1. Bên kiểm soát dữ liệu
- Bên kiểm soát dữ liệu cá nhân: đơn vị vận hành nền tảng (chi tiết được công bố trên trang "Giới thiệu").
- Người phụ trách bảo vệ dữ liệu (DPO): liên hệ qua email pháp chế công bố trên trang chủ.
2. Phạm vi áp dụng
- Chính sách này áp dụng với mọi dữ liệu cá nhân thu thập thông qua nền tảng (website, ứng dụng, email, kênh hỗ trợ).
- Chính sách áp dụng cho Người mua, Người bán, khách truy cập và đối tác tích hợp.
3. Loại dữ liệu thu thập
- Dữ liệu định danh: họ tên, email, số điện thoại, ngày sinh.
- Dữ liệu xác thực: hash mật khẩu, lịch sử đăng nhập, IP, user-agent, mã thiết bị.
- Dữ liệu KYC người bán: họ tên đại diện pháp luật, MST, địa chỉ doanh nghiệp, thông tin tài khoản ngân hàng phục vụ thanh toán/rút tiền.
- Dữ liệu giao dịch: lịch sử đặt hàng, ví, điểm tích luỹ, hoá đơn.
- Dữ liệu hành vi: lượt xem sản phẩm, sản phẩm yêu thích, tương tác đánh giá, sự kiện hệ thống.
- Cookie & công cụ phân tích: xem chi tiết tại Chính sách Cookie.
4. Mục đích & căn cứ pháp lý
| Mục đích | Căn cứ pháp lý |
|---|---|
| Tạo và quản lý tài khoản | Hợp đồng giữa nền tảng và người dùng |
| Xử lý thanh toán, đối soát | Hợp đồng + Nghĩa vụ pháp lý |
| Bảo mật, chống gian lận | Lợi ích chính đáng của nền tảng |
| Marketing & gợi ý sản phẩm | Sự đồng ý (có thể rút lại) |
5. Bên thứ ba & chuyển dữ liệu
- Đối tác thanh toán: SePay (xử lý QR, đối soát giao dịch). Chỉ chuyển các trường tối thiểu phục vụ giao dịch.
- Email server SMTP: phục vụ gửi thông báo, OTP, biên nhận giao dịch.
- Lưu trữ & hạ tầng: hosting, CDN, kho object lưu file sản phẩm.
- Cơ quan nhà nước có thẩm quyền: chỉ khi có yêu cầu hợp pháp.
- Chuyển dữ liệu xuyên biên giới: tuân thủ NĐ 13/2023 (Đánh giá tác động trước khi chuyển ra khỏi lãnh thổ Việt Nam).
6. Thời gian lưu trữ
- Dữ liệu tài khoản: lưu trữ cho đến khi người dùng yêu cầu xoá hoặc 24 tháng kể từ lần hoạt động cuối.
- Dữ liệu giao dịch & kế toán: tối thiểu 10 năm theo Luật Kế toán.
- Log bảo mật: 12 tháng.
- Sau thời hạn nêu trên, dữ liệu sẽ được xoá hoặc ẩn danh hoá.
7. Bảo mật dữ liệu
- Mật khẩu được hash với thuật toán mạnh (bcrypt/argon2).
- Truyền dữ liệu qua kênh mã hoá TLS.
- Áp dụng phân quyền nội bộ tối thiểu (Least Privilege).
- Audit log cho thao tác nhạy cảm (rút tiền, khoá tài khoản, sửa thông tin KYC).
8. Cookie & công nghệ tương tự
Chi tiết xem tại Chính sách Cookie.
9. Trẻ em
- Nền tảng không hướng đến trẻ em dưới 16 tuổi và không cố ý thu thập dữ liệu của trẻ em mà chưa có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp.
10. Thay đổi chính sách
- Mỗi lần thay đổi sẽ được công bố qua phiên bản mới trên trang Trung tâm pháp lý.