CHÍNH SÁCH BẢO MẬT
Cập nhật lần cuối: Ngày 24 tháng 5 năm 2026
1. BÊN KIỂM SOÁT DỮ LIỆU VÀ THÔNG TIN LIÊN HỆ
1.1. Bên kiểm soát dữ liệu chịu trách nhiệm xử lý dữ liệu cá nhân của bạn trong khuôn khổ Dự án nghiên cứu cá nhân phi thương mại Qi Chart là cá nhân sau đây:
- Họ và tên: Mikhail Sukhoverkhiy
- Giấy tờ định danh: NIE Z2887058B
- Địa chỉ cư trú: 03710, Calp, Tây Ban Nha
- Email liên hệ: qichartinfo@gmail.com
1.2. Nền tảng Qi Chart xử lý dữ liệu tuân thủ nghiêm ngặt Quy định chung về bảo vệ dữ liệu của EU (GDPR), Luật hữu cơ Tây Ban Nha 3/2018, ngày 5 tháng 12, về Bảo vệ dữ liệu cá nhân và đảm bảo quyền kỹ thuật số (LOPDGDD), cũng như Luật Tây Ban Nha 34/2002, ngày 11 tháng 7, về Dịch vụ xã hội thông tin và thương mại điện tử (LSSI-CE).
2. CÁC LOẠI DỮ LIỆU VÀ CƠ SỞ PHÁP LÝ (BẢO MẬT NGAY TỪ KHÂU THIẾT KẾ / PRIVACY BY DESIGN)
2.1. GIỚI HẠN TUỔI (DỮ LIỆU CỦA TRẺ VỊ THÀNH NIÊN) Việc sử dụng các dịch vụ trong Khu vực cá nhân của Nền tảng được cho phép nếu:
- Bạn đã đủ 14 tuổi, nếu bạn cư trú trên lãnh thổ của Vương quốc Tây Ban Nha (theo quy định tại Điều 7 của Luật hữu cơ LOPDGDD);
- Bạn đã đủ 13 tuổi, nếu bạn cư trú trên lãnh thổ của Hoa Kỳ (theo quy định của Luật COPPA);
- Bạn đã đủ 16 tuổi (hoặc độ tuổi đồng ý do luật pháp địa phương của bạn quy định đối với việc xử lý dữ liệu cá nhân), nếu bạn cư trú ở bất kỳ quốc gia nào khác trên thế giới.
Nếu bạn chưa đạt đến độ tuổi quy định, việc đăng ký tài khoản và cung cấp dữ liệu cá nhân chỉ được phép khi có sự đồng ý rõ ràng của cha mẹ hoặc người giám hộ hợp pháp của bạn. Nền tảng có quyền yêu cầu cung cấp bằng chứng về sự đồng ý đó và xóa tài khoản trong trường hợp không cung cấp được bằng chứng.
Chúng tôi đã chia kiến trúc kỹ thuật của dự án thành hai mức độ độc lập để đảm bảo bảo vệ tối đa quyền riêng tư của người dùng:
A. Mức độ truy cập dành cho khách (Không đăng ký tài khoản)
- Cơ chế xử lý: Sử dụng công nghệ xử lý và mã hóa hash phía máy khách (Client-Side Hash). Tất cả các tham số tính toán của bạn (ngày sinh, giờ sinh, tọa độ địa lý nơi sinh) được mã hóa trong trình duyệt của người dùng và được đặt trong thanh địa chỉ URL sau biểu tượng dấu thăng (#).
- Quyền riêng tư: Theo đặc tả kỹ thuật của giao thức Internet RFC 3986, các tham số này chỉ được xử lý bởi trình duyệt của bạn và không được truyền về mặt vật lý đến các máy chủ web của chúng tôi trong các yêu cầu. Chúng tôi không lưu trữ dữ liệu này trong cơ sở dữ liệu cũng như không ghi lại chúng trong nhật ký hệ thống (logs). Nền tảng không hoạt động với tư cách là Bên kiểm soát dữ liệu đối với dữ liệu này, vì về mặt kỹ thuật chúng tôi không có quyền truy cập vào chúng.
- Cơ sở pháp lý: Hành động rõ ràng của chính bạn khi bắt đầu thực hiện tính toán trên thiết bị của mình.
B. Mức độ người dùng đã đăng ký (Khu vực cá nhân)
- Cơ chế xử lý: Khi tạo khu vực cá nhân, dữ liệu tính toán của bạn sẽ được lưu trữ trong cơ sở dữ liệu PostgreSQL an toàn trên các máy chủ đặt tại Pháp (Liên minh Châu Âu).
