Chính sách Quyền riêng tư

Giới thiệu chung

Chào mừng bạn đến với Chính sách Quyền riêng tư của Markdown Editor Pro ("MEP", "Sản phẩm", "Tiện ích mở rộng"). Sản phẩm được phát triển và cung cấp bởi Công ty Cổ phần VDAX ("VDAX", "chúng tôi", "của chúng tôi").

Chúng tôi cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của Người dùng. Bảo mật thông tin cá nhân của bạn là điều tối quan trọng đối với chúng tôi. Chúng tôi tuân thủ nghiêm ngặt các hướng dẫn nội bộ, yêu cầu pháp lý và thông lệ tốt nhất của ngành để bảo đảm dữ liệu của bạn được an toàn và chỉ được sử dụng cho các mục đích được ủy quyền.

Chính sách này được xây dựng tuân thủ Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, Luật An toàn thông tin mạng 2015, và các quy định pháp luật khác có liên quan, đồng thời tham chiếu các nguyên tắc của GDPR (EU) và CCPA (California) trong phạm vi áp dụng.

Phạm vi áp dụng

Chính sách Quyền riêng tư này bao gồm việc thu thập, sử dụng, lưu giữ, xóa, tiết lộ, chuyển giao và bảo vệ Dữ liệu cá nhân của Người dùng và các lựa chọn có sẵn liên quan đến dữ liệu cá nhân của mình khi tương tác với chúng tôi qua bất kỳ cách nào, bao gồm:

• Truy cập trang web chính thức của MEP tại các tên miền do VDAX vận hành.
• Cài đặt, đăng ký, kích hoạt và sử dụng Tiện ích mở rộng MEP trên trình duyệt Chromium (Chrome, Edge, Brave, …) và/hoặc ứng dụng desktop nếu được phát hành.
• Mua, gia hạn, hủy gói MEP Pro và các dịch vụ thanh toán liên quan.
• Tương tác với đội ngũ hỗ trợ, gửi phản hồi, tham gia cộng đồng, chương trình beta, sự kiện hoặc khảo sát.
• Tham gia chương trình đối tác, phân phối, tiếp thị liên kết của MEP.

Định nghĩa thuật ngữ

"Chúng tôi" / "VDAX"

Công ty Cổ phần VDAX, đơn vị cung cấp Sản phẩm Markdown Editor Pro.

"Chủ thể dữ liệu" / "Người dùng" / "Bạn"

Cá nhân hoặc tổ chức trong nước và nước ngoài tải về, cài đặt, đăng ký tài khoản hoặc sử dụng MEP.

"Dữ liệu cá nhân" / "Thông tin cá nhân"

Bất kỳ thông tin nào liên quan đến một cá nhân được xác định hoặc có thể xác định, bao gồm thông tin bạn cung cấp, thông tin thu thập tự động và thông tin chúng tôi nhận được từ bên thứ ba.

"Nội dung tài liệu của Người dùng"

Các tệp .md, .markdown, hình ảnh đính kèm, thư mục làm việc, ghi chú, snippet, template và các nội dung khác mà Người dùng tạo, mở, chỉnh sửa thông qua MEP.

"Yêu cầu pháp lý"

Việc xử lý Thông tin cá nhân khi cần thiết để tuân thủ nghĩa vụ pháp lý hoặc quy định mà chúng tôi phải tuân thủ.

"Sự đồng ý"

Sự thể hiện rõ ràng, cụ thể, đầy đủ thông tin và tự nguyện của Người dùng đồng ý cho phép xử lý dữ liệu cá nhân của mình.

"Thông tin bí mật"

Mọi thông tin được một bên ("Bên tiết lộ") tiết lộ cho bên kia ("Bên nhận"), bằng lời nói hay văn bản, được chỉ định là bí mật hoặc hợp lý có thể được hiểu là bí mật dựa trên bản chất của thông tin và hoàn cảnh tiết lộ.

