Chính sách bảo mật
Cập nhật: 19 tháng 5, 2026
CHÍNH SÁCH BẢO MẬT DỮ LIỆU CÁ NHÂN
Chính sách bảo mật dữ liệu cá nhân này (“Chính sách”) được ban hành bởi Pebbles nhằm thông báo cho người dùng về cách thức Pebbles thu thập, ghi nhận, lưu trữ, phân tích, sử dụng, chia sẻ, chuyển giao, lưu giữ, xóa và thực hiện các hoạt động xử lý khác đối với dữ liệu cá nhân trong quá trình người dùng đăng ký tài khoản, sử dụng ứng dụng, tương tác với các tính năng của Pebbles hoặc sử dụng các dịch vụ được cung cấp trực tiếp bởi Pebbles hoặc thông qua đối tác trên nền tảng Pebbles.
Chính sách này được xây dựng trên cơ sở Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, Nghị định số 356/2025/NĐ-CP và các quy định pháp luật có liên quan. Đối với các vấn đề chưa được quy định cụ thể trong Chính sách này, Pebbles sẽ áp dụng theo quy định của pháp luật hiện hành và/hoặc thông báo riêng tại thời điểm thu thập, xử lý dữ liệu.
Điều 1. Đối tượng và phạm vi áp dụng
1.1. Chính sách này áp dụng đối với cá nhân tạo tài khoản, truy cập, tìm hiểu, sử dụng ứng dụng, website, tính năng, nội dung, công cụ, dịch vụ hoặc các kênh giao dịch chính thức khác của Pebbles (“Người dùng”).
1.2. Trong phạm vi cần thiết để cung cấp dịch vụ cho Người dùng, Chính sách này cũng điều chỉnh việc xử lý dữ liệu cá nhân của trẻ em, người phụ thuộc, thành viên gia đình hoặc cá nhân khác có thông tin được Người dùng cung cấp cho Pebbles trong quá trình sử dụng ứng dụng.
1.3. Chính sách này là một phần không thể tách rời của Điều khoản sử dụng, điều khoản booking, điều kiện giao dịch, thông báo xử lý dữ liệu và các thỏa thuận khác giữa Pebbles với Người dùng.
Điều 2. Giải thích từ ngữ
2.1. “Pebbles” là thương hiệu, ứng dụng, nền tảng, website và/hoặc pháp nhân sở hữu, vận hành, phát triển hoặc cung cấp sản phẩm, dịch vụ dưới tên Pebbles.
2.2. “Dữ liệu cá nhân” là dữ liệu dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm theo quy định pháp luật.
2.3. “Xử lý dữ liệu cá nhân” là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân như thu thập, ghi, lưu trữ, phân tích, xác nhận, chỉnh sửa, kết hợp, truy cập, truy xuất, chia sẻ, truyền đưa, cung cấp, chuyển giao, mã hóa, giải mã, sao chép, xóa, hủy hoặc các hoạt động khác có liên quan.
2.4. “Dữ liệu trẻ em” là dữ liệu cá nhân của người dưới 16 tuổi; việc xử lý dữ liệu trẻ em được thực hiện theo quy định pháp luật và các điều khoản riêng nêu tại Chính sách này.
2.5. “Dữ liệu nhạy cảm” là dữ liệu cá nhân gắn với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm các loại dữ liệu được pháp luật xác định là dữ liệu cá nhân nhạy cảm.
2.6. “Bên thứ ba” là tổ chức, cá nhân khác ngoài Pebbles và Người dùng, bao gồm nhưng không giới hạn ở nhà cung cấp dịch vụ kỹ thuật, đơn vị thanh toán, nhà cung cấp đăng nhập bên thứ ba, đối tác bản đồ/vị trí, đơn vị gửi thông báo, đối tác vận hành, đơn vị phân tích, đơn vị chăm sóc khách hàng, nhà cung cấp dịch vụ đám mây, nhà cung cấp bảo mật, nhà cung cấp dịch vụ đặt lịch và/hoặc nhà cung cấp dịch vụ mà Người dùng lựa chọn đặt qua Pebbles.
