Chính Sách Bảo Mật
Weight Management System 4.0
- Giới thiệu & Phạm vi áp dụng
- Thông tin Đơn vị kiểm soát dữ liệu
- Các loại dữ liệu cá nhân được thu thập
- Mục đích xử lý & Cơ sở pháp lý
- Dữ liệu đặc biệt (Dữ liệu sức khỏe)
- Thời hạn lưu trữ dữ liệu
- Chia sẻ & Tiết lộ dữ liệu cá nhân
- Chuyển dữ liệu quốc tế & Xuyên biên giới
- Quyền của chủ thể dữ liệu
- Ra quyết định tự động & Lập hồ sơ
- Cookie & Công nghệ theo dõi
- Quyền riêng tư của trẻ em
- Biện pháp bảo mật
- Cập nhật Chính sách Bảo mật
- Liên hệ & Gửi khiếu nại
Giới thiệu & Phạm vi áp dụng
Chào mừng bạn đến với Weight Management System 4.0 (sau đây gọi là “Nền tảng,” “chúng tôi”), một nền tảng coaching trực tuyến cung cấp dịch vụ quản lý cân nặng cá nhân hóa, hướng dẫn dinh dưỡng và công cụ theo dõi sức khỏe cho người dùng trên toàn thế giới, bao gồm người dùng tại Liên minh Châu Âu và Khu vực Kinh tế Châu Âu.
Chính sách Bảo mật này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của bạn khi bạn truy cập hoặc sử dụng Nền tảng, tuân thủ Quy định (EU) 2016/679 của Nghị viện và Hội đồng Châu Âu (Quy định Bảo vệ Dữ liệu Chung, “GDPR”), đặc biệt là Điều 13 và 14.
Chính sách này áp dụng cho tất cả dữ liệu cá nhân được thu thập:
- Trực tiếp từ bạn khi đăng ký, sử dụng dịch vụ hoặc liên hệ với chúng tôi (Điều 13 GDPR); và
- Gián tiếp từ các nguồn bên thứ ba, như nhà cung cấp dịch vụ chăm sóc sức khỏe, ứng dụng thể dục hoặc cơ sở dữ liệu công khai (Điều 14 GDPR).
Chúng tôi cam kết xử lý dữ liệu cá nhân của bạn một cách hợp pháp, công bằng và minh bạch. Chúng tôi chỉ thu thập những gì cần thiết và không lưu trữ lâu hơn mức cần. Quyền riêng tư của bạn không phải là điều chúng tôi suy nghĩ sau — đó là nền tảng cách chúng tôi vận hành.
Bằng cách sử dụng Nền tảng, bạn xác nhận đã đọc và hiểu Chính sách Bảo mật này. Nếu bạn không đồng ý với bất kỳ phần nào, vui lòng không sử dụng dịch vụ của chúng tôi.
1Thông tin Đơn vị kiểm soát dữ liệu
Theo quy định GDPR, tổ chức chịu trách nhiệm về dữ liệu cá nhân của bạn — Đơn vị kiểm soát dữ liệu — là:
1.1 Đại diện EU (Điều 27 GDPR) Bắt buộc với Đơn vị ngoài EU
Là công ty được thành lập ngoài EU nhưng cung cấp dịch vụ cho người dùng tại EU, chúng tôi đã bổ nhiệm Đại diện EU theo Điều 27 GDPR:
Chủ thể dữ liệu EU có thể liên hệ trực tiếp với Đại diện EU để thực hiện quyền bảo vệ dữ liệu hoặc đặt câu hỏi. Đại diện EU hành động thay mặt Đơn vị kiểm soát nhưng không thay thế quyền khiếu nại lên cơ quan giám sát.
1.2 Cán bộ Bảo vệ Dữ liệu (DPO)
Chúng tôi đã bổ nhiệm Cán bộ Bảo vệ Dữ liệu (DPO) để giám sát việc tuân thủ các luật bảo vệ dữ liệu:
2Các loại dữ liệu cá nhân được thu thập
2.1 Dữ liệu bạn cung cấp trực tiếp Điều 13 GDPR
| Loại dữ liệu | Ví dụ | Bắt buộc / Tùy chọn |
|---|---|---|
| Dữ liệu định danh | Họ tên, ngày sinh, giới tính | Bắt buộc |
| Dữ liệu liên hệ | Địa chỉ email, số điện thoại, quốc gia cư trú | Bắt buộc (email); Tùy chọn (điện thoại) |
| Dữ liệu sức khỏe & cơ thể Danh mục đặc biệt | Cân nặng, chiều cao, BMI, cân nặng mục tiêu, chế độ ăn, mức độ vận động | Bắt buộc cho dịch vụ cốt lõi |
| Thông tin đăng nhập | Tên đăng nhập, mật khẩu đã mã hóa | Bắt buộc |
| Dữ liệu tiến độ & coaching | Nhật ký cân nặng, kế hoạch bữa ăn, ghi chép tập luyện, tin nhắn với huấn luyện viên, ảnh tiến độ (nếu tải lên) | Tùy chọn |
| Dữ liệu thanh toán | Tên trên hóa đơn, quốc gia, 4 chữ số cuối thẻ (xử lý bởi cổng thanh toán) | Bắt buộc cho gói có phí |
| Dữ liệu liên lạc | Tin nhắn hỗ trợ, phản hồi khảo sát | Tùy chọn |
2.2 Dữ liệu được thu thập tự động Điều 13 GDPR
| Loại dữ liệu | Ví dụ |
|---|---|
| Dữ liệu sử dụng | Các trang đã truy cập, tính năng đã dùng, thời gian phiên, mẫu nhấp chuột |
| Dữ liệu thiết bị & kỹ thuật | Địa chỉ IP, loại trình duyệt, hệ điều hành, định danh thiết bị |
| Dữ liệu vị trí | Vị trí cấp quốc gia được suy ra từ địa chỉ IP |
| Dữ liệu cookie | Cookie phiên, cookie phân tích (xem Điều 10) |
2.3 Dữ liệu nhận từ bên thứ ba Điều 14 GDPR
Khi áp dụng, chúng tôi có thể nhận dữ liệu cá nhân từ các nguồn sau:
- Ứng dụng thể dục & sức khỏe: Dữ liệu từ các ứng dụng kết nối (ví dụ: Apple Health, Google Fit) nếu bạn cấp quyền tích hợp;
- Nhà cung cấp đăng nhập mạng xã hội: Dữ liệu hồ sơ cơ bản (tên, email) từ Google hoặc Apple nếu bạn dùng đăng nhập mạng xã hội;
- Bộ xử lý thanh toán: Trạng thái giao dịch và dữ liệu xác minh thanh toán;
- Đối tác giới thiệu y tế: Thông tin giới thiệu nếu nhà cung cấp dịch vụ chăm sóc sức khỏe của bạn đề nghị nền tảng của chúng tôi.
Khi chúng tôi nhận dữ liệu từ bên thứ ba, chúng tôi sẽ thông báo cho bạn trong vòng một (1) tháng kể từ khi nhận được dữ liệu, hoặc tại thời điểm liên hệ đầu tiên với bạn, tùy theo thời điểm nào đến trước, theo yêu cầu của Điều 14(3) GDPR.
3Mục đích xử lý & Cơ sở pháp lý
Chúng tôi chỉ xử lý dữ liệu cá nhân của bạn cho các mục đích cụ thể, rõ ràng và hợp pháp. Bảng dưới đây chi tiết từng hoạt động xử lý và cơ sở pháp lý tương ứng theo Điều 6 GDPR:
| Mục đích xử lý | Mô tả | Cơ sở pháp lý (Điều 6 GDPR) |
|---|---|---|
| Đăng ký & Xác thực tài khoản | Tạo và quản lý tài khoản, xác minh danh tính, cho phép đăng nhập | Điều 6(1)(b) – Cần thiết cho hợp đồng |
| Cung cấp dịch vụ | Cung cấp coaching cá nhân hóa, theo dõi cân nặng, kế hoạch bữa ăn và phân tích tiến độ | Điều 6(1)(b) – Cần thiết cho hợp đồng |
| Cá nhân hóa chương trình sức khỏe | Tùy chỉnh các đề xuất dựa trên dữ liệu sức khỏe và cân nặng của bạn | Điều 6(1)(a) – Sự đồng ý rõ ràng; Điều 9(2)(a) – cho dữ liệu sức khỏe |
| Xử lý thanh toán | Lập hóa đơn đăng ký, hoàn tiền | Điều 6(1)(b) – Cần thiết cho hợp đồng |
| Hỗ trợ khách hàng | Phản hồi yêu cầu, giải quyết khiếu nại, hỗ trợ kỹ thuật | Điều 6(1)(b) – Hợp đồng; Điều 6(1)(f) – Lợi ích hợp pháp |
| Cảnh báo an toàn & y tế | Phát hiện bất thường trong dữ liệu sức khỏe có thể chỉ báo rủi ro y tế | Điều 6(1)(d) – Lợi ích thiết yếu; Điều 9(2)(c) – cho dữ liệu sức khỏe |
| Phân tích & Cải thiện nền tảng | Phân tích tổng hợp, ẩn danh để cải thiện tính năng và trải nghiệm người dùng | Điều 6(1)(f) – Lợi ích hợp pháp |
| Marketing & Bản tin | Gửi email quảng cáo, cập nhật sản phẩm (chỉ khi đã đồng ý) | Điều 6(1)(a) – Sự đồng ý |
| Tuân thủ pháp luật | Thực hiện nghĩa vụ thuế, kế toán và quy định pháp luật | Điều 6(1)(c) – Nghĩa vụ pháp lý |
4Dữ liệu đặc biệt (Dữ liệu sức khỏe) Điều 9 GDPR
Dữ liệu sức khỏe và thành phần cơ thể (cân nặng, BMI, nhu cầu dinh dưỡng, tình trạng y tế) cấu thành Dữ liệu Cá nhân Đặc biệt theo Điều 9 GDPR và được bảo vệ ở mức độ cao hơn.
Chúng tôi chỉ xử lý dữ liệu này dựa trên sự đồng ý rõ ràng của bạn (Điều 9(2)(a) GDPR), được thu thập tại thời điểm đăng ký. Bạn có thể rút lại sự đồng ý bất cứ lúc nào; tuy nhiên, việc rút lại sẽ ngăn chúng tôi cung cấp dịch vụ coaching cá nhân hóa.
- Dữ liệu sức khỏe được lưu trữ dưới dạng mã hóa và chỉ nhân viên coaching được ủy quyền mới có thể truy cập;
- Dữ liệu sức khỏe không bao giờ được bán, cho thuê hoặc chia sẻ với nhà quảng cáo;
- Thống kê sức khỏe tổng hợp, ẩn danh có thể được sử dụng cho nghiên cứu nền tảng, nhưng dữ liệu đó không thể liên kết lại với bất kỳ cá nhân nào.
5Thời hạn lưu trữ dữ liệu
Chúng tôi lưu trữ dữ liệu cá nhân không lâu hơn mức cần thiết cho mục đích thu thập, tuân thủ nguyên tắc giới hạn lưu trữ theo Điều 5(1)(e) GDPR.
| Loại dữ liệu | Thời hạn lưu trữ | Cơ sở |
|---|---|---|
| Dữ liệu tài khoản & định danh | Thời gian hoạt động tài khoản + 2 năm sau khi đóng | Cần thiết cho hợp đồng, nghĩa vụ pháp lý |
| Dữ liệu sức khỏe & cơ thể | Thời gian đăng ký hoạt động + 12 tháng | Sự đồng ý; xóa khi rút lại đồng ý |
| Hồ sơ thanh toán | 7 năm kể từ ngày giao dịch | Nghĩa vụ thuế và kế toán (Điều 6(1)(c)) |
| Dữ liệu sử dụng & phân tích | 26 tháng (ẩn danh hóa sau 13 tháng) | Lợi ích hợp pháp |
| Liên lạc hỗ trợ | 3 năm kể từ khi giải quyết | Lợi ích hợp pháp (giải quyết tranh chấp) |
| Hồ sơ đồng ý marketing | Đến khi rút lại đồng ý + 1 năm | Tuân thủ nghĩa vụ đồng ý |
| Dữ liệu cookie | Theo Chính sách Cookie (tối đa 13 tháng) | Chỉ thị ePrivacy / sự đồng ý |
6Chia sẻ & Tiết lộ dữ liệu cá nhân
Chúng tôi không bán dữ liệu cá nhân của bạn. Chúng tôi có thể chia sẻ dữ liệu với các đối tượng sau, chỉ theo nguyên tắc cần biết và dưới các nghĩa vụ hợp đồng ràng buộc:
| Người nhận | Mục đích | Biện pháp bảo vệ |
|---|---|---|
| Nhân viên Coaching | Cung cấp dịch vụ coaching cá nhân hóa | Thỏa thuận bảo mật, kiểm soát truy cập theo vai trò |
| Bộ xử lý thanh toán (Stripe, PayPal) | Xử lý thanh toán đăng ký | Tuân thủ PCI-DSS; Thỏa thuận xử lý dữ liệu |
| Hạ tầng đám mây (AWS, Google Cloud) | Lưu trữ và lưu giữ dữ liệu | Điều khoản hợp đồng tiêu chuẩn (SCCs) |
| Nhà cung cấp phân tích (Google Analytics) | Phân tích sử dụng nền tảng | Ẩn danh hóa dữ liệu; DPA đã ký kết |
| Dịch vụ gửi email | Email giao dịch và marketing | Thỏa thuận xử lý dữ liệu |
| Cơ quan pháp lý / Quản lý | Tuân thủ lệnh tòa án hoặc nghĩa vụ pháp lý | Chỉ khi pháp luật yêu cầu |
7Chuyển dữ liệu quốc tế & Xuyên biên giới
Do Nền tảng hoạt động toàn cầu với các máy chủ có thể đặt ngoài EU/EEA, dữ liệu cá nhân của bạn có thể được chuyển đến các quốc gia không cung cấp mức độ bảo vệ dữ liệu tương đương EU.
Trong tất cả các trường hợp đó, chúng tôi đảm bảo có các biện pháp bảo vệ thích hợp, bao gồm:
- Điều khoản hợp đồng tiêu chuẩn (SCCs) được Ủy ban Châu Âu phê duyệt (Quyết định 2021/914/EU);
- Quyết định về tính đầy đủ nơi quốc gia nhận đã được Ủy ban Châu Âu công nhận cung cấp bảo vệ đầy đủ;
- Quy tắc ràng buộc doanh nghiệp (BCRs) khi áp dụng trong nhóm công ty của chúng tôi.
Bạn có thể yêu cầu bản sao các biện pháp bảo vệ chuyển dữ liệu áp dụng bằng cách liên hệ với chúng tôi tại info@24k.agency.
8Quyền của chủ thể dữ liệu
Theo GDPR, bạn có các quyền sau đối với dữ liệu cá nhân của mình. Chúng tôi sẽ phản hồi tất cả yêu cầu đã xác minh trong vòng một (1) tháng (có thể gia hạn thêm hai tháng cho các yêu cầu phức tạp).
Yêu cầu bản sao tất cả dữ liệu cá nhân chúng tôi lưu giữ về bạn, cùng thông tin về cách xử lý.
Yêu cầu sửa chữa dữ liệu cá nhân không chính xác hoặc không đầy đủ mà không bị chậm trễ.
Yêu cầu xóa dữ liệu cá nhân (“quyền được quên”) trong một số trường hợp nhất định.
Yêu cầu chúng tôi hạn chế xử lý dữ liệu trong khi tranh chấp đang được giải quyết.
Nhận dữ liệu cá nhân ở định dạng có cấu trúc, máy đọc được (JSON/CSV) để chuyển sang nhà cung cấp khác.
Phản đối việc xử lý dựa trên lợi ích hợp pháp hoặc marketing trực tiếp bất cứ lúc nào.
Rút lại đồng ý cho bất kỳ hoạt động xử lý nào dựa trên đồng ý, bất cứ lúc nào, không ảnh hưởng đến xử lý trước đó.
Gửi khiếu nại lên cơ quan giám sát EU tại địa phương nếu bạn cho rằng quyền của mình bị vi phạm.
Gửi yêu cầu đến info@24k.agency với tiêu đề email “Yêu cầu Quyền Chủ thể Dữ liệu GDPR”. Vui lòng cung cấp họ tên đầy đủ, email tài khoản và mô tả yêu cầu. Chúng tôi có thể yêu cầu xác minh danh tính trước khi xử lý.
9Ra quyết định tự động & Lập hồ sơ
Nền tảng của chúng tôi sử dụng xử lý tự động (bao gồm đề xuất hỗ trợ bởi AI) để tạo kế hoạch dinh dưỡng cá nhân hóa, mục tiêu thể lực và phân tích tiến độ. Đây cấu thành lập hồ sơ theo nghĩa của Điều 22 GDPR.
- Các đề xuất tự động không tạo ra các hiệu ứng pháp lý hoặc tác động đáng kể tương tự;
- Tất cả các kế hoạch do AI tạo ra đều được huấn luyện viên con người được chứng nhận xem xét và phê duyệt trước khi giao;
- Bạn có thể từ chối cá nhân hóa dựa trên hồ sơ bằng cách liên hệ info@24k.agency.
10Cookie & Công nghệ theo dõi
Chúng tôi sử dụng cookie và các công nghệ theo dõi tương tự trên Nền tảng. Chính sách Cookie riêng biệt trình bày chi tiết tất cả cookie được sử dụng, mục đích và các tùy chọn đồng ý của bạn. Dưới đây là tóm tắt:
| Loại cookie | Mục đích | Yêu cầu đồng ý |
|---|---|---|
| Bắt buộc | Quản lý phiên, bảo mật, duy trì đăng nhập | Không (lợi ích hợp pháp) |
| Chức năng | Tùy chọn ngôn ngữ, cài đặt giao diện | Không (lợi ích hợp pháp) |
| Phân tích | Google Analytics — thống kê sử dụng ẩn danh | Có (đồng ý tham gia) |
| Marketing | Theo dõi chuyển đổi, nhắm mục tiêu lại | Có (đồng ý tham gia) |
Bạn có thể quản lý tùy chọn cookie bất cứ lúc nào qua liên kết Cài đặt Cookie ở chân trang website.
11Quyền riêng tư của trẻ em
Nền tảng của chúng tôi dành cho người dùng từ 18 tuổi trở lên. Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi (hoặc độ tuổi đồng ý kỹ thuật số áp dụng tại Quốc gia thành viên của bạn, có thể thấp hơn).
Nếu chúng tôi phát hiện đã thu thập dữ liệu cá nhân của trẻ em mà không có sự đồng ý có thể xác minh của cha mẹ, chúng tôi sẽ xóa dữ liệu đó ngay lập tức. Nếu bạn cho rằng chúng tôi lưu giữ dữ liệu của trẻ em, vui lòng liên hệ info@24k.agency.
12Biện pháp bảo mật
Chúng tôi triển khai các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân của bạn khỏi truy cập trái phép, mất mát ngẫu nhiên, phá hủy hoặc tiết lộ:
- Mã hóa: Mã hóa AES-256 khi lưu trữ; TLS 1.3 khi truyền tải;
- Kiểm soát truy cập: Truy cập theo vai trò; xác thực đa yếu tố cho nhân viên;
- Kiểm toán định kỳ: Đánh giá bảo mật và kiểm tra thâm nhập định kỳ;
- Ứng phó sự cố: Thông báo vi phạm dữ liệu cho cơ quan giám sát trong vòng 72 giờ (Điều 33 GDPR); thông báo người dùng bị ảnh hưởng không chậm trễ khi có rủi ro cao (Điều 34 GDPR);
- Tối thiểu hóa dữ liệu: Chúng tôi chỉ thu thập và lưu giữ những gì thực sự cần thiết.
13Cập nhật Chính sách Bảo mật
Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian để phản ánh các thay đổi trong hoạt động xử lý, pháp luật áp dụng hoặc tính năng nền tảng. Chúng tôi sẽ thông báo về các thay đổi quan trọng bằng cách:
- Đăng Chính sách cập nhật lên trang này với “Ngày hiệu lực” được sửa đổi;
- Gửi email thông báo đến địa chỉ tài khoản đã đăng ký của bạn đối với các thay đổi đáng kể;
- Hiển thị banner trong ứng dụng trong 30 ngày sau các cập nhật quan trọng.
Việc tiếp tục sử dụng Nền tảng sau ngày hiệu lực của bất kỳ cập nhật nào đồng nghĩa với việc bạn chấp nhận Chính sách đã sửa đổi.
14Liên hệ & Gửi khiếu nại
Đối với bất kỳ câu hỏi, mối quan tâm hoặc yêu cầu nào liên quan đến Chính sách Bảo mật này hoặc hoạt động xử lý dữ liệu, vui lòng liên hệ với chúng tôi:
Khiếu nại lên Cơ quan giám sát
Nếu bạn ở EU/EEA và cho rằng chúng tôi chưa xử lý dữ liệu cá nhân của bạn đúng theo pháp luật, bạn có quyền gửi khiếu nại lên cơ quan bảo vệ dữ liệu tại địa phương:
- Đức: BfDI — www.bfdi.bund.de
- Pháp: CNIL — www.cnil.fr
- Hà Lan: AP — www.autoriteitpersoonsgegevens.nl
- Tất cả cơ quan EU: Danh mục Hội đồng Bảo vệ Dữ liệu Châu Âu