Chính sách bảo mật

congdanso.org thu thập và xử lý các loại thông tin sau để cung cấp dịch vụ tốt nhất cho bạn: A. Thông tin bạn cung cấp trực tiếp: • Thông tin đăng ký: Họ tên, email, số điện thoại, ngày sinh • Thông tin hồ sơ: Ảnh đại diện, địa chỉ, thông tin cá nhân khác (tùy chọn) • Câu trả lời onboarding: Thông tin về mục tiêu, tình trạng sử dụng dịch vụ công • Dữ liệu liên kết VNeID: Mã số công dân, điểm số công dân số (nếu bạn đồng ý liên kết) • Nội dung tương tác: Phản hồi, bình luận, yêu cầu hỗ trợ, khiếu nại B. Thông tin tự động thu thập khi bạn sử dụng dịch vụ: • Thông tin thiết bị: Loại thiết bị, hệ điều hành, phiên bản trình duyệt, ID thiết bị • Dữ liệu kết nối: Địa chỉ IP, nhà cung cấp dịch vụ internet, vị trí địa lý chung (không chính xác) • Dữ liệu sử dụng: Thời gian truy cập, trang đã xem, tính năng đã sử dụng, thời gian ở lại • Cookies và công nghệ tương tự: Xem Chính sách Cookie để biết chi tiết C. Thông tin từ bên thứ ba (nếu có): • Thông tin từ các nền tảng mạng xã hội (nếu bạn đăng nhập qua Facebook, Google) • Dữ liệu xác thực từ VNeID (chỉ khi bạn đồng ý liên kết) • Thông tin thanh toán từ cổng thanh toán (nếu có giao dịch) Lưu ý: Chúng tôi KHÔNG thu thập các thông tin nhạy cảm như tôn giáo, quan điểm chính trị, dữ liệu sinh trắc học mà không có sự đồng ý rõ ràng của bạn.

Thông tin của bạn được sử dụng cho các mục đích sau, tuân thủ Luật Bảo vệ Dữ liệu Cá nhân Việt Nam: A. Cung cấp và vận hành dịch vụ: • Tạo và quản lý tài khoản người dùng • Tính toán và hiển thị điểm số công dân số dự kiến • Cung cấp thông tin về quyền lợi và ưu đãi phù hợp với mức điểm • Gửi thông báo về hoạt động tài khoản và cập nhật chính sách • Hỗ trợ khách hàng và xử lý yêu cầu B. Cá nhân hóa trải nghiệm: • Tùy chỉnh nội dung và đề xuất phù hợp với bạn • Hiển thị quyền lợi và ưu đãi phù hợp với khu vực của bạn • Nhắc nhở các hoạt động giúp cải thiện điểm số C. Phát triển và cải thiện dịch vụ: • Phân tích cách người dùng tương tác với nền tảng • Phát hiện lỗi kỹ thuật và cải thiện hiệu suất • Nghiên cứu xu hướng và nhu cầu người dùng • Phát triển tính năng mới dựa trên phản hồi D. Bảo mật và tuân thủ: • Phát hiện và ngăn chặn gian lận, lạm dụng hệ thống • Bảo vệ quyền lợi của người dùng và congdanso.org • Tuân thủ các nghĩa vụ pháp lý • Giải quyết tranh chấp và thực thi các thỏa thuận E. Marketing và truyền thông (với sự đồng ý của bạn): • Gửi email thông tin về tính năng mới, ưu đãi đặc biệt • Gửi khảo sát và thu thập phản hồi • Chạy chương trình khuyến mãi và sự kiện Cam kết của chúng tôi: • Chúng tôi KHÔNG BÁN thông tin cá nhân của bạn cho bất kỳ bên thứ ba nào • Chúng tôi KHÔNG sử dụng dữ liệu của bạn cho quảng cáo bên ngoài không liên quan • Chúng tôi KHÔNG chia sẻ thông tin nhạy cảm mà không có sự đồng ý rõ ràng

