Chính sách bảo mật dữ liệu cá nhân

1. Dữ liệu chúng tôi thu thập

Dữ liệu cá nhân cơ bản:

• Họ tên, số điện thoại, email, địa chỉ giao hàng (khi đặt hàng hoặc liên hệ)
• Nội dung tin nhắn tư vấn, đánh giá sản phẩm
• Lịch sử mua hàng, mã đơn hàng, sản phẩm đã xem

Dữ liệu kỹ thuật:

• Địa chỉ IP, loại trình duyệt, thiết bị truy cập
• Cookie phiên (giỏ hàng, đăng nhập) và cookie phân tích (nếu đồng ý)

FlySky KHÔNG thu thập dữ liệu nhạy cảm (tôn giáo, sức khỏe, sinh trắc học, định hướng giới tính) theo Điều 2 Nghị định 13/2023.

2. Mục đích sử dụng dữ liệu

• Xử lý đơn hàng, giao nhận, bảo hành, hỗ trợ sau bán
• Phản hồi yêu cầu tư vấn, giải quyết khiếu nại
• Gửi email xác nhận đơn hàng, vận chuyển, khảo sát chất lượng
• Gửi bản tin / khuyến mãi (chỉ khi bạn đã đăng ký nhận tin)
• Phân tích thống kê tổng quát để cải thiện trải nghiệm (đã ẩn danh)
• Tuân thủ nghĩa vụ pháp lý (kế toán, thuế, chống gian lận)

3. Cơ sở pháp lý xử lý dữ liệu

Theo Điều 11 Nghị định 13/2023, FlySky xử lý dữ liệu trên các cơ sở sau:

• Hợp đồng: Khi bạn đặt hàng, dữ liệu liên hệ cần thiết để thực hiện giao dịch
• Đồng ý: Nhận newsletter, cookie phân tích — bạn có thể rút lại bất cứ lúc nào
• Nghĩa vụ pháp lý: Lưu hồ sơ giao dịch theo Luật Kế toán, Luật Thuế
• Lợi ích hợp pháp: Bảo mật website, chống gian lận, cải thiện dịch vụ

4. Cookie

Cookie cần thiết (không cần consent):

Duy trì giỏ hàng, phiên đăng nhập, bảo vệ form khỏi CSRF. Tự động hết hạn khi đóng trình duyệt hoặc sau 30 ngày.

Cookie phân tích (cần consent):

Google Analytics 4 + Facebook Pixel (nếu đã cấu hình). Chỉ kích hoạt khi bạn bấm "Đồng ý" trên banner cookie. Có thể từ chối hoặc thay đổi bất cứ lúc nào bằng cách xóa cookie trình duyệt.

5. Bên thứ ba có thể nhận dữ liệu

• Đơn vị vận chuyển (Viettel Post, GHN, GHTK): họ tên, SĐT, địa chỉ giao hàng — chỉ phục vụ giao đơn
• Cổng thanh toán (Momo, VNPay, ngân hàng): mã đơn + số tiền — không lưu thẻ tại FlySky
• Nhà cung cấp dịch vụ kỹ thuật (Supabase: database hosting tại Singapore; Cloudflare R2: media storage)
• Google Analytics: dữ liệu sử dụng đã ẩn danh (nếu bạn đồng ý)

FlySky KHÔNG bán dữ liệu cá nhân cho bên thứ ba dưới bất kỳ hình thức nào.

6. Thời gian lưu trữ

• Đơn hàng + hóa đơn: 10 năm theo Luật Kế toán
• Tài khoản khách hàng + đánh giá: cho đến khi bạn yêu cầu xóa
• Tin nhắn liên hệ chưa xử lý: 2 năm
• Cookie phân tích: tối đa 26 tháng (GA4 default)

7. Quyền của chủ thể dữ liệu

Theo Điều 9 Nghị định 13/2023, bạn có các quyền sau:

• Quyền được biết: Yêu cầu thông tin về dữ liệu của bạn đang được xử lý
• Quyền đồng ý / rút lại đồng ý: Bất cứ lúc nào
• Quyền truy cập: Xem bản sao dữ liệu cá nhân của bạn
• Quyền chỉnh sửa: Sửa thông tin sai/thiếu
• Quyền xóa: Yêu cầu xóa dữ liệu (trừ trường hợp luật yêu cầu lưu giữ)
• Quyền hạn chế xử lý: Yêu cầu tạm dừng việc xử lý
• Quyền phản đối: Phản đối xử lý vì mục đích marketing trực tiếp
• Quyền khiếu nại: Đến cơ quan có thẩm quyền (Bộ Công an)

Để thực thi quyền, gửi yêu cầu qua trang liên hệ kèm thông tin xác minh danh tính. Thời gian phản hồi: tối đa 72 giờ.

8. Biện pháp bảo mật

• Mã hóa truyền dẫn HTTPS/TLS 1.3 trên toàn bộ website
• Mật khẩu admin yêu cầu MFA (xác thực 2 yếu tố qua Google Authenticator)
• Database có Row-Level Security (RLS) hạn chế truy cập theo vai trò
• Log truy cập admin có lưu IP + user agent + timestamp
• Backup tự động hàng ngày trên Supabase, lưu 7 ngày
• Nhân sự có quyền truy cập dữ liệu được tách quyền theo nguyên tắc tối thiểu cần thiết

9. Trẻ em dưới 13 tuổi

Website không hướng đến trẻ em dưới 13 tuổi. Nếu phát hiện đã thu thập dữ liệu của trẻ em mà không có sự đồng ý của người giám hộ, FlySky sẽ xóa ngay lập tức.

10. Liên hệ về quyền riêng tư

Mọi câu hỏi, yêu cầu thực thi quyền hoặc báo cáo vi phạm dữ liệu, vui lòng liên hệ:

• Email: contact@flyskyguitar.com
• Điện thoại: 0987 654 321
• Hoặc qua trang liên hệ chính thức

FlySky cam kết phản hồi mọi yêu cầu trong vòng 72 giờ làm việc.