1. Dữ liệu cá nhân

Dữ liệu cá nhân hoặc thông tin cá nhân nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân được xác định hoặc có thể nhận dạng. "Chủ thể dữ liệu" là một cá nhân có thể được xác định, trực tiếp hoặc gián tiếp, bằng dữ liệu cá nhân, ví dụ qua tên, định danh trực tuyến hoặc một hoặc nhiều yếu tố cụ thể về thể chất, kinh tế, văn hóa hoặc xã hội của cá nhân đó.

2. Thông báo quyền riêng tư áp dụng cho ai?

Chính sách này áp dụng cho mọi hoạt động xử lý dữ liệu cá nhân của chúng tôi liên quan đến MEP, bao gồm:

• Khách hàng: Người dùng đăng ký tài khoản, kích hoạt giấy phép, hoặc sử dụng MEP (cả gói Free và gói Pro).
• Người dùng trang web: Người truy cập trang chính thức của MEP, blog, tài liệu hướng dẫn, kho mẫu (template gallery).
• Người tham dự sự kiện: Người tham gia hội thảo, webinar, livestream hoặc workshop do VDAX tổ chức về MEP.
• Người liên hệ kinh doanh: Đối tác phân phối, đại lý, nhà cung cấp dịch vụ, ứng viên tuyển dụng.

3. Loại dữ liệu chúng tôi thu thập

3.1. Dữ liệu do Người dùng cung cấp

• Dữ liệu nhận dạng và liên hệ: Họ tên, tên hiển thị (display name), tên người dùng, địa chỉ email, số điện thoại (tùy chọn), quốc gia/khu vực, ngôn ngữ ưu tiên.
• Dữ liệu hồ sơ: Mật khẩu được lưu dưới dạng băm (hash), avatar tùy chọn, các tùy chọn cài đặt và giao diện do Người dùng cấu hình trong MEP.
• Dữ liệu thanh toán (chỉ với gói Pro): Thông tin thanh toán (billing name, billing address, quốc gia, mã số thuế nếu cần xuất hóa đơn cho tổ chức), token thanh toán do nhà cung cấp PCI-DSS (ví dụ Stripe) phát hành. Chúng tôi KHÔNG lưu trữ số thẻ tín dụng đầy đủ.
• Nội dung liên lạc: Email, tin nhắn, biểu mẫu, câu hỏi khảo sát, đánh giá NPS, phản hồi tính năng. Tệp đính kèm, ảnh chụp màn hình, log mà Người dùng chủ động gửi kèm khi yêu cầu hỗ trợ.
• Dữ liệu chương trình thử nghiệm: Thông tin Người dùng cung cấp khi đăng ký tham gia beta, alpha, design partner, early access (ví dụ vai trò công việc, công ty, kích cỡ đội nhóm).

3.2. Dữ liệu thu thập tự động

• Dữ liệu kỹ thuật: Phiên bản MEP, phiên bản trình duyệt, hệ điều hành, ngôn ngữ hệ thống, múi giờ, độ phân giải màn hình, định danh thiết bị/cài đặt, mã giấy phép (license key) đang hoạt động.
• Telemetry tùy chọn: Khi Người dùng bật tùy chọn "Gửi dữ liệu chẩn đoán", chúng tôi thu thập tần suất sử dụng tính năng, thời lượng phiên, lỗi runtime, hiệu năng (ví dụ thời gian render bản xem trước), số lượng và kích thước thư mục (không phải nội dung). Telemetry được giả danh hóa trước khi rời thiết bị.
• Báo cáo lỗi: Stack trace, mã lỗi, trạng thái Tiện ích mở rộng tại thời điểm xảy ra lỗi. Phần đính kèm bổ sung do Người dùng chủ động cung cấp (ví dụ ảnh chụp màn hình).
• Cookie và công nghệ tương đương: Trên trang web và bảng quản trị tài khoản, chúng tôi sử dụng cookie thiết yếu (phiên đăng nhập, bảo mật), cookie hiệu suất (đo lường lưu lượng), và cookie chức năng (ngôn ngữ, tùy chọn). Xem chi tiết tại Mục 6.
• Nhật ký máy chủ: Địa chỉ IP, thời gian truy cập, URL, mã trạng thái HTTP, user agent. Dữ liệu này phục vụ vận hành, bảo mật và điều tra sự cố.

