Chính Sách Bảo Mật

Điều 1 (Mục đích)

Chính Sách này quy định việc thu thập, sử dụng, lưu trữ và hủy bỏ các dữ liệu cá nhân tối thiểu được Công ty thu thập trong quá trình cung cấp tất cả các dịch vụ (bao gồm web và di động, sau đây gọi là "Dịch Vụ"), cũng như thủ tục để người dùng thực hiện các quyền của mình.

Điều 2 (Định nghĩa)

1. "Dữ liệu cá nhân" là thông tin liên quan đến một cá nhân còn sống có thể xác định danh tính riêng biệt, hoặc kết hợp với thông tin khác để nhận diện.
2. "Xử lý" là tất cả các hoạt động đối với dữ liệu cá nhân như thu thập, tạo, ghi, lưu trữ, duy trì, xử lý, chỉnh sửa, tìm kiếm, sử dụng, cung cấp, công khai và hủy bỏ.
3. Các thuật ngữ khác theo quy định của pháp luật hiện hành và Điều khoản Sử dụng Dịch vụ.

Điều 3 (Nguyên tắc xử lý dữ liệu cá nhân)

1. Công ty chỉ xử lý lượng dữ liệu cá nhân tối thiểu theo cách hợp pháp và công bằng.
2. Công ty không lưu giữ hoặc sử dụng dữ liệu cá nhân vượt quá thời gian cần thiết để đạt được mục đích xử lý.
3. Công ty không cung cấp hoặc ủy quyền dữ liệu cá nhân cho bên thứ ba nếu không có căn cứ pháp lý hoặc sự đồng ý của người dùng, trừ khi pháp luật cho phép (ví dụ: yêu cầu hợp pháp từ cơ quan có thẩm quyền).

Điều 4 (Công khai và sửa đổi Chính Sách)

1. Chính Sách này luôn được công khai trên trang chủ của website hoặc ứng dụng di động.
2. Khi có sửa đổi, sẽ thông báo trước ít nhất 7 ngày (30 ngày nếu thay đổi ảnh hưởng nghiêm trọng đến quyền của người dùng) thông qua thông báo, pop-up hoặc email.

Điều 5 (Mục, mục đích và thời gian lưu trữ dữ liệu cá nhân)

Điều 6 (Cung cấp cho bên thứ ba)

Không có. (Chỉ cung cấp khi có sự đồng ý hoặc yêu cầu hợp pháp từ cơ quan chức năng, với thông báo trước về dữ liệu, mục đích và thời hạn)

Điều 7 (Ủy thác xử lý & chuyển dữ liệu ra nước ngoài)

Điều 8 (Quyền của người dùng)

1. Gửi yêu cầu qua email (bloomingtales.customer@get-a.io) hoặc thư tín đến: '43beon-gil 10, Seongnam-daero, Bundang-gu, Seongnam-si, Gyeonggi-do, Republic of Korea, tầng 3, phòng 309 (HanaEZ Tower, Gumi-dong)' → trả lời trong vòng 10 ngày.
2. Người dùng có quyền truy cập, chỉnh sửa, xóa, tạm ngừng xử lý và rút lại sự đồng ý.
3. Yêu cầu lặp lại hoặc quá mức, hoặc có nguy cơ ảnh hưởng đến quyền lợi của người khác, có thể bị hạn chế.

Điều 9 (Quản lý Cookie)

1. Cookie cần thiết (phiên) / cookie phân tích (Analytics): được cài đặt sau khi đồng ý; từ chối sẽ hạn chế chức năng thống kê.
2. Lịch sử đồng ý/rút lại được lưu giữ an toàn trong 2 năm trước khi xóa.

Điều 10 (Lưu trữ và hủy bỏ)

1. Dữ liệu cá nhân sẽ bị xóa ngay khi hết thời gian lưu trữ, đạt được mục đích hoặc người dùng yêu cầu xóa/hủy.
2. Tuy nhiên, dữ liệu nhập của người dùng và kết quả có thể được ẩn danh (hash, loại bỏ định danh) và lưu giữ tối đa 3 năm chỉ cho mục đích cải thiện dịch vụ/thống kê. Không thể tái nhận dạng cá nhân.
3. Tệp điện tử sẽ bị xóa vĩnh viễn, tài liệu giấy sẽ bị hủy bằng cách nghiền hoặc đốt.

Điều 11 (Lưu trữ nhật ký truy cập)

Địa chỉ IP và nhật ký đăng nhập: 6 tháng (3 tháng nếu <10.000 người dùng/ngày). Nhật ký kiểm toán: 13 tháng.

Điều 12 (Chính sách tài khoản không hoạt động)

Không sử dụng trong 1 năm → tài khoản chuyển sang trạng thái không hoạt động và lưu trữ riêng, thông báo qua email trước 30 ngày, xóa sau 4 năm.

Điều 13 (Thông báo rò rỉ dữ liệu)

Báo cáo cho KISA trong vòng 24h, thông báo cho người dùng trong vòng 48h.

Điều 14 (Biện pháp bảo mật)

Mã hóa (SHA-256), quyền truy cập tối thiểu, WAF, 2FA, đào tạo và kiểm tra hàng năm.

Điều 15 (Người phụ trách)

Điều 16 (Thông tin doanh nghiệp)

Điều 17 (Điều khoản bổ sung)

Chính Sách này có hiệu lực từ ngày 17/07/2025 và sẽ được sửa đổi/thông báo ngay khi có tính năng mới.