AtomicHabitLife
Bảo vệ dữ liệu cá nhân

Chính sách bảo mật

Cập nhật lần cuối: 01 tháng 07 năm 2024 · Có hiệu lực từ: 01 tháng 07 năm 2024

AtomicHabitLife cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của bạn. Chính sách này tuân thủ Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (hiệu lực từ 01/07/2023) của Chính phủ Việt Nam.

Quyền truy cập
Quyền xóa dữ liệu
Quyền rút đồng ý
Quyền khiếu nại

1. Bên kiểm soát dữ liệu

Tên đơn vị

AtomicHabitLife

Vai trò

Bên Kiểm soát dữ liệu cá nhân (Data Controller)

Email bảo mật dữ liệuprivacy@atomichabitlife.com
Pháp luật áp dụng

Nghị định 13/2023/NĐ-CP · Luật ATTTM 2015

2. Dữ liệu chúng tôi thu thập

Chúng tôi thu thập các loại dữ liệu sau đây theo định nghĩa của Nghị định 13/2023/NĐ-CP:

Dữ liệu cá nhân cơ bản (Điều 2, Khoản 3 - NĐ 13/2023)
Loại dữ liệuVí dụMục đích
Thông tin danh tínhHọ tên, ảnh đại diệnHiển thị hồ sơ
Thông tin liên hệĐịa chỉ emailXác thực, thông báo
Dữ liệu sử dụngCheck-in, streak, thói quenCung cấp dịch vụ
Nội dung cá nhânNhật ký, ghi chú, tầm nhìnLưu trữ theo yêu cầu
Dữ liệu kỹ thuậtIP, múi giờ, thiết bịBảo mật, phân tích
Không thu thập dữ liệu nhạy cảm: AtomicHabitLife không thu thập các dữ liệu cá nhân nhạy cảm như thông tin y tế/sức khỏe, quan điểm chính trị, dữ liệu sinh trắc học, thông tin tài chính hay số CMND/CCCD theo định nghĩa tại Điều 2, Khoản 4 của Nghị định 13/2023/NĐ-CP.

3. Mục đích và cơ sở xử lý dữ liệu

Theo Điều 17 Nghị định 13/2023/NĐ-CP, chúng tôi xử lý dữ liệu của bạn dựa trên các cơ sở pháp lý sau:

Sự đồng ý (Điều 11)

Bạn đã đồng ý khi đăng ký tài khoản. Bạn có thể rút đồng ý bất kỳ lúc nào.

  • Gửi email thông báo tuỳ chỉnh
  • Phân tích hành vi sử dụng để cải thiện sản phẩm
  • Gợi ý thói quen bằng AI dựa trên dữ liệu của bạn
Thực hiện hợp đồng (Điều 17, Khoản 2b)

Cần thiết để cung cấp dịch vụ bạn đã đăng ký.

  • Tạo và quản lý tài khoản
  • Lưu trữ và đồng bộ thói quen, nhật ký
  • Xác thực danh tính và bảo mật
Nghĩa vụ pháp lý (Điều 17, Khoản 2c)

Khi pháp luật yêu cầu lưu trữ hoặc cung cấp dữ liệu.

  • Tuân thủ yêu cầu của cơ quan nhà nước có thẩm quyền
  • Phòng ngừa và xử lý hành vi gian lận, vi phạm pháp luật

4. Chia sẻ và chuyển giao dữ liệu

Chúng tôi không bán dữ liệu cá nhân của bạn cho bên thứ ba. Dữ liệu chỉ được chia sẻ trong các trường hợp sau:

Google LLC

Bên xử lý dữ liệu (Data Processor)

Chính sách Google

Xác thực Google OAuth, lưu trữ ảnh đại diện, AI Gemini Flash API (gợi ý thói quen). Dữ liệu được xử lý tại Hoa Kỳ.

Nhà cung cấp hạ tầng (Cloud)

Bên xử lý dữ liệu

Dịch vụ lưu trữ server, cơ sở dữ liệu PostgreSQL. Hợp đồng xử lý dữ liệu (DPA) được ký kết với tất cả nhà cung cấp.

Chuyển dữ liệu xuyên biên giới: Một số dịch vụ của chúng tôi (Google OAuth, Gemini AI) xử lý dữ liệu tại Hoa Kỳ. Việc chuyển giao này được thực hiện với các biện pháp bảo vệ thích hợp theo Điều 25 Nghị định 13/2023/NĐ-CP và tuân thủ cơ chế SCCs (Standard Contractual Clauses).

5. Thời gian lưu trữ dữ liệu

Loại dữ liệuThời gian lưu trữLý do
Dữ liệu tài khoảnCho đến khi xóa tài khoảnCần thiết để cung cấp dịch vụ
Nhật ký & thói quenCho đến khi bạn xóaDữ liệu thuộc quyền sở hữu của bạn
Nhật ký truy cập (logs)90 ngàyBảo mật và phát hiện xâm nhập
Dữ liệu sau khi xóa tài khoản30 ngày (ẩn danh sau đó)Khôi phục nếu có yêu cầu

6. Quyền của chủ thể dữ liệu

Theo Chương III Nghị định 13/2023/NĐ-CP, bạn có đầy đủ các quyền sau đây:

Quyền được biết (Điều 9)

Biết hoạt động xử lý dữ liệu cá nhân của mình

Quyền đồng ý (Điều 9)

Đồng ý hoặc không đồng ý với việc xử lý dữ liệu

Quyền truy cập (Điều 9)

Truy cập vào toàn bộ dữ liệu của bạn bất kỳ lúc nào

Quyền chỉnh sửa (Điều 9)

Yêu cầu chỉnh sửa dữ liệu không chính xác

Quyền xóa dữ liệu (Điều 9)

Yêu cầu xóa toàn bộ dữ liệu cá nhân của bạn

Quyền hạn chế xử lý (Điều 9)

Yêu cầu tạm dừng việc xử lý dữ liệu trong thời gian xem xét

Quyền cung cấp dữ liệu (Điều 9)

Yêu cầu xuất và nhận một bản sao dữ liệu của bạn (Data Portability)

Quyền phản đối (Điều 9)

Phản đối việc xử lý dữ liệu hoặc rút lại sự đồng ý bất kỳ lúc nào

Quyền khiếu nại (Điều 9)

Khiếu nại với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05)

Cách thực hiện quyền của bạn: Gửi yêu cầu qua email privacy@atomichabitlife.com hoặc trực tiếp trong ứng dụng tại Cài đặt → Tài khoản → Bảo mật & Quyền riêng tư. Chúng tôi sẽ phản hồi trong vòng 72 giờ làm việc.

7. Bảo mật dữ liệu

Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân của bạn:

Mã hóa truyền tải

HTTPS/TLS 1.3 cho mọi kết nối

Mã hóa mật khẩu

bcrypt với salt rounds ≥ 12

Kiểm soát truy cập

RBAC (phân quyền theo vai trò), JWT với thời hạn ngắn

Mã hóa lưu trữ

Dữ liệu nhạy cảm được mã hóa tại rest

Giám sát bất thường

Phát hiện xâm nhập và nhật ký kiểm toán

Thông báo vi phạm

Báo cáo cơ quan thẩm quyền trong 72 giờ (Điều 23 NĐ 13/2023)

8. Cookie và công nghệ theo dõi

Chúng tôi sử dụng cookie phiên để duy trì đăng nhập. Chúng tôi không sử dụng cookie theo dõi quảng cáo của bên thứ ba. Cookie kỹ thuật cần thiết không thể tắt vì chúng là điều kiện để Dịch vụ hoạt động.

9. Người dùng dưới 16 tuổi

Dịch vụ không dành cho người dưới 13 tuổi. Nếu bạn từ 13 đến 15 tuổi, bạn cần có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp để sử dụng. Chúng tôi không cố ý thu thập dữ liệu của trẻ em dưới 13 tuổi.

10. Thay đổi chính sách bảo mật

Khi cập nhật Chính sách bảo mật, chúng tôi sẽ thông báo qua email đã đăng ký và hiển thị thông báo trong ứng dụng ít nhất 7 ngày trước khi có hiệu lực. Đối với thay đổi quan trọng ảnh hưởng đến quyền của bạn, chúng tôi sẽ yêu cầu bạn xác nhận lại sự đồng ý.

Liên hệ & Khiếu nại

Để thực hiện quyền của bạn hoặc có câu hỏi về chính sách này:

Liên hệ chúng tôi

Email: privacy@atomichabitlife.com

Thời gian phản hồi: tối đa 72 giờ làm việc

Khiếu nại với Cơ quan Nhà nước

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an

Theo Điều 9, Khoản 1 NĐ 13/2023/NĐ-CP