2.7. “Kênh giao dịch Pebbles” bao gồm ứng dụng di động, web app, website, landing page, email, tổng đài, chatbot, trang mạng xã hội chính thức, kênh hỗ trợ khách hàng và các kênh tương tác khác do Pebbles công bố tại từng thời điểm.
Điều 3. Nguyên tắc xử lý dữ liệu cá nhân
3.1. Pebbles chỉ xử lý dữ liệu cá nhân trong phạm vi cần thiết, phù hợp với mục đích đã thông báo cho Người dùng và/hoặc trong phạm vi pháp luật cho phép hoặc yêu cầu.
3.2. Pebbles nỗ lực bảo đảm rằng dữ liệu cá nhân được thu thập là phù hợp, có liên quan và giới hạn trong phạm vi cần thiết đối với từng tính năng, dịch vụ và từng mục đích xử lý cụ thể.
3.3. Pebbles áp dụng các biện pháp kỹ thuật, tổ chức và quản trị nội bộ phù hợp để bảo vệ dữ liệu cá nhân; đồng thời rà soát, cập nhật các biện pháp này theo mức độ rủi ro và yêu cầu pháp luật tại từng thời điểm.
3.4. Đối với các loại dữ liệu nhạy cảm hoặc các tình huống có rủi ro cao hơn, Pebbles có thể cung cấp thông báo riêng, yêu cầu thêm bước xác nhận hoặc áp dụng lớp kiểm soát bổ sung trước khi xử lý.
Điều 4. Các loại dữ liệu cá nhân Pebbles có thể xử lý
4.1. Dữ liệu tài khoản và đăng nhập:
họ tên, tên hiển thị, số điện thoại, địa chỉ thư điện tử, mã định danh tài khoản, thông tin xác thực, thông tin đăng nhập qua Apple ID, Facebook hoặc nhà cung cấp đăng nhập bên thứ ba khác, dữ liệu cần thiết để xác minh tài khoản, mã OTP, nhật ký truy cập và các thông tin liên quan đến bảo mật tài khoản.
4.2. Dữ liệu onboarding bắt buộc:
thông tin Người dùng cung cấp khi khởi tạo hồ sơ như tên, vai trò (mẹ/cha/người chăm sóc khác), số lượng con, giai đoạn làm cha mẹ, ngày dự sinh hoặc ngày sinh của em bé/trẻ em, và các thông tin cơ bản khác cần thiết để thiết lập trải nghiệm ban đầu trên ứng dụng.
4.3. Dữ liệu onboarding tùy chọn và dữ liệu cá nhân hóa:
các ưu tiên hàng đầu, sở thích nội dung, định dạng nội dung ưa thích, thời điểm nhận nội dung, tần suất mong muốn, giọng điệu giao tiếp hoặc các lựa chọn khác do Người dùng chủ động thiết lập để Pebbles cá nhân hóa trải nghiệm.
4.4. Dữ liệu hồ sơ trẻ em và gia đình:
tên của em bé/trẻ em, giới tính, ngày sinh/dự sinh, số lượng con, vai trò chăm sóc và các thông tin khác mà Người dùng chủ động khai báo trong Child Profile hoặc các bước thiết lập khác của ứng dụng.
4.5. Dữ liệu Parenting Profile/Spiderweb:
câu trả lời, điểm số, thang đánh giá, slider inputs, tags, phân nhóm hồ sơ, khuynh hướng, ưu tiên hoặc các dữ liệu suy ra từ Parenting Identity, Parenting Style và các bài đánh giá, bài khảo sát hoặc công cụ hồ sơ khác của Pebbles.
