Căn cứ pháp lý
Chính sách bảo mật này được xây dựng căn cứ theo Nghị định 13/2023/NĐ-CP ngày 17/04/2023 về Bảo vệ dữ liệu cá nhân; Luật An ninh mạng 2018 (số 24/2018/QH14); Luật Giao dịch điện tử 2023 (số 20/2023/QH15); và Luật Bảo vệ quyền lợi người tiêu dùng 2023 (số 19/2023/QH15).
Điều 1. Đơn vị kiểm soát dữ liệu
- Tên nền tảng: Thư Viện Số
- Email liên hệ bảo mật: support.thuvienso@gmail.com
- Số điện thoại: 0876 096 170
Thư Viện Số là đơn vị kiểm soát dữ liệu cá nhân theo Điều 2 Nghị định 13/2023/NĐ-CP, chịu trách nhiệm về việc thu thập, xử lý và bảo vệ dữ liệu cá nhân của người dùng.
Điều 2. Dữ liệu cá nhân được thu thập
Theo Điều 9 Nghị định 13/2023/NĐ-CP, chúng tôi thu thập các loại dữ liệu sau:
2.1. Dữ liệu cá nhân cơ bản:
- Họ tên, địa chỉ email khi đăng ký tài khoản.
- Số điện thoại (nếu cung cấp khi liên hệ hỗ trợ).
- Tên hiển thị (display name) do người dùng tự thiết lập.
2.2. Dữ liệu giao dịch:
- Lịch sử mua hàng, lịch sử nạp tiền.
- Phương thức thanh toán đã sử dụng (không bao gồm số thẻ ngân hàng).
- Số dư tài khoản trên nền tảng.
2.3. Dữ liệu kỹ thuật:
- Địa chỉ IP khi truy cập và tải sản phẩm.
- Loại trình duyệt, hệ điều hành, thiết bị.
- Thời gian truy cập, trang đã xem.
- Cookie phiên đăng nhập.
Dữ liệu KHÔNG thu thập:
Chúng tôi không thu thập dữ liệu cá nhân nhạy cảm (quan điểm chính trị, tôn giáo, tình trạng sức khỏe, sinh trắc học, đời sống tình dục) theo định nghĩa tại Điều 2, khoản 4 Nghị định 13/2023/NĐ-CP.
Điều 3. Mục đích xử lý dữ liệu
Theo Điều 3 Nghị định 13/2023/NĐ-CP, dữ liệu được xử lý cho các mục đích cụ thể:
- Thực hiện hợp đồng: Xử lý đơn hàng, cung cấp sản phẩm đã mua, quản lý tài khoản.
- Hỗ trợ khách hàng: Phản hồi câu hỏi, xử lý khiếu nại, hỗ trợ kỹ thuật.
- Bảo mật hệ thống: Phát hiện và ngăn chặn gian lận, truy cập trái phép, bảo vệ nền tảng.
- Cải thiện dịch vụ: Phân tích hành vi sử dụng (ẩn danh) để nâng cao trải nghiệm.
- Thông báo: Gửi thông tin về đơn hàng, cập nhật tài khoản, thay đổi điều khoản (không gửi quảng cáo trừ khi người dùng đồng ý).
- Tuân thủ pháp luật: Đáp ứng yêu cầu từ cơ quan nhà nước có thẩm quyền theo quy định.
Điều 4. Cơ sở pháp lý xử lý dữ liệu
Theo Điều 11 Nghị định 13/2023/NĐ-CP, chúng tôi xử lý dữ liệu dựa trên:
- Sự đồng ý: Người dùng đồng ý khi đăng ký tài khoản và chấp nhận Chính sách bảo mật.
- Thực hiện hợp đồng: Cần thiết để cung cấp dịch vụ đã cam kết.
- Nghĩa vụ pháp lý: Khi pháp luật yêu cầu lưu trữ hoặc cung cấp thông tin.
- Lợi ích hợp pháp: Bảo vệ an ninh hệ thống, phòng chống gian lận.
