1. Tổng quan và Cơ sở pháp lý
POSMARS (vận hành tại địa chỉ posmars.com) là dịch vụ công nghệ sáng tạo trọn gói (Creative Tech Service) được cung cấp bởi nhà phát triển manhhuynh.work.
Chúng tôi cam kết bảo vệ dữ liệu cá nhân của khách hàng doanh nghiệp và người dùng cuối theo quy định của Luật An ninh mạng Việt Nam, Luật Bảo vệ dữ liệu cá nhân (PDPL) mới nhất và Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân cùng các văn bản hướng dẫn thi hành cập nhật đến năm 2026.
2. Phân định vai trò xử lý dữ liệu cá nhân
Theo quy định pháp luật Việt Nam hiện hành, vai trò xử lý dữ liệu được phân định rõ ràng như sau để đảm bảo trách nhiệm pháp lý:
Bên Kiểm soát dữ liệu cá nhân (Data Controller): Là khách hàng doanh nghiệp (Nhãn hàng/Thương hiệu) ký kết hợp đồng dịch vụ với POSMARS. Nhãn hàng là đơn vị quyết định mục đích và phương pháp xử lý dữ liệu cá nhân của người dùng cuối trong suốt chiến dịch.
Bên Xử lý dữ liệu cá nhân (Data Processor): Là POSMARS. Chúng tôi thực hiện các hoạt động thu thập, lưu trữ và xử lý dữ liệu cá nhân của người dùng cuối (như leads, hình ảnh chụp selfie tại sự kiện) thay mặt, nhân danh và tuân thủ nghiêm ngặt theo các chỉ thị bằng văn bản, thỏa thuận dịch vụ ký kết với Bên Kiểm soát dữ liệu (nhãn hàng).
3. Sự đồng ý rõ ràng và tự nguyện của Chủ thể dữ liệu
Nguyên tắc đồng ý (Active Consent): Hệ thống của POSMARS thiết lập cơ chế đồng ý chủ động (Active Opt-in). Người dùng phải chủ động tích chọn vào ô đồng ý xử lý dữ liệu cá nhân trên giao diện trước khi cung cấp thông tin hoặc chụp ảnh selfie. Sự đồng ý không được giả định dưới dạng im lặng, tích chọn sẵn hoặc ngầm định.
Danh mục dữ liệu thu thập: Tùy thuộc vào kịch bản chiến dịch của nhãn hàng, hệ thống có thể thu thập các thông tin bao gồm: Họ tên, Số điện thoại, Email, Thông tin quà tặng/trúng thưởng, và Hình ảnh selfie.
Mục đích xử lý: Xác thực người dùng tham gia trải nghiệm, trao thưởng voucher/quà tặng của chiến dịch, đo lường hiệu quả chuyển đổi chiến dịch và cung cấp báo cáo đo lường cho nhãn hàng.
Biện pháp bảo mật kỹ thuật: Dữ liệu leads chiến dịch được mã hóa đầu cuối (End-to-End Encryption) và lưu trữ bảo mật trên hệ thống máy chủ cơ sở dữ liệu. Chúng tôi cam kết tuyệt đối không mua bán, chia sẻ hoặc sử dụng dữ liệu này cho bất kỳ mục đích thương mại riêng nào ngoài phạm vi dịch vụ được nhãn hàng chỉ định.
4. Tải lên tạm thời, Chuyển dữ liệu ra nước ngoài và Chính sách xử lý ảnh AI Photo Booth
Đối với dịch vụ chụp ảnh tương tác AI Photo Booth:
Tải lên tạm thời: Ảnh chụp gốc (selfie) của người dùng cuối được mã hóa truyền tải và lưu trữ tạm thời trên bộ lưu trữ đám mây thuộc hệ thống máy chủ POSMARS.
Khai báo chuyển dữ liệu ra nước ngoài (Cross-border Processing): Đường dẫn URL an toàn của ảnh gốc trên bộ lưu trữ tạm thời này sẽ được chuyển tiếp sang máy chủ đám mây của đối tác xử lý AI quốc tế và các đơn vị cung cấp hạ tầng cloud GPU chuyên dụng nằm ngoài lãnh thổ Việt Nam để thực hiện render sáng tạo (tách nền, ghép mặt).
Xóa ảnh chụp gốc ngay lập tức: Hệ thống POSMARS tự động gọi lệnh xóa sạch hoàn toàn và vĩnh viễn ảnh chụp gốc khỏi hệ thống lưu trữ tạm thời ngay lập tức sau khi đối tác AI hoàn tất render và trả ảnh kết quả (thời gian tồn tại thực tế của ảnh gốc trên hệ thống chỉ từ 15 đến 20 giây).
Giới hạn lưu trữ ảnh kết quả: Ảnh kết quả xử lý AI không được lưu trữ vĩnh viễn. Trong chế độ bốt sự kiện (Kiosk Mode), ảnh kết quả được lưu tạm trên bộ lưu trữ đám mây của hệ thống để sinh mã QR tải về và được tự động xóa sạch hoàn toàn trong vòng tối đa 24 giờ nhờ chính sách vòng đời đối tượng tự động. Ở chế độ di động thông thường, ảnh kết quả được người dùng tải trực tiếp từ CDN đối tác về máy mà không lưu giữ trên máy chủ POSMARS.
5. Quyền của chủ thể dữ liệu và rút lại sự đồng ý
Người dùng cuối có đầy đủ các quyền hợp pháp đối với dữ liệu cá nhân của mình theo Luật Bảo vệ dữ liệu cá nhân và Nghị định 13/2023/NĐ-CP, bao gồm:
Quyền được biết, quyền đồng ý, quyền rút lại sự đồng ý và yêu cầu xóa dữ liệu cá nhân của mình bất kỳ lúc nào.
Quyền yêu cầu truy cập, chỉnh sửa hoặc hạn chế xử lý dữ liệu.
Cách thức thực thi quyền: Người dùng có thể rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu cá nhân bằng cách liên hệ trực tiếp với nhãn hàng (Bên Kiểm soát dữ liệu) hoặc gửi yêu cầu hỗ trợ kỹ thuật tới POSMARS qua email hỗ trợ chính thức: [email protected]. Chúng tôi sẽ tiến hành xử lý yêu cầu xóa dữ liệu trong vòng 72 giờ làm việc sau khi xác minh danh tính chủ thể dữ liệu.
6. Bảo vệ dữ liệu cá nhân của Trẻ em
Trong các chiến dịch tương tác được nhãn hàng thiết kế hướng tới đối tượng người dùng là trẻ em (dưới 16 tuổi theo Luật Trẻ em Việt Nam):
Việc thu thập dữ liệu cá nhân của trẻ em bắt buộc phải có sự đồng ý của trẻ em (nếu từ đủ 7 tuổi trở lên) và sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp theo đúng quy định pháp luật Việt Nam.
Hệ thống của chúng tôi sẽ tích hợp các giao diện xác minh và yêu cầu xác nhận từ phụ huynh/người giám hộ trước khi cho phép trẻ em thực hiện chụp ảnh hoặc cung cấp thông tin cá nhân.