yêu cầu tới bên kiểm soát dữ liệu tương ứng.
Để gửi yêu cầu, liên hệ [email protected]; nếu liên quan đến cookie/remarketing, bạn có thể điều chỉnh tại banner/Trung tâm thiết lập cookie trên website.