1. Giới thiệu & Phạm vi áp dụng
MateFlow IQ (sau đây gọi là "Chúng tôi") tôn trọng và cam kết bảo vệ quyền riêng tư của bạn. Chính sách Bảo mật này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ thông tin cá nhân khi bạn sử dụng website metaflow.com và các dịch vụ tự động hóa doanh nghiệp của chúng tôi (gọi chung là "Dịch vụ").
Chính sách này áp dụng cho tất cả người dùng — bao gồm khách truy cập website, khách hàng dùng thử, khách hàng trả phí và đối tác — không phân biệt quốc tịch hay vị trí địa lý.
Cơ sở pháp lý: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân · Luật An toàn thông tin mạng số 86/2015/QH13 · Luật Giao dịch điện tử số 20/2023/QH15 · GDPR (Quy định bảo vệ dữ liệu chung của EU) đối với người dùng từ EEA.
Bằng cách truy cập hoặc sử dụng Dịch vụ, bạn xác nhận đã đọc, hiểu và đồng ý với Chính sách này. Nếu bạn không đồng ý, vui lòng ngừng sử dụng Dịch vụ.
2. Dữ liệu cá nhân chúng tôi thu thập
2.1 Dữ liệu bạn cung cấp chủ động
- Thông tin nhận dạng: Họ và tên, địa chỉ email, số điện thoại
- Thông tin nghề nghiệp: Tên công ty, chức vụ, lĩnh vực hoạt động, quy mô doanh nghiệp
- Thông tin thanh toán: Địa chỉ xuất hóa đơn, mã số thuế doanh nghiệp. Lưu ý: chúng tôi không lưu trữ thông tin thẻ ngân hàng — tất cả giao dịch được xử lý qua cổng thanh toán an toàn của bên thứ ba.
- Nội dung liên lạc: Email, tin nhắn, yêu cầu hỗ trợ, phản hồi khảo sát
- Dữ liệu tư vấn: Thông tin bạn cung cấp khi đặt lịch tư vấn hoặc demo
2.2 Dữ liệu thu thập tự động
- Dữ liệu sử dụng Dịch vụ: Tính năng sử dụng, thời gian phiên, hành vi trong ứng dụng, log hoạt động
- Dữ liệu thiết bị & kết nối: Địa chỉ IP, loại trình duyệt, hệ điều hành, độ phân giải màn hình, ngôn ngữ
- Dữ liệu vị trí: Vị trí xấp xỉ dựa trên địa chỉ IP (cấp độ thành phố/quốc gia)
- Cookie & Pixel: Xem chi tiết tại Chính sách Cookie
2.3 Dữ liệu từ bên thứ ba
- Thông tin hồ sơ khi bạn đăng nhập qua Google, Facebook hoặc LinkedIn
- Dữ liệu từ đối tác tích hợp (Zalo OA, CRM, ERP) theo ủy quyền của bạn
- Thông tin công khai từ LinkedIn và các nguồn kinh doanh hợp pháp
2.4 Dữ liệu nhạy cảm
Chúng tôi không chủ động thu thập dữ liệu nhạy cảm như thông tin sức khỏe, quan điểm chính trị, tôn giáo, hay dữ liệu sinh trắc học. Trường hợp cần thiết về mặt pháp lý hoặc hợp đồng, chúng tôi sẽ xin phép đồng ý riêng biệt từ bạn.
3. Mục đích & Cơ sở pháp lý xử lý dữ liệu
| Mục đích xử lý | Cơ sở pháp lý (VN) | Cơ sở pháp lý (GDPR) |
|---|---|---|
| Cung cấp và vận hành Dịch vụ | Thực hiện hợp đồng | Article 6(1)(b) |
| Tạo và quản lý tài khoản | Thực hiện hợp đồng | Article 6(1)(b) |
| Xác thực danh tính, phòng chống gian lận | Lợi ích hợp pháp | Article 6(1)(f) |
| Hỗ trợ khách hàng | Thực hiện hợp đồng | Article 6(1)(b) |
| Gửi thông báo giao dịch và dịch vụ | Thực hiện hợp đồng | Article 6(1)(b) |
| Email marketing, cập nhật sản phẩm | Sự đồng ý | Article 6(1)(a) |
| Phân tích, cải thiện Dịch vụ | Lợi ích hợp pháp | Article 6(1)(f) |
| Tuân thủ nghĩa vụ pháp lý | Nghĩa vụ pháp lý | Article 6(1)(c) |
| Bảo vệ quyền lợi hợp pháp | Lợi ích hợp pháp | Article 6(1)(f) |
Đối với dữ liệu nhạy cảm, cơ sở pháp lý là sự đồng ý tường minh (explicit consent) theo Điều 9(2)(a) GDPR và Điều 9 Nghị định 13/2023/NĐ-CP.
4. Chia sẻ dữ liệu với bên thứ ba
Chúng tôi không bán dữ liệu cá nhân của bạn. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp sau:
4.1 Nhà cung cấp dịch vụ (Bộ xử lý dữ liệu)
Các đối tác được ủy thác xử lý dữ liệu thay mặt chúng tôi, bị ràng buộc bởi thỏa thuận bảo mật và chỉ xử lý theo chỉ dẫn của chúng tôi:
| Danh mục nhà cung cấp | Mục đích | Vị trí dữ liệu |
|---|---|---|
| Hạ tầng đám mây (AWS, Google Cloud) | Lưu trữ và xử lý dữ liệu | Singapore / Việt Nam |
| Cổng thanh toán (OnePay, VNPay, Stripe) | Xử lý giao dịch | Việt Nam / Hoa Kỳ |
| Email marketing (Mailchimp, Sendgrid) | Gửi email transactional | Hoa Kỳ |
| Phân tích (Google Analytics) | Thống kê sử dụng | Hoa Kỳ |
| Hỗ trợ khách hàng (CRM nội bộ) | Quản lý ticket hỗ trợ | Việt Nam |
4.2 Chia sẻ theo yêu cầu pháp lý
Chúng tôi có thể tiết lộ dữ liệu khi được yêu cầu bởi cơ quan nhà nước có thẩm quyền của Việt Nam (Bộ Công an, VPDCP, Tòa án) hoặc theo lệnh tư pháp hợp lệ. Chúng tôi sẽ thông báo cho bạn khi pháp luật cho phép.
4.3 Chuyển giao doanh nghiệp
Trong trường hợp sáp nhập, mua lại hoặc chuyển nhượng tài sản, dữ liệu cá nhân có thể được chuyển giao nhưng tiếp tục được bảo vệ theo Chính sách này hoặc chính sách tương đương.
5. Lưu trữ & Bảo mật dữ liệu
5.1 Vị trí lưu trữ
Dữ liệu cá nhân của người dùng tại Việt Nam được lưu trữ chủ yếu trên máy chủ đặt tại Việt Nam và Singapore, tuân thủ yêu cầu lưu trữ dữ liệu trong nước theo Luật An toàn thông tin mạng.
5.2 Thời gian lưu trữ
| Loại dữ liệu | Thời gian lưu trữ |
|---|---|
| Dữ liệu tài khoản đang hoạt động | Trong suốt thời gian sử dụng Dịch vụ |
| Dữ liệu sau khi đóng tài khoản | 12 tháng (sau đó xóa hoặc ẩn danh hóa) |
| Dữ liệu hóa đơn, giao dịch | 10 năm (theo Luật Kế toán Việt Nam) |
| Log bảo mật và kiểm toán | 24 tháng |
| Dữ liệu marketing (khi rút đồng ý) | Xóa trong 30 ngày |
| Cookie phân tích | 13 tháng |
5.3 Biện pháp bảo mật kỹ thuật
- Mã hóa dữ liệu khi truyền tải: TLS 1.3
- Mã hóa dữ liệu lưu trữ: AES-256
- Kiểm soát truy cập theo nguyên tắc "đặc quyền tối thiểu" (least privilege)
- Xác thực hai yếu tố (2FA) cho nhân viên truy cập hệ thống
- Kiểm tra bảo mật định kỳ và pen testing hàng năm
- Tuân thủ ISO/IEC 27001 về quản lý an toàn thông tin
5.4 Xử lý sự cố bảo mật
Trong trường hợp xảy ra vi phạm dữ liệu nghiêm trọng, chúng tôi cam kết:
- Thông báo cho cơ quan có thẩm quyền trong vòng 72 giờ (theo yêu cầu GDPR)
- Thông báo cho người dùng bị ảnh hưởng không chậm hơn 72 giờ sau khi xác nhận
- Cung cấp đầy đủ thông tin về phạm vi, loại dữ liệu và biện pháp khắc phục
6. Quyền của bạn đối với dữ liệu cá nhân
Theo Nghị định 13/2023/NĐ-CP và GDPR, bạn có các quyền sau đối với dữ liệu cá nhân của mình:
| Quyền | Mô tả |
|---|---|
| Quyền truy cập | Yêu cầu bản sao dữ liệu cá nhân chúng tôi đang xử lý về bạn |
| Quyền chỉnh sửa | Yêu cầu cập nhật dữ liệu không chính xác hoặc không đầy đủ |
| Quyền xóa | Yêu cầu xóa dữ liệu ("right to be forgotten") trong các trường hợp pháp luật cho phép |
| Quyền hạn chế xử lý | Yêu cầu tạm ngừng xử lý trong khi xem xét tranh chấp hoặc khiếu nại |
| Quyền phản đối | Phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp bất kỳ lúc nào |
| Quyền chuyển dữ liệu | Nhận dữ liệu của bạn ở định dạng có thể đọc được bằng máy (JSON, CSV) |
| Quyền rút đồng ý | Rút lại sự đồng ý bất kỳ lúc nào mà không ảnh hưởng đến việc xử lý trước đó |
Cách thực hiện quyền của bạn
Gửi yêu cầu đến privacy@mateflowiq.com hoặc qua địa chỉ email hello@mateflowiq.com với tiêu đề "Yêu cầu quyền dữ liệu cá nhân". Chúng tôi sẽ phản hồi trong vòng 30 ngày làm việc kể từ ngày nhận yêu cầu hợp lệ.
Để xác minh danh tính, chúng tôi có thể yêu cầu thêm thông tin. Dịch vụ này hoàn toàn miễn phí, trừ trường hợp yêu cầu lặp đi lặp lại không có cơ sở hợp lý.
Nếu không hài lòng với cách xử lý của chúng tôi, bạn có quyền khiếu nại lên Cục An toàn thông tin (Bộ TT&TT) hoặc cơ quan bảo vệ dữ liệu tại quốc gia của bạn.
8. Trẻ em & Người dưới tuổi thành niên
Dịch vụ của chúng tôi không dành cho người dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu bạn là cha mẹ hoặc người giám hộ và phát hiện con mình đã cung cấp dữ liệu cho chúng tôi, vui lòng liên hệ ngay để chúng tôi xóa thông tin đó.
Đối với người từ 16–18 tuổi, cần có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp trước khi sử dụng Dịch vụ.
9. Chuyển dữ liệu quốc tế
Một số nhà cung cấp dịch vụ của chúng tôi đặt tại ngoài Việt Nam (Hoa Kỳ, EU, Singapore). Khi chuyển dữ liệu quốc tế, chúng tôi đảm bảo:
- Quốc gia nhận dữ liệu có mức độ bảo vệ tương đương hoặc cao hơn
- Ký kết Điều khoản Hợp đồng Tiêu chuẩn (SCCs) theo yêu cầu GDPR
- Nhà cung cấp tại Hoa Kỳ tham gia chương trình EU-US Data Privacy Framework
- Tuân thủ quy định về chuyển dữ liệu xuyên biên giới theo Điều 12 Luật ATTT mạng
10. Thay đổi Chính sách
Chúng tôi có thể cập nhật Chính sách này định kỳ để phản ánh thay đổi trong pháp luật, công nghệ hoặc hoạt động kinh doanh. Khi có thay đổi quan trọng:
- Thông báo qua email đến địa chỉ đăng ký ít nhất 30 ngày trước khi có hiệu lực
- Hiển thị thông báo nổi bật trên website
- Cập nhật ngày "Cập nhật lần cuối" ở đầu trang
Tiếp tục sử dụng Dịch vụ sau ngày có hiệu lực được xem là chấp thuận Chính sách mới.
11. Liên hệ & Khiếu nại
Mọi thắc mắc về Chính sách Bảo mật hoặc việc xử lý dữ liệu cá nhân, vui lòng liên hệ:
| Thông tin liên hệ | Chi tiết |
|---|---|
| Tên công ty | MateFlow IQ |
| Địa chỉ | Quận 1, TP. Hồ Chí Minh, Việt Nam |
| Email bảo mật | privacy@mateflowiq.com |
| Email chung | hello@mateflowiq.com |
| Điện thoại | 0901 234 567 |
| Giờ làm việc | Thứ 2–Thứ 6, 8:00–18:00 (ICT, UTC+7) |
Nếu không nhận được phản hồi trong 30 ngày hoặc không hài lòng, bạn có quyền gửi khiếu nại đến:
- Cục An toàn thông tin, Bộ Thông tin & Truyền thông Việt Nam
- Cục Cạnh tranh & Bảo vệ người tiêu dùng, Bộ Công Thương
- Cơ quan bảo vệ dữ liệu tại quốc gia của bạn (đối với người dùng EU/EEA)
Tài liệu này được soạn thảo phù hợp với pháp luật Việt Nam hiện hành, bao gồm Luật An toàn thông tin mạng số 86/2015/QH13, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, và Luật Giao dịch điện tử số 20/2023/QH15. Mọi tranh chấp phát sinh sẽ được giải quyết tại Tòa án nhân dân có thẩm quyền tại TP. Hồ Chí Minh, Việt Nam.