CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN (GDPR) – ZENTRA

1. Giới thiệu

Chào mừng bạn đến với Zentra – nền tảng kết nối khách hàng với các dịch vụ du lịch, trải nghiệm và tiện ích trên toàn quốc.

Zentra cam kết tôn trọng quyền riêng tư và bảo vệ dữ liệu cá nhân của người dùng, đối tác và các bên liên quan trong quá trình truy cập, đăng ký, tương tác và sử dụng nền tảng.

Chính sách này được xây dựng theo định hướng bảo vệ dữ liệu cá nhân hiện đại, tham chiếu các nguyên tắc chung của GDPR (General Data Protection Regulation) và đồng thời phù hợp với phạm vi vận hành thực tế của nền tảng tại Việt Nam.

Chính sách này nhằm giải thích:

  • Dữ liệu cá nhân nào có thể được thu thập
  • Mục đích và cơ sở xử lý dữ liệu
  • Quyền của chủ thể dữ liệu
  • Cách thức lưu trữ, chia sẻ và bảo vệ dữ liệu
  • Cơ chế tiếp nhận yêu cầu liên quan đến dữ liệu cá nhân

2. Phạm vi áp dụng

Chính sách này áp dụng đối với:

  • Người dùng truy cập website hoặc ứng dụng Zentra
  • Người đăng ký tài khoản trên nền tảng
  • Khách hàng gửi yêu cầu, đặt dịch vụ, thanh toán hoặc sử dụng dịch vụ
  • Đối tác / nhà cung cấp dịch vụ tham gia hệ thống
  • Người liên hệ qua biểu mẫu, email, hotline hoặc các kênh hỗ trợ chính thức
  • Các tổ chức, cá nhân có dữ liệu được xử lý trong phạm vi hợp pháp để phục vụ vận hành nền tảng

3. Định nghĩa cơ bản

Trong phạm vi chính sách này:

3.1. Dữ liệu cá nhân

Là thông tin dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một cá nhân hoặc giúp xác định một cá nhân cụ thể, bao gồm nhưng không giới hạn:

  • Họ tên
  • Số điện thoại
  • Email
  • Địa chỉ liên hệ
  • Thông tin tài khoản
  • Dữ liệu giao dịch
  • Dữ liệu định danh thiết bị / IP
  • Nội dung tương tác hoặc lịch sử sử dụng

3.2. Xử lý dữ liệu cá nhân

Là một hoặc nhiều hoạt động tác động đến dữ liệu cá nhân như:

  • Thu thập
  • Ghi nhận
  • Lưu trữ
  • Tổ chức
  • Phân tích
  • Truy xuất
  • Chia sẻ
  • Điều chỉnh
  • Hạn chế xử lý
  • Xóa hoặc ẩn danh dữ liệu

3.3. Chủ thể dữ liệu

Là cá nhân mà dữ liệu cá nhân của họ được Zentra xử lý.

4. Nguyên tắc xử lý dữ liệu tại Zentra

Zentra áp dụng các nguyên tắc xử lý dữ liệu sau:

  • Hợp pháp, minh bạch và công bằng: chỉ xử lý dữ liệu trong phạm vi hợp lý, có mục đích rõ ràng
  • Giới hạn mục đích: chỉ thu thập dữ liệu cho các mục đích cụ thể liên quan đến vận hành nền tảng
  • Tối thiểu hóa dữ liệu: chỉ thu thập dữ liệu cần thiết cho từng chức năng
  • Chính xác và cập nhật: tạo điều kiện để người dùng cập nhật dữ liệu khi cần
  • Giới hạn lưu trữ: không lưu dữ liệu lâu hơn mức cần thiết hoặc vượt quá nghĩa vụ pháp lý
  • Toàn vẹn và bảo mật: áp dụng biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu
  • Trách nhiệm giải trình: có thể tiếp nhận và xử lý các yêu cầu liên quan đến dữ liệu theo phạm vi chính sách

5. Các loại dữ liệu cá nhân có thể được xử lý

Zentra có thể xử lý một hoặc nhiều nhóm dữ liệu sau:

5.1. Dữ liệu nhận diện cơ bản

  • Họ và tên
  • Số điện thoại
  • Email
  • Ảnh đại diện (nếu người dùng tự cung cấp)
  • Tên doanh nghiệp / đơn vị cung cấp dịch vụ (đối với đối tác, nếu có)

5.2. Dữ liệu tài khoản

  • Tên đăng nhập
  • Thông tin hồ sơ tài khoản
  • Trạng thái tài khoản
  • Lịch sử cập nhật thông tin

5.3. Dữ liệu giao dịch và dịch vụ

  • Lịch sử tìm kiếm, xem dịch vụ
  • Thông tin đặt lịch / yêu cầu dịch vụ
  • Thông tin xác nhận giao dịch
  • Trạng thái thanh toán (trong phạm vi cần thiết)
  • Ghi chú liên quan đến đơn hàng / dịch vụ
  • Lịch sử hỗ trợ, phản hồi, khiếu nại

