1. Giới thiệu chung
GoMekong tôn trọng và cam kết bảo vệ quyền riêng tư của Khách hàng. Chính sách bảo mật (dưới đây gọi là “Chính sách”) được xây dựng phù hợp với quy định của pháp luật Việt Nam, bao gồm nhưng không giới hạn ở Luật An ninh mạng 2018, Luật Bảo vệ quyền lợi người tiêu dùng 2023, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Nghị định số 52/2013/NĐ-CP (được sửa đổi bởi Nghị định số 85/2021/NĐ-CP) về thương mại điện tử.
Bằng việc truy cập website, cài đặt, sử dụng ứng dụng hoặc bất kỳ dịch vụ nào của GoMekong, Khách hàng xác nhận đã đọc, hiểu rõ và đồng ý với toàn bộ nội dung Chính sách này.
2. Đơn vị vận hành
- Đơn vị chủ quản: Hợp tác xã Phương Vinh (“GoMekong”, “chúng tôi”).
- Địa chỉ: 278 Trần Phú, Phường An Đông, Thành phố Hồ Chí Minh, Việt Nam.
- Hotline: 0903 155 871
- Email liên hệ về dữ liệu cá nhân: privacy@gomekong.vn
3. Phạm vi áp dụng
Chính sách này áp dụng cho:
- Website
gomekong.vn, các tên miền phụ và ứng dụng di động GoMekong. - Dịch vụ đặt phòng khách sạn, nhà hàng & ẩm thực, du thuyền, tour, thuê phương tiện và các dịch vụ kèm theo.
- Chương trình thành viên, khuyến mại, đối tác liên kết (affiliate) thuộc hệ sinh thái GoMekong.
Chính sách không áp dụng cho các website, ứng dụng của bên thứ ba mà Khách hàng truy cập thông qua đường dẫn được đăng tải trên nền tảng GoMekong. Khách hàng cần đọc chính sách riêng của các bên đó trước khi cung cấp thông tin.
4. Thông tin cá nhân thu thập
Tùy theo dịch vụ sử dụng, GoMekong có thể thu thập các nhóm thông tin sau:
4.1. Thông tin định danh
- Họ và tên, ngày tháng năm sinh, giới tính, quốc tịch.
- Số CMND/CCCD/Hộ chiếu (chỉ khi pháp luật yêu cầu đối với dịch vụ lưu trú, xuất vé tàu, vé tour).
- Ảnh đại diện, chữ ký điện tử (nếu có).
4.2. Thông tin liên hệ
- Số điện thoại, địa chỉ email, địa chỉ thường trú/tạm trú.
- Thông tin liên lạc khẩn cấp (khi đặt tour, du thuyền).
4.3. Thông tin giao dịch & thanh toán
- Lịch sử đặt phòng, đặt bàn, đặt vé, đặt xe, điểm thưởng thành viên.
- Thông tin thanh toán qua cổng trung gian (VNPay, ví điện tử, thẻ ngân hàng). GoMekong không lưu trữ số thẻ, mã CVV, mật khẩu OTP – các dữ liệu này do tổ chức cung ứng dịch vụ thanh toán xử lý.
4.4. Thông tin kỹ thuật
- Địa chỉ IP, loại thiết bị, hệ điều hành, trình duyệt, mã định danh thiết bị.
- Dữ liệu vị trí (chỉ khi Khách hàng cho phép để phục vụ tìm kiếm khách sạn, nhà hàng lân cận).
- Nhật ký truy cập, lịch sử hành vi trên nền tảng để phân tích và cải thiện dịch vụ.
4.5. Thông tin tùy chọn
- Sở thích ẩm thực, yêu cầu đặc biệt (dị ứng, ăn chay, ghế trẻ em, phòng không hút thuốc...).
- Đánh giá, nhận xét công khai về dịch vụ.