4.6. Dữ liệu từ các công cụ theo dõi và hỗ trợ chăm sóc trẻ em:
dữ liệu Người dùng nhập hoặc xác nhận khi sử dụng công cụ developmental milestones, growth index, vaccination tracker hoặc các tính năng tương tự, bao gồm lịch sử kiểm tra, kết quả hiển thị, dữ liệu chiều cao, cân nặng, cột mốc phát triển, lịch sử tiêm chủng, nhắc hẹn và các ghi chú liên quan. Mặc dù một số dữ liệu này phát sinh trong quá trình Người dùng sử dụng công cụ, Pebbles vẫn có thể thu thập, lưu trữ và xử lý các dữ liệu đó để vận hành tính năng, hiển thị lịch sử, cá nhân hóa trải nghiệm và/hoặc đáp ứng yêu cầu hỗ trợ của Người dùng.
4.7. Dữ liệu trò chuyện và hỗ trợ:
lịch sử trò chuyện với Ami, nội dung câu hỏi, câu trả lời, tin nhắn gửi tới bộ phận chăm sóc khách hàng, phản hồi hỗ trợ, tệp đính kèm, hình ảnh, tài liệu, dữ liệu do Người dùng tự nguyện cung cấp trong cuộc trò chuyện hoặc trong quá trình yêu cầu hỗ trợ.
4.8. Dữ liệu tương tác với Wisdom Hub và hành vi trong ứng dụng:
bài viết đã xem, thời lượng đọc, nội dung được lưu/chia sẻ, nút CTA được nhấp, nội dung được thích/không thích, luồng điều hướng, phiên sử dụng, tính năng được sử dụng, cài đặt thông báo, lịch sử tương tác với thông báo, dữ liệu app behavior, dữ liệu thống kê và phân tích sử dụng.
4.9. Dữ liệu vị trí và địa chỉ:
địa chỉ Người dùng nhập khi đặt dịch vụ, dữ liệu vị trí xấp xỉ hoặc chính xác nếu Người dùng cấp quyền trên thiết bị, thông tin cần thiết để cá nhân hóa bản đồ, gợi ý nhà cung cấp phù hợp hoặc hỗ trợ việc cung cấp dịch vụ.
4.10. Dữ liệu booking và giao dịch:
thông tin đặt lịch, mã đơn/booking, nhà cung cấp được chọn, thời gian, địa điểm, ghi chú dịch vụ, thông tin liên hệ phục vụ xác nhận lịch hẹn, trạng thái đặt lịch, lịch sử đổi/hủy/no-show, phản hồi sau dịch vụ và các thông tin cần thiết khác để vận hành giao dịch.
4.11. Dữ liệu thanh toán:
số tiền, phương thức thanh toán, trạng thái thanh toán, mã giao dịch, thời điểm giao dịch, ví điện tử, thông tin hóa đơn/chứng từ và các dữ liệu cần thiết để xử lý, đối soát hoặc giải quyết khiếu nại về thanh toán. Trong từng trường hợp, Pebbles có thể không trực tiếp lưu trữ đầy đủ thông tin thanh toán nhạy cảm nếu giao dịch được thực hiện thông qua đối tác thanh toán; khi đó Pebbles có thể chỉ nhận các dữ liệu cần thiết như kết quả thanh toán, mã giao dịch hoặc thông tin đối soát do đối tác thanh toán cung cấp.
4.12. Dữ liệu kỹ thuật và dữ liệu hệ thống:
loại thiết bị, hệ điều hành, trình duyệt, ngôn ngữ, cài đặt ứng dụng, địa chỉ IP, cookies, SDK identifiers, dữ liệu log, crash logs, dữ liệu hiệu năng, dữ liệu chống gian lận và các dữ liệu kỹ thuật khác phát sinh khi Người dùng truy cập hoặc sử dụng các kênh giao dịch của Pebbles.