5.4. Dữ liệu kỹ thuật

  • Địa chỉ IP
  • Loại trình duyệt
  • Thiết bị sử dụng
  • Hệ điều hành
  • Dữ liệu phiên đăng nhập
  • Cookie / session
  • Log truy cập và tương tác hệ thống

5.5. Dữ liệu nội dung do người dùng tạo

  • Đánh giá
  • Bình luận
  • Phản hồi
  • Hình ảnh hoặc tài liệu do người dùng / đối tác tự tải lên
  • Nội dung liên hệ với bộ phận hỗ trợ

6. Mục đích xử lý dữ liệu cá nhân

Zentra có thể xử lý dữ liệu cá nhân cho các mục đích sau:

  • Tạo, xác minh và quản lý tài khoản người dùng / đối tác
  • Hỗ trợ tìm kiếm, đặt dịch vụ, xác nhận lịch hoặc xử lý giao dịch
  • Liên hệ về đơn hàng, lịch hẹn, thay đổi dịch vụ hoặc thông báo quan trọng
  • Hỗ trợ chăm sóc khách hàng, phản hồi yêu cầu, tiếp nhận khiếu nại
  • Kiểm soát chất lượng, cải thiện trải nghiệm người dùng và tối ưu tính năng
  • Phân tích hành vi sử dụng để nâng cao hiệu quả vận hành
  • Phát hiện và phòng chống gian lận, truy cập trái phép, hành vi lạm dụng hệ thống
  • Quản trị nội bộ, lưu trữ hồ sơ vận hành và giải quyết tranh chấp
  • Tuân thủ yêu cầu pháp lý hoặc yêu cầu từ cơ quan có thẩm quyền
  • Gửi thông báo vận hành, cập nhật chính sách hoặc thông tin liên quan đến việc sử dụng nền tảng
  • Thực hiện các hoạt động cần thiết khác phù hợp với mục đích vận hành hợp pháp của Zentra

7. Cơ sở pháp lý để xử lý dữ liệu (GDPR style)

Zentra có thể xử lý dữ liệu cá nhân dựa trên một hoặc nhiều cơ sở sau:

7.1. Sự đồng ý của người dùng

Khi người dùng tự nguyện:

  • Đăng ký tài khoản
  • Điền biểu mẫu
  • Gửi thông tin liên hệ
  • Chấp nhận cookie / chính sách (nếu áp dụng)
  • Cung cấp dữ liệu để nhận hỗ trợ hoặc sử dụng tính năng cụ thể

7.2. Cần thiết để thực hiện hợp đồng hoặc yêu cầu trước hợp đồng

Khi việc xử lý là cần thiết để:

  • Tiếp nhận yêu cầu đặt dịch vụ
  • Xác nhận lịch / giao dịch
  • Kết nối với đối tác cung cấp dịch vụ
  • Hỗ trợ thanh toán
  • Thực hiện các nghĩa vụ liên quan đến giao dịch phát sinh trên nền tảng

7.3. Nghĩa vụ pháp lý

Khi Zentra cần xử lý dữ liệu để:

  • Lưu trữ chứng từ / hồ sơ trong phạm vi luật định
  • Phối hợp với cơ quan có thẩm quyền
  • Thực hiện nghĩa vụ báo cáo, kiểm tra hoặc xử lý tranh chấp hợp pháp

7.4. Lợi ích hợp pháp của Zentra

Trong phạm vi phù hợp, Zentra có thể xử lý dữ liệu để:

  • Bảo vệ hệ thống và cộng đồng người dùng
  • Phòng chống gian lận
  • Nâng cao hiệu năng nền tảng
  • Phân tích và cải thiện dịch vụ
  • Giải quyết sự cố, tranh chấp hoặc vi phạm chính sách

Việc xử lý theo lợi ích hợp pháp luôn được cân nhắc nhằm không xâm phạm quá mức quyền và lợi ích chính đáng của chủ thể dữ liệu.

8. Chia sẻ dữ liệu cá nhân

Zentra có thể chia sẻ dữ liệu trong phạm vi cần thiết với các bên sau:

8.1. Đối tác cung cấp dịch vụ

Để hỗ trợ xử lý yêu cầu hoặc thực hiện dịch vụ, Zentra có thể chia sẻ các thông tin cần thiết như:

  • Họ tên
  • Số điện thoại
  • Email (nếu cần)
  • Thông tin lịch hẹn / yêu cầu
  • Ghi chú liên quan đến dịch vụ

8.2. Nhà cung cấp dịch vụ hỗ trợ vận hành

Bao gồm nhưng không giới hạn:

  • Cổng thanh toán
  • Đơn vị hosting / lưu trữ dữ liệu
  • Nhà cung cấp email / SMS / thông báo
  • Công cụ phân tích, bảo mật hoặc chống gian lận
  • Dịch vụ kỹ thuật phục vụ vận hành hợp pháp của nền tảng

8.3. Cơ quan nhà nước có thẩm quyền

Khi có yêu cầu hợp pháp hoặc khi cần thiết để tuân thủ nghĩa vụ pháp lý.

8.4. Tái cấu trúc hoặc chuyển giao hoạt động

Trong trường hợp sáp nhập, mua bán, chuyển nhượng hoặc tái cấu trúc hoạt động, dữ liệu có thể được chuyển giao trong phạm vi cần thiết và có biện pháp bảo vệ phù hợp.

9. Chuyển dữ liệu ra nước ngoài (nếu có)

Do đặc thù sử dụng hạ tầng công nghệ, một phần dữ liệu có thể được lưu trữ, sao lưu hoặc xử lý trên máy chủ hoặc hệ thống của nhà cung cấp dịch vụ đặt tại nhiều khu vực địa lý khác nhau.

Trong các trường hợp đó, Zentra sẽ nỗ lực:

  • Lựa chọn nhà cung cấp có tiêu chuẩn bảo mật phù hợp
  • Áp dụng biện pháp kỹ thuật và tổ chức hợp lý
  • Giới hạn phạm vi truy cập và sử dụng dữ liệu
  • Đảm bảo việc chuyển dữ liệu phục vụ mục đích vận hành hợp pháp và chính đáng

10. Thời gian lưu trữ dữ liệu

Zentra lưu trữ dữ liệu cá nhân trong thời gian cần thiết để:

  • Duy trì tài khoản và cung cấp dịch vụ
  • Ghi nhận lịch sử giao dịch và hỗ trợ người dùng
  • Giải quyết khiếu nại, tranh chấp hoặc yêu cầu hậu kiểm
  • Tuân thủ quy định pháp luật về lưu trữ hồ sơ
  • Phòng chống gian lận, bảo vệ hệ thống và phục vụ kiểm tra nội bộ hợp lý

Khi dữ liệu không còn cần thiết, Zentra có thể:

  • Xóa dữ liệu
  • Ẩn danh dữ liệu
  • Hạn chế xử lý
  • Hoặc lưu trữ ở trạng thái hạn chế theo nghĩa vụ pháp lý còn hiệu lực

11. Quyền của chủ thể dữ liệu

Trong phạm vi phù hợp với pháp luật áp dụng và điều kiện vận hành của nền tảng, bạn có thể có các quyền sau:

11.1. Quyền được biết

Yêu cầu biết dữ liệu nào đang được xử lý, mục đích xử lý và phạm vi sử dụng.

11.2. Quyền truy cập

Yêu cầu xem hoặc nhận thông tin về dữ liệu cá nhân của mình trong phạm vi phù hợp.

11.3. Quyền chỉnh sửa / cập nhật

Yêu cầu sửa đổi thông tin không chính xác, thiếu hoặc đã lỗi thời.

11.4. Quyền yêu cầu xóa dữ liệu

Yêu cầu xóa dữ liệu trong các trường hợp phù hợp, trừ khi việc lưu giữ vẫn cần thiết để:

  • Tuân thủ pháp luật
  • Giải quyết tranh chấp
  • Phòng chống gian lận
  • Bảo vệ quyền và lợi ích hợp pháp của Zentra hoặc bên liên quan

11.5. Quyền hạn chế xử lý

Yêu cầu tạm hạn chế một số hoạt động xử lý trong trường hợp có căn cứ phù hợp.

11.6. Quyền phản đối

Phản đối việc xử lý dựa trên lợi ích hợp pháp trong một số trường hợp, nếu có căn cứ hợp lý.

11.7. Quyền rút lại sự đồng ý

Khi việc xử lý dựa trên sự đồng ý, bạn có thể rút lại sự đồng ý vào bất kỳ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý đã thực hiện trước thời điểm rút lại.

11.8. Quyền khiếu nại

Bạn có thể gửi khiếu nại tới Zentra nếu cho rằng dữ liệu cá nhân của mình đang bị xử lý không phù hợp.

12. Cách gửi yêu cầu liên quan đến dữ liệu cá nhân

Để gửi yêu cầu liên quan đến dữ liệu cá nhân, bạn có thể liên hệ qua kênh hỗ trợ chính thức của Zentra được công bố trên website.

Khi tiếp nhận yêu cầu, Zentra có thể:

  • Xác minh danh tính người gửi
  • Yêu cầu bổ sung thông tin cần thiết
  • Từ chối hoặc giới hạn xử lý nếu yêu cầu không đủ căn cứ, xâm phạm quyền của bên khác hoặc trái nghĩa vụ pháp lý hiện hành

Zentra sẽ nỗ lực phản hồi trong thời gian hợp lý tùy theo mức độ phức tạp của yêu cầu.

13. Cookie và công nghệ theo dõi

Zentra có thể sử dụng:

  • Cookie
  • Session
  • Local storage
  • Log hệ thống
  • Công cụ phân tích truy cập
  • Công nghệ tương tự phục vụ vận hành và tối ưu trải nghiệm

Mục đích sử dụng bao gồm:

  • Duy trì đăng nhập
  • Ghi nhớ phiên làm việc
  • Đo lường hiệu suất
  • Phân tích hành vi sử dụng
  • Cải thiện tính năng
  • Phát hiện bất thường hoặc hành vi gian lận

Người dùng có thể điều chỉnh trình duyệt để chặn hoặc xóa cookie, tuy nhiên việc này có thể ảnh hưởng đến một số chức năng của nền tảng.

14. Bảo mật dữ liệu

Zentra áp dụng các biện pháp kỹ thuật và tổ chức hợp lý để bảo vệ dữ liệu cá nhân, bao gồm nhưng không giới hạn:

  • Kiểm soát truy cập nội bộ theo vai trò
  • Bảo vệ đăng nhập và tài khoản
  • Giới hạn quyền truy cập dữ liệu theo nhu cầu công việc
  • Sử dụng nhà cung cấp hạ tầng có tiêu chuẩn bảo mật phù hợp
  • Sao lưu và giám sát hệ thống trong phạm vi cần thiết
  • Áp dụng quy trình xử lý sự cố dữ liệu phù hợp với năng lực vận hành

Tuy nhiên, không có hệ thống nào có thể bảo đảm an toàn tuyệt đối 100%. Người dùng cũng có trách nhiệm bảo mật thông tin tài khoản và thiết bị truy cập của mình.

15. Quyền riêng tư của trẻ vị thành niên

Zentra không chủ đích thu thập dữ liệu cá nhân của trẻ em hoặc người chưa đủ điều kiện pháp lý để tự mình xác lập giao dịch, trừ khi có căn cứ hợp lệ hoặc có sự đồng ý phù hợp của cha mẹ / người giám hộ (nếu áp dụng).

Nếu phát hiện dữ liệu được cung cấp không phù hợp, Zentra có thể hạn chế, xóa hoặc ngừng xử lý theo chính sách và quy định hiện hành.

16. Vi phạm dữ liệu và xử lý sự cố

Trong trường hợp phát hiện sự cố liên quan đến dữ liệu cá nhân, Zentra sẽ đánh giá mức độ ảnh hưởng và có thể áp dụng các biện pháp phù hợp như:

  • Cô lập hoặc khắc phục sự cố kỹ thuật
  • Hạn chế truy cập trái phép
  • Tăng cường biện pháp bảo vệ
  • Rà soát dữ liệu bị ảnh hưởng
  • Thông báo nội bộ hoặc cho bên liên quan trong phạm vi cần thiết
  • Thực hiện các bước xử lý phù hợp với nghĩa vụ pháp lý áp dụng

17. Mối quan hệ với các chính sách khác

Chính sách này cần được đọc cùng với các tài liệu sau của Zentra (nếu có):

  • Điều khoản sử dụng
  • Chính sách bảo mật
  • Chính sách thanh toán
  • Chính sách hoàn tiền & hủy dịch vụ
  • Chính sách khiếu nại & giải quyết tranh chấp
  • Chính sách DMCA / Sở hữu trí tuệ
  • Miễn trừ trách nhiệm

Trong trường hợp có khác biệt về nội dung, Zentra có quyền giải thích và áp dụng chính sách phù hợp với từng tình huống cụ thể, trong phạm vi pháp luật cho phép.

18. Cập nhật chính sách

Zentra có thể sửa đổi, bổ sung hoặc cập nhật chính sách bảo vệ dữ liệu cá nhân này vào bất kỳ thời điểm nào để phù hợp với:

  • Sự thay đổi của mô hình hoạt động
  • Việc bổ sung hoặc điều chỉnh tính năng trên nền tảng
  • Cập nhật pháp luật hoặc tiêu chuẩn bảo mật
  • Nhu cầu quản trị, vận hành và bảo vệ người dùng tốt hơn

Phiên bản cập nhật sẽ được công bố trên website hoặc nền tảng và có hiệu lực kể từ thời điểm đăng tải, trừ khi có thông báo khác.

19. Thông tin liên hệ

Nếu bạn có yêu cầu, câu hỏi hoặc khiếu nại liên quan đến dữ liệu cá nhân hoặc quyền riêng tư trên nền tảng Zentra, vui lòng liên hệ qua kênh hỗ trợ chính thức của Zentra được công bố trên website.