- Cơ sở pháp lý (Điều 6.1.b của GDPR): Việc lưu trữ dữ liệu là yêu cầu bắt buộc để thực hiện hợp đồng (cung cấp các chức năng miễn phí của Khu vực cá nhân).
- Dữ liệu nhạy cảm (Điều 9 của GDPR): Vì các tính toán siêu hình có thể tiết lộ hoặc gợi ý gián tiếp về niềm tin triết học hoặc tôn giáo của bạn, chúng tôi phân loại dữ liệu này vào các loại dữ liệu đặc biệt. Bằng cách đăng ký tài khoản và lưu trữ biểu đồ trong Khu vực cá nhân, bạn đồng ý rõ ràng và trước cho chúng tôi lưu trữ kỹ thuật dữ liệu đó trong cơ sở dữ liệu (Điều 9.2.a của GDPR). Bạn có quyền rút lại sự đồng ý này bất kỳ lúc nào.
- Dữ liệu của bên thứ ba: Nếu bạn nhập dữ liệu ngày sinh của bên thứ ba (thành viên gia đình, người quen) vào khu vực cá nhân, bạn đảm bảo dưới trách nhiệm duy nhất của mình rằng bạn đã có được sự đồng ý trước và rõ ràng của họ cho việc xử lý đó và bạn đã phổ biến cho họ biết về Chính sách này.
- Chia sẻ: Khi người dùng đã đăng ký chia sẻ liên kết tính toán với bên thứ ba, Nền tảng sẽ tạo một liên kết có khóa ẩn danh (https://qichart.com/?share=UUID), liên kết này không chứa dữ liệu cá nhân (PII) trong chuỗi URL. Quyền truy cập vào tính toán chỉ được máy chủ cung cấp với điều kiện chủ tài khoản đã thay đổi trạng thái tính toán sang vị trí "Công khai" (Public) trong giao diện Khu vực cá nhân của mình một cách thủ công.
C. Mức độ kỹ thuật và hệ thống (An ninh)
- Các loại dữ liệu thu thập: Địa chỉ IP, loại và phiên bản trình duyệt, hệ điều hành, cookie phiên kỹ thuật.
- Mục đích xử lý: Đảm bảo hoạt động ổn định của trang web, ngăn chặn các cuộc tấn công DDoS và các nỗ lực truy cập trái phép.
- Cơ sở pháp lý (Điều 6.1.f của GDPR): Lợi ích hợp pháp của Bên kiểm soát dữ liệu trong việc duy trì an ninh cho cơ sở hạ tầng thông tin của Dự án. Nền tảng không thực hiện việc ra quyết định tự động, bao gồm cả việc xây dựng hồ sơ theo quy định tại Điều 22 của GDPR.
3. ỦY QUYỀN TRUY CẬP QUA GOOGLE / APPLE / FACEBOOK
3.1. Khi sử dụng ủy quyền OAuth của bên thứ ba, chúng tôi chỉ nhận được email, ID người dùng nội bộ và tên hồ sơ do nhà cung cấp dịch vụ định danh cung cấp.
3.2. Chuyển giao dữ liệu quốc tế trong quá trình ủy quyền: Các phương thức đăng nhập này có thể liên quan đến việc chuyển giao quốc tế các mã định danh kỹ thuật của bạn sang máy chủ của các nhà cung cấp bên ngoài Khu vực Kinh tế Châu Âu (EEA), cụ thể là sang Hoa Kỳ. Bằng cách chọn phương thức ủy quyền này (Google, Apple hoặc Facebook), bạn trực tiếp yêu cầu và bắt đầu quá trình chuyển giao đó, quá trình này là cần thiết về mặt kỹ thuật để thực hiện các dịch vụ của tài khoản theo yêu cầu của bạn (tuân thủ Điều 49.1.b của GDPR). Như một biện pháp bảo đảm an ninh bổ sung, việc chuyển giao đó cũng được điều chỉnh bởi các điều khoản hợp đồng tiêu chuẩn (Standard Contractual Clauses - SCC) do Ủy ban Châu Âu phê duyệt và sự tham gia của các nhà cung cấp dịch vụ này vào Khung bảo mật dữ liệu giữa EU và Hoa Kỳ (EU-U.S. Data Privacy Framework).
