Chính Sách Bảo Vệ Dữ Liệu

1. Chủ thể xử lý dữ liệu

Chính sách này tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (có hiệu lực từ 01/07/2023) và các quy định pháp luật liên quan của Việt Nam.

Bên Kiểm soát Dữ liệu: Công ty Cổ phần Công nghệ TARO (TARO TECHNOLOGY., JSC) · Email: admin@taro.edu.vn · Website: taro.edu.vn

Khi bạn sử dụng sTARO thông qua một Tổ chức (trường học, doanh nghiệp), Tổ chức đó cũng là Bên Kiểm soát Dữ liệu đối với dữ liệu của bạn trong phạm vi dịch vụ mà họ cung cấp. TARO đóng vai trò Bên Xử lý Dữ liệu theo hợp đồng với Tổ chức.

2. Dữ liệu cá nhân chúng tôi thu thập

2.1 Dữ liệu bạn trực tiếp cung cấp

Loại dữ liệu	Nội dung cụ thể
Thông tin nhận dạng	Họ tên, ngày sinh, giới tính, số điện thoại, địa chỉ email
Thông tin học vấn	Trường học, lớp, khối thi, điểm số các môn, thành tích học tập
Thông tin nghề nghiệp	Ngành nghề, kinh nghiệm làm việc (với người đi làm)
Thông tin gia đình	Nghề nghiệp cha/mẹ, số anh chị em, điều kiện gia đình
Thông tin sức khoẻ	Tình trạng sức khoẻ tổng quát, các yếu tố ảnh hưởng đến học tập
Nguyện vọng	Định hướng nghề nghiệp, mục tiêu học tập, sở thích
Câu trả lời bài đánh giá	Phản hồi cho toàn bộ câu hỏi trắc nghiệm

2.2 Dữ liệu thu thập tự động

Loại dữ liệu	Mục đích
Địa chỉ IP	Bảo mật, phát hiện bất thường
Loại trình duyệt, thiết bị	Tối ưu trải nghiệm
Thời gian truy cập, trang đã xem	Phân tích hành vi sử dụng
Cookie phiên làm việc	Duy trì đăng nhập, lưu tiến độ

2.3 Dữ liệu nhạy cảm

Một số thông tin thu thập thuộc dữ liệu cá nhân nhạy cảm theo Điều 9 Nghị định 13/2023/NĐ-CP, bao gồm thông tin sức khoẻ và thông tin về nguồn gốc xã hội/gia đình. Chúng tôi chỉ thu thập các dữ liệu này khi có sự đồng ý rõ ràng của bạn.

3. Mục đích và cơ sở pháp lý xử lý dữ liệu

Mục đích	Cơ sở pháp lý
Cung cấp dịch vụ đánh giá năng lực, tính cách, định hướng nghề nghiệp	Thực hiện hợp đồng (Điều 17 NĐ13)
Tạo báo cáo cá nhân hóa (PDF, dashboard)	Thực hiện hợp đồng
Cải thiện thuật toán và chất lượng bài đánh giá (dữ liệu ẩn danh)	Lợi ích hợp pháp của TARO
Gửi thông báo về tài khoản, kết quả, bảo mật	Thực hiện hợp đồng
Gửi thông tin sản phẩm mới, khuyến mãi (email marketing)	Sự đồng ý (có thể rút lại)
Tuân thủ yêu cầu pháp lý của cơ quan nhà nước	Nghĩa vụ pháp lý
Phân tích thống kê và nghiên cứu giáo dục (ẩn danh)	Lợi ích hợp pháp / Sự đồng ý

4. Chia sẻ dữ liệu

Chúng tôi KHÔNG bán dữ liệu cá nhân của bạn.

Tổ chức mời bạn tham gia (B2B)

Nếu bạn tham gia đánh giá thông qua trường học hoặc doanh nghiệp, Tổ chức đó có quyền xem kết quả của bạn theo phạm vi đã thỏa thuận. Tổ chức không được phép chia sẻ kết quả cho bên thứ ba mà không có sự đồng ý của bạn.

Đối tác kỹ thuật (Bên Xử lý)

Dịch vụ lưu trữ đám mây (Cloud hosting)
Cổng thanh toán SePay
Dịch vụ AI (OpenAI / Anthropic) — chỉ nhận dữ liệu ẩn danh hoặc dữ liệu tối thiểu cần thiết
Dịch vụ email giao dịch (Amazon SES hoặc tương đương)

Cơ quan nhà nước

Khi có yêu cầu hợp pháp từ cơ quan có thẩm quyền theo quy định pháp luật.

