Chính sách quyền riêng tư

Cập nhật lần cuối: 18 tháng 5, 2026

Chính sách này mô tả cách Nhịp Điệu Xanh thu thập, sử dụng, và bảo vệ dữ liệu cá nhân của bạn, tuân thủ theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam.

1. Thông tin chúng tôi thu thập

Thông tin nhận dạng cá nhân (PII) của người dùng (agent):

  • Địa chỉ email, tên hiển thị khi đăng ký tài khoản;
  • Thông tin thanh toán (số điện thoại MoMo, thông tin giao dịch SePay — chúng tôi không lưu số thẻ hoặc tài khoản ngân hàng đầy đủ);
  • Ảnh đại diện và thông tin hồ sơ bạn tự nhập;
  • Lịch sử hội thoại với trợ lý AI, nội dung bài đăng, dữ liệu pipeline và lead mà bạn tạo ra trong Dịch vụ.

Thông tin kỹ thuật:

  • Địa chỉ IP, loại trình duyệt, thiết bị và hệ điều hành;
  • Thời gian truy cập, trang đã xem, hành động trong ứng dụng (qua PostHog analytics);
  • Dữ liệu lỗi và báo cáo sự cố (qua Sentry error tracking).

Dữ liệu của khách hàng tiềm năng (lead): Chúng tôi chỉ lưu trữ thông tin lead mà bạn chủ động nhập vào hệ thống. Chúng tôi không thu thập dữ liệu cá nhân của lead từ nguồn bên ngoài và không chia sẻ thông tin lead của bạn với bất kỳ bên thứ ba nào ngoài việc lưu trữ trên cơ sở hạ tầng được liệt kê tại mục 4.

2. Mục đích thu thập và cơ sở pháp lý

  • Thực hiện hợp đồng dịch vụ: Cung cấp và vận hành các tính năng của Nhịp Điệu Xanh mà bạn đã đăng ký.
  • Lợi ích hợp pháp: Phân tích hiệu suất sử dụng để cải thiện tính năng, ngăn chặn gian lận và lạm dụng, bảo đảm an toàn hệ thống.
  • Sự đồng ý: Gửi bản tin, cập nhật tính năng và thông tin khuyến mãi (bạn có thể rút lại đồng ý bất cứ lúc nào qua liên kết hủy đăng ký trong email).
  • Nghĩa vụ pháp lý: Tuân thủ các yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền.

3. Cookies và công nghệ theo dõi

Chúng tôi sử dụng các loại cookie và công nghệ tương tự sau:

  • Cookie cần thiết: Duy trì phiên đăng nhập, bảo mật CSRF — không thể tắt mà không ảnh hưởng đến chức năng cơ bản.
  • PostHog analytics: Thu thập dữ liệu sử dụng tính năng dưới dạng ẩn danh (anonymized) để cải thiện trải nghiệm người dùng. Bạn có thể opt-out trong phần cài đặt tài khoản.
  • Sentry error tracking: Ghi nhận lỗi kỹ thuật để phát hiện và khắc phục sự cố nhanh chóng. Dữ liệu cá nhân trong báo cáo lỗi được tự động xóa (scrubbed).

4. Chia sẻ với bên thứ ba

Chúng tôi không bán dữ liệu cá nhân của bạn. Chúng tôi chỉ chia sẻ dữ liệu với các nhà cung cấp dịch vụ sau theo hợp đồng bảo vệ dữ liệu (DPA/SCC):

  • Supabase — lưu trữ cơ sở dữ liệu (Singapore region);
  • Vercel — hosting frontend và Edge Functions;
  • Railway — hạ tầng backend API;
  • SePay — xử lý thanh toán chuyển khoản ngân hàng;
  • MoMo — xử lý thanh toán ví điện tử;
  • Resend — gửi email thông báo giao dịch và hệ thống;
  • PostHog — phân tích hành vi người dùng (dữ liệu ẩn danh);
  • Sentry — theo dõi lỗi ứng dụng.

