I. Mục đích và phạm vi áp dụng
1.1. Chính sách này quy định cách CÔNG TY CỔ PHẦN TRIOLINKS (“Chúng tôi”) thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của người dùng khi truy cập/đăng ký/sử dụng Nền tảng ALUMA (“Nền tảng”) gồm: website, ứng dụng di động, tổng đài, kênh CSKH, và các tính năng liên quan.
1.2. Chính sách này áp dụng cho:
(a) Khách hàng/Người đặt dịch vụ;
(b) Đối tác cung cấp dịch vụ/KTV/CTV;
(c) Tài xế/đối tác vận hành (nếu có);
(d) Người truy cập nhưng chưa đăng ký tài khoản.
1.3. Chính sách này là một phần không tách rời của Điều khoản sử dụng/Quy chế hoạt động của Nền tảng. Trường hợp có xung đột, nội dung liên quan đến dữ liệu cá nhân sẽ ưu tiên áp dụng theo Chính sách này và quy định pháp luật hiện hành.
II. Thông tin đơn vị và đầu mối bảo vệ dữ liệu
Chủ quản Nền tảng: CÔNG TY CỔ PHẦN TRIOLINKS, MST: 4202043194
Địa chỉ: 56/12 Dã Tượng, Tổ 3 Phước An, Phường Nam Nha Trang, Tỉnh Khánh Hòa
Email tiếp nhận yêu cầu dữ liệu: triolinks.vn@gmail.com
Hotline/CSKH: 0347961455
Đầu mối bảo vệ dữ liệu (DPO/nhân sự phụ trách):
III. Giải thích thuật ngữ
3.1. Dữ liệu cá nhân: thông tin gắn với một cá nhân xác định hoặc có thể xác định.
3.2. Dữ liệu cá nhân nhạy cảm: dữ liệu gắn liền với quyền riêng tư, khi bị xâm phạm có thể ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân (ví dụ: sức khỏe, sinh trắc học,... tùy theo quy định pháp luật).
3.3. Xử lý dữ liệu: một hoặc nhiều hoạt động như thu thập, ghi, phân tích, lưu trữ, chia sẻ, xóa,...
3.4. Chủ thể dữ liệu: cá nhân mà dữ liệu phản ánh (bạn).
3.5. Bên thứ ba: đơn vị không thuộc Chúng tôi nhưng có thể nhận dữ liệu theo phạm vi Chính sách này.
IV. Nguyên tắc xử lý dữ liệu
4.1. Chúng tôi xử lý dữ liệu theo các nguyên tắc: minh bạch, đúng mục đích, tối thiểu cần thiết, bảo mật, tuân thủ pháp luật.
4.2. Một số hoạt động xử lý có thể dựa trên: (i) sự đồng ý của bạn; (ii) thực hiện hợp đồng/cung cấp dịch vụ; (iii) nghĩa vụ pháp lý; (iv) lợi ích hợp pháp của Chúng tôi nhằm vận hành an toàn, phòng chống gian lận và bảo vệ Nền tảng.
V. Dữ liệu Chúng tôi thu thập
5.1. Dữ liệu bạn cung cấp trực tiếp
Với Khách hàng/Người đặt dịch vụ:
Họ tên, số điện thoại, email (nếu có).
Địa chỉ, vị trí (khi đặt dịch vụ tại nhà), ghi chú yêu cầu.
Thông tin thanh toán (mã giao dịch, phương thức; không/hoặc có lưu token theo cổng thanh toán).
Nội dung trao đổi CSKH (chat/call/ticket), phản hồi/đánh giá.
Thông tin xuất hóa đơn (nếu yêu cầu).
Với Đối tác cung cấp dịch vụ/KTV:
Họ tên, ngày sinh, CCCD/định danh, ảnh chân dung/ảnh hồ sơ
Địa chỉ cư trú/khu vực hoạt động.
Thông tin nghề nghiệp: kỹ năng, chứng chỉ (nếu có), kinh nghiệm.
Thông tin ngân hàng nhận đối soát/thu nhập.
Hồ sơ an toàn/tuân thủ (ví dụ: lý lịch tư pháp hoặc xác minh theo chính sách nội bộ – nếu áp dụng).
(Lưu ý: Nếu bạn không cung cấp dữ liệu tối thiểu cần thiết, Chúng tôi có quyền từ chối/khoá một phần chức năng, hoặc không thể cung cấp dịch vụ).