4.13. Tùy từng trường hợp, các dữ liệu nêu trên có thể bao gồm hoặc làm lộ, suy ra dữ liệu nhạy cảm, đặc biệt là dữ liệu liên quan đến trẻ em, sức khỏe, thông tin gia đình, thói quen sinh hoạt, nội dung trò chuyện hoặc các nội dung riêng tư khác do Người dùng cung cấp.
Điều 5. Mục đích xử lý dữ liệu cá nhân
5.1. Tạo lập, xác minh, quản lý và bảo vệ tài khoản của Người dùng; hỗ trợ đăng nhập, xác thực, khôi phục tài khoản và phòng chống truy cập trái phép, gian lận hoặc giả mạo danh tính.
5.2. Thiết lập hồ sơ người dùng, hồ sơ trẻ em và trải nghiệm ban đầu trong ứng dụng; vận hành onboarding, Child Profile, Parenting Profile và các tính năng cá nhân hóa khác.
5.3. Cung cấp, duy trì và cải thiện các công cụ theo dõi developmental milestones, growth index, vaccination tracker, lịch sử tương tác, công cụ nhắc việc, gợi ý nội dung và các tính năng hỗ trợ chăm sóc trẻ em khác.
5.4. Vận hành Ami và các tính năng hỗ trợ hội thoại, chăm sóc khách hàng hoặc hỗ trợ trong ứng dụng; xử lý yêu cầu, giải đáp câu hỏi, lưu lịch sử tương tác, kiểm soát chất lượng phản hồi, phát hiện lỗi, điều tra sự cố và cải thiện tính chính xác, an toàn hoặc mức độ hữu ích của hệ thống trong phạm vi pháp luật cho phép.
5.5. Cá nhân hóa nội dung, gợi ý bài viết, hành trình học, khuyến nghị nội dung, khuyến nghị dịch vụ, nhắc nhở, cách diễn đạt hoặc nhịp độ tương tác dựa trên dữ liệu hồ sơ, lựa chọn cài đặt, hành vi sử dụng, giai đoạn nuôi con hoặc các dữ liệu liên quan khác.
5.6. Xử lý booking, xác nhận lịch hẹn, điều phối cung cấp dịch vụ, chia sẻ thông tin cần thiết với nhà cung cấp dịch vụ mà Người dùng lựa chọn, hỗ trợ đổi/hủy lịch, xử lý khiếu nại và chăm sóc sau dịch vụ.
5.7. Xử lý thanh toán, đối soát giao dịch, phát hành thông tin giao dịch/hóa đơn/chứng từ (nếu có), phát hiện gian lận, giải quyết tra soát, hoàn tiền hoặc các vấn đề liên quan đến thanh toán.
5.8. Gửi thông báo vận hành, thông báo tài khoản, nhắc lịch, nhắc milestone/vaccine, xác nhận giao dịch, thông báo dịch vụ, phản hồi hỗ trợ hoặc các thông tin cần thiết khác liên quan đến việc sử dụng ứng dụng.
5.9. Thực hiện nghiên cứu, phân tích, thống kê nội bộ, đo lường hiệu quả tính năng, đánh giá chất lượng nội dung/dịch vụ, cải thiện sản phẩm và phát triển tính năng mới trên cơ sở dữ liệu cá nhân, dữ liệu đã được tổng hợp hoặc dữ liệu đã được khử nhận dạng trong phạm vi phù hợp.
5.10. Thực hiện các hoạt động truyền thông, tiếp thị, chương trình ưu đãi, chăm sóc khách hàng hoặc khảo sát theo phạm vi đồng ý của Người dùng và/hoặc theo quy định pháp luật.
5.11. Thực hiện nghĩa vụ pháp lý, yêu cầu của cơ quan nhà nước có thẩm quyền, bảo vệ quyền và lợi ích hợp pháp của Pebbles, của Người dùng hoặc của bên liên quan; thiết lập, thực hiện hoặc bảo vệ khiếu nại, quyền yêu cầu, quyền bào chữa và các lợi ích hợp pháp khác.