congdanso.org cam kết bảo vệ thông tin cá nhân của bạn bằng các biện pháp bảo mật tiên tiến: A. Bảo mật kỹ thuật: • Mã hóa dữ liệu: SSL/TLS 256-bit cho tất cả kết nối internet • Mã hóa cơ sở dữ liệu: Dữ liệu nhạy cảm được mã hóa AES-256 khi lưu trữ • Xác thực mạnh: Hỗ trợ xác thực hai yếu tố (2FA) qua SMS hoặc ứng dụng • Tường lửa: Hệ thống tường lửa nhiều lớp bảo vệ máy chủ • Phát hiện xâm nhập: Giám sát 24/7 để phát hiện hoạt động bất thường • Kiểm tra bảo mật: Đánh giá lỗ hổng và penetration testing định kỳ B. Bảo mật tổ chức: • Kiểm soát truy cập: Chỉ nhân viên được ủy quyền mới có quyền truy cập dữ liệu • Phân quyền chi tiết: Truy cập dữ liệu dựa trên nguyên tắc "cần biết" (need-to-know) • Đào tạo bảo mật: Nhân viên được đào tạo về quyền riêng tư và bảo mật dữ liệu • Thỏa thuận bảo mật: Tất cả nhân viên ký cam kết bảo mật • Nhà cung cấp đáng tin cậy: Chỉ làm việc với đối tác có chính sách bảo mật nghiêm ngặt C. Bảo mật vật lý: • Máy chủ tại Việt Nam: Dữ liệu được lưu trữ tại trung tâm dữ liệu an toàn ở Việt Nam • Kiểm soát ra vào: Bảo vệ vật lý 24/7 tại trung tâm dữ liệu • Sao lưu định kỳ: Dữ liệu được sao lưu tự động và mã hóa D. Kế hoạch ứng phó sự cố: • Quy trình phản ứng nhanh khi phát hiện vi phạm bảo mật • Thông báo kịp thời cho người dùng bị ảnh hưởng (trong vòng 72 giờ) • Báo cáo cho cơ quan chức năng khi cần thiết Lưu ý: Mặc dù chúng tôi áp dụng các biện pháp bảo mật tốt nhất, không có hệ thống nào là an toàn tuyệt đối 100%. Vui lòng bảo vệ mật khẩu và thông tin đăng nhập của bạn.

Theo Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 13/2023/NĐ-CP, bạn có các quyền sau: 1. Quyền được biết (Right to be informed): • Biết được dữ liệu cá nhân nào đang được thu thập • Biết mục đích và cách thức xử lý dữ liệu • Biết thời gian lưu trữ và ai có quyền truy cập 2. Quyền truy cập (Right to access): • Xem toàn bộ dữ liệu cá nhân mà congdanso.org lưu trữ về bạn • Nhận bản sao dữ liệu của bạn miễn phí (lần đầu tiên) • Cách thực hiện: Vào Cài đặt > Quyền riêng tư > Tải dữ liệu của tôi 3. Quyền chỉnh sửa (Right to rectification): • Cập nhật thông tin cá nhân không chính xác hoặc lỗi thời • Bổ sung thông tin chưa đầy đủ • Cách thực hiện: Vào Trang cá nhân > Chỉnh sửa hồ sơ 4. Quyền xóa (Right to erasure / "Right to be forgotten"): • Yêu cầu xóa tài khoản và dữ liệu cá nhân • Dữ liệu sẽ được xóa vĩnh viễn trong vòng 30 ngày • Cách thực hiện: Cài đặt > Tài khoản > Xóa tài khoản vĩnh viễn • Lưu ý: Một số dữ liệu có thể được giữ lại theo yêu cầu pháp lý 5. Quyền di chuyển dữ liệu (Right to data portability): • Xuất dữ liệu của bạn dưới định dạng JSON hoặc CSV • Chuyển dữ liệu sang nền tảng khác • Cách thực hiện: Cài đặt > Quyền riêng tư > Xuất dữ liệu 6. Quyền phản đối (Right to object): • Phản đối việc xử lý dữ liệu cho mục đích marketing • Từ chối nhận email quảng cáo, SMS marketing • Cách thực hiện: Click "Hủy đăng ký" trong email hoặc vào Cài đặt > Thông báo 7. Quyền rút lại sự đồng ý (Right to withdraw consent): • Thay đổi các tùy chọn đồng ý trước đó bất kỳ lúc nào • Rút lại đồng ý không ảnh hưởng đến tính hợp pháp của xử lý dữ liệu trước đó • Cách thực hiện: Cài đặt > Quyền riêng tư > Quản lý đồng ý 8. Quyền khiếu nại (Right to lodge a complaint): • Khiếu nại về cách congdanso.org xử lý dữ liệu cá nhân • Liên hệ: privacy@congdanso.org • Nếu không hài lòng, có thể khiếu nại lên cơ quan chức năng Thời gian xử lý yêu cầu: • Yêu cầu truy cập/xuất dữ liệu: 48 giờ • Yêu cầu chỉnh sửa: Ngay lập tức hoặc trong vòng 24 giờ • Yêu cầu xóa tài khoản: 30 ngày • Phản hồi khiếu nại: 5-7 ngày làm việc