5.2. Dữ liệu phát sinh trong quá trình sử dụng
Lịch sử đặt dịch vụ, thời gian, trạng thái, phí/khuyến mãi.
Nhật ký hoạt động (log), thiết bị, IP, phiên đăng nhập.
Dữ liệu chống gian lận: dấu hiệu bất thường, tần suất, hành vi spam.
Định vị gần đúng/chính xác khi bạn bật quyền vị trí (phục vụ ghép đơn/điều phối/hiển thị đối tác gần bạn).
5.3. Dữ liệu từ bên thứ ba (nếu có)
Cổng thanh toán, ngân hàng, đối tác đối soát.
Nhà cung cấp map/định vị, SMS/OTP, cloud, phân tích sự cố (crash analytics).
Cơ quan nhà nước có thẩm quyền (khi có yêu cầu hợp pháp).
VI. Mục đích sử dụng dữ liệu
6.1. Tạo và quản lý tài khoản, xác thực OTP, khôi phục tài khoản.
6.2. Cung cấp dịch vụ, ghép đơn, điều phối đối tác, tính phí/khuyến mãi.
6.3. Thanh toán – đối soát – kế toán – hóa đơn.
6.4. CSKH & xử lý khiếu nại, kiểm soát chất lượng.
6.5. Đảm bảo an toàn Nền tảng: chống gian lận, chống spam, phát hiện hành vi gợi dục/môi giới trá hình, bảo vệ người dùng/đối tác và uy tín Nền tảng.
6.6. Tuân thủ pháp luật và yêu cầu cơ quan có thẩm quyền.
6.7. Phân tích – cải tiến sản phẩm, thống kê, nghiên cứu (ưu tiên dữ liệu đã ẩn danh/tổng hợp).
6.8. Truyền thông/marketing (chỉ khi có cơ chế cho phép và bạn có quyền từ chối).
VII. Dữ liệu nhạy cảm & cơ chế đồng ý riêng
7.1. Nền tảng không khuyến khích bạn cung cấp dữ liệu nhạy cảm trừ khi thật sự cần cho việc thực hiện dịch vụ hoặc theo yêu cầu pháp luật.
7.2. Trường hợp cần xử lý dữ liệu nhạy cảm (ví dụ: thông tin sức khỏe liên quan đến chống chỉ định massage,...), Chúng tôi sẽ áp dụng cơ chế thông báo rõ + đồng ý riêng (checkbox/luồng xác nhận riêng), và giới hạn người được truy cập theo nguyên tắc “cần biết”.
VIII. Chia sẻ dữ liệu
8.1. Chúng tôi có thể chia sẻ dữ liệu trong phạm vi cần thiết cho:
Đối tác cung cấp dịch vụ/KTV (để thực hiện đơn): tên, số liên hệ, địa chỉ/khu vực, ghi chú cần thiết.
Cổng thanh toán/đối soát: thông tin giao dịch.
Nhà cung cấp hạ tầng (cloud, SMS/OTP, map, anti-fraud, CSKH): theo hợp đồng và chỉ để cung cấp dịch vụ cho Chúng tôi.
Tư vấn pháp lý/kiểm toán: khi cần bảo vệ quyền lợi hợp pháp.
Cơ quan nhà nước có thẩm quyền: khi có yêu cầu hợp pháp hoặc để phòng ngừa/điều tra vi phạm.
8.2. Chúng tôi không bán dữ liệu cá nhân của bạn theo nghĩa thương mại dữ liệu.
8.3. Khi chia sẻ, Chúng tôi áp dụng các biện pháp: thỏa thuận bảo mật, giới hạn mục đích, phân quyền truy cập và ghi nhận nhật ký truy cập.
IX. Chuyển dữ liệu xuyên biên giới (nếu có)
9.1 Trong trường hợp hạ tầng/nhà cung cấp dịch vụ đặt máy chủ ngoài Việt Nam hoặc có truy cập từ nước ngoài, Chúng tôi sẽ thực hiện theo quy định pháp luật về chuyển dữ liệu cá nhân xuyên biên giới, bao gồm các yêu cầu/biểu mẫu/đánh giá tác động (nếu áp dụng).
9.2 Bạn hiểu và đồng ý rằng một số nhà cung cấp công nghệ có thể xử lý dữ liệu tại nhiều quốc gia nhằm đảm bảo độ ổn định, phòng chống tấn công và dự phòng thảm họa, nhưng vẫn phải tuân thủ các ràng buộc bảo mật theo hợp đồng.
