ChÃnh sách bảo máºt
Bảo vệ dữ liệu cá nhân theo pháp luáºt Việt Nam
Dá»± án há»c thuáºt
Äây là sản phẩm đồ án tốt nghiệp (Graduation Thesis Project) được thá»±c hiện vá»›i mục Ä‘Ãch há»c táºp và nghiên cứu. Dữ liệu cá nhân được xá» lý tuân thủ các quy định vá» bảo vệ dữ liệu cá nhân theo pháp luáºt Việt Nam.
Theo Äiá»u 3 Nghị định 13/2023/NÄ-CP, chúng tôi cung cấp thông tin đầy đủ vá» Ä‘Æ¡n vị kiểm soát dữ liệu cá nhân:
Tên tổ chức
Công ty TNHH Cùng Con tá»± há»c
Mã số thuế
[Mã số thuế Ä‘ang cáºp nháºt]
Äịa chỉ
[Số nhà , Ä‘Æ°á»ng - Äang cáºp nháºt]
[PhÆ°á»ng/Xã - Äang cáºp nháºt], [Quáºn/Huyện - Äang cáºp nháºt]
[Tỉnh/Thà nh phố], Việt Nam
Thông tin liên hệ:
Cán bộ phụ trách bảo vệ dữ liệu (DPO):
Email: dpo@edhub.tech
Theo Äiá»u 24 Nghị định 13/2023/NÄ-CP
2. Dữ liệu cá nhân chúng tôi thu tháºp
Theo quy định tại Äiá»u 3 và Äiá»u 4 Nghị định 13/2023/NÄ-CP, chúng tôi thu tháºp các loại dữ liệu sau:
| Loại dữ liệu | Dữ liệu cụ thể | Nguồn thu tháºp |
|---|---|---|
| Dữ liệu nháºn diện | Há» tên, ngà y sinh, ảnh đại diện, số CMND/CCCD (nếu cần xác thá»±c) | Bạn cung cấp |
| Dữ liệu liên hệ | Email, số điện thoại, địa chỉ liên hệ | Bạn cung cấp |
| Dữ liệu tà i chÃnh | Lịch sá» thanh toán, mã giao dịch, số tà i khoản ngân hà ng (che dấu má»™t phần) | Hệ thống thanh toán |
| Dữ liệu kỹ thuáºt | Äịa chỉ IP, loại thiết bị, hệ Ä‘iá»u hà nh, trình duyệt, cookies, định danh thiết bị | Tá»± Ä‘á»™ng thu tháºp |
| Dữ liệu sá» dụng | Lịch sá» há»c táºp, tiến Ä‘á»™ khóa há»c, đánh giá, bà i kiểm tra, thá»i gian truy cáºp | Tá»± Ä‘á»™ng thu tháºp |
| Dữ liệu hồ sÆ¡ | Sở thÃch há»c táºp, lá»™ trình há»c, mục tiêu, Ä‘á»™ tuổi há»c sinh | Bạn cung cấp |
Dữ liệu trẻ em | Dữ liệu của ngÆ°á»i dùng dÆ°á»›i 13 tuổi (hoặc dÆ°á»›i 16 tuổi nếu chÆ°a có khả năng hà nh vi dân sá»±) - chỉ thu tháºp vá»›i sá»± đồng ý của cha mẹ/ngÆ°á»i giám há»™ | Cha mẹ/ngÆ°á»i giám há»™ cung cấp đồng ý |
3. Cơ sở pháp lý xỠlý dữ liệu cá nhân
Theo Äiá»u 3 Nghị định 13/2023/NÄ-CP, chúng tôi xá» lý dữ liệu cá nhân dá»±a trên 6 cÆ¡ sở pháp lý sau:
| Mục Ä‘Ãch xá» lý | CÆ¡ sở pháp lý | Dữ liệu liên quan |
|---|---|---|
| Cung cấp dịch vụ há»c táºp | Thá»±c hiện hợp đồng (khoản 1 Äiá»u 3) | Tất cả dữ liệu cần thiết để cung cấp tà i khoản, khóa há»c, theo dõi tiến Ä‘á»™ |
| Xá» lý thanh toán | Tuân thủ nghÄ©a vụ pháp lý (khoản 2 Äiá»u 3) | Dữ liệu tà i chÃnh theo yêu cầu Luáºt Thuế GTGT |