GoMekong không chủ động thu thập dữ liệu cá nhân nhạy cảm theo Điều 2.4 Nghị định 13/2023/NĐ-CP (tôn giáo, tình trạng sức khỏe, dữ liệu sinh trắc học...) trừ khi có sự đồng ý rõ ràng và cần thiết để cung cấp dịch vụ cụ thể (ví dụ: ghi chú dị ứng thực phẩm khi đặt nhà hàng).
5. Mục đích và cơ sở pháp lý xử lý
Dữ liệu cá nhân được xử lý cho các mục đích sau:
- Cung cấp dịch vụ: xác nhận đặt phòng, đặt bàn, đặt tour, xuất vé, tính phí, hoàn/hủy đơn. Cơ sở pháp lý: thực hiện hợp đồng (Điều 17.1.b Nghị định 13/2023/NĐ-CP).
- Tuân thủ pháp luật: khai báo lưu trú với cơ quan công an theo Thông tư 55/2021/TT-BCA, hóa đơn điện tử, kê khai thuế, phòng chống rửa tiền. Cơ sở: thực hiện nghĩa vụ pháp lý.
- Chăm sóc khách hàng: hỗ trợ qua tổng đài, email, chat; xử lý khiếu nại, bồi thường. Cơ sở: lợi ích hợp pháp và sự đồng ý.
- Marketing & ưu đãi: gửi bản tin, mã giảm giá, thông tin chương trình thành viên. Chỉ thực hiện khi Khách hàng đồng ý và có thể hủy nhận bất cứ lúc nào.
- Phân tích và cải thiện: thống kê vận hành, cá nhân hóa đề xuất, phòng chống gian lận.
- Bảo mật hệ thống: phát hiện truy cập trái phép, ngăn chặn tấn công mạng.
6. Chia sẻ dữ liệu với bên thứ ba
GoMekong không bán dữ liệu cá nhân của Khách hàng. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp:
- Đối tác dịch vụ trực tiếp thực hiện đơn hàng: khách sạn, nhà hàng, hãng tàu, nhà xe, công ty lữ hành. Phạm vi chia sẻ giới hạn ở thông tin cần thiết (họ tên, số điện thoại, giờ nhận/trả phòng, yêu cầu đặc biệt).
- Tổ chức cung cấp dịch vụ thanh toán như VNPay, cổng ví điện tử, ngân hàng đối tác.
- Nhà cung cấp hạ tầng kỹ thuật (điện toán đám mây, lưu trữ, gửi email/SMS, phân tích) theo hợp đồng có điều khoản bảo mật.
- Cơ quan nhà nước có thẩm quyền khi có yêu cầu hợp pháp bằng văn bản.
- Trường hợp tái cấu trúc doanh nghiệp(sáp nhập, chia tách, chuyển nhượng), trong đó bên kế thừa cam kết tuân thủ Chính sách này.
7. Chuyển dữ liệu ra nước ngoài
Trong một số trường hợp, dữ liệu của Khách hàng có thể được lưu trữ hoặc xử lý tại máy chủ đặt ngoài lãnh thổ Việt Nam (ví dụ dịch vụ điện toán đám mây khu vực ASEAN). Trước khi chuyển dữ liệu, GoMekong sẽ:
- Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Điều 25 Nghị định 13/2023/NĐ-CP.
- Thông báo với Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – A05) theo quy định.
- Ký kết điều khoản bảo mật ràng buộc với bên nhận dữ liệu.
8. Thời hạn lưu trữ
- Hồ sơ giao dịch, hóa đơn: tối thiểu 10 năm theo Luật Kế toán.
- Thông tin khai báo lưu trú: lưu trữ trong thời gian quy định bởi cơ quan quản lý.
- Tài khoản thành viên: lưu trữ trong suốt thời gian tài khoản hoạt động. Khi tài khoản bị xóa, dữ liệu sẽ được ẩn danh hoặc xóa trong vòng 30 ngày, trừ các thông tin buộc phải lưu theo pháp luật.