X. Thời hạn lưu trữ & xóa dữ liệu
10.1. Chúng tôi lưu trữ dữ liệu trong thời gian cần thiết để: (i) cung cấp dịch vụ; (ii) giải quyết tranh chấp/khiếu nại; (iii) tuân thủ nghĩa vụ kế toán, thuế, và yêu cầu pháp luật.
10.2. Nguyên tắc tham chiếu (có thể chỉnh theo vận hành):
Dữ liệu tài khoản: trong thời gian tài khoản hoạt động và tối đa 60 tháng sau khi đóng tài khoản (trừ khi pháp luật yêu cầu lâu hơn).
Dữ liệu giao dịch/đối soát/kế toán: theo thời hạn pháp luật về kế toán – thuế.
Log bảo mật/chống gian lận: tối đa 60 tháng.
Nội dung CSKH/khiếu nại: tối đa 60 tháng sau khi xử lý xong.
10.3 Khi hết thời hạn, dữ liệu sẽ được xóa/ẩn danh theo quy trình nội bộ, trừ trường hợp cần lưu để bảo vệ quyền lợi hợp pháp của Chúng tôi hoặc theo yêu cầu cơ quan có thẩm quyền.
XI. Biện pháp bảo mật
11.1. Chúng tôi áp dụng các biện pháp hợp lý về kỹ thuật và tổ chức như:
Mã hóa truyền tải (TLS), phân quyền truy cập theo vai trò.
Lưu vết truy cập (audit log), giám sát bất thường, chống tấn công.
Quy trình quản lý sự cố và sao lưu dữ liệu.
Ràng buộc bảo mật với nhân sự và nhà cung cấp.
11.2. Tuy nhiên, không hệ thống nào an toàn tuyệt đối. Bạn hiểu và chấp nhận rủi ro khách quan (tấn công mạng, sự cố hạ tầng,...). Chúng tôi sẽ thực hiện các biện pháp khắc phục theo quy định và trong khả năng hợp lý.
11.3. Người dùng phải tự bảo mật OTP/mật khẩu; mọi giao dịch phát sinh từ tài khoản được coi là do người dùng thực hiện trừ khi chứng minh được bị chiếm đoạt do lỗi hệ thống
XII. Xử lý sự cố & thông báo vi phạm dữ liệu
12.1. Khi phát hiện sự cố có khả năng ảnh hưởng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu, Chúng tôi sẽ: khoanh vùng – đánh giá – khắc phục – ghi nhận và thực hiện thông báo theo quy định pháp luật hiện hành (bao gồm nghĩa vụ thông báo trong một số trường hợp trong thời hạn nhất định).
12.2. Bạn đồng ý phối hợp cung cấp thông tin hợp lý khi cần xác minh sự cố liên quan đến tài khoản của bạn.
XIII. Quyền của chủ thể dữ liệu & cách thực hiện
13.1. Khách hàng/Người đặt dịch vụ/Đối tác cung cấp dịch vụ/KTV/CTV có những quyền sau đối với dữ liệu cá nhân:
Được biết, đồng ý hoặc không đồng ý, rút lại sự đồng ý về việc xử lý Dữ liệu cá nhân;
Truy cập, xem lại thông tin cá nhân;
Cập nhật, chỉnh sửa thông tin chưa chính xác;
Xóa tài khoản, đề nghị xóa hoặc ẩn dữ liệu cá nhân (trong phạm vi luật cho phép);
Hạn chế hoặc phản đối một số hoạt động xử lý dữ liệu cá nhân nhất định (có cơ sở hợp lý).
13.2. Khách hàng/Người đặt dịch vụ/Đối tác cung cấp dịch vụ/KTV/CTV có những nghĩa vụ sau đối với dữ liệu cá nhân:
Tự bảo vệ Dữ liệu cá nhân của mình;
Tôn trọng, bảo vệ Dữ liệu cá nhân của Người dùng khác;
Cung cấp đầy đủ, chính xác Dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép Xử lý dữ liệu cá nhân của mình;
Chấp hành pháp luật về bảo vệ Dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm Dữ liệu cá nhân
13.3. Để thực hiện quyền của mình, bạn gửi yêu cầu qua:
Email: triolinks.vn@gmail.com
Hoặc tính năng trong app (nếu có): [Tài khoản] → [Quyền riêng tư]
13.4. Điều kiện xử lý:
Chúng tôi có thể yêu cầu bạn xác minh danh tính trước khi xử lý yêu cầu (tránh lộ dữ liệu).