Chính sách lưu trữ dữ liệu của congdanso.org: A. Thời gian lưu trữ theo loại dữ liệu: 1. Dữ liệu tài khoản và hồ sơ: • Lưu trữ: Cho đến khi bạn xóa tài khoản hoặc yêu cầu xóa • Sau khi xóa: Dữ liệu bị xóa vĩnh viễn trong vòng 30 ngày 2. Lịch sử hoạt động và tương tác: • Lưu trữ: 24 tháng từ ngày hoạt động cuối cùng • Mục đích: Phân tích xu hướng, cải thiện dịch vụ • Sau 24 tháng: Tự động xóa hoặc ẩn danh hóa 3. Cookies và dữ liệu theo dõi: • Cookies phiên (Session): Xóa khi đóng trình duyệt • Cookies lưu trữ (Persistent): 30 ngày đến 12 tháng tùy loại • Dữ liệu phân tích: Ẩn danh hóa sau 14 tháng 4. Logs hệ thống và bảo mật: • Lưu trữ: 90 ngày • Mục đích: Phát hiện xâm nhập, giải quyết tranh chấp • Sau 90 ngày: Tự động xóa 5. Dữ liệu giao dịch và thanh toán: • Lưu trữ: 7 năm (theo yêu cầu pháp luật về thuế) • Mục đích: Tuân thủ pháp lý, giải quyết tranh chấp 6. Bản sao lưu (Backups): • Tần suất: Hàng ngày • Thời gian lưu: 90 ngày • Bảo mật: Mã hóa và lưu trữ an toàn B. Quy trình xóa tài khoản: Bước 1: Yêu cầu xóa tài khoản • Vào Cài đặt > Tài khoản > Xóa tài khoản vĩnh viễn • Xác nhận qua email hoặc SMS Bước 2: Thời gian chờ (Grace period) • 14 ngày: Bạn có thể khôi phục tài khoản • Dữ liệu tạm thời bị vô hiệu hóa nhưng chưa xóa Bước 3: Xóa vĩnh viễn • Sau 14 ngày: Dữ liệu bắt đầu được xóa • Trong vòng 30 ngày: Hoàn tất xóa khỏi hệ thống chính • Trong vòng 90 ngày: Xóa khỏi các bản backup Dữ liệu được giữ lại sau khi xóa: • Dữ liệu ẩn danh (không thể nhận diện cá nhân) cho mục đích thống kê • Thông tin cần thiết theo yêu cầu pháp luật (hóa đơn, giao dịch) • Logs liên quan đến tranh chấp pháp lý đang diễn ra C. Chính sách xóa tự động: • Tài khoản không hoạt động: Sau 3 năm không đăng nhập, chúng tôi sẽ gửi thông báo và có thể xóa tài khoản • Dữ liệu tạm thời: Tự động xóa sau thời gian quy định • Dữ liệu không cần thiết: Định kỳ rà soát và xóa dữ liệu không còn phục vụ mục đích ban đầu

congdanso.org cam kết KHÔNG BÁN thông tin cá nhân của bạn. Tuy nhiên, chúng tôi có thể chia sẻ thông tin trong các trường hợp sau: A. Nhà cung cấp dịch vụ tin cậy: • Dịch vụ hosting và lưu trữ dữ liệu (AWS, Google Cloud) • Dịch vụ email và SMS (SendGrid, Twilio) • Dịch vụ phân tích (Google Analytics - dữ liệu ẩn danh) • Cổng thanh toán (VNPay, Momo, ZaloPay) • Tất cả các nhà cung cấp phải tuân thủ nghĩa vụ bảo mật nghiêm ngặt B. Yêu cầu pháp lý: • Tuân thủ lệnh tòa án, trát đòi hầu tòa • Phối hợp với cơ quan thực thi pháp luật khi có yêu cầu hợp pháp • Bảo vệ quyền lợi và tài sản của congdanso.org và người dùng • Ngăn chặn gian lận và vi phạm pháp luật C. Chuyển giao kinh doanh: • Trong trường hợp sáp nhập, mua lại, hoặc bán tài sản • Người dùng sẽ được thông báo trước và có quyền xóa dữ liệu D. Với sự đồng ý của bạn: • Khi bạn rõ ràng cho phép chia sẻ với bên thứ ba cụ thể • Ví dụ: Đối tác ưu đãi, chương trình khuyến mãi Nguyên tắc chia sẻ: • Chỉ chia sẻ thông tin tối thiểu cần thiết • Yêu cầu các bên nhận phải bảo vệ dữ liệu • Không chia sẻ cho mục đích marketing của bên thứ ba (trừ khi bạn đồng ý) • Luôn tuân thủ pháp luật Việt Nam

Chính sách Bảo mật này có thể được cập nhật định kỳ để phản ánh các thay đổi trong hoạt động của chúng tôi hoặc yêu cầu pháp lý. Khi có thay đổi quan trọng: • Thông báo rõ ràng trên nền tảng (banner, popup) • Gửi email đến địa chỉ đã đăng ký • Thông báo push (nếu bạn bật) • Ghi rõ "Ngày cập nhật" ở đầu chính sách Thay đổi có hiệu lực: • Thay đổi nhỏ: Hiệu lực ngay khi công bố • Thay đổi quan trọng: Hiệu lực sau 14 ngày kể từ ngày thông báo • Bạn có 14 ngày để xem xét và quyết định tiếp tục sử dụng Quyền lựa chọn của bạn: • Nếu đồng ý: Tiếp tục sử dụng dịch vụ • Nếu không đồng ý: Có thể xóa tài khoản trước khi thay đổi có hiệu lực • Việc tiếp tục sử dụng sau ngày hiệu lực được xem là chấp nhận thay đổi Lịch sử cập nhật: • Phiên bản hiện tại: v2.0 • Cập nhật lần cuối: 14 tháng 1, 2026 • Xem lịch sử phiên bản: Liên hệ privacy@congdanso.org