Tất cả nhà cung cấp trên cam kết xử lý dữ liệu theo tiêu chuẩn bảo vệ dữ liệu quốc tế tương đương hoặc cao hơn Nghị định 13/2023/NĐ-CP. Chúng tôi cũng có thể chia sẻ dữ liệu với cơ quan nhà nước khi có yêu cầu hợp pháp bằng văn bản.

5. Quyền của chủ thể dữ liệu theo Nghị định 13/2023

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

  • Quyền truy cập: Yêu cầu xác nhận chúng tôi có xử lý dữ liệu của bạn không và nhận bản sao dữ liệu đó;
  • Quyền chỉnh sửa: Yêu cầu cập nhật dữ liệu không chính xác hoặc không đầy đủ;
  • Quyền xóa: Yêu cầu xóa dữ liệu cá nhân trong các trường hợp luật định (lưu ý: một số dữ liệu có thể được lưu giữ để tuân thủ nghĩa vụ pháp lý);
  • Quyền hạn chế xử lý: Yêu cầu tạm ngừng xử lý dữ liệu trong khi chờ xác minh hoặc giải quyết khiếu nại;
  • Quyền di chuyển dữ liệu: Nhận dữ liệu của bạn ở định dạng có cấu trúc, phổ biến và có thể đọc được bằng máy (JSON/CSV);
  • Quyền phản đối: Phản đối việc xử lý dữ liệu cho mục đích tiếp thị trực tiếp hoặc dựa trên lợi ích hợp pháp.

Để thực hiện các quyền trên, liên hệ DPO tại: dpo@nhipdieuxanh.vn. Chúng tôi sẽ phản hồi trong vòng 30 ngày kể từ ngày nhận yêu cầu.

6. Lưu trữ và bảo mật dữ liệu

Dữ liệu được lưu trữ trên hạ tầng Supabase tại khu vực Singapore (ap-southeast-1), đảm bảo các tiêu chuẩn bảo mật sau:

  • Mã hóa dữ liệu lưu trữ (at-rest) bằng AES-256;
  • Mã hóa dữ liệu truyền tải (in-transit) bằng TLS 1.2 trở lên;
  • Kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu (principle of least privilege);
  • Row Level Security (RLS) đảm bảo dữ liệu của workspace này không thể truy cập từ workspace khác.

7. Thời gian lưu trữ

  • Dữ liệu tài khoản và nội dung: lưu trong suốt thời gian tài khoản hoạt động;
  • Sau khi hủy gói: lưu thêm 90 ngày để bạn có thể khôi phục hoặc xuất dữ liệu;
  • Dữ liệu thanh toán: lưu 5 năm theo quy định kế toán Việt Nam;
  • Nhật ký hệ thống (access logs): lưu 90 ngày;
  • Sau các khoảng thời gian trên, dữ liệu được xóa vĩnh viễn hoặc ẩn danh hóa hoàn toàn.

8. Quyền của trẻ em

Dịch vụ không dành cho người dưới 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em. Nếu phát hiện tài khoản thuộc về người dưới 18 tuổi, chúng tôi sẽ xóa tài khoản và dữ liệu liên quan ngay lập tức. Phụ huynh hoặc người giám hộ phát hiện trường hợp này vui lòng liên hệ dpo@nhipdieuxanh.vn.

9. Cập nhật chính sách

Chúng tôi có thể cập nhật Chính sách này định kỳ. Đối với các thay đổi quan trọng ảnh hưởng đến quyền của bạn, chúng tôi sẽ thông báo qua email ít nhất 30 ngày trước khi thay đổi có hiệu lực. Việc tiếp tục sử dụng Dịch vụ sau ngày thay đổi có hiệu lực đồng nghĩa với việc bạn chấp nhận Chính sách đã cập nhật.

10. Liên hệ DPO

Mọi yêu cầu về quyền riêng tư và bảo vệ dữ liệu, vui lòng liên hệ Cán bộ bảo vệ dữ liệu (DPO) của chúng tôi: dpo@nhipdieuxanh.vn