4. AN NINH VÀ CÁC BIỆN PHÁP BẢO VỆ KỸ THUẬT (Điều 32 của GDPR)
Tuân thủ Điều 32 của GDPR, các biện pháp sau đây được áp dụng để bảo vệ dữ liệu cá nhân của bạn:
4.1. Cách ly cục bộ: Dữ liệu tính toán của khách không rời khỏi trình duyệt của họ, điều này loại bỏ hoàn toàn nguy cơ rò rỉ dữ liệu từ các máy chủ của Dự án.
4.2. Mã hóa trong quá trình truyền tải: Việc truyền tải tất cả dữ liệu giữa thiết bị của bạn và các máy chủ của Nền tảng được mã hóa bằng giao thức SSL/TLS.
4.3. Không có hoạt động theo dõi ẩn giấu: Nền tảng không cố tình tích hợp các tập lệnh phân tích, tiếp thị hoặc quảng cáo của bên thứ ba (bao gồm pixel mạng xã hội, trò chuyện bên ngoài hoặc hệ thống phân tích web bên ngoài) có khả năng đọc ngầm các giá trị hash (tham số hash) từ địa chỉ URL trong trình duyệt của Người dùng.
4.4. Mã hóa giả danh cho người dùng đã đăng ký: Dữ liệu được nhập để tính toán trong Khu vực cá nhân được lưu trữ cách ly hoàn toàn với dữ liệu đăng ký tài khoản của bạn (email).
4.5. Nhật ký lưu lượng truy cập máy chủ web: Nhật ký kỹ thuật của máy chủ web (Nginx/CDN) chỉ ghi lại các tham số kỹ thuật (địa chỉ IP, URL sạch không có tham số tính toán) để bảo vệ chống lại các cuộc tấn công. Nhật ký bảo mật được lưu giữ trong thời gian tối đa là 30 ngày và sẽ tự động bị hủy.
4.6. Nghĩa vụ bảo mật thông tin: Bên kiểm soát dữ liệu và bất kỳ ai tham gia hỗ trợ kỹ thuật có quyền truy cập vào dữ liệu cá nhân của bạn trong các giai đoạn xử lý cam kết giữ bí mật chuyên môn và bảo mật nghiêm ngặt, tuân thủ Điều 5 của LOPDGDD Tây Ban Nha và Điều 5.1.f của GDPR. Nghĩa vụ này có thời hạn vô hạn và sẽ tiếp tục có hiệu lực sau khi bạn ngừng sử dụng Nền tảng.
4.7. Sử dụng bên xử lý phụ (Dịch vụ chuyển phát thư điện tử): Để chuyển phát vật lý các email giao dịch của hệ thống (liên kết xác nhận email, khôi phục mật khẩu) và các bản tin thông tin do bạn chấp thuận, Nền tảng sử dụng các dịch vụ chuyển phát chuyên dụng của bên thứ ba (cụ thể là Resend, Inc., Hoa Kỳ và Mailjet SAS, Pháp). Việc chuyển địa chỉ email và tên của bạn cho các dịch vụ này là cần thiết về mặt kỹ thuật để đảm bảo chức năng và bảo mật của Khu vực cá nhân (tuân thủ Điều 6(1)(b) của GDPR). Các bên xử lý phụ nêu trên xử lý dữ liệu của bạn nghiêm ngặt theo chỉ thị của Bên kiểm soát trong khuôn khổ các Thỏa thuận xử lý dữ liệu (DPA) đã ký kết. Đối với công ty Mailjet SAS, việc xử lý dữ liệu được thực hiện trên lãnh thổ Liên minh Châu Âu (Pháp). Đối với công ty Resend, Inc., việc chuyển giao dữ liệu được quy định bởi các Điều khoản hợp đồng tiêu chuẩn (SCC) do Ủy ban Châu Âu phê duyệt, cũng như chứng nhận chính thức của công ty trong khuôn khổ Khung bảo mật dữ liệu EU-U.S. Data Privacy Framework. Các dịch vụ này không có quyền sử dụng thông tin liên lạc của bạn cho mục đích tiếp thị riêng hoặc các mục đích khác.
5. COOKIES VÀ PHÂN TÍCH «RADAR TRỰC TIẾP»
5.1. Nền tảng cho phép quản lý cookie chi tiết thông qua biểu ngữ đồng ý tương tác:
- Kỹ thuật (Bắt buộc): Đảm bảo tính xác thực, bảo mật và bảo vệ bạn chống lại các spambot ở phía máy chủ (không theo dõi liên kết chéo). Các cookie này không yêu cầu sự đồng ý theo Điều 22.2 của Luật Tây Ban Nha LSSI-CE và các hướng dẫn của Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD).
- Chức năng (khi có sự đồng ý): Lưu giữ các cài đặt giao diện của bạn (ngôn ngữ, chủ đề màu sắc).
- Phân tích (khi có sự đồng ý): Giúp chúng tôi đánh giá mức độ phổ biến của các phần trên Nền tảng thông qua hệ thống ẩn danh «Radar trực tiếp» (Live Radar). Hệ thống này tự động loại bỏ phần hash của URL (#) trước khi ghi nhận lượt truy cập, loại bỏ hoàn toàn việc thu thập vô tình dữ liệu cá nhân của khách.
5.2. Bạn có thể rút lại sự đồng ý hoặc thay đổi cài đặt Cookie của mình bất kỳ lúc nào thông qua bảng cấu hình nằm ở phần chân trang (footer) của trang web.
6. QUYỀN CỦA CHỦ THỂ DỮ LIỆU VÀ THỜI HẠN PHẢN HỒI YÊU CẦU (Điều 13 của GDPR)
6.1. Bạn có các quyền sau đây liên quan đến dữ liệu cá nhân của mình:
- Quyền truy cập và cải chính: Được thực hiện độc lập thông qua giao diện của Khu vực cá nhân.
- Quyền xóa và khóa dữ liệu: Nút "Xóa tài khoản" có sẵn trong phần cài đặt hồ sơ. Khi kích hoạt nó, dữ liệu của bạn sẽ ngay lập tức bị loại khỏi các quy trình xử lý đang hoạt động trên trang web. Theo Điều 32 của LOPDGDD Tây Ban Nha, dữ liệu này sẽ được chuyển sang chế độ khóa dữ liệu (khóa và lưu trữ dữ liệu theo luật pháp Tây Ban Nha). Dữ liệu bị khóa sẽ được lưu trữ dưới dạng mã hóa và cô lập độc quyền phục vụ các cơ quan có thẩm quyền trong thời hạn hiệu lực (tối đa 3 năm), sau đó sẽ bị hủy bỏ vĩnh viễn. Dữ liệu trong các bản sao lưu (backups) sẽ được tự động ghi đè trong vòng tối đa 30 ngày.
- Quyền hạn chế xử lý, chuyển di dữ liệu và rút lại sự đồng ý: Bạn có quyền rút lại sự đồng ý xử lý dữ liệu bất kỳ lúc nào, cũng như yêu cầu tải xuống dữ liệu của mình ở định dạng có cấu trúc, máy có thể đọc được hoặc hạn chế xử lý dữ liệu trong các trường hợp do pháp luật quy định.
6.2. Thực hiện các quyền: Vui lòng gửi yêu cầu bằng văn bản đến email: qichartinfo@gmail.com.
6.3. Thời hạn giải quyết: Chúng tôi cam kết phản hồi yêu cầu của bạn miễn phí trong thời hạn một tháng kể từ ngày nhận được yêu cầu (tuân thủ Điều 12.3 của GDPR). Trong các trường hợp phức tạp, thời hạn này có thể được gia hạn thêm hai tháng.
6.4. Khiếu nại: Bạn có quyền hợp pháp để nộp khiếu nại với cơ quan giám sát bảo vệ dữ liệu ở Tây Ban Nha: Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD), có trụ sở tại Calle Jorge Juan 6, 28001, Madrid, Tây Ban Nha (www.aepd.es).
6.5. Quyền của người đã khuất (Điều 3 của LOPDGDD): Trong trường hợp người dùng Nền tảng qua đời, những người thân hoặc người thừa kế có thể liên hệ với Bên kiểm soát dữ liệu để yêu cầu quyền truy cập, cải chính hoặc xóa dữ liệu cá nhân của người đã khuất (trừ khi người đã khuất có lệnh cấm rõ ràng hoặc pháp luật có quy định khác).
7. THÔNG TIN LIÊN LẠC VÀ THÔNG BÁO KỸ THUẬT (LSSI-CE)
Nền tảng tuân thủ nghiêm ngặt các yêu cầu của Điều 21 của LSSI-CE và không gửi cho người dùng bất kỳ thông tin liên lạc thương mại nào qua email mà không có sự đồng ý trước và rõ ràng (opt-in). Bạn có quyền rút lại sự đồng ý này bất kỳ lúc nào bằng cách nhấp vào liên kết "Hủy đăng ký" ở cuối email hoặc gửi yêu cầu đến qichartinfo@gmail.com.