Chính sách bảo vệ dữ liệu cá nhân

{{ TODO: fill in tên pháp nhân vận hành ACE Academy }}

Địa chỉ: {{ TODO: fill in địa chỉ trụ sở chính }}

Mã số doanh nghiệp: {{ TODO: fill in mã số doanh nghiệp }}

Email liên hệ: {{ TODO: fill in email công ty }}

Điện thoại: {{ TODO: fill in số điện thoại }}

Khi bạn (hoặc phụ huynh đối với học viên dưới 16 tuổi) đăng ký và sử dụng cổng học tập ACE Academy, chúng tôi thu thập và xử lý các loại dữ liệu sau, được phân loại là dữ liệu cá nhân nhạy cảm theo Điều 2.4 Nghị định 13/2023/NĐ-CP:

• Họ và tên, giới tính, ngày tháng năm sinh (DOB)
• Số điện thoại của học viên và của phụ huynh
• Địa chỉ email, địa chỉ liên hệ
• Dữ liệu điểm danh tại lớp (thời gian, hình thức check-in, lớp học)
• Kết quả luyện tập và bài thi IELTS (Reading, Listening, Writing, Speaking — bao gồm cả bài viết và bản ghi nói)
• Bản ghi âm bài nói (audio recordings) phục vụ chấm điểm và phản hồi
• Hồ sơ học phí, biên lai thanh toán và lịch sử giao dịch (không bao gồm số thẻ ngân hàng — xem mục 8)
• Dữ liệu kỹ thuật cơ bản (địa chỉ IP, user agent) phục vụ ghi nhận đồng ý và chống gian lận

• Cung cấp dịch vụ luyện thi và quản lý lớp học
• Theo dõi tiến độ học tập, gửi báo cáo cho học viên và phụ huynh
• Quản lý học phí, xuất hóa đơn và đối soát công nợ
• Gửi thông báo lớp học và nhắc lịch qua Zalo, SMS, email
• Tuân thủ nghĩa vụ pháp lý về kế toán, thuế và lưu trữ hồ sơ
• Cải thiện chất lượng dịch vụ thông qua thống kê ẩn danh

Mặc định, dữ liệu cá nhân của học viên được lưu trữ trong 5 năm kể từ ngày học viên kết thúc chương trình học (graduation date). Các trường hợp ngoại lệ:

• Hồ sơ kế toán, hóa đơn điện tử: lưu trữ tối thiểu 10 năm theo Luật Kế toán số 88/2015/QH13.
• Bản ghi âm bài nói (audio recordings): xóa sau 5 năm hoặc theo yêu cầu xóa của chủ thể dữ liệu.
• Khi nhận được yêu cầu xóa dữ liệu hợp lệ (mục 6), chúng tôi sẽ thực hiện xóa mềm trong vòng 72 giờ và xóa cứng sau 30 ngày grace period, trừ khi pháp luật yêu cầu lưu trữ.

Dữ liệu cá nhân của bạn được chia sẻ với các bên xử lý dữ liệu (data processors) sau, trên cơ sở hợp đồng xử lý dữ liệu cá nhân:

• Supabase Inc. — nhà cung cấp hạ tầng cơ sở dữ liệu và xác thực. Khu vực lưu trữ dữ liệu: ap-southeast-1 (Singapore). Xem mục 7 về chuyển giao xuyên biên giới.
• VNPay, MoMo, ZaloPay — cổng thanh toán trực tuyến. Chỉ dữ liệu giao dịch (số tiền, mã đơn) được chia sẻ; không có dữ liệu thẻ ngân hàng được lưu tại hệ thống ACE Academy.
• Zalo ZNS (VNG Corporation) — kênh gửi tin nhắn chăm sóc và nhắc lịch. Dữ liệu chia sẻ giới hạn ở số điện thoại, tên và nội dung tin nhắn theo template được duyệt.
• Cơ quan nhà nước có thẩm quyền khi có yêu cầu hợp pháp bằng văn bản.

Theo Điều 9–17 Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

• Quyền được biết về việc xử lý dữ liệu cá nhân của mình (chính sách này).
• Quyền truy cập — yêu cầu bản sao dữ liệu cá nhân của mình. Bạn có thể tự xuất dữ liệu qua API GET /api/me/data-export sau khi đăng nhập.
• Quyền chỉnh sửa dữ liệu không chính xác trong tài khoản.
• Quyền xóa dữ liệu cá nhân — qua API DELETE /api/me/data-deletion hoặc bằng văn bản gửi đến DPO (mục 9).
• Quyền chuyển dữ liệu (data portability) — xuất dữ liệu dạng JSON có cấu trúc.
• Quyền rút lại sự đồng ý bất cứ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của xử lý dữ liệu trước thời điểm rút lại.
• Quyền khiếu nại đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.

Hạ tầng cơ sở dữ liệu của chúng tôi do Supabase Inc. cung cấp, với khu vực lưu trữ ap-southeast-1 đặt tại Singapore. Việc lưu trữ và xử lý dữ liệu tại Singapore được thực hiện trên cơ sở hợp đồng xử lý dữ liệu (Data Processing Addendum) phù hợp với Điều 25 Nghị định 13/2023/NĐ-CP.

Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới (TIA) và bản khai báo tới Bộ Công an được lưu giữ tại trụ sở của ACE Academy và cung cấp khi có yêu cầu hợp pháp.

ACE Academy không lưu trữ số thẻ ngân hàng, mã CVV hoặc bất kỳ dữ liệu xác thực thẻ nào (Sensitive Authentication Data). Toàn bộ luồng thanh toán thẻ được chuyển hướng (redirect) đến cổng thanh toán đã được chứng nhận PCI-DSS (VNPay, MoMo, ZaloPay).

Hệ thống của chúng tôi tự đánh giá ở mức PCI-DSS SAQ-A — phù hợp với mô hình thương nhân hoàn toàn outsource luồng xử lý thẻ cho bên thứ ba được chứng nhận.

Cán bộ Bảo vệ Dữ liệu (Data Protection Officer): {{ TODO: fill in tên DPO }}

Email: {{ TODO: fill in email DPO, vd: dpo@... }}

Điện thoại: {{ TODO: fill in số điện thoại DPO }}

Thời gian phản hồi yêu cầu của chủ thể dữ liệu: tối đa 72 giờ làm việc kể từ khi nhận được yêu cầu hợp lệ.

Chính sách này có thể được cập nhật theo thay đổi của pháp luật hoặc của dịch vụ. Khi có thay đổi quan trọng, chúng tôi sẽ cập nhật trường Phiên bản ở đầu trang và yêu cầu bạn xác nhận lại sự đồng ý khi đăng nhập lần kế tiếp.