Chính sách Bảo mật
Cập nhật lần cuối: 24/06/2026
1. Giới thiệu
Chính sách Bảo mật này mô tả cách Crelapa ("chúng tôi", "Bên kiểm soát dữ liệu") thu thập, sử dụng, lưu trữ, xử lý và bảo vệ dữ liệu cá nhân của bạn ("Chủ thể dữ liệu") khi sử dụng dịch vụ tại https://crelapa.com.
Chính sách này được xây dựng tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật An toàn thông tin mạng 2015 và các quy định pháp luật liên quan của Việt Nam.
Bằng cách sử dụng Dịch vụ, bạn xác nhận đã đọc, hiểu và đồng ý với Chính sách này. Nếu không đồng ý, vui lòng ngừng sử dụng Dịch vụ.
2. Phạm vi Áp dụng
Chính sách này áp dụng cho tất cả dữ liệu thu thập qua:
- Website chính thức tại https://crelapa.com
- Ứng dụng quản lý và tạo nội dung của Crelapa
- Các tính năng tích hợp AI, tạo website và quản lý nội dung số
- Thông tin liên lạc qua email và kênh hỗ trợ
3. Dữ liệu Cá nhân Chúng tôi Thu thập
3.1. Dữ liệu bạn cung cấp trực tiếp
- Thông tin tài khoản: họ tên, địa chỉ email, số điện thoại, mật khẩu (được mã hóa)
- Thông tin hồ sơ: ảnh đại diện, thông tin doanh nghiệp (nếu có)
- Nội dung người dùng tạo: văn bản, hình ảnh, cấu hình website và các tài sản kỹ thuật số khác
- Thông tin liên hệ: nội dung bạn gửi qua email hỗ trợ hoặc biểu mẫu phản hồi
3.2. Dữ liệu thu thập tự động
- Dữ liệu kỹ thuật: địa chỉ IP, loại trình duyệt, hệ điều hành, loại thiết bị
- Dữ liệu sử dụng: trang đã truy cập, thời gian sử dụng, tính năng đã dùng, nhật ký lỗi
- Cookie và công nghệ theo dõi: phiên đăng nhập, tùy chọn người dùng (xem mục 9)
3.3. Dữ liệu thanh toán
- Lịch sử giao dịch và gói dịch vụ đã mua
- Trạng thái thanh toán và chu kỳ gia hạn
Chúng tôi không lưu trữ số thẻ ngân hàng, CVV hoặc thông tin thẻ thanh toán. Toàn bộ giao dịch tài chính được xử lý bởi cổng thanh toán được chứng nhận PCI-DSS.
4. Mục đích Xử lý Dữ liệu
Chúng tôi xử lý dữ liệu cá nhân của bạn cho các mục đích sau, kèm theo cơ sở pháp lý tương ứng:
- Cung cấp và vận hành Dịch vụ — thực hiện hợp đồng dịch vụ với bạn
- Quản lý tài khoản và xác thực danh tính — thực hiện hợp đồng và nghĩa vụ pháp lý
- Xử lý thanh toán và quản lý đăng ký — thực hiện hợp đồng và nghĩa vụ kế toán, thuế
- Hỗ trợ kỹ thuật và giải quyết khiếu nại — lợi ích hợp pháp và thực hiện hợp đồng
- Cải thiện và phát triển Dịch vụ — lợi ích hợp pháp (dữ liệu được ẩn danh hóa khi có thể)
- Gửi thông báo dịch vụ (cập nhật tính năng, gia hạn, bảo mật) — lợi ích hợp pháp và thực hiện hợp đồng
- Gửi thông tin marketing (tính năng mới, ưu đãi) — có sự đồng ý của bạn (bạn có thể từ chối bất kỳ lúc nào)
- Tuân thủ nghĩa vụ pháp lý — yêu cầu của cơ quan nhà nước có thẩm quyền
5. Cơ sở Pháp lý Xử lý Dữ liệu
Theo Nghị định 13/2023/NĐ-CP, chúng tôi xử lý dữ liệu cá nhân dựa trên các căn cứ sau:
- Sự đồng ý (Điều 11): bạn cung cấp khi đăng ký và sử dụng Dịch vụ
- Thực hiện hợp đồng (Điều 17): cần thiết để cung cấp Dịch vụ bạn đã đăng ký
- Nghĩa vụ pháp lý (Điều 17): tuân thủ luật kế toán, thuế và yêu cầu cơ quan nhà nước
- Lợi ích hợp pháp (Điều 17): cải thiện Dịch vụ, bảo mật hệ thống, phòng chống gian lận
6. Chia sẻ Dữ liệu với Bên thứ ba
Chúng tôi không bán dữ liệu cá nhân của bạn. Dữ liệu có thể được chia sẻ với:
- Nhà cung cấp hạ tầng đám mây (lưu trữ và vận hành hệ thống) — ràng buộc bởi hợp đồng bảo mật dữ liệu
- Cổng thanh toán (xử lý giao dịch tài chính) — tuân thủ tiêu chuẩn PCI-DSS
- Nhà cung cấp dịch vụ AI (xử lý tạo nội dung) — ràng buộc bởi điều khoản bảo mật dữ liệu
- Dịch vụ phân tích (cải thiện Dịch vụ, dữ liệu được ẩn danh hóa khi có thể)
- Cơ quan nhà nước có thẩm quyền theo yêu cầu của pháp luật Việt Nam
Các bên thứ ba xử lý dữ liệu thay mặt chúng tôi phải ký kết thỏa thuận xử lý dữ liệu và cam kết tuân thủ các tiêu chuẩn bảo mật tương đương.
