Chính sách bảo mật
Bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam
Dự án học thuật
Đây là sản phẩm đồ án tốt nghiệp (Graduation Thesis Project) được thực hiện với mục đích học tập và nghiên cứu. Dữ liệu cá nhân được xử lý tuân thủ các quy định về bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam.
Theo Điều 3 Nghị định 13/2023/NĐ-CP, chúng tôi cung cấp thông tin đầy đủ về đơn vị kiểm soát dữ liệu cá nhân:
Tên tổ chức
Công ty TNHH Cùng Con tự học
Mã số thuế
[Mã số thuế đang cập nhật]
Địa chỉ
[Số nhà, đường - Đang cập nhật]
[Phường/Xã - Đang cập nhật], [Quận/Huyện - Đang cập nhật]
[Tỉnh/Thành phố], Việt Nam
Thông tin liên hệ:
Cán bộ phụ trách bảo vệ dữ liệu (DPO):
Email: dpo@cungcontuhoc.vn
Theo Điều 24 Nghị định 13/2023/NĐ-CP
2. Dữ liệu cá nhân chúng tôi thu thập
Theo quy định tại Điều 3 và Điều 4 Nghị định 13/2023/NĐ-CP, chúng tôi thu thập các loại dữ liệu sau:
| Loại dữ liệu | Dữ liệu cụ thể | Nguồn thu thập |
|---|---|---|
| Dữ liệu nhận diện | Họ tên, ngày sinh, ảnh đại diện, số CMND/CCCD (nếu cần xác thực) | Bạn cung cấp |
| Dữ liệu liên hệ | Email, số điện thoại, địa chỉ liên hệ | Bạn cung cấp |
| Dữ liệu tài chính | Lịch sử thanh toán, mã giao dịch, số tài khoản ngân hàng (che dấu một phần) | Hệ thống thanh toán |
| Dữ liệu kỹ thuật | Địa chỉ IP, loại thiết bị, hệ điều hành, trình duyệt, cookies, định danh thiết bị | Tự động thu thập |
| Dữ liệu sử dụng | Lịch sử học tập, tiến độ khóa học, đánh giá, bài kiểm tra, thời gian truy cập | Tự động thu thập |
| Dữ liệu hồ sơ | Sở thích học tập, lộ trình học, mục tiêu, độ tuổi học sinh | Bạn cung cấp |
Dữ liệu trẻ em | Dữ liệu của người dùng dưới 13 tuổi (hoặc dưới 16 tuổi nếu chưa có khả năng hành vi dân sự) - chỉ thu thập với sự đồng ý của cha mẹ/người giám hộ | Cha mẹ/người giám hộ cung cấp đồng ý |
3. Cơ sở pháp lý xử lý dữ liệu cá nhân
Theo Điều 3 Nghị định 13/2023/NĐ-CP, chúng tôi xử lý dữ liệu cá nhân dựa trên 6 cơ sở pháp lý sau:
| Mục đích xử lý | Cơ sở pháp lý | Dữ liệu liên quan |
|---|---|---|
| Cung cấp dịch vụ học tập | Thực hiện hợp đồng (khoản 1 Điều 3) | Tất cả dữ liệu cần thiết để cung cấp tài khoản, khóa học, theo dõi tiến độ |
| Xử lý thanh toán | Tuân thủ nghĩa vụ pháp lý (khoản 2 Điều 3) | Dữ liệu tài chính theo yêu cầu Luật Thuế GTGT |
| Cải thiện dịch vụ | Quyền và lợi ích hợp pháp (khoản 3 Điều 3) | Dữ liệu sử dụng (đã ẩn danh hóa khi phân tích) |
| Marketing | Sự đồng ý của bạn (khoản 4 Điều 3) | Email, sở thích học tập - bạn có thể rút lại đồng ý bất kỳ lúc nào |
| Ngăn chặn gian lận | Quyền và lợi ích hợp pháp (khoản 3 Điều 3) | Dữ liệu kỹ thuật, địa chỉ IP, hoạt động bất thường |
| Tuân thủ pháp luật | Nghĩa vụ pháp lý (khoản 2 Điều 3) | Dữ liệu theo yêu cầu của cơ quan nhà nước có thẩm quyền |
4. Mục đích sử dụng dữ liệu
- Tạo và quản lý tài khoản người dùng
- Xác thực danh tính người dùng
- Cấp quyền truy cập khóa học đã mua
- Theo dõi và lưu trữ tiến độ học tập
- Cá nhân hóa nội dung học tập
- Đề xuất khóa học phù hợp
- Phân tích hành vi sử dụng (ẩn danh)
- Tối ưu hóa giao diện người dùng
- Thông báo về tài khoản và bảo mật
- Cập nhật về khóa học và nội dung mới
- Hỗ trợ khách hàng và giải đáp thắc mắc
- Marketing (chỉ khi bạn đồng ý)
- Phát hiện và ngăn chặn gian lận
- Bảo mật hệ thống và dữ liệu
- Tuân thủ nghĩa vụ pháp lý
- Giải quyết tranh chấp nếu có
5. Chia sẻ và tiết lộ dữ liệu
Theo Điều 25 Nghị định 13/2023/NĐ-CP, chúng tôi sử dụng các bên xử lý dữ liệu sau. Danh sách đầy đủ xem tại Phụ lục A:
- Thực hiện hợp đồng dịch vụ với các nhà cung cấp cần thiết
- Tuân thủ yêu cầu pháp lý từ cơ quan có thẩm quyền
- Bảo vệ quyền lợi hợp pháp của công ty và người dùng
- Phòng ngừa và điều tra hoạt động bất hợp pháp
Thông báo theo Điều 17 Nghị định 13/2023/NĐ-CP về chuyển giao dữ liệu cá nhân xuyên biên giới:
Quốc gia nhận dữ liệu:
- Singapore - Google Cloud Platform (hosting chính)
- Hoa Kỳ (US) - Cloudinary, Resend, Google Analytics, Sentry
Lý do chuyển giao:
- Sử dụng dịch vụ đám mây quốc tế
- Không có dịch vụ tương đương trong nước cho một số chức năng
- Đảm bảo hiệu suất và độ tin cậy của dịch vụ
Biện pháp bảo vệ:
- Điều khoản hợp đồng chuẩn (SCC) theo chuẩn quốc tế
- Mã hóa dữ liệu trong quá trình truyền tải (TLS 1.3)
- Đánh giá bảo mật định kỳ của bên xử lý dữ liệu
- Ràng buộc pháp lý trong hợp đồng với các bên xử lý
Quyền của bạn:
Bạn có quyền yêu cầu thông tin chi tiết về việc chuyển giao dữ liệu xuyên biên giới. Lưu ý: Việc phản đối chuyển giao có thể ảnh hưởng đến khả năng sử dụng dịch vụ của chúng tôi.
7. Thời gian lưu trữ dữ liệu
Theo Điều 15 Nghị định 13/2023/NĐ-CP, chúng tôi lưu trữ dữ liệu theo các thời hạn sau:
| Loại dữ liệu | Thời gian lưu trữ | Cơ sở pháp lý |
|---|---|---|
| Dữ liệu tài khoản | Thời gian tồn tại tài khoản + 2 năm | Hợp đồng + Nghĩa vụ pháp lý |
| Hồ sơ thanh toán | 10 năm | Luật Thuế GTGT và kế toán |
| Log hệ thống | 3 năm | Luật An ninh mạng 2018 |
| Dữ liệu marketing | Thời gian đồng ý + 2 năm | Nghị định 13/2023/NĐ-CP |
| Tài khoản đã xóa | 30 ngày sau yêu cầu xóa | Quyền của người dùng |
| Dữ liệu trẻ em (nếu có) | Đến khi đủ 18 tuổi hoặc theo yêu cầu | Điều 6 Nghị định 13 |
Tiêu chí xác định:
- Yêu cầu pháp luật hiện hành
- Thời hiệu khởi kiện theo quy định
- Mục đích ban đầu của việc thu thập dữ liệu
- Yêu cầu của người dùng (xóa dữ liệu)
8. Quyền của chủ thể dữ liệu
Theo Điều 12 và Điều 13 Nghị định 13/2023/NĐ-CP, bạn có 8 quyền đối với dữ liệu cá nhân của mình:
Cách thực hiện quyền của bạn:
- Email: privacy@cungcontuhoc.vn
- Xác minh danh tính bắt buộc trước khi thực hiện yêu cầu
- Thời gian xử lý: Tối đa 30 ngày (có thể gia hạn thêm 30 ngày nếu phức tạp)
9. Biện pháp bảo vệ dữ liệu
Theo Điều 22 và Điều 23 Nghị định 13/2023/NĐ-CP, chúng tôi áp dụng các biện pháp sau:
- Mã hóa AES-256 cho dữ liệu lưu trữ (at rest)
- TLS 1.3 cho dữ liệu truyền tải (in transit)
- Xác thực đa yếu tố (MFA/2FA) cho tài khoản quản trị
- Kiểm soát truy cập dựa trên vai trò (RBAC)
- Kiểm tra bảo mật định kỳ (quý/năm)
- Kiểm thử xâm nhập (Penetration Testing) hàng năm
- Đào tạo nhân viên về bảo vệ dữ liệu cá nhân
- Thỏa thuận bảo mật (NDA) với nhân viên và đối tác
- Quy trình ứng phó sự cố bảo mật đã được thiết lập
- Phân quyền tối thiểu (Least Privilege)
- Kiểm toán nội bộ định kỳ hàng quý
- Phân công Cán bộ bảo vệ dữ liệu (DPO)
Theo Điều 20 Nghị định 13/2023/NĐ-CP, chúng tôi cam kết thông báo vi phạm dữ liệu theo quy định:
Quy trình thông báo:
Phát hiện → Thông báo cơ quan quản lý: Không quá 72 giờ kể từ khi phát hiện vi phạm
Thông báo bạn (chủ thể dữ liệu): Không chậm trễ, thông qua email và thông báo trên hệ thống
Thông tin trong thông báo vi phạm:
- Bản chất của sự cố vi phạm
- Loại dữ liệu cá nhân bị ảnh hưởng
- Hậu quả có thể xảy ra từ vi phạm
- Biện pháp khắc phục đã và đang thực hiện
- Thông tin liên hệ để nhận hỗ trợ
Liên hệ khẩn cấp về vi phạm:
Theo Điều 6 Nghị định 13/2023/NĐ-CP, chúng tôi có quy định đặc biệt để bảo vệ dữ liệu của trẻ em:
Độ tuổi áp dụng:
Dưới 13 tuổi (hoặc dưới 16 tuổi nếu chưa có khả năng hành vi dân sự)
Yêu cầu pháp lý:
Bắt buộc có sự đồng ý của cha mẹ/người giám hộ hợp pháp
Quy trình bảo vệ dữ liệu trẻ em:
- Xác minh tuổi trong quá trình đăng ký tài khoản
- Yêu cầu sự đồng ý rõ ràng của cha mẹ/người giám hộ (qua email xác nhận)
- Thông báo cho cha mẹ về hoạt động thu thập và sử dụng dữ liệu
- Hạn chế dữ liệu thu thập ở mức tối thiểu cần thiết cho dịch vụ
- Không sử dụng dữ liệu trẻ em cho mục đích marketing
Quyền của cha mẹ:
- Truy cập dữ liệu cá nhân của con
- Yêu cầu xóa dữ liệu của con
- Rút lại sự đồng ý bất kỳ lúc nào
- Chỉnh sửa thông tin không chính xác
Liên hệ dành cho phụ huynh:
parents@cungcontuhoc.vn12. Cookies và công nghệ tương tự
Website của chúng tôi sử dụng cookies và các công nghệ tương tự. Xem chi tiết tại:
Tóm tắt:
- Sử dụng cookies thiết yếu, phân tích, và chức năng
- Cookie có thể được coi là dữ liệu cá nhân liên quan theo Nghị định 13
- Bạn có quyền kiểm soát cookies qua cài đặt trình duyệt
13. Thay đổi chính sách này
Thời gian xem xét:
Chính sách được xem xét và cập nhật định kỳ 6 tháng/lần
Phương thức thông báo:
- Email cho người dùng đã đăng ký
- Banner thông báo trên website
- Thông báo 7 ngày trước (với thay đổi lớn)
Lịch sử phiên bản:
- 2.029/03/2025: Tuân thủ Nghị định 13/2023/NĐ-CP (PDPD)
- 1.001/01/2026: Phiên bản ban đầu
14. Liên hệ và khiếu nại
Điện thoại: 1900 xxxx (8:00-18:00)
Nội bộ: Escalation đến DPO tại dpo@cungcontuhoc.vn
Thời gian xử lý: 30 ngày kể từ khi nhận khiếu nại hợp lệ
Phụ lục A: Danh sách bên xử lý dữ liệu
Theo Điều 25 Nghị định 13/2023/NĐ-CP, danh sách các bên xử lý dữ liệu thay mặt chúng tôi:
| Bên xử lý | Dịch vụ | Vị trí | Biện pháp bảo vệ |
|---|---|---|---|
| Google Cloud Platform | Hosting, lưu trữ dữ liệu | Singapore | SCC, AES-256 Encryption, SOC 2 Type II |
| Cloudinary | Lưu trữ và xử lý hình ảnh, video | Hoa Kỳ | DPA, SOC 2 Type II, TLS 1.3 |
| Resend | Gửi email giao tiếp | Hoa Kỳ | DPA, Encryption at rest |
| Google Analytics | Phân tích sử dụng website | Hoa Kỳ | IP Anonymization, DPA |
| SePay | Xử lý thanh toán | Việt Nam | PCI DSS, Nội địa |
| Sentry | Giám sát lỗi và hiệu suất | Hoa Kỳ | DPA, Data minimization |
Giải thích các biện pháp bảo vệ:
- SCC (Standard Contractual Clauses): Điều khoản hợp đồng chuẩn quốc tế cho chuyển giao dữ liệu
- DPA (Data Processing Agreement): Thỏa thuận xử lý dữ liệu giữa các bên
- SOC 2 Type II: Chứng chỉ kiểm soát bảo mật và quyền riêng tư
- PCI DSS: Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán
- IP Anonymization: Ẩn danh địa chỉ IP trong phân tích