Chúng Tôi Bảo Vệ
Dữ Liệu Của Bạn

• Hà Dím (hadim.vn) cam kết bảo vệ quyền riêng tư của bạn theo tiêu chuẩn cao nhất. Chúng tôi KHÔNG bán, KHÔNG cho thuê, KHÔNG trao đổi thông tin cá nhân của bạn với bên thứ ba vì mục đích thương mại.
• Chính sách này áp dụng cho tất cả dữ liệu thu thập qua website hadim.vn, ứng dụng web, email marketing và các kênh liên lạc liên quan.
• Nếu bạn ở Việt Nam, dữ liệu được xử lý theo Luật An ninh mạng 2018, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, và các quy định liên quan.

A. Thông tin bạn cung cấp trực tiếp

• Thông tin đăng ký: họ tên, địa chỉ email, mật khẩu (băm bằng bcrypt)
• Hồ sơ học tập: ảnh đại diện, tên hiển thị, mục tiêu TOPIK đã khai báo
• Thông tin thanh toán: tên người mua, số điện thoại — chúng tôi KHÔNG lưu số thẻ, thông tin giao dịch thô được xử lý bởi MoMo/ZaloPay/VNPay
• Nội dung bạn tạo: bình luận Blog, câu hỏi hỗ trợ, phản hồi về nội dung
• Mã giới thiệu (referral code) khi đăng ký qua chương trình Affiliate

B. Dữ liệu học tập (thu thập tự động)

• Tiến độ học: bài học đã hoàn thành, flashcard đã ôn, cấp độ hiện tại
• Kết quả thi thử: điểm số, đáp án đã chọn, thời gian làm bài từng câu
• Daily Challenge: ngày hoàn thành, đáp án đúng/sai, điểm tích lũy
• Streak học tập: chuỗi ngày học liên tiếp, ngày học gần nhất
• Từ vựng đã lưu vào Word Bank, flashcard SRS (lịch ôn tập)
• Thời gian sử dụng từng tính năng, tần suất truy cập nội dung

C. Thông tin kỹ thuật

• Địa chỉ IP (được ẩn danh hóa sau 30 ngày)
• Loại trình duyệt, hệ điều hành, thiết bị (desktop/mobile/tablet)
• Thống kê sử dụng tính năng (không định danh cá nhân)
• Cookie phiên làm việc và cookie tùy chọn

Mục đích sử dụng chính

• Cung cấp và vận hành dịch vụ học tiếng Hàn: tính toán lộ trình cá nhân, gợi ý bài học tiếp theo, lập lịch ôn flashcard SRS
• Quản lý tài khoản: xác thực đăng nhập, bảo mật, khôi phục mật khẩu
• Xử lý thanh toán và quản lý gói thành viên Premium
• Cá nhân hóa trải nghiệm: gợi ý nội dung phù hợp với trình độ và mục tiêu của bạn
• Tính toán và hiển thị điểm thưởng, streak, thành tích trên bảng xếp hạng
• Gửi thông báo quan trọng: gia hạn membership, Daily Challenge mới, streak nhắc nhở
• Phân tích aggregate (tổng hợp ẩn danh) để cải thiện nội dung và tính năng
• Tuân thủ nghĩa vụ pháp lý khi có yêu cầu từ cơ quan có thẩm quyền

Chúng tôi KHÔNG sử dụng dữ liệu của bạn để

• Bán cho bên thứ ba hoặc nhà quảng cáo
• Tạo hồ sơ quảng cáo hành vi (behavioral advertising profile)
• Đưa ra quyết định tự động có ảnh hưởng pháp lý đến bạn

Hiển thị công khai vs. riêng tư

• Công khai mặc định: Tên hiển thị, điểm tổng, streak, cấp độ hiện tại trên Bảng xếp hạng
• Riêng tư mặc định: Kết quả thi chi tiết, lịch sử làm bài, flashcard đã lưu, email, thông tin thanh toán
• Kết quả kiểm tra trình độ: được lưu và dùng để tối ưu lộ trình học; bạn có thể chọn chia sẻ công khai qua link /ket-qua/:id
• Bảng xếp hạng: bạn có thể ẩn mình khỏi bảng xếp hạng bất cứ lúc nào trong phần Cài đặt

Dữ liệu Daily Challenge

• Lịch sử hoàn thành Daily Challenge được lưu để tính chuỗi học và cấp điểm thưởng chính xác
• Câu trả lời đúng/sai của bạn không bao giờ được hiển thị công khai hay chia sẻ với người dùng khác

Đối tác kỹ thuật (Nhà cung cấp dịch vụ)

• Supabase (Mỹ): Database, Authentication, Storage — chỉ nhận dữ liệu cần thiết để vận hành, ký hợp đồng xử lý dữ liệu (DPA)
• Resend / Email provider: Gửi email thông báo, gia hạn, thư marketing (nếu bạn đồng ý)
• MoMo / ZaloPay / VNPay: Xử lý thanh toán — chỉ nhận họ tên, số điện thoại, số tiền giao dịch
• Google Analytics (ẩn danh hóa IP): Thống kê lưu lượng truy cập tổng hợp

Trường hợp ngoại lệ

• Yêu cầu pháp lý: Khi có lệnh của tòa án hoặc cơ quan nhà nước có thẩm quyền theo quy định Việt Nam
• Sáp nhập/mua lại: Người dùng sẽ được thông báo trước ít nhất 30 ngày và có quyền xóa tài khoản
• Bảo vệ quyền lợi: Khi cần thiết để ngăn chặn hành vi gian lận, vi phạm điều khoản nghiêm trọng