5.12. Pebbles có thể thông báo thêm các mục đích xử lý khác tại thời điểm thu thập dữ liệu hoặc trước khi bắt đầu xử lý trong trường hợp một tính năng, sản phẩm, chiến dịch hoặc mô hình vận hành mới được triển khai.
Điều 6. Cách thức thu thập dữ liệu cá nhân
6.1. Pebbles có thể thu thập dữ liệu trực tiếp từ Người dùng khi Người dùng đăng ký tài khoản, điền biểu mẫu, thiết lập hồ sơ, nhập dữ liệu vào công cụ, đặt lịch, thanh toán, trò chuyện với Ami, liên hệ hỗ trợ hoặc tương tác với Pebbles qua bất kỳ kênh giao dịch chính thức nào.
6.2. Pebbles có thể thu thập dữ liệu tự động khi Người dùng sử dụng ứng dụng hoặc website, bao gồm dữ liệu hệ thống, cookies, SDK data, log data, crash reports, lịch sử truy cập và dữ liệu hành vi trong ứng dụng.
6.3. Pebbles có thể nhận dữ liệu từ các bên thứ ba theo lựa chọn của Người dùng hoặc theo yêu cầu vận hành dịch vụ, bao gồm nhà cung cấp đăng nhập bên thứ ba (như Apple, Facebook hoặc dịch vụ tương tự), đối tác thanh toán, đối tác bản đồ/vị trí, đối tác thông báo, đối tác phân tích, nhà cung cấp dịch vụ đám mây, nhà cung cấp dịch vụ hỗ trợ khách hàng, nhà cung cấp dịch vụ bảo mật và nhà cung cấp dịch vụ mà Người dùng lựa chọn đặt qua Pebbles.
6.4. Trong trường hợp cần thiết để tuân thủ pháp luật hoặc xử lý tranh chấp, Pebbles có thể nhận dữ liệu từ cơ quan nhà nước có thẩm quyền, cố vấn pháp lý, cố vấn chuyên môn, đơn vị kiểm toán hoặc từ các nguồn công khai hợp pháp.
Điều 7. Cơ sở xử lý, phạm vi bắt buộc và lựa chọn của Người dùng
7.1. Một số dữ liệu là cần thiết để Pebbles tạo tài khoản, xác minh người dùng, vận hành tính năng cốt lõi, thực hiện booking, xử lý thanh toán, bảo đảm an ninh hoặc tuân thủ nghĩa vụ pháp lý. Trong trường hợp này, nếu Người dùng không cung cấp dữ liệu cần thiết, Pebbles có thể không thể cung cấp một phần hoặc toàn bộ tính năng, dịch vụ tương ứng.
7.2. Một số dữ liệu khác do Người dùng chủ động lựa chọn cung cấp để được cá nhân hóa tốt hơn, ví dụ như ưu tiên nội dung, tone of voice, địa chỉ để cá nhân hóa bản đồ hoặc các tùy chọn hồ sơ bổ sung. Việc không cung cấp các dữ liệu này có thể làm giảm mức độ cá nhân hóa, nhưng không nhất thiết ảnh hưởng tới toàn bộ khả năng sử dụng ứng dụng.
7.3. Một số dữ liệu phát sinh trong quá trình sử dụng tính năng, ví dụ như lịch sử milestone, growth, vaccine, lịch sử chat, app behavior hoặc dữ liệu thống kê sử dụng. Các dữ liệu này có thể không được Người dùng điền ở bước đầu, nhưng vẫn được Pebbles xử lý trong quá trình Người dùng sử dụng công cụ hoặc tương tác với ứng dụng.
7.4. Đối với từng tính năng có tính chất nhạy cảm cao hơn, Pebbles có thể cung cấp lớp thông báo riêng, công cụ quản lý quyền riêng tư, cơ chế xin phép trên thiết bị hoặc cơ chế ghi nhận đồng ý theo quy định pháp luật.
