Chính sách quyền riêng tư

1. Bên kiểm soát dữ liệu

Bên kiểm soát dữ liệu (Data Controller) là chủ sở hữu DuToanXD:

• Email: lienhe.dutoanXD@gmail.com
• Địa chỉ & MST: cập nhật khi đăng ký doanh nghiệp chính thức
• Người phụ trách bảo vệ dữ liệu (DPO): chỉ định khi quy mô đạt ngưỡng theo NĐ 13/2023

2. Dữ liệu cá nhân chúng tôi thu thập

2.1. Dữ liệu Người dùng cung cấp

• Đăng ký: email, tên, mật khẩu (đã hash).
• Hóa đơn: địa chỉ, mã số thuế (gói Doanh nghiệp+).
• Thanh toán: KHÔNG lưu thông tin thẻ — VNPay/MoMo xử lý độc lập, chúng tôi chỉ nhận token + mã giao dịch.
• Verifier: số CCHN, ảnh CCHN PDF, chuyên môn — đây là dữ liệu cá nhân nhạy cảm theo NĐ 13/2023, đòi hỏi sự đồng ý rõ ràng.
• Sở Inspector: email .gov.vn, chức vụ, tỉnh.

2.2. Dữ liệu thu thập tự động

• Địa chỉ IP, User-Agent, thời gian truy cập (lưu 90 ngày theo NĐ 147/2024);
• Cookie phiên (session), không sử dụng tracking cookies bên thứ ba;
• Quota usage hàng ngày (số lượt tra cứu) — không bao gồm nội dung tìm kiếm cụ thể.

3. Mục đích xử lý

4. Quyền của Người dùng theo NĐ 13/2023

Anh chị có 11 quyền cơ bản:

1. Quyền được biết về việc xử lý dữ liệu của mình;
2. Quyền đồng ý hoặc không đồng ý với từng mục đích xử lý;
3. Quyền truy cập dữ liệu cá nhân của mình tại /tai-khoan;
4. Quyền rút lại sự đồng ý bất cứ lúc nào;
5. Quyền xóa dữ liệu (right to be forgotten) — gửi yêu cầu qua email;
6. Quyền hạn chế xử lý dữ liệu;
7. Quyền cung cấp dữ liệu cho mình ở định dạng máy đọc được (data portability);
8. Quyền phản đối xử lý dữ liệu;
9. Quyền khiếu nại với cơ quan chức năng (A05 - Bộ Công An);
10. Quyền yêu cầu bồi thường nếu có thiệt hại;
11. Quyền tự bảo vệ theo Điều 11 BLDS 2015.

Yêu cầu thực hiện quyền: gửi email tới lienhe.dutoanXD@gmail.com với chủ đề "NĐ 13/2023 – [tên quyền]". Chúng tôi sẽ phản hồi trong 72h và xử lý xong trong 15 ngày làm việc.

5. Lưu trữ & bảo mật

• Vị trí: dữ liệu Người dùng VN lưu trữ tại Việt Nam (VPS Viettel/FPT/CMC) theo Luật ANM 2018.
• Mã hóa: mật khẩu hash bằng bcrypt; transit qua HTTPS (TLS 1.2+); database mã hóa ở storage layer.
• Truy cập: chỉ admin được duyệt mới truy cập database; mọi truy cập đều ghi log immutable (hash chain).
• Thời gian lưu: dữ liệu giao dịch & hóa đơn lưu 10 năm (Luật Kế toán); log truy cập 90 ngày; dữ liệu cá nhân khác xóa khi tài khoản bị xóa hoặc theo yêu cầu Người dùng.

6. Chia sẻ với bên thứ ba

Chúng tôi KHÔNG bán dữ liệu cá nhân. Chỉ chia sẻ tối thiểu với:

• VNPay / MoMo: để xử lý thanh toán (chỉ orderNo + amount, không thông tin cá nhân);
• Misa eInvoice: để phát hành hóa đơn điện tử (tên, MST, địa chỉ, dòng hàng);
• Cơ quan nhà nước: khi có yêu cầu hợp pháp bằng văn bản theo Luật ANM, NĐ 13/2023, hoặc lệnh tòa án;
• Hosting: Viettel Cloud / FPT Cloud (chỉ infrastructure, không truy cập nội dung).

7. Cookie & tương tự

Chúng tôi chỉ dùng:

• Cookie phiên (session): bắt buộc, để duy trì đăng nhập;
• localStorage: lưu draft dự toán cá nhân ở trình duyệt;
• Không có: Google Analytics, Facebook Pixel, third-party tracking.

8. Vi phạm dữ liệu

Trong trường hợp xảy ra rò rỉ dữ liệu, chúng tôi cam kết:

• Thông báo cho Người dùng bị ảnh hưởng trong 72 giờ kể từ khi phát hiện;
• Báo cáo lên Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05) trong 72 giờ;
• Công bố trên website & email với thông tin: dữ liệu nào bị rò rỉ, thời gian, nguyên nhân, biện pháp khắc phục.

9. Trẻ em

Dịch vụ không dành cho trẻ em dưới 16 tuổi. Nếu phát hiện tài khoản đăng ký bằng dữ liệu trẻ em, chúng tôi sẽ xóa ngay khi nhận thông báo.

10. Cập nhật chính sách

Mọi thay đổi quan trọng sẽ thông báo qua email trước 30 ngày và đăng tại trang này. Người dùng có quyền không đồng ý & xóa tài khoản trước khi chính sách mới có hiệu lực.

11. Liên hệ về quyền riêng tư

Email: lienhe.dutoanXD@gmail.com — chủ đề "PRIVACY"
Khiếu nại lên cơ quan: Cục An ninh mạng – Bộ Công An (A05), 47 Phạm Văn Đồng, Cầu Giấy, Hà Nội.