Bảo mật hạ tầng

• Mã hóa SSL/TLS 256-bit cho toàn bộ dữ liệu truyền tải (HTTPS bắt buộc)
• Mật khẩu được băm bằng bcrypt (cost factor ≥ 12), không bao giờ lưu dạng plaintext
• Row Level Security (RLS) trên Supabase: mỗi user chỉ đọc/ghi được dữ liệu của chính mình
• Supabase Edge Functions cho API nhạy cảm: khóa bí mật không bao giờ lộ ra frontend
• Kiểm tra bảo mật định kỳ và cập nhật dependencies để vá lỗ hổng

Bảo mật tài khoản

• Hỗ trợ đặt lại mật khẩu qua email với link có thời hạn 1 giờ
• Phát hiện đăng nhập bất thường từ IP / thiết bị lạ
• Tự động đăng xuất sau thời gian không hoạt động
• Khuyến nghị sử dụng mật khẩu mạnh (tối thiểu 8 ký tự, chữ thường + hoa + số)

Bạn có các quyền sau

• Quyền truy cập: Xem toàn bộ dữ liệu cá nhân chúng tôi đang lưu qua Dashboard → Cài đặt
• Quyền chỉnh sửa: Cập nhật họ tên, ảnh đại diện, mục tiêu học tập bất cứ lúc nào
• Quyền xóa: Yêu cầu xóa tài khoản và toàn bộ dữ liệu — hoàn tất trong 30 ngày (trừ dữ liệu thanh toán phải giữ 5 năm theo luật kế toán)
• Quyền xuất dữ liệu: Yêu cầu xuất lịch sử học, điểm, kết quả thi dưới dạng file JSON/CSV qua email support
• Quyền hạn chế: Tắt bảng xếp hạng, ẩn streak, tắt thông báo marketing bất cứ lúc nào
• Quyền hủy marketing: Link unsubscribe có trong mỗi email marketing; tắt được trong vòng 1 click
• Quyền khiếu nại: Liên hệ Bộ Thông tin và Truyền thông Việt Nam nếu có tranh chấp chưa được giải quyết

Chính sách đặc biệt cho người dùng nhỏ tuổi

• Người dùng từ 13–17 tuổi được phép đăng ký nhưng cần sự đồng ý của phụ huynh hoặc người giám hộ hợp pháp.
• Chúng tôi không chủ động thu thập thêm thông tin từ người dùng dưới 18 tuổi ngoài những gì cần thiết để cung cấp dịch vụ.
• Phụ huynh có quyền yêu cầu xem, chỉnh sửa hoặc xóa dữ liệu của con em mình bằng cách gửi email đến privacy@hadim.vn kèm bằng chứng quan hệ pháp lý.
• Nếu chúng tôi phát hiện tài khoản của người dưới 13 tuổi, tài khoản sẽ bị xóa ngay lập tức.

Loại cookie sử dụng

• Cookie thiết yếu (bắt buộc): Duy trì phiên đăng nhập, token xác thực — không thể tắt vì ảnh hưởng chức năng
• Cookie phân tích (tùy chọn): Google Analytics ẩn danh hóa — có thể từ chối qua cài đặt trình duyệt hoặc extension như uBlock Origin
• Cookie tùy chọn: Lưu ngôn ngữ, chế độ tối/sáng, cài đặt giao diện
• KHÔNG sử dụng cookie theo dõi quảng cáo, retargeting hay cookie của mạng quảng cáo bên thứ ba

Dữ liệu trong chương trình Affiliate

• Khi bạn tham gia chương trình Affiliate, chúng tôi lưu: mã giới thiệu của bạn, số lần mã được dùng, số tiền hoa hồng tích lũy và lịch sử thanh toán hoa hồng.
• Dữ liệu người dùng đăng ký qua mã của bạn: chúng tôi chỉ chia sẻ số lượng đăng ký thành công — không chia sẻ tên, email hay thông tin cá nhân của người được giới thiệu.
• Thông tin tài khoản ngân hàng (để nhận hoa hồng) được mã hóa và chỉ dùng cho mục đích thanh toán.

Chính sách lưu trữ theo loại dữ liệu

• Dữ liệu tài khoản (tên, email, ảnh đại diện): Lưu trong suốt thời gian tài khoản hoạt động
• Dữ liệu học tập (streak, điểm, lịch sử thi, flashcard progress): Lưu vô thời hạn khi tài khoản còn hoạt động
• Sau khi xóa tài khoản: Xóa hoàn toàn trong vòng 30 ngày, không thể khôi phục
• Dữ liệu thanh toán & hóa đơn: Lưu 5 năm theo quy định pháp luật kế toán
• Log hệ thống và bảo mật: 90 ngày
• Dữ liệu email marketing (địa chỉ email): Cho đến khi bạn hủy đăng ký (unsubscribe)
• Bình luận Blog đã được duyệt: Lưu vô thời hạn trừ khi bạn yêu cầu xóa riêng

• Khi có thay đổi quan trọng trong chính sách bảo mật (thay đổi loại dữ liệu thu thập, mục đích sử dụng mới, đối tác mới), chúng tôi sẽ thông báo qua email đăng ký ít nhất 14 ngày trước khi áp dụng.
• Thay đổi nhỏ (cập nhật ngôn ngữ, làm rõ điều khoản) sẽ được cập nhật trực tiếp tại trang này với ngày sửa đổi mới.
• Tiếp tục sử dụng dịch vụ sau ngày áp dụng đồng nghĩa với việc bạn chấp nhận chính sách mới.