Chính sách bảo mật

Chính sách bảo mật này mô tả cách Quỳnh Ngô Land thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu cá nhân của bạn khi bạn sử dụng website của chúng tôi, theo quy định tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

1. Bên kiểm soát dữ liệu

Bên kiểm soát dữ liệu cá nhân là Quỳnh Ngô Land. Mọi yêu cầu, khiếu nại, hoặc thực thi quyền của chủ thể dữ liệu, vui lòng liên hệ:

• Điện thoại: 0393 659 430
• Zalo: https://zalo.me/84393659430
• Messenger: https://m.me/quynhngoland

2. Dữ liệu chúng tôi thu thập

Các endpoint API liên quan: /api/leads (ContactLeadSchema) — đang hoạt động; /api/property-leads (PropertyLeadSchema) — hiện không hoạt động (handler trả về HTTP 410, không lưu dữ liệu); /api/demand-leads (DemandLeadSchema) — hiện không hoạt động (handler trả về HTTP 410, không lưu dữ liệu). Các trường dữ liệu của hai endpoint không hoạt động vẫn được liệt kê dưới đây để chính sách luôn phản ánh đầy đủ phạm vi xử lý có thể xảy ra. Khi giao diện được khôi phục, đoạn 410 sẽ được gỡ và biểu mẫu sẽ kèm cơ chế đồng ý giống /lien-he.

2.1. Qua biểu mẫu liên hệ chung (/lien-he → /api/leads)

Người dùng nhập:

• name — họ tên (bắt buộc)
• email — địa chỉ email (bắt buộc)
• phone — số điện thoại (tùy chọn)
• message — nội dung tin nhắn (bắt buộc)

Trường ẩn (không hiển thị trên giao diện, gắn tự động theo ngữ cảnh trang gửi):

• source — ghi nhận điểm xuất phát của biểu mẫu (contact, hero_search, hoặc listing_inquiry)
• listingId — UUID của tin đăng đang xem nếu biểu mẫu được gửi từ trang chi tiết listing

Trường đồng ý (bắt buộc, mới):

• consent — xác nhận đồng ý với chính sách này bằng cách tick ô đồng ý ở biểu mẫu
• policyVersionAcknowledged — phiên bản chính sách bạn đã xem tại thời điểm gửi
• consent_policy_version — lưu vào cơ sở dữ liệu cùng phiên bản trên
• consent_given_at — thời điểm gửi (timestamp do máy chủ ghi nhận)

Liên kết tài khoản (nếu áp dụng):

• user_id — khi người gửi đang đăng nhập (qua Supabase Auth), bản ghi lead được lưu kèm user_id của tài khoản đó để gộp lịch sử liên hệ.

2.2. Qua biểu mẫu đăng tin bán/cho thuê (/api/property-leads)

Hiện không hoạt động — trả về HTTP 410, không lưu dữ liệu. Khi được khôi phục, biểu mẫu sẽ thu thập:

• intent — loại giao dịch (sell/rent)
• address — địa chỉ bất động sản
• areaSqm — diện tích (m²)
• bedrooms — số phòng ngủ
• priceVnd — giá (VND)
• description — mô tả
• contactName — họ tên người liên hệ
• contactPhone — số điện thoại
• contactEmail — email (tùy chọn)

Khi UI được khôi phục, biểu mẫu sẽ kèm cơ chế đồng ý bắt buộc tương tự /lien-he.

2.3. Qua biểu mẫu đăng nhu cầu mua/thuê (/api/demand-leads)

Hiện không hoạt động — trả về HTTP 410, không lưu dữ liệu. Khi được khôi phục, biểu mẫu sẽ thu thập:

• intent — loại nhu cầu (buy/rent)
• district — khu vực mong muốn
• minBedrooms — số phòng ngủ tối thiểu
• maxPriceVnd — ngân sách tối đa (VND)
• notes — ghi chú
• contactName — họ tên người liên hệ
• contactPhone — số điện thoại
• contactEmail — email (tùy chọn)

Khi UI được khôi phục, biểu mẫu sẽ kèm cơ chế đồng ý bắt buộc tương tự /lien-he.

2.4. Qua phân tích lưu lượng truy cập (Google Analytics)

Chỉ kích hoạt khi bạn bấm "Đồng ý" trên banner cookie:

• Cookie _ga, _ga_<id> (lưu trên trình duyệt của bạn, mã hóa định danh ẩn danh)
• IP rút gọn, trang đã xem, thiết bị, trình duyệt

Nếu bạn bấm "Từ chối" hoặc chưa lựa chọn, Google Analytics không nhận được dữ liệu của bạn.

2.5. Qua giám sát lỗi (Sentry — kích hoạt trong sản xuất)

Mục đích kỹ thuật, không marketing:

• URL gây lỗi
• User-agent
• Stack trace

2.6. Lưu tại trình duyệt (localStorage)

• qnl_consent — lựa chọn đồng ý/từ chối cookie của bạn (lưu cục bộ, không gửi về máy chủ)

3. Mục đích sử dụng

Chúng tôi sử dụng dữ liệu nêu trên cho các mục đích sau:

• Phản hồi yêu cầu liên hệ và tư vấn bất động sản phù hợp.
• Phân tích hiệu suất website, tối ưu trải nghiệm sử dụng.
• Cải thiện chất lượng dịch vụ tư vấn và môi giới.

Chúng tôi KHÔNG bán, KHÔNG cho thuê dữ liệu cá nhân của bạn cho bên thứ ba vì mục đích thương mại.