- Dữ liệu marketing: tối đa 24 tháng kể từ lần tương tác gần nhất, hoặc cho đến khi Khách hàng yêu cầu ngừng.
9. Quyền của chủ thể dữ liệu
Theo Điều 9 Nghị định 13/2023/NĐ-CP, Khách hàng có các quyền sau đối với dữ liệu cá nhân của mình:
- Quyền được biết về hoạt động xử lý dữ liệu.
- Quyền đồng ý hoặc rút lại sự đồng ý.
- Quyền truy cập, xem, chỉnh sửa dữ liệu.
- Quyền yêu cầu xóa dữ liệu.
- Quyền hạn chế xử lý, phản đối xử lý (bao gồm marketing trực tiếp).
- Quyền yêu cầu cung cấp bản sao dữ liệu.
- Quyền khiếu nại, tố cáo, khởi kiện.
- Quyền yêu cầu bồi thường thiệt hại.
- Quyền tự bảo vệ theo quy định pháp luật.
Khách hàng thực hiện quyền bằng cách gửi yêu cầu về privacy@gomekong.vn. GoMekong sẽ phản hồi trong vòng 72 giờ làm việc kể từ khi xác minh danh tính, trừ trường hợp pháp luật cho phép thời gian dài hơn.
10. Biện pháp bảo mật
- Mã hóa kênh truyền bằng giao thức TLS/HTTPS.
- Mật khẩu được băm (hash) một chiều bằng thuật toán bcrypt.
- Phân quyền truy cập dữ liệu theo vai trò (RBAC), ghi log truy cập có thể kiểm toán.
- Hệ thống sao lưu định kỳ, kế hoạch ứng phó sự cố và duy trì hoạt động liên tục.
- Đào tạo định kỳ nhân sự nội bộ về bảo mật và xử lý dữ liệu.
Trường hợp phát hiện sự cố rò rỉ dữ liệu cá nhân, GoMekong sẽ thông báo cho Bộ Công an và chủ thể dữ liệu chậm nhất 72 giờ kể từ khi biết sự cố, theo Điều 23 Nghị định 13/2023/NĐ-CP.
12. Quyền riêng tư của trẻ em
Dịch vụ của GoMekong hướng đến Khách hàng từ 16 tuổi trở lên. Trẻ em dưới 16 tuổi chỉ được sử dụng dịch vụ khi có sự đồng ý bằng văn bản của cha, mẹ hoặc người giám hộ hợp pháp, theo Điều 20 Nghị định 13/2023/NĐ-CP. Nếu phát hiện dữ liệu của trẻ em được thu thập mà chưa có sự đồng ý hợp lệ, chúng tôi sẽ xóa ngay khi nhận được thông báo.
13. Thay đổi chính sách
GoMekong có thể cập nhật Chính sách này theo thay đổi của pháp luật hoặc quy trình vận hành. Bản cập nhật được đăng công khai trên website kèm ngày hiệu lực. Đối với thay đổi có tác động đáng kể, chúng tôi sẽ thông báo trước qua email hoặc thông báo trong ứng dụng tối thiểu 15 ngày trước khi áp dụng.
14. Khiếu nại và liên hệ
Mọi câu hỏi, yêu cầu hoặc khiếu nại về dữ liệu cá nhân xin gửi về:
- Bộ phận bảo vệ dữ liệu (DPO): privacy@gomekong.vn
- Hotline: 0903 155 871
- Địa chỉ: 278 Trần Phú, Phường An Đông, Thành phố Hồ Chí Minh.
Nếu không đồng ý với phương án giải quyết của GoMekong, Khách hàng có quyền khiếu nại tới Cục An toàn thông tin – Bộ Thông tin và Truyền thông, Cục An ninh mạng A05 – Bộ Công an, hoặc khởi kiện tại Tòa án có thẩm quyền theo pháp luật Việt Nam.