Chúng tôi có quyền từ chối/giới hạn yêu cầu nếu: (i) trái pháp luật; (ii) ảnh hưởng quyền riêng tư người khác; (iii) ảnh hưởng nghĩa vụ lưu trữ theo pháp luật; (iv) yêu cầu lặp lại, không hợp lý; (v) dữ liệu đã được ẩn danh/ tổng hợp không còn nhận diện được cá nhân.
13.5. Quy trình thực hiện quyền của chủ thể dữ liệu cá nhân
Trong thời hạn 02 ngày kể từ ngày nhận được yêu cầu thực hiện quyền của chủ thể dữ liệu cá nhân, Chúng tôi sẽ phản hồi lại và sẽ thực hiện trong thời hạn 10 ngày, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân theo quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân.
Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 10 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.
XIV. Nghĩa vụ của người dùng
14.1. Cung cấp thông tin đúng và hợp pháp; không dùng thông tin người khác.
14.2. Giữ bí mật OTP/mật khẩu, không chia sẻ tài khoản.
14.3. Không đăng tải/nội dung trao đổi vi phạm pháp luật, kích dục, môi giới, quấy rối.
14.4. Chịu trách nhiệm với hành vi phát sinh từ tài khoản của mình, trừ khi chứng minh được do lỗi hệ thống của Chúng tôi.
XV. Cookies, SDK, đo lường và quảng cáo (nếu có)
15.1. Website/app có thể dùng cookies/SDK để:
Ghi nhớ đăng nhập, cải thiện trải nghiệm.
Đo lường hiệu năng, phân tích lỗi, chống gian lận.
Cá nhân hóa nội dung (nếu có).
15.2. Bạn có thể tắt cookies trên trình duyệt; với mobile app, bạn có thể tắt một số quyền (vị trí, thông báo, tracking) trong phần cài đặt thiết bị, nhưng một số tính năng có thể hoạt động không đầy đủ.
XVI. Liên kết và dịch vụ của bên thứ ba
Nền tảng có thể chứa liên kết tới website/app của bên thứ ba. Chúng tôi không kiểm soát chính sách bảo mật của họ. Bạn tự chịu trách nhiệm khi tương tác với bên thứ ba đó.
XVII. Dữ liệu trẻ em
Nền tảng không hướng đến người dưới 18 tuổi. Nếu phát hiện dữ liệu trẻ em được cung cấp trái quy định, Chúng tôi có quyền tạm ngừng tài khoản và xóa dữ liệu theo quy trình phù hợp.
XVIII. Tuyên bố miễn trừ & giới hạn trách nhiệm
18.1. Trong phạm vi pháp luật cho phép, Chúng tôi không chịu trách nhiệm đối với thiệt hại gián tiếp/hệ quả phát sinh từ:
Lỗi thiết bị, đường truyền, hệ điều hành, nhà mạng, sự cố ngoài tầm kiểm soát.
Hành vi của bên thứ ba (đối tác công nghệ, đối tác cung cấp dịch vụ) vượt ngoài phạm vi quản lý hợp lý của Chúng tôi.
Việc người dùng tự tiết lộ thông tin, mất OTP/mật khẩu, bị lừa đảo ngoài Nền tảng.
18.2. Trường hợp Chúng tôi phải chịu trách nhiệm, tổng mức bồi thường (nếu có) sẽ được giới hạn ở mức tối đa theo: (i) số phí dịch vụ bạn đã trả cho giao dịch liên quan trong [...] ngày gần nhất; hoặc (ii) mức khác theo quy định pháp luật bắt buộc.
18.3. Bạn đồng ý bồi hoàn/miễn trừ cho Chúng tôi trước mọi khiếu nại/thiệt hại phát sinh từ việc bạn vi phạm pháp luật, vi phạm Chính sách này hoặc xâm phạm quyền của người khác.
XIX. Sửa đổi chính sách
Chúng tôi có thể cập nhật Chính sách này theo thời gian. Bản cập nhật có hiệu lực từ ngày đăng tải trên Nền tảng. Việc bạn tiếp tục sử dụng Nền tảng sau cập nhật được hiểu là bạn đã đọc, hiểu và đồng ý với Chính sách mới của Chúng tôi.
XX. Hiệu lực
Chính sách này có hiệu lực từ ngày [14/1/2026].
