I. Giới thiệu

1.1. Cơ sở pháp lý

Chính sách bảo mật này quy định cách CÔNG TY TNHH TƯ VẤN THƯƠNG HIỆU, DU LỊCH VÀ GIÁO DỤC TUT (sau đây gọi là “Công ty”, chủ quản nền tảng TUTBook™ – xBook) thu thập, xử lý và bảo vệ dữ liệu cá nhân.

Căn cứ pháp lý gồm:

• Quy định (EU) 2016/679 – GDPR;
• Luật An toàn thông tin mạng 2015 (VN);
• Nghị định về bảo vệ dữ liệu cá nhân (VN);
• Luật Giao dịch điện tử 2005 và các nghị định hướng dẫn;
• Các quy định pháp luật liên quan về thương mại điện tử và thuế – kế toán tại Việt Nam.

1.2. Định nghĩa chính

Áp dụng các định nghĩa của GDPR, bao gồm: dữ liệu cá nhân, xử lý, hạn chế xử lý, hồ sơ hóa/định danh, pseudonymisation, bên kiểm soát dữ liệu (controller), bên xử lý (processor), người nhận (recipient), bên thứ ba, đồng ý (consent), vi phạm dữ liệu cá nhân (data breach).

1.3. Phạm vi áp dụng

Chính sách áp dụng cho người dùng xBook (học sinh, sinh viên, giáo viên, phụ huynh, nhà xuất bản, tác giả, người dùng Premium) và các dịch vụ: quét QR học tập, kho nội dung tương tác (video, quiz, 3D, audio), tài khoản định danh K12, chứng chỉ vi mô, marketplace học liệu, mô phỏng số, ứng dụng di động, hệ quản trị WebAdmin.

1.4. Đơn vị kiểm soát dữ liệu (Controller)

Tên công ty: CÔNG TY TNHH TƯ VẤN THƯƠNG HIỆU, DU LỊCH VÀ GIÁO DỤC TUT

Mã số thuế (MST): 0110794796

Địa chỉ: 81CL4, Lô 43, Lai Xá, Xã Kim Chung, Huyện Hoài Đức, Thành phố Hà Nội, Việt Nam

Email liên hệ: info@tutbrand.vn

II. Loại dữ liệu được thu thập

• Dữ liệu định danh: Họ tên, ngày sinh, địa chỉ, email, số điện thoại, trường/lớp, vai trò (học sinh/giáo viên/phụ huynh).
• Dữ liệu học tập: Tiến độ, điểm quiz, kết quả mô phỏng, chứng chỉ vi mô, thói quen học tập/tiêu thụ nội dung.
• Dữ liệu hệ thống: Địa chỉ IP, thiết bị, hệ điều hành, trình duyệt, cookie, lịch sử truy cập.
• Dữ liệu tài chính: Thông tin thanh toán Premium/EDU, giao dịch, hóa đơn (không lưu trữ thông tin thẻ đầy đủ).
• Dữ liệu cộng đồng: Nội dung học liệu bổ sung, đánh giá, bình luận, flag kiểm duyệt.

III. Mục đích và căn cứ xử lý dữ liệu

1. Cung cấp dịch vụ: Cho phép truy cập học liệu số, quét QR, chạy mô phỏng, cấp chứng chỉ vi mô, quản lý tài khoản định danh K12.
2. Bảo vệ bản quyền: Quản lý ISBN + QR + serial, xác thực nguồn, hạn chế sao chép trái phép; căn cứ lợi ích hợp pháp và/hoặc hợp đồng.
3. Phân tích & cải tiến: Phân tích dữ liệu học tập, đo lường hiệu quả nội dung để nâng cao trải nghiệm; căn cứ lợi ích hợp pháp và/hoặc đồng ý.
4. Dịch vụ trả phí: Quản lý gói Premium/EDU, marketplace; căn cứ hợp đồng và nghĩa vụ pháp lý về kế toán – thuế.
5. Truyền thông có chọn lọc: Gửi thông báo dịch vụ/ưu đãi khi có đồng ý; cho phép rút lại đồng ý bất kỳ lúc nào.
6. Tuân thủ pháp luật: Thực hiện yêu cầu của cơ quan nhà nước có thẩm quyền theo luật định.

IV. Quyền của người dùng

• Quyền được thông tin trước khi thu thập/xử lý dữ liệu.
• Quyền truy cập dữ liệu; nhận bản sao dữ liệu ở định dạng có cấu trúc (data portability).
• Quyền chỉnh sửa, bổ sung dữ liệu không chính xác hoặc thiếu.
• Quyền xóa dữ liệu (“quyền được quên”) trong các trường hợp theo luật.
• Quyền hạn chế xử lý và phản đối xử lý (bao gồm tiếp thị trực tiếp).
• Quyền khiếu nại tới cơ quan bảo vệ dữ liệu có thẩm quyền (VN/EU).

Mọi yêu cầu thực hiện quyền sẽ được phản hồi trong vòng 01 tháng kể từ ngày nhận, có thể gia hạn thêm tối đa 02 tháng đối với yêu cầu phức tạp; sẽ thông báo lý do gia hạn nếu có.

V. Chia sẻ dữ liệu & bên xử lý (Processor)

Công ty có thể chia sẻ dữ liệu với các đối tác cung cấp hạ tầng (hosting/CDN), thanh toán, vận chuyển (nếu có), kế toán – thuế, và nhà xuất bản/đơn vị trường học trong phạm vi cần thiết để cung cấp dịch vụ. Tất cả đối tác phải tuân thủ thỏa thuận bảo mật và quy định bảo vệ dữ liệu hiện hành.

VI. Bảo mật, an toàn & lưu trữ

xBook áp dụng cơ chế mã hóa SSL/TLS, phân quyền truy cập theo vai trò, ghi nhật ký truy cập, và kiểm thử bảo mật định kỳ. Trong trường hợp xảy ra vi phạm dữ liệu có rủi ro cao, Công ty sẽ thông báo không chậm trễ.

Thời hạn lưu trữ: dữ liệu học tập và tài khoản giữ tối đa 5–7 năm hoặc đến khi người dùng yêu cầu xóa; dữ liệu hóa đơn, kế toán: 8 năm theo luật. Dữ liệu sẽ được ẩn danh hoặc hủy an toàn khi hết thời hạn.

VII. Cookies & Ứng dụng di động

Website/ứng dụng sử dụng cookies phiên (session) và cookies lưu trữ (persistent) cho ngôn ngữ, giao diện và thống kê. Người dùng có thể tắt cookies trong trình duyệt, tuy nhiên một số tính năng có thể không hoạt động.

Ứng dụng di động có thể thu thập dữ liệu lỗi hệ thống, thói quen sử dụng và vị trí thiết bị để tối ưu trải nghiệm; không liên kết trái phép với dữ liệu định danh nếu không có căn cứ pháp lý hoặc đồng ý.

VIII. Chuyển quốc gia & chuẩn quốc tế

Khi phát sinh chuyển dữ liệu ra ngoài lãnh thổ, Công ty sẽ áp dụng các cơ chế pháp lý phù hợp (ví dụ: SCC theo GDPR) và đảm bảo mức độ bảo vệ tương đương.

IX. Cập nhật chính sách

Chính sách có thể cập nhật theo yêu cầu pháp lý hoặc vận hành. Bản cập nhật sẽ được công bố trên website/app; tiếp tục sử dụng dịch vụ đồng nghĩa chấp thuận bản cập nhật. Người dùng có thể lựa chọn ngừng sử dụng và yêu cầu xóa dữ liệu.