Điều 8. Chia sẻ dữ liệu cá nhân với bên thứ ba
8.1. Pebbles có thể chia sẻ hoặc cho phép bên thứ ba xử lý dữ liệu cá nhân trong phạm vi cần thiết để thực hiện các mục đích nêu tại Chính sách này và phù hợp với quy định pháp luật.
8.2. Các nhóm bên nhận dữ liệu có thể bao gồm:
(i) nhà cung cấp hạ tầng, lưu trữ, bảo mật, phân tích, hỗ trợ khách hàng, gửi email/SMS/Zalo/push notification, bản đồ/vị trí, xác thực, chống gian lận; (ii) đối tác thanh toán và đối soát; (iii) nhà cung cấp dịch vụ mà Người dùng lựa chọn đặt qua Pebbles; (iv) đơn vị tư vấn, kiểm toán, luật sư, kế toán hoặc đơn vị cung cấp dịch vụ chuyên môn; (v) cơ quan nhà nước có thẩm quyền hoặc tổ chức/cá nhân khác theo yêu cầu pháp luật.
8.3. Khi Người dùng đặt dịch vụ qua Pebbles, Pebbles có thể chia sẻ cho nhà cung cấp dịch vụ các thông tin cần thiết để xác nhận và thực hiện booking, ví dụ như tên, số điện thoại, thời gian hẹn, địa điểm, ghi chú dịch vụ và các dữ liệu liên quan hợp lý khác. Trong từng trường hợp, Pebbles sẽ cố gắng giới hạn phạm vi chia sẻ ở mức tối thiểu cần thiết.
8.4. Pebbles yêu cầu các bên xử lý dữ liệu thay mặt Pebbles áp dụng biện pháp bảo mật phù hợp, xử lý dữ liệu đúng mục đích được giao và tuân thủ các nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định pháp luật và thỏa thuận với Pebbles.
8.5. Pebbles có thể sử dụng dữ liệu đã được tổng hợp, khử nhận dạng hoặc ẩn danh cho mục đích phân tích, cải thiện dịch vụ, nghiên cứu nội bộ hoặc báo cáo quản trị trong phạm vi pháp luật cho phép.
Điều 9. Xử lý dữ liệu trong một số tính năng đặc thù của Pebbles
9.1. Social login:
Khi Người dùng chọn tạo hoặc đăng nhập tài khoản bằng Apple ID, Facebook hoặc dịch vụ tương tự, Pebbles có thể nhận từ nhà cung cấp đó một số dữ liệu như tên hiển thị, địa chỉ email, mã định danh tài khoản, token xác thực hoặc các dữ liệu khác theo cài đặt mà Người dùng cho phép.
9.2. Child Profile và các công cụ chăm sóc trẻ em:
Khi Người dùng tạo hồ sơ trẻ em hoặc nhập dữ liệu vào developmental milestones, growth index, vaccination tracker, Pebbles có thể lưu lịch sử sử dụng, kết quả, dữ liệu đầu vào và các dữ liệu liên quan để hiển thị lại cho Người dùng, gửi nhắc nhở, hỗ trợ theo dõi hành trình và cá nhân hóa trải nghiệm.
9.3. Ami chat:
Nội dung trò chuyện với Ami hoặc với bộ phận hỗ trợ có thể chứa dữ liệu cá nhân, dữ liệu nhạy cảm hoặc dữ liệu trẻ em mà Người dùng tự nguyện cung cấp. Pebbles khuyến nghị Người dùng hạn chế chia sẻ dữ liệu nhạy cảm không cần thiết. Trong phạm vi pháp luật cho phép, Pebbles có thể lưu và xử lý lịch sử trò chuyện để vận hành tính năng, hỗ trợ người dùng, kiểm soát chất lượng, điều tra sự cố, cải thiện độ chính xác hoặc tăng cường an toàn hệ thống. Trường hợp Pebbles triển khai việc sử dụng lịch sử trò chuyện cho mục đích vượt quá phạm vi cần thiết để cung cấp dịch vụ, Pebbles sẽ thông báo hoặc xin ý kiến đồng ý theo quy định pháp luật và cơ chế nội bộ áp dụng tại thời điểm đó.