4. Bên xử lý dữ liệu (Data Processors)

Để vận hành website và xử lý dữ liệu nêu trên, chúng tôi sử dụng các nhà cung cấp dịch vụ sau:

• Supabase — cơ sở dữ liệu PostgreSQL. Vùng máy chủ theo cấu hình dự án, nằm ngoài lãnh thổ Việt Nam.
• Vercel — hosting và mạng edge toàn cầu.
• Google — Google Analytics (chỉ khi bạn đồng ý).
• Sentry — theo dõi lỗi kỹ thuật.

Thông tin chi tiết về xử lý dữ liệu của từng bên có tại chính sách bảo mật trên website của họ.

5. Chuyển dữ liệu ra ngoài Việt Nam (xuyên biên giới)

Các bên xử lý dữ liệu nêu trên vận hành hạ tầng bên ngoài lãnh thổ Việt Nam. Theo Nghị định 13/2023/NĐ-CP, việc chuyển dữ liệu xuyên biên giới yêu cầu sự đồng ý có thông tin của chủ thể dữ liệu và việc lập, lưu trữ Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài (TIA) tại bên kiểm soát dữ liệu.

Cơ sở pháp lý của việc chuyển: thực thi yêu cầu của bạn (gửi liên hệ, lưu trữ thông tin, đo lường khi bạn đã đồng ý qua banner cookie). Chúng tôi không dựa trên "đồng ý ngầm định bằng cách sử dụng dịch vụ".

Đồng ý của bạn: bằng việc tick ô đồng ý trên biểu mẫu liên hệ, bạn xác nhận đã được thông báo rằng nội dung gửi sẽ được lưu trữ trên hạ tầng của các bên xử lý nêu trên, bao gồm cả việc chuyển dữ liệu ra ngoài lãnh thổ Việt Nam. Bạn có thể rút lại sự đồng ý bất cứ lúc nào qua kênh liên hệ tại §1; chúng tôi sẽ xóa hoặc vô danh hóa dữ liệu trong vòng 72 giờ kể từ khi nhận được yêu cầu.

Hồ sơ đánh giá tác động (DPIA/TIA): chúng tôi duy trì hồ sơ nội bộ về việc xử lý dữ liệu và chuyển dữ liệu xuyên biên giới theo Điều 24 và Điều 25 Nghị định 13/2023/NĐ-CP. Bản tóm tắt có thể được cung cấp khi cơ quan có thẩm quyền yêu cầu.

6. Thời gian lưu trữ

• Leads (biểu mẫu liên hệ): lưu tối đa 24 tháng kể từ lần liên hệ gần nhất. Sau khoảng thời gian này, dữ liệu sẽ được vô danh hóa hoặc xóa, trừ trường hợp pháp luật yêu cầu lưu trữ lâu hơn.
• Google Analytics: 14 tháng (theo cấu hình retention mặc định của Google).
• Sentry: 90 ngày (theo cấu hình mặc định của Sentry).
• localStorage qnl_consent: lưu cho đến khi bạn xóa thủ công qua thiết lập trình duyệt.

7. Quyền của chủ thể dữ liệu

Theo Điều 9 Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

1. Quyền được biết về việc xử lý dữ liệu cá nhân của mình.
2. Quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân.
3. Quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình.
4. Quyền rút lại sự đồng ý.
5. Quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình.
6. Quyền hạn chế xử lý dữ liệu.
7. Quyền yêu cầu cung cấp dữ liệu cá nhân của mình.
8. Quyền phản đối xử lý dữ liệu.
9. Quyền khiếu nại, tố cáo, khởi kiện theo quy định pháp luật.
10. Quyền yêu cầu bồi thường thiệt hại theo quy định pháp luật.
11. Quyền tự bảo vệ theo quy định của Bộ luật Dân sự và pháp luật có liên quan.

Liên hệ thực thi quyền: vui lòng liên hệ qua điện thoại, Zalo, hoặc Messenger tại §1. Chúng tôi sẽ phản hồi trong vòng 72 giờ làm việc.

Cơ quan có thẩm quyền: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an — là cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.

8. Trẻ em

Dịch vụ của chúng tôi không hướng đến người dùng dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em. Nếu bạn là phụ huynh hoặc người giám hộ và phát hiện con em mình đã cung cấp dữ liệu cá nhân cho chúng tôi, vui lòng liên hệ qua kênh tại §1 để chúng tôi xóa thông tin đó.

9. Cookies và công nghệ tương tự

Mục	Loại	Mục đích	Hiệu lực
_ga, _ga_<id>	Cookie (bên thứ ba — Google)	Đo lường lưu lượng truy cập	Chỉ khi bạn bấm "Đồng ý" trên banner cookie
qnl_consent	localStorage (bên thứ nhất)	Ghi nhớ lựa chọn đồng ý/từ chối cookie	Lưu cho đến khi bạn xóa thủ công

Cách từ chối hoặc thay đổi lựa chọn:

• Bấm nút "Từ chối" trên banner cookie (xuất hiện ở lần truy cập đầu tiên).
• Xóa qnl_consent qua thiết lập trình duyệt — banner sẽ hiện lại ở lần truy cập tiếp theo.
• Thiết lập cookie trình duyệt (Chrome/Safari/Firefox đều có công cụ riêng).

10. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách này theo thời gian. Phiên bản hiện hành và ngày hiệu lực được ghi ở đầu trang. Đối với những thay đổi quan trọng (mở rộng phạm vi thu thập, bổ sung bên xử lý dữ liệu, thay đổi mục đích sử dụng), chúng tôi sẽ thông báo qua banner trên trang chủ và yêu cầu bạn xác nhận lại sự đồng ý.

11. Liên hệ

Mọi câu hỏi, yêu cầu thực thi quyền, hoặc khiếu nại liên quan đến chính sách bảo mật này, vui lòng liên hệ:

• Điện thoại: 0393 659 430
• Zalo: https://zalo.me/84393659430
• Messenger: https://m.me/quynhngoland