1. Cam kết của TND
Công ty TNHH TM Nguyễn Ngọc Thanh (sau đây gọi là "TND"), MST 0200994870, trụ sở 12/220 Tô Hiệu, Phường Lê Chân, Thành phố Hải Phòng. Email: [email protected]. cam kết bảo vệ thông tin cá nhân của khách hàng, đối tác, người truy cập website tnd.vn theo:
- Luật Bảo vệ dữ liệu cá nhân 2025 (PDPL) - hiệu lực 01/01/2026
- Nghị định 13/2023/NĐ-CP - về bảo vệ dữ liệu cá nhân
- Nghị định 53/2022/NĐ-CP - quy định chi tiết Luật An ninh mạng
- Luật An toàn thông tin mạng 2015
2. Thông tin TND thu thập
2.1 Thông tin định danh (do bạn cung cấp)
- Họ tên, email, số điện thoại
- Địa chỉ liên hệ, địa chỉ giao hàng (nếu mua sản phẩm có vận chuyển vật lý)
- Mã số thuế, tên doanh nghiệp, địa chỉ doanh nghiệp (cho khách hàng B2B)
- CMND/CCCD/Hộ chiếu (cho xác minh dịch vụ tên miền, hợp đồng kinh tế lớn)
- Thông tin thanh toán (số tài khoản ngân hàng - chỉ lưu 4 số cuối, hoặc token Stripe)
2.2 Thông tin kỹ thuật (tự động thu thập)
- Địa chỉ IP, user-agent trình duyệt, thiết bị
- Cookie session, cookie analytics (Google Analytics, Microsoft Clarity)
- Log truy cập website (URL, timestamp, referrer)
- Dữ liệu sử dụng dịch vụ: lượng CPU, RAM, băng thông, thời gian uptime
2.3 Thông tin cảm xúc tương tác
- Lịch sử mua hàng, đơn hàng, hoá đơn
- Lịch sử ticket support, đánh giá dịch vụ
- Phản hồi qua email, chat, fanpage
TND KHÔNG thu thập dữ liệu nhạy cảm (chính trị, tôn giáo, sức khoẻ, sinh trắc học) trừ khi bạn chủ động cung cấp và đồng ý xử lý.
3. Mục đích sử dụng
| Mục đích | Cơ sở pháp lý (PDPL) | Loại dữ liệu |
|---|---|---|
| Cung cấp dịch vụ theo hợp đồng | Thực hiện hợp đồng (Điều 17.b) | Định danh, kỹ thuật |
| Thanh toán + xuất hoá đơn | Nghĩa vụ pháp lý (Điều 17.c) | Định danh, thanh toán |
| Hỗ trợ kỹ thuật | Thực hiện hợp đồng | Định danh, ticket history |
| Marketing dịch vụ TND mới | Sự đồng ý (opt-in riêng) | Email, tên |
| Cải thiện dịch vụ, phân tích | Lợi ích chính đáng | Kỹ thuật ẩn danh |
| Phòng chống gian lận, bảo mật | Lợi ích chính đáng + nghĩa vụ pháp lý | IP, log, hành vi |
| Tuân thủ pháp luật, lệnh cơ quan | Nghĩa vụ pháp lý | Theo yêu cầu |
TND chỉ xử lý dữ liệu trong phạm vi mục đích đã thông báo. Nếu cần xử lý cho mục đích mới, TND sẽ xin sự đồng ý lại của bạn.
4. Chia sẻ thông tin với bên thứ ba
TND chia sẻ thông tin của bạn với các bên thứ ba sau đây, mỗi bên đều có Thoả thuận xử lý dữ liệu (DPA) ràng buộc theo PDPL:
4.1 Nhà cung cấp hạ tầng (Processor)
- Datacenter VN: FPT Telecom, Viettel IDC (chỉ lưu trữ, không truy cập dữ liệu khách)
- Datacenter US: ColoCrossing, OVH (cho dịch vụ VPS US - có DPA tuân thủ)
- CDN: Cloudflare (cho protected pages - chỉ thấy traffic metadata)
4.2 Cổng thanh toán
- SePay / VietQR - đối soát giao dịch ngân hàng VN
- Stripe / 2Checkout - cho khách hàng quốc tế (tuân thủ PCI-DSS Level 1)
4.3 Cơ quan nhà nước
Khi có yêu cầu hợp pháp bằng văn bản từ cơ quan công an, viện kiểm sát, toà án theo Luật An ninh mạng, Luật Tố tụng hình sự, TND có nghĩa vụ cung cấp thông tin liên quan. TND sẽ thông báo cho khách hàng khi pháp luật cho phép.
4.4 KHÔNG chia sẻ trong mọi trường hợp
- KHÔNG bán dữ liệu cho công ty marketing, môi giới dữ liệu
- KHÔNG chia sẻ với đối thủ cạnh tranh
- KHÔNG chia sẻ thông tin nội dung khách hàng lưu trữ (mã nguồn, database) trừ khi có lệnh pháp lý
5. Lưu trữ và bảo mật
5.1 Lưu trữ tại Việt Nam (Decree 53)
Theo Điều 26 Nghị định 53/2022/NĐ-CP, toàn bộ dữ liệu cá nhân của người dùng Việt Nam được TND lưu trữ trên lãnh thổ Việt Nam, tối thiểu 24 tháng. Bao gồm: thông tin tài khoản, lịch sử đăng nhập, IP, email, số điện thoại, thông tin thanh toán.
5.2 Mã hoá
- Truyền dữ liệu: HTTPS / TLS 1.3 cho mọi kết nối (Letsencrypt + DigiCert SSL)
- Lưu trữ mật khẩu: Argon2id (không phải MD5/SHA1 lỗi thời)
- Lưu trữ thanh toán: AES-256 at-rest; token hoá qua Stripe Vault, không lưu CVV/số đầy đủ
- Backup: Mã hoá AES-256, lưu offsite encrypted
5.3 Kiểm soát truy cập nội bộ
- Nhân viên TND chỉ truy cập dữ liệu khách hàng khi cần thiết cho hỗ trợ, có log audit
- 2FA bắt buộc cho mọi tài khoản admin
- Đào tạo hàng năm về PDPL cho toàn bộ nhân viên
- NDA bắt buộc trong hợp đồng lao động
5.4 Thông báo vi phạm dữ liệu (72h)
Theo PDPL Điều 33, nếu xảy ra vi phạm dữ liệu cá nhân (data breach) ảnh hưởng đến quyền lợi của bạn, TND CAM KẾT:
- Thông báo cho Cục An toàn thông tin (Bộ Công an) trong vòng 72 giờ kể từ khi phát hiện
- Thông báo cho khách hàng bị ảnh hưởng qua email + SMS + dashboard alert
- Mô tả: bản chất vi phạm, dữ liệu bị ảnh hưởng, biện pháp khắc phục, hướng dẫn cho khách
- Hỗ trợ khách hàng giảm thiểu thiệt hại (đổi password, monitor giao dịch...)
6. Quyền của bạn theo PDPL
Theo PDPL Điều 9-11 và Decree 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình. TND xử lý mọi yêu cầu trong vòng 72 giờ kể từ khi nhận:
| Quyền | Cách thực hiện | Thời hạn TND xử lý |
|---|---|---|
| 🔍 Truy cập / Xem | Đăng nhập dashboard hoặc gửi ticket "Yêu cầu xuất dữ liệu" | 72 giờ |
| ✏️ Sửa đổi / Cập nhật | Sửa trong dashboard hoặc ticket | 24 giờ |
| 🗑️ Xoá / Quên | Ticket "Yêu cầu xoá dữ liệu" | 72 giờ (trừ trường hợp pháp luật yêu cầu lưu) |
| ⏸️ Hạn chế xử lý | Email [email protected] | 72 giờ |
| 🚫 Phản đối xử lý | Unsubscribe email marketing / ticket | Ngay lập tức cho marketing |
| 📦 Tính di động dữ liệu | Yêu cầu export JSON/CSV qua ticket | 7 ngày làm việc |
| 📞 Khiếu nại | Email DPO: [email protected], hoặc Bộ Công an (Cục A05) | - |
7. Cookie và công nghệ tương tự
Website tnd.vn sử dụng cookie cho các mục đích sau (chi tiết banner cookie hiển thị lần đầu truy cập):
| Loại | Mục đích | Đồng ý cần? |
|---|---|---|
| Bắt buộc | Đăng nhập, giỏ hàng, bảo mật CSRF | Không (cần để website hoạt động) |
| Hiệu suất | Google Analytics, Microsoft Clarity (phân tích lưu lượng ẩn danh) | Có (opt-in) |
| Tiếp thị | Facebook Pixel, Google Ads retargeting | Có (opt-in) |
| Tuỳ chỉnh | Ghi nhớ ngôn ngữ, theme, preference | Không (chức năng cơ bản) |
Bạn có thể từ chối cookie không bắt buộc qua banner cookie hoặc thiết lập trình duyệt. Việc từ chối có thể ảnh hưởng đến trải nghiệm nhưng không ảnh hưởng đến quyền truy cập dịch vụ đã mua.
8. Thời hạn lưu trữ
| Loại dữ liệu | Thời hạn lưu | Cơ sở |
|---|---|---|
| Thông tin tài khoản (active) | Suốt thời gian dùng dịch vụ + 24 tháng sau | Decree 53/2022 |
| Hoá đơn, chứng từ thanh toán | 5 năm | Luật Kế toán 2015 |
| Log truy cập hệ thống | 12 tháng | Decree 53/2022 |
| Ticket support đã đóng | 3 năm | Phục vụ chứng minh + cải thiện |
| Email marketing (opt-out) | Xoá trong 30 ngày sau opt-out | Sự rút lại đồng ý |
| Dữ liệu nội dung khách hàng (web, DB) | 30 ngày sau khi hết hạn dịch vụ | Cho phép migrate / khôi phục |
| Backup snapshot | 7-30 ngày (theo gói) | Auto-rotation |
9. Thay đổi chính sách
TND có quyền cập nhật Chính sách Bảo mật để phản ánh thay đổi pháp luật hoặc thực tiễn xử lý. Thay đổi quan trọng (tác động đến quyền lợi) sẽ được thông báo:
- Email trước 30 ngày đến khách hàng đăng ký
- Banner thông báo trên dashboard
- Cập nhật ngày "Hiệu lực" trên trang này
Nếu bạn không đồng ý với thay đổi, vui lòng chấm dứt sử dụng dịch vụ và yêu cầu xoá dữ liệu. Tiếp tục sử dụng sau ngày hiệu lực = chấp nhận thay đổi.
10. Liên hệ
Mọi câu hỏi, yêu cầu liên quan đến chính sách này, vui lòng liên hệ:
- Cán bộ Bảo vệ dữ liệu (DPO): Nguyễn Ngọc Thanh
- Email chính: [email protected]
- Fanpage: facebook.com/www.tnd.vn
- Địa chỉ: 12/220 Tô Hiệu, Phường Lê Chân, Thành phố Hải Phòng
Nếu bạn không hài lòng với cách TND xử lý yêu cầu, bạn có quyền khiếu nại lên cơ quan có thẩm quyền:
- Cục An toàn thông tin - Bộ Thông tin và Truyền thông
- Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an