9.4. Wisdom Hub và hành vi nội dung:
Pebbles có thể theo dõi cách Người dùng đọc, lưu, chia sẻ, đánh giá hoặc nhấp vào nội dung để hiểu nhu cầu, cải thiện hệ thống nội dung và đề xuất nội dung phù hợp hơn với từng giai đoạn và ưu tiên của Người dùng.
9.5. Vị trí và bản đồ:
Nếu Người dùng cấp quyền truy cập vị trí hoặc chủ động nhập địa chỉ, Pebbles có thể sử dụng thông tin này để cá nhân hóa bản đồ, sắp xếp hiển thị nhà cung cấp phù hợp, tính khoảng cách, hỗ trợ booking hoặc cải thiện tính năng liên quan tới địa điểm.
9.6. Booking và thanh toán:
Dữ liệu booking và thanh toán được xử lý để xác nhận giao dịch, đối soát, hỗ trợ hoàn/đổi/hủy, xử lý tranh chấp, ghi nhận lịch sử giao dịch và bảo đảm vận hành an toàn. Trong một số trường hợp, dữ liệu này có thể được đối chiếu với dữ liệu tài khoản, dữ liệu hỗ trợ khách hàng hoặc dữ liệu chống gian lận để bảo vệ Người dùng và hệ thống.
Điều 10. Dữ liệu trẻ em và dữ liệu nhạy cảm
10.1. Pebbles tôn trọng và bảo vệ dữ liệu cá nhân của trẻ em. Trước khi xử lý dữ liệu cá nhân của trẻ em, Pebbles có thể áp dụng biện pháp xác minh tuổi, xác minh tư cách của người cung cấp dữ liệu và ghi nhận sự đồng ý hoặc xác nhận cần thiết theo quy định pháp luật.
10.2. Người dùng chỉ nên cung cấp dữ liệu của trẻ em khi Người dùng là cha, mẹ, người giám hộ hoặc người có thẩm quyền hợp pháp/có sự cho phép hợp lệ để cung cấp các dữ liệu đó cho Pebbles.
10.3. Một số dữ liệu trong Child Profile, growth index, developmental milestones, vaccination tracker, Parenting Profile, Ami chat hoặc yêu cầu hỗ trợ có thể là dữ liệu nhạy cảm hoặc có thể tiết lộ dữ liệu nhạy cảm, ví dụ dữ liệu liên quan đến sức khỏe, thói quen sinh hoạt, thông tin gia đình hoặc nội dung riêng tư khác. Đối với các dữ liệu như vậy, Pebbles có thể áp dụng thông báo riêng, biện pháp bảo vệ bổ sung, giới hạn truy cập nội bộ hoặc các cơ chế kiểm soát khác theo mức độ rủi ro.
10.4. Trường hợp pháp luật hoặc cơ quan có thẩm quyền yêu cầu ngừng xử lý, xóa hoặc hạn chế xử lý dữ liệu trẻ em hoặc dữ liệu nhạy cảm, Pebbles sẽ thực hiện theo quy định pháp luật và quy trình nội bộ áp dụng tại thời điểm đó.
Điều 11. Thời gian lưu trữ dữ liệu cá nhân
11.1. Pebbles chỉ lưu trữ dữ liệu cá nhân trong thời gian cần thiết để thực hiện mục đích xử lý đã thông báo, để duy trì quan hệ với Người dùng, để giải quyết khiếu nại/tranh chấp, để tuân thủ nghĩa vụ pháp lý hoặc trong thời hạn được pháp luật cho phép.