3.3. Dữ liệu từ bên thứ ba

• Nhà cung cấp đăng nhập (SSO): Nếu Người dùng đăng nhập bằng Google, GitHub hoặc các nhà cung cấp tương tự, chúng tôi nhận được tên, email và avatar mà Người dùng đã chọn chia sẻ.
• Nhà cung cấp thanh toán: Stripe (hoặc nhà cung cấp tương đương) gửi cho chúng tôi trạng thái giao dịch, mã giao dịch, thông tin gian lận tổng hợp, mã quốc gia.
• Nhà cung cấp phân tích sản phẩm: Khi Người dùng bật telemetry, chúng tôi nhận dữ liệu sử dụng đã giả danh hóa từ các công cụ như PostHog/Sentry.
• Đại lý phân phối, đối tác: Thông tin đặt hàng giấy phép từ kênh phân phối, mã ưu đãi do đối tác cung cấp.
• Nguồn công khai: Trong phạm vi pháp luật cho phép, chúng tôi có thể tham chiếu nguồn công khai để xác minh thông tin liên hệ trong các thỏa thuận doanh nghiệp.

3.4. Nội dung tài liệu của Người dùng

Nội dung tài liệu có thể rời thiết bị trong các trường hợp Người dùng chủ động cho phép:

• Khi Người dùng đính kèm một đoạn nội dung trong báo cáo lỗi hoặc yêu cầu hỗ trợ.
• Khi Người dùng bật tính năng đồng bộ đám mây, sao lưu, chia sẻ liên kết (nếu được phát hành).
• Khi Người dùng bật tính năng AI gợi ý/biên tập — nội dung được gửi tới nhà cung cấp AI tương ứng theo điều khoản công bố tại thời điểm bật.

4. Cách thu thập dữ liệu

4.1. Khi Người dùng tạo tài khoản và sử dụng dịch vụ

Khi Người dùng đăng ký tài khoản MEP, chúng tôi thu thập email, tên hiển thị và (tùy chọn) số điện thoại. Khi Người dùng kích hoạt gói Pro, chúng tôi thu thập thêm thông tin thanh toán và hóa đơn. Phương pháp thu thập chủ yếu là do Người dùng tự cung cấp trực tiếp, phù hợp với Điều 26 Luật An toàn thông tin mạng 2015 và Nghị định 13/2023/NĐ-CP.

4.2. Thông qua thiết bị, Tiện ích mở rộng và website

Khi sử dụng trang web hoặc các tính năng trực tuyến của MEP, hệ thống có thể tự động ghi nhận dữ liệu kỹ thuật (IP, user agent, mã trạng thái HTTP). Trong Tiện ích mở rộng, dữ liệu telemetry chỉ được gửi khi Người dùng bật tùy chọn "Gửi dữ liệu chẩn đoán". Báo cáo lỗi chỉ được gửi khi Người dùng xác nhận bấm gửi.

4.3. Thông qua bên thứ ba

Chúng tôi có thể tiếp nhận dữ liệu từ nhà cung cấp đăng nhập SSO, nhà cung cấp thanh toán, công cụ phân tích, kênh phân phối, các đối tác đã ký hợp đồng và các nguồn công khai, trong phạm vi pháp luật cho phép.