| Cải thiện dịch vụ | Quyá»n và lợi Ãch hợp pháp (khoản 3 Äiá»u 3) | Dữ liệu sá» dụng (đã ẩn danh hóa khi phân tÃch) |
| Marketing | Sá»± đồng ý của bạn (khoản 4 Äiá»u 3) | Email, sở thÃch há»c táºp - bạn có thể rút lại đồng ý bất kỳ lúc nà o |
| Ngăn chặn gian láºn | Quyá»n và lợi Ãch hợp pháp (khoản 3 Äiá»u 3) | Dữ liệu kỹ thuáºt, địa chỉ IP, hoạt Ä‘á»™ng bất thÆ°á»ng |
| Tuân thủ pháp luáºt | NghÄ©a vụ pháp lý (khoản 2 Äiá»u 3) | Dữ liệu theo yêu cầu của cÆ¡ quan nhà nÆ°á»›c có thẩm quyá»n |
4. Mục Ä‘Ãch sá» dụng dữ liệu
- Tạo và quản lý tà i khoản ngÆ°á»i dùng
- Xác thá»±c danh tÃnh ngÆ°á»i dùng
- Cấp quyá»n truy cáºp khóa há»c đã mua
- Theo dõi và lÆ°u trữ tiến Ä‘á»™ há»c táºp
- Cá nhân hóa ná»™i dung há»c táºp
- Äá» xuất khóa há»c phù hợp
- Phân tÃch hà nh vi sá» dụng (ẩn danh)
- Tối Æ°u hóa giao diện ngÆ°á»i dùng
- Thông báo vá» tà i khoản và bảo máºt
- Cáºp nháºt vá» khóa há»c và ná»™i dung má»›i
- Hỗ trợ khách hà ng và giải đáp thắc mắc
- Marketing (chỉ khi bạn đồng ý)
- Phát hiện và ngăn chặn gian láºn
- Bảo máºt hệ thống và dữ liệu
- Tuân thủ nghĩa vụ pháp lý
- Giải quyết tranh chấp nếu có
5. Chia sẻ và tiết lộ dữ liệu
Theo Äiá»u 25 Nghị định 13/2023/NÄ-CP, chúng tôi sá» dụng các bên xá» lý dữ liệu sau. Danh sách đầy đủ xem tại Phụ lục A:
- Thực hiện hợp đồng dịch vụ với các nhà cung cấp cần thiết
- Tuân thủ yêu cầu pháp lý từ cÆ¡ quan có thẩm quyá»n
- Bảo vệ quyá»n lợi hợp pháp của công ty và ngÆ°á»i dùng
- Phòng ngừa và điá»u tra hoạt Ä‘á»™ng bất hợp pháp
Thông báo theo Äiá»u 17 Nghị định 13/2023/NÄ-CP vá» chuyển giao dữ liệu cá nhân xuyên biên giá»›i:
Quốc gia nháºn dữ liệu:
- Singapore - Google Cloud Platform (hosting chÃnh)
- Hoa Kỳ (US) - Cloudinary, Resend, Google Analytics, Sentry
Lý do chuyển giao:
- SỠdụng dịch vụ đám mây quốc tế
- Không có dịch vụ tương đương trong nước cho một số chức năng
- Äảm bảo hiệu suất và độ tin cáºy của dịch vụ
Biện pháp bảo vệ:
- Äiá»u khoản hợp đồng chuẩn (SCC) theo chuẩn quốc tế
- Mã hóa dữ liệu trong quá trình truyá»n tải (TLS 1.3)
- Äánh giá bảo máºt định kỳ của bên xá» lý dữ liệu
- Rà ng buộc pháp lý trong hợp đồng với các bên xỠlý
Quyá»n của bạn:
Bạn có quyá»n yêu cầu thông tin chi tiết vá» việc chuyển giao dữ liệu xuyên biên giá»›i. LÆ°u ý: Việc phản đối chuyển giao có thể ảnh hưởng đến khả năng sá» dụng dịch vụ của chúng tôi.
7. Thá»i gian lÆ°u trữ dữ liệu
Theo Äiá»u 15 Nghị định 13/2023/NÄ-CP, chúng tôi lÆ°u trữ dữ liệu theo các thá»i hạn sau:
| Loại dữ liệu | Thá»i gian lÆ°u trữ | CÆ¡ sở pháp lý |
|---|---|---|
| Dữ liệu tà i khoản | Thá»i gian tồn tại tà i khoản + 2 năm | Hợp đồng + NghÄ©a vụ pháp lý |
| Hồ sÆ¡ thanh toán | 10 năm | Luáºt Thuế GTGT và kế toán |
| Log hệ thống | 3 năm | Luáºt An ninh mạng 2018 |
| Dữ liệu marketing | Thá»i gian đồng ý + 2 năm | Nghị định 13/2023/NÄ-CP |
| Tà i khoản đã xóa | 30 ngà y sau yêu cầu xóa | Quyá»n của ngÆ°á»i dùng |
| Dữ liệu trẻ em (nếu có) | Äến khi đủ 18 tuổi hoặc theo yêu cầu | Äiá»u 6 Nghị định 13 |
Tiêu chà xác định:
- Yêu cầu pháp luáºt hiện hà nh
- Thá»i hiệu khởi kiện theo quy định
- Mục Ä‘Ãch ban đầu của việc thu tháºp dữ liệu
- Yêu cầu của ngÆ°á»i dùng (xóa dữ liệu)
8. Quyá»n của chủ thể dữ liệu
Theo Äiá»u 12 và Äiá»u 13 Nghị định 13/2023/NÄ-CP, bạn có 8 quyá»n đối vá»›i dữ liệu cá nhân của mình:
Cách thá»±c hiện quyá»n của bạn:
- Email: privacy@edhub.tech
- Xác minh danh tÃnh bắt buá»™c trÆ°á»›c khi thá»±c hiện yêu cầu
- Thá»i gian xá» lý: Tối Ä‘a 30 ngà y (có thể gia hạn thêm 30 ngà y nếu phức tạp)
9. Biện pháp bảo vệ dữ liệu
Theo Äiá»u 22 và Äiá»u 23 Nghị định 13/2023/NÄ-CP, chúng tôi áp dụng các biện pháp sau:
- Mã hóa AES-256 cho dữ liệu lưu trữ (at rest)
- TLS 1.3 cho dữ liệu truyá»n tải (in transit)
- Xác thực đa yếu tố (MFA/2FA) cho tà i khoản quản trị
- Kiểm soát truy cáºp dá»±a trên vai trò (RBAC)
- Kiểm tra bảo máºt định kỳ (quý/năm)
- Kiểm thá» xâm nháºp (Penetration Testing) hà ng năm
- Äà o tạo nhân viên vá» bảo vệ dữ liệu cá nhân
- Thá»a thuáºn bảo máºt (NDA) vá»›i nhân viên và đối tác
- Quy trình ứng phó sá»± cố bảo máºt đã được thiết láºp
- Phân quyá»n tối thiểu (Least Privilege)
- Kiểm toán nội bộ định kỳ hà ng quý
- Phân công Cán bộ bảo vệ dữ liệu (DPO)
Theo Äiá»u 20 Nghị định 13/2023/NÄ-CP, chúng tôi cam kết thông báo vi phạm dữ liệu theo quy định:
Quy trình thông báo:
Phát hiện → Thông báo cơ quan quản lý: Không quá 72 giỠkể từ khi phát hiện vi phạm
Thông báo bạn (chủ thể dữ liệu): Không cháºm trá»…, thông qua email và thông báo trên hệ thống
Thông tin trong thông báo vi phạm:
- Bản chất của sự cố vi phạm
- Loại dữ liệu cá nhân bị ảnh hưởng
- Háºu quả có thể xảy ra từ vi phạm
- Biện pháp khắc phục đã và đang thực hiện
- Thông tin liên hệ để nháºn há»— trợ
Liên hệ khẩn cấp vỠvi phạm:
Theo Äiá»u 6 Nghị định 13/2023/NÄ-CP, chúng tôi có quy định đặc biệt để bảo vệ dữ liệu của trẻ em:
Äá»™ tuổi áp dụng:
Dưới 13 tuổi (hoặc dưới 16 tuổi nếu chưa có khả năng hà nh vi dân sự)
Yêu cầu pháp lý:
Bắt buá»™c có sá»± đồng ý của cha mẹ/ngÆ°á»i giám há»™ hợp pháp
Quy trình bảo vệ dữ liệu trẻ em:
- Xác minh tuổi trong quá trình đăng ký tà i khoản
- Yêu cầu sá»± đồng ý rõ rà ng của cha mẹ/ngÆ°á»i giám há»™ (qua email xác nháºn)
- Thông báo cho cha mẹ vá» hoạt Ä‘á»™ng thu tháºp và sá» dụng dữ liệu
- Hạn chế dữ liệu thu tháºp ở mức tối thiểu cần thiết cho dịch vụ
- Không sá» dụng dữ liệu trẻ em cho mục Ä‘Ãch marketing
Quyá»n của cha mẹ:
- Truy cáºp dữ liệu cá nhân của con
- Yêu cầu xóa dữ liệu của con
- Rút lại sự đồng ý bất kỳ lúc nà o
- Chỉnh sá»a thông tin không chÃnh xác
Liên hệ dà nh cho phụ huynh:
parents@edhub.tech12. Cookies và công nghệ tương tự
Website của chúng tôi sỠdụng cookies và các công nghệ tương tự. Xem chi tiết tại:
Tóm tắt:
- Sá» dụng cookies thiết yếu, phân tÃch, và chức năng
- Cookie có thể được coi là dữ liệu cá nhân liên quan theo Nghị định 13
- Bạn có quyá»n kiểm soát cookies qua cà i đặt trình duyệt
13. Thay đổi chÃnh sách nà y
Thá»i gian xem xét:
ChÃnh sách được xem xét và cáºp nháºt định kỳ 6 tháng/lần
Phương thức thông báo:
- Email cho ngÆ°á»i dùng đã đăng ký
- Banner thông báo trên website
- Thông báo 7 ngà y trước (với thay đổi lớn)
Lịch sỠphiên bản:
- 2.029/03/2025: Tuân thủ Nghị định 13/2023/NÄ-CP (PDPD)
- 1.001/01/2026: Phiên bản ban đầu
14. Liên hệ và khiếu nại
Äiện thoại: Đang cập nhật (8:00-18:00)
Nội bộ: Escalation đến DPO tại dpo@edhub.tech
Thá»i gian xá» lý: 30 ngà y kể từ khi nháºn khiếu nại hợp lệ
Phụ lục A: Danh sách bên xỠlý dữ liệu
Theo Äiá»u 25 Nghị định 13/2023/NÄ-CP, danh sách các bên xá» lý dữ liệu thay mặt chúng tôi:
| Bên xỠlý | Dịch vụ | Vị trà | Biện pháp bảo vệ |
|---|---|---|---|
| Google Cloud Platform | Hosting, lưu trữ dữ liệu | Singapore | SCC, AES-256 Encryption, SOC 2 Type II |
| Cloudinary | Lưu trữ và xỠlý hình ảnh, video | Hoa Kỳ | DPA, SOC 2 Type II, TLS 1.3 |
| Resend | Gá»i email giao tiếp | Hoa Kỳ | DPA, Encryption at rest |
| Google Analytics | Phân tÃch sá» dụng website | Hoa Kỳ | IP Anonymization, DPA |
| SePay | XỠlý thanh toán | Việt Nam | PCI DSS, Nội địa |
| Sentry | Giám sát lỗi và hiệu suất | Hoa Kỳ | DPA, Data minimization |
Giải thÃch các biện pháp bảo vệ:
- SCC (Standard Contractual Clauses): Äiá»u khoản hợp đồng chuẩn quốc tế cho chuyển giao dữ liệu
- DPA (Data Processing Agreement): Thá»a thuáºn xá» lý dữ liệu giữa các bên
- SOC 2 Type II: Chứng chỉ kiểm soát bảo máºt và quyá»n riêng tÆ°
- PCI DSS: Tiêu chuẩn bảo máºt dữ liệu thẻ thanh toán
- IP Anonymization: Ẩn danh địa chỉ IP trong phân tÃch