7. Chuyển dữ liệu Ra nước ngoài
Một số nhà cung cấp dịch vụ của chúng tôi có thể đặt máy chủ ngoài lãnh thổ Việt Nam. Trong trường hợp này, việc chuyển dữ liệu ra nước ngoài được thực hiện theo quy định tại Điều 25 Nghị định 13/2023/NĐ-CP, đảm bảo:
- Có sự đồng ý của bạn thông qua việc chấp nhận Chính sách này
- Bên nhận dữ liệu cam kết áp dụng mức độ bảo vệ tương đương pháp luật Việt Nam
- Chúng tôi thực hiện các biện pháp hợp đồng và kỹ thuật phù hợp để bảo vệ dữ liệu trong quá trình chuyển giao
8. Lưu trữ và Thời hạn Giữ liệu
- Dữ liệu tài khoản: trong suốt thời gian tài khoản hoạt động và thêm 90 ngày sau khi xóa tài khoản (để phục hồi nếu cần)
- Dữ liệu giao dịch tài chính: tối thiểu 5 năm theo Luật Kế toán và quy định thuế
- Nhật ký hệ thống: tối đa 12 tháng
- Dữ liệu marketing: đến khi bạn hủy đăng ký hoặc rút lại đồng ý
Sau khi hết thời hạn lưu trữ, dữ liệu sẽ được xóa an toàn hoặc ẩn danh hóa vĩnh viễn.
9. Cookie và Công nghệ Theo dõi
9.1. Các loại cookie chúng tôi sử dụng
- Cookie thiết yếu: duy trì phiên đăng nhập và chức năng cơ bản — không thể tắt
- Cookie phân tích: đo lường lưu lượng và hành vi sử dụng — có thể từ chối
- Cookie tùy chọn: ghi nhớ cài đặt ngôn ngữ và giao diện — có thể từ chối
Bạn có thể kiểm soát cookie thông qua cài đặt trình duyệt. Việc tắt cookie thiết yếu có thể ảnh hưởng đến khả năng sử dụng Dịch vụ.
10. Bảo mật Dữ liệu
Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức sau:
- Mã hóa dữ liệu khi truyền (TLS/HTTPS) và khi lưu trữ
- Kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu
- Mã hóa mật khẩu bằng thuật toán băm một chiều
- Sao lưu dữ liệu định kỳ và thử nghiệm phục hồi
- Giám sát hệ thống và phát hiện bất thường
Trong trường hợp xảy ra sự cố rò rỉ dữ liệu ảnh hưởng đến quyền lợi của bạn, chúng tôi sẽ thông báo đến cơ quan có thẩm quyền trong vòng 72 giờ và thông báo đến bạn trong thời gian sớm nhất có thể theo quy định tại Điều 23 Nghị định 13/2023/NĐ-CP.
11. Quyền của Chủ thể Dữ liệu
Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình:
- Quyền được biết (Điều 9): biết về hoạt động xử lý dữ liệu cá nhân của mình
- Quyền đồng ý (Điều 9): đồng ý hoặc không đồng ý cho phép xử lý dữ liệu
- Quyền truy cập (Điều 9): truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình
- Quyền rút lại đồng ý (Điều 9): rút lại đồng ý bất kỳ lúc nào (không ảnh hưởng đến việc xử lý trước đó)
- Quyền xóa dữ liệu (Điều 9): yêu cầu xóa dữ liệu, hoặc tự xóa tài khoản trực tiếp trên ứng dụng
- Quyền hạn chế xử lý (Điều 9): yêu cầu hạn chế xử lý dữ liệu trong một số trường hợp
- Quyền cung cấp dữ liệu (Điều 9): nhận bản sao dữ liệu cá nhân ở định dạng có thể đọc được
- Quyền phản đối (Điều 9): phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp
Để thực hiện các quyền trên, liên hệ: [email protected]. Chúng tôi sẽ phản hồi trong vòng 30 ngày kể từ khi nhận được yêu cầu hợp lệ.
12. Bảo vệ Dữ liệu Trẻ em
Dịch vụ không hướng đến và không cố ý thu thập dữ liệu cá nhân của người dưới 15 tuổi. Nếu bạn phát hiện chúng tôi vô tình thu thập dữ liệu của trẻ em, vui lòng liên hệ ngay để chúng tôi xóa dữ liệu đó.
13. Thay đổi Chính sách
Chúng tôi có thể cập nhật Chính sách này để phù hợp với thay đổi pháp luật hoặc thực tiễn kinh doanh. Mọi thay đổi quan trọng sẽ được thông báo qua email đã đăng ký trước ít nhất 15 ngày khi có hiệu lực. Bạn có thể kiểm tra ngày "Cập nhật lần cuối" ở đầu trang để biết phiên bản hiện tại.
Việc tiếp tục sử dụng Dịch vụ sau khi thay đổi có hiệu lực được coi là chấp nhận Chính sách mới.
14. Liên hệ
Nếu bạn có câu hỏi, khiếu nại hoặc muốn thực hiện quyền của mình liên quan đến dữ liệu cá nhân, vui lòng liên hệ:
Bên kiểm soát dữ liệu: Crelapa
Email: [email protected]
Website: https://crelapa.com
Nếu bạn cho rằng quyền lợi của mình bị vi phạm, bạn có quyền khiếu nại đến Cục An toàn thông tin — Bộ Thông tin và Truyền thông hoặc cơ quan nhà nước có thẩm quyền tại Việt Nam.