11.2. Tùy từng nhóm dữ liệu, thời hạn lưu trữ có thể khác nhau. Ví dụ:
dữ liệu tài khoản có thể được lưu trong thời gian tài khoản còn hoạt động và thêm một khoảng thời gian hợp lý sau khi chấm dứt; dữ liệu booking/thanh toán có thể được lưu lâu hơn để phục vụ đối soát, kế toán, thuế, kiểm toán hoặc giải quyết tranh chấp; dữ liệu kỹ thuật, log hoặc dữ liệu hành vi có thể được lưu theo vòng đời vận hành, bảo mật hoặc phân tích nội bộ của Pebbles.
11.3. Khi mục đích xử lý đã hoàn thành, khi hết thời hạn lưu trữ áp dụng hoặc khi có yêu cầu hợp lệ của chủ thể dữ liệu theo quy định pháp luật, Pebbles sẽ xóa, hủy, ẩn danh, khử nhận dạng hoặc ngừng xử lý dữ liệu tương ứng, trừ trường hợp pháp luật cho phép hoặc yêu cầu tiếp tục lưu trữ.
Điều 12. Bảo mật dữ liệu cá nhân và rủi ro có thể phát sinh
12.1. Pebbles áp dụng nhiều biện pháp nhằm bảo vệ dữ liệu cá nhân khỏi việc truy cập trái phép, mất mát, hủy hoại, tiết lộ, sửa đổi hoặc sử dụng sai mục đích, bao gồm nhưng không giới hạn ở biện pháp quản trị nội bộ, phân quyền truy cập, kiểm soát nhà cung cấp, lưu vết hệ thống, mã hóa, sao lưu và các biện pháp an toàn thông tin phù hợp khác.
12.2. Tuy nhiên, không một hệ thống kỹ thuật nào có thể bảo đảm an toàn tuyệt đối. Rủi ro có thể phát sinh bao gồm lỗi phần mềm, lỗi phần cứng, sự cố kết nối, lỗ hổng bảo mật, tấn công mạng, hành vi lừa đảo, hoặc việc Người dùng tự làm lộ thông tin tài khoản, mã OTP, thiết bị hoặc dữ liệu của mình.
12.3. Người dùng có trách nhiệm bảo mật tài khoản, mật khẩu, OTP, thiết bị đăng nhập, đường dẫn xác thực và chỉ cung cấp dữ liệu cá nhân trong phạm vi cần thiết. Người dùng nên đăng xuất khỏi tài khoản khi sử dụng thiết bị dùng chung và nên liên hệ Pebbles ngay khi phát hiện dấu hiệu bất thường liên quan đến dữ liệu cá nhân hoặc tài khoản.
Điều 13. Cookies, SDK và công nghệ theo dõi
13.1. Khi Người dùng sử dụng website, web app hoặc ứng dụng của Pebbles, Pebbles và/hoặc đối tác kỹ thuật của Pebbles có thể sử dụng cookies, pixels, SDKs, local storage hoặc công nghệ tương tự để nhận diện phiên truy cập, ghi nhớ cài đặt, đo lường hiệu năng, phân tích hành vi sử dụng, cải thiện trải nghiệm, phát hiện sự cố và bảo đảm an ninh hệ thống.
13.2. Tùy theo từng nền tảng, Người dùng có thể quản lý một số lựa chọn liên quan đến cookies hoặc quyền truy cập thiết bị thông qua cài đặt trình duyệt, cài đặt hệ điều hành hoặc cài đặt trong ứng dụng. Việc chặn một số công nghệ có thể làm giảm trải nghiệm hoặc khiến một số tính năng không hoạt động đầy đủ.
Điều 14. Chuyển dữ liệu ra nước ngoài
14.1. Để vận hành ứng dụng, lưu trữ dữ liệu, sử dụng hạ tầng công nghệ, gửi thông báo, phân tích dữ liệu, hỗ trợ khách hàng