5. Mục đích và cơ sở pháp lý cho việc xử lý dữ liệu

5.1. Cơ sở pháp lý

Chúng tôi chỉ xử lý dữ liệu cá nhân khi có ít nhất một cơ sở pháp lý phù hợp, bao gồm:

• Thực hiện hợp đồng: Xử lý dữ liệu để cung cấp, vận hành, duy trì MEP và thực hiện các nghĩa vụ trong Điều khoản sử dụng.
• Lợi ích hợp pháp: Cải thiện chất lượng sản phẩm, bảo đảm an ninh, phòng chống gian lận, đo lường mức độ hài lòng của Người dùng.
• Yêu cầu pháp lý: Tuân thủ Nghị định 13/2023/NĐ-CP, pháp luật về thuế, kế toán, bảo vệ người tiêu dùng và các quy định khác.
• Sự đồng ý: Áp dụng cho telemetry tùy chọn, marketing, AI gợi ý, chia sẻ liên kết, đồng bộ đám mây và các tính năng nhạy cảm khác. Người dùng có thể rút lại sự đồng ý bất kỳ lúc nào trong Cài đặt.

5.2. Mục đích sử dụng

Chúng tôi sử dụng dữ liệu cá nhân, bao gồm Thông tin cá nhân, cho các mục đích sau:

• Cung cấp, vận hành và duy trì MEP cho Người dùng; quản lý tài khoản, cấp/thu hồi giấy phép, đồng bộ cài đặt và tùy chọn.
• Tùy chỉnh nội dung và thông tin hiển thị (mẫu, snippet, tips) phù hợp với ngôn ngữ, khu vực và mức gói của Người dùng.
• Giao tiếp với Người dùng: gửi email kích hoạt, thông báo bảo trì, sự cố, bản vá bảo mật, hóa đơn, gia hạn, cập nhật chính sách.
• Hỗ trợ khách hàng: chẩn đoán và giải quyết các vấn đề liên quan đến Sản phẩm, cung cấp hỗ trợ kỹ thuật.
• Cải thiện Sản phẩm: phân tích xu hướng sử dụng (dựa trên telemetry tùy chọn), kiểm soát chất lượng, A/B testing, phát triển tính năng mới.
• Mục đích tiếp thị và truyền thông (theo sự đồng ý): gửi bản tin, giới thiệu tính năng, mời tham gia khảo sát hoặc phỏng vấn người dùng.
• An toàn và bảo mật: bảo vệ quyền, tài sản, sự an toàn của MEP, Người dùng và bên thứ ba; phòng chống lạm dụng giấy phép, gian lận thanh toán, tấn công mạng.
• Tuân thủ pháp luật, thực thi hợp đồng, giải quyết tranh chấp và khiếu nại.
• Bảo vệ tài sản, hệ thống và mạng của VDAX; ngăn chặn, phát hiện, điều tra hoạt động trái phép liên quan đến Sản phẩm.
• Tạo dữ liệu ẩn danh hoặc tổng hợp (aggregate) phục vụ nghiên cứu, công bố thị trường, đo lường ngành.
• Đánh giá ứng viên tuyển dụng, nếu Người dùng nộp hồ sơ ứng tuyển vào VDAX (thực hiện theo chính sách tuyển dụng riêng).

6. Chính sách Cookie

Khi bạn truy cập trang web và các dịch vụ trực tuyến của MEP, chúng tôi và một số đối tác có thể cài đặt cookie và các công nghệ tương đương trên thiết bị của bạn cho các mục đích sau:

• Cookie thiết yếu: Cần thiết cho hoạt động cơ bản của dịch vụ và không thể tắt qua công cụ của chúng tôi. Chúng phản hồi các yêu cầu của bạn như đăng nhập, điền biểu mẫu, thiết lập tùy chọn bảo mật.
• Cookie hiệu suất: Đếm lượt truy cập, nguồn lưu lượng, giúp đánh giá và nâng cao hiệu suất trang web.
• Cookie chức năng: Ghi nhớ lựa chọn ngôn ngữ, vùng thời gian, cá nhân hóa dịch vụ phù hợp.
• Cookie tiếp thị: Chỉ sử dụng khi bạn đồng ý, phục vụ đo lường hiệu quả các chiến dịch truyền thông trên các nền tảng đối tác.