Điều 5. Thời hạn lưu trữ dữ liệu
| Loại dữ liệu | Thời hạn lưu trữ |
|---|---|
| Thông tin tài khoản | Đến khi người dùng yêu cầu xóa tài khoản + 30 ngày |
| Dữ liệu giao dịch | Tối thiểu 10 năm (theo Luật Kế toán 2015) |
| Dữ liệu hỗ trợ/liên hệ | 3 năm kể từ lần liên hệ cuối |
| Dữ liệu kỹ thuật (IP, log) | 12 tháng |
| Cookie phiên đăng nhập | Đến khi đăng xuất hoặc hết hạn phiên (tối đa 30 ngày) |
Sau khi hết thời hạn lưu trữ, dữ liệu sẽ được xóa vĩnh viễn hoặc ẩn danh hóa không thể khôi phục theo Điều 16 Nghị định 13/2023/NĐ-CP.
Điều 6. Chia sẻ dữ liệu với bên thứ ba
Chúng tôi không bán, cho thuê hoặc trao đổi dữ liệu cá nhân vì mục đích thương mại. Dữ liệu chỉ được chia sẻ trong các trường hợp:
- Đối tác xử lý thanh toán: VNPay, MoMo — chỉ thông tin cần thiết để hoàn tất giao dịch (mã đơn hàng, số tiền). Các đối tác này có chính sách bảo mật riêng và chịu trách nhiệm bảo vệ dữ liệu theo hợp đồng.
- Dịch vụ hạ tầng: Nhà cung cấp hosting, CDN — để vận hành nền tảng. Dữ liệu được mã hóa trong quá trình truyền tải.
- Cơ quan nhà nước có thẩm quyền: Khi có yêu cầu hợp pháp bằng văn bản theo quy định Luật An ninh mạng 2018 và pháp luật liên quan.
Điều 7. Quyền của chủ thể dữ liệu
Theo Điều 9 Nghị định 13/2023/NĐ-CP, người dùng có các quyền sau đối với dữ liệu cá nhân:
- Quyền được biết: Được thông báo về hoạt động xử lý dữ liệu, bao gồm loại dữ liệu, mục đích, phương thức, bên nhận dữ liệu.
- Quyền đồng ý: Được lựa chọn đồng ý hoặc không đồng ý với việc xử lý dữ liệu, trừ trường hợp pháp luật quy định khác.
- Quyền truy cập: Được yêu cầu xem toàn bộ dữ liệu cá nhân mà chúng tôi đang lưu trữ.
- Quyền chỉnh sửa: Được yêu cầu sửa đổi dữ liệu không chính xác hoặc không đầy đủ.
- Quyền xóa: Được yêu cầu xóa dữ liệu cá nhân, trừ trường hợp pháp luật yêu cầu lưu trữ (ví dụ: dữ liệu giao dịch theo Luật Kế toán).
- Quyền hạn chế xử lý: Được yêu cầu giới hạn phạm vi xử lý dữ liệu.
- Quyền rút lại đồng ý: Được rút lại sự đồng ý bất cứ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó.
- Quyền khiếu nại: Được khiếu nại đến cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an nếu cho rằng quyền bị xâm phạm.
Để thực hiện các quyền trên, vui lòng gửi yêu cầu qua email support.thuvienso@gmail.com với tiêu đề "Yêu cầu về dữ liệu cá nhân". Chúng tôi sẽ phản hồi trong vòng 72 giờ và xử lý hoàn tất trong 15 ngày làm việc.
Điều 8. Biện pháp bảo mật
Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu:
- Mã hóa: SSL/TLS cho toàn bộ kết nối. Mật khẩu được hash bằng thuật toán không thể giải mã ngược.
- Kiểm soát truy cập: Phân quyền nghiêm ngặt, chỉ nhân sự được ủy quyền mới truy cập dữ liệu.
- Không lưu trữ thông tin thẻ: Thanh toán được xử lý qua cổng thanh toán có giấy phép. Chúng tôi không lưu số thẻ, CVV hoặc thông tin ngân hàng.
- Sao lưu: Dữ liệu được sao lưu định kỳ để đảm bảo khả năng khôi phục.
- Giám sát: Hệ thống giám sát truy cập bất thường 24/7.
Điều 9. Thông báo vi phạm dữ liệu
Theo Điều 23 Nghị định 13/2023/NĐ-CP, trong trường hợp xảy ra sự cố vi phạm dữ liệu cá nhân:
- Chúng tôi sẽ thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Bộ Công an) trong vòng 72 giờ kể từ khi phát hiện sự cố.
- Thông báo cho người dùng bị ảnh hưởng qua email, nêu rõ: loại dữ liệu bị ảnh hưởng, nguyên nhân, biện pháp khắc phục.
- Thực hiện ngay các biện pháp khắc phục để hạn chế thiệt hại.
Điều 10. Cookie và công nghệ tương tự
10.1. Cookie thiết yếu (bắt buộc):
- Duy trì phiên đăng nhập.
- Lưu giỏ hàng, tùy chọn giao diện (dark/light mode).
- Bảo mật chống CSRF.
10.2. Cookie phân tích (tùy chọn):
- Thống kê lượt truy cập, trang phổ biến (dữ liệu ẩn danh).
Bạn có thể tắt cookie trong cài đặt trình duyệt. Lưu ý: tắt cookie thiết yếu có thể ảnh hưởng đến khả năng đăng nhập và sử dụng một số tính năng.
Điều 11. Chuyển giao dữ liệu xuyên biên giới
Theo Điều 25 Nghị định 13/2023/NĐ-CP, trong trường hợp dữ liệu cần được xử lý bởi dịch vụ đặt tại nước ngoài (hosting, CDN), chúng tôi đảm bảo:
- Chỉ chuyển dữ liệu kỹ thuật cần thiết cho vận hành nền tảng.
- Đối tác phải đáp ứng tiêu chuẩn bảo mật tương đương hoặc cao hơn quy định Việt Nam.
- Lập hồ sơ đánh giá tác động chuyển giao dữ liệu theo quy định.
Điều 12. Bảo vệ dữ liệu trẻ em
Theo Điều 20 Nghị định 13/2023/NĐ-CP, đối với người dùng dưới 16 tuổi:
- Việc thu thập và xử lý dữ liệu cần có sự đồng ý của cha, mẹ hoặc người giám hộ.
- Chúng tôi không chủ đích thu thập dữ liệu của trẻ em dưới 16 tuổi mà không có sự đồng ý hợp lệ.
- Nếu phát hiện đã thu thập dữ liệu trẻ em mà không có sự đồng ý hợp lệ, chúng tôi sẽ xóa ngay.
Điều 13. Sửa đổi chính sách bảo mật
- Chính sách này có thể được cập nhật để phản ánh thay đổi trong hoạt động hoặc quy định pháp luật.
- Thay đổi quan trọng sẽ được thông báo qua email trước khi có hiệu lực tối thiểu 5 ngày làm việc.
- Phiên bản hiện tại luôn được công bố tại trang này với ngày cập nhật rõ ràng.
Điều 14. Liên hệ về bảo mật
Mọi yêu cầu liên quan đến dữ liệu cá nhân, vui lòng liên hệ:
- Email: support.thuvienso@gmail.com (ghi tiêu đề: "Yêu cầu về dữ liệu cá nhân")
- Điện thoại: 0876 096 170 (Thứ 2 – Thứ 7, 9:00 – 18:00)
- Trang liên hệ: Gửi yêu cầu trực tiếp
Nếu không hài lòng với cách chúng tôi xử lý dữ liệu, bạn có quyền khiếu nại đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an theo Điều 30 Nghị định 13/2023/NĐ-CP.
Chính sách bảo mật này là một phần không tách rời của Điều khoản sử dụng. Bằng việc sử dụng dịch vụ, bạn xác nhận đã đọc và đồng ý với chính sách này.
Có hiệu lực từ ngày 06/04/2026. Phiên bản trước đó (nếu có) không còn hiệu lực.