5. Thời gian lưu trữ dữ liệu

Loại dữ liệu	Thời gian lưu trữ
Tài khoản và hồ sơ cá nhân	Trong thời gian tài khoản hoạt động + 3 năm sau khi xóa tài khoản
Kết quả đánh giá và báo cáo	5 năm kể từ ngày hoàn thành bài đánh giá
Dữ liệu thanh toán	5 năm theo quy định kế toán
Log bảo mật	1 năm
Dữ liệu marketing (email)	Cho đến khi bạn hủy đăng ký nhận tin

Sau khi hết thời hạn lưu trữ, dữ liệu sẽ được xóa vĩnh viễn hoặc ẩn danh hóa.

6. Quyền của chủ thể dữ liệu

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đây:

Quyền được biết

Biết về hoạt động xử lý dữ liệu cá nhân của mình.

Quyền đồng ý

Đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân.

Quyền truy cập

Yêu cầu truy cập vào dữ liệu cá nhân đang được lưu trữ.

Quyền rút lại đồng ý

Rút lại sự đồng ý đối với các xử lý dựa trên sự đồng ý.

Quyền xóa dữ liệu

Yêu cầu xóa dữ liệu, trừ trường hợp pháp luật yêu cầu lưu trữ.

Quyền hạn chế xử lý

Yêu cầu hạn chế xử lý dữ liệu trong một số trường hợp.

Quyền cung cấp dữ liệu

Nhận lại dữ liệu dưới định dạng có thể đọc được (xuất dữ liệu).

Quyền phản đối

Phản đối việc xử lý dữ liệu cá nhân của mình.

Gửi yêu cầu đến admin@taro.edu.vn với tiêu đề "[Yêu cầu dữ liệu cá nhân]". TARO sẽ phản hồi trong vòng 72 giờ làm việc.

7. Bảo mật dữ liệu

Mã hóa

TLS 1.3 khi truyền tải, AES-256 khi lưu trữ

Kiểm soát truy cập

Chỉ nhân viên có thẩm quyền mới được truy cập dữ liệu

Xác thực đa yếu tố

Bắt buộc cho tất cả tài khoản quản trị

Kiểm tra định kỳ

Đánh giá bảo mật và kiểm tra khả năng phục hồi thường xuyên

Trong trường hợp xảy ra vi phạm dữ liệu, TARO cam kết thông báo cho cơ quan có thẩm quyền trong vòng 72 giờ theo Điều 23 NĐ13.

8. Chuyển dữ liệu ra nước ngoài

Một số dịch vụ kỹ thuật TARO sử dụng có máy chủ đặt ngoài Việt Nam. Mọi việc chuyển dữ liệu cá nhân ra nước ngoài đều tuân thủ quy định tại Chương V Nghị định 13/2023/NĐ-CP và chỉ thực hiện khi có biện pháp bảo vệ phù hợp.

9. Cookie và công nghệ theo dõi

Cookie thiết yếu: Bắt buộc để duy trì phiên đăng nhập và bảo mật. Không thể tắt.
Cookie phân tích: Thu thập thông tin sử dụng (ẩn danh). Bạn có thể tắt thông qua cài đặt Cookie.
Không sử dụng cookie quảng cáo của bên thứ ba.

10. Trẻ em và người chưa thành niên

Người dùng dưới 18 tuổi tham gia qua Tổ chức phải được Tổ chức đảm bảo đã có sự đồng ý của cha/mẹ hoặc người giám hộ.
TARO không chủ động marketing trực tiếp đến người dùng dưới 18 tuổi.
Kết quả đánh giá của học sinh thuộc về học sinh và được bảo vệ nghiêm ngặt.

11. Cập nhật chính sách

TARO có thể cập nhật Chính sách này để phản ánh thay đổi về pháp luật hoặc thực tiễn xử lý dữ liệu. Phiên bản mới sẽ được đăng tải trên Nền tảng với ngày có hiệu lực rõ ràng. Thay đổi quan trọng sẽ được thông báo qua email trước ít nhất 14 ngày.

12. Liên hệ về bảo vệ dữ liệu

Cán bộ Bảo vệ Dữ liệu (DPO) — Công ty Cổ phần Công nghệ TARO

Email: admin@taro.edu.vn · Website: taro.edu.vn

Nếu bạn cho rằng quyền về dữ liệu cá nhân của mình bị vi phạm, bạn có quyền khiếu nại đến Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

Chính Sách Bảo Vệ Dữ Liệu Cá Nhân