Bạn có quyền chấp nhận hoặc từ chối cookie, ngoại trừ những cookie thực sự cần thiết. Bạn có thể quản lý tùy chọn cookie qua Trung tâm Tùy chọn Cookie của chúng tôi hoặc qua thiết lập trình duyệt. Việc tắt một số cookie có thể ảnh hưởng đến trải nghiệm sử dụng.

Chúng tôi có thể sửa đổi Chính sách Cookie này định kỳ để phản ánh thay đổi về hoạt động, công nghệ hoặc quy định pháp luật. Vui lòng truy cập trang chính sách thường xuyên để cập nhật.

7. Chia sẻ và công khai dữ liệu cá nhân

7.1. Với sự đồng ý của Người dùng

Khi Người dùng đồng ý, chúng tôi có thể chia sẻ dữ liệu cá nhân với các bên được nêu rõ tại thời điểm xin đồng ý.

7.2. Đối tác liên kết

Dữ liệu có thể được chuyển giao giữa các công ty trong tập đoàn VDAX phục vụ vận hành thông thường và cung cấp dịch vụ. Việc chuyển giao tuân theo các cam kết hợp đồng đảm bảo mức bảo vệ dữ liệu phù hợp.

7.3. Nhà cung cấp dịch vụ bên thứ ba (Data Processors)

Các nhà cung cấp hạ tầng đám mây, dịch vụ thanh toán, dịch vụ email giao dịch, công cụ ticket hỗ trợ, công cụ phân tích sản phẩm chỉ xử lý dữ liệu theo chỉ dẫn của chúng tôi và bị ràng buộc bởi thỏa thuận xử lý dữ liệu (DPA).

7.4. Tuân thủ pháp luật và bảo vệ quyền lợi hợp pháp

Khi cần thiết để tuân thủ phán quyết, lệnh, quyết định có hiệu lực của cơ quan nhà nước có thẩm quyền; phục vụ thanh tra, kiểm tra, điều tra; hoặc bảo vệ quyền và lợi ích hợp pháp của VDAX, Người dùng và bên thứ ba.

7.5. Giao dịch doanh nghiệp

Trong trường hợp sáp nhập, mua bán, tái cơ cấu, chuyển nhượng tài sản, dữ liệu cá nhân có thể được chuyển giao cho bên kế thừa, với điều kiện bên kế thừa cam kết tuân thủ Chính sách này hoặc một chính sách có mức bảo vệ tương đương.

7.6. Dữ liệu ẩn danh / tổng hợp

Chúng tôi có thể công bố dữ liệu ẩn danh hoặc tổng hợp (không xác định danh tính cá nhân) phục vụ nghiên cứu, báo cáo ngành hoặc tiếp thị.

8. Chuyển dữ liệu xuyên biên giới

Một số nhà cung cấp dịch vụ của chúng tôi đặt máy chủ tại nước ngoài. Trong trường hợp chuyển dữ liệu cá nhân của Người dùng tại Việt Nam ra nước ngoài, VDAX sẽ lập và lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Nghị định 13/2023/NĐ-CP, thực hiện thông báo tới cơ quan có thẩm quyền khi pháp luật yêu cầu, và áp dụng các biện pháp bảo vệ phù hợp với Bên Nhận dữ liệu.

9. Thời gian lưu trữ dữ liệu

• Dữ liệu tài khoản: trong thời gian Người dùng duy trì tài khoản, và xóa hoặc ẩn danh trong vòng 90 ngày kể từ khi tài khoản bị xóa, trừ phần phải lưu để đáp ứng nghĩa vụ pháp lý.
• Dữ liệu thanh toán và hóa đơn: tối thiểu 10 năm hoặc theo quy định của pháp luật về thuế, kế toán.
• Telemetry: tối đa 24 tháng, sau đó tổng hợp hoặc xóa.
• Log kỹ thuật: tối đa 12 tháng.
• Yêu cầu hỗ trợ: tối đa 36 tháng kể từ khi đóng ticket.
• Dữ liệu liên quan đến tranh chấp, tố tụng: lưu theo thời hạn yêu cầu của vụ việc.

10. Quyền của Chủ thể dữ liệu

Theo Nghị định 13/2023/NĐ-CP và pháp luật áp dụng, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

• Quyền được biết, được thông báo về việc xử lý.
• Quyền đồng ý hoặc không đồng ý, rút lại sự đồng ý.
• Quyền truy cập, xem, chỉnh sửa hoặc yêu cầu chỉnh sửa.
• Quyền xóa dữ liệu cá nhân (right to erasure), trừ trường hợp luật quy định khác.
• Quyền hạn chế xử lý.
• Quyền yêu cầu cung cấp bản sao dữ liệu cá nhân.
• Quyền phản đối xử lý, đặc biệt với hoạt động tiếp thị trực tiếp.
• Quyền khiếu nại, tố cáo, khởi kiện.
• Quyền yêu cầu bồi thường thiệt hại.
• Quyền tự bảo vệ theo quy định pháp luật.

Để thực hiện các quyền trên, bạn có thể quản lý trực tiếp trong Cài đặt tài khoản MEP, gửi yêu cầu qua biểu mẫu chuyên dụng trên trang chính thức, hoặc gửi email tới privacy@vdax.vn. Chúng tôi sẽ phản hồi trong vòng 72 giờ kể từ khi tiếp nhận, trừ trường hợp pháp luật quy định khác hoặc yêu cầu phức tạp cần thời gian hợp lý.

11. Bảo mật dữ liệu

VDAX áp dụng đồng bộ các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân, bao gồm: mã hóa khi truyền (TLS 1.2+) và khi lưu trữ; hash mật khẩu bằng thuật toán hiện đại; kiểm soát truy cập tối thiểu cần thiết; xác thực đa yếu tố cho nhân viên truy cập hệ thống nhạy cảm; nhật ký kiểm toán; đánh giá an ninh định kỳ; đào tạo nhân sự về bảo vệ dữ liệu.

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, VDAX sẽ thông báo cho Người dùng và cơ quan có thẩm quyền theo thời hạn pháp luật quy định.

12. Trẻ em

MEP không nhắm tới Người dùng dưới 16 tuổi và không cố tình thu thập dữ liệu của trẻ em. Nếu phát hiện đã thu thập dữ liệu của người dưới 16 tuổi mà không có sự đồng ý của cha mẹ/người giám hộ, chúng tôi sẽ xóa dữ liệu đó trong thời gian hợp lý.

13. Liên kết tới bên thứ ba

MEP có thể chứa liên kết đến trang web, dịch vụ hoặc tích hợp của bên thứ ba (ví dụ GitHub, Google, nhà cung cấp AI bên ngoài). Khi bạn truy cập các trang/dịch vụ đó, hoạt động xử lý dữ liệu sẽ tuân theo chính sách của bên đó. VDAX không kiểm soát và không chịu trách nhiệm về chính sách bảo mật của bên thứ ba.

14. Thay đổi Chính sách

Chúng tôi có thể cập nhật Chính sách này để phản ánh các thay đổi về Sản phẩm, công nghệ, pháp luật hoặc thông lệ ngành. Khi có thay đổi trọng yếu, chúng tôi sẽ thông báo qua email, thông báo trong Tiện ích mở rộng, và/hoặc đăng tải trên trang chính thức. Phiên bản mới có hiệu lực kể từ ngày được công bố, trừ khi quy định khác.

Liên hệ

Mọi câu hỏi, yêu cầu hoặc khiếu nại liên quan đến Chính sách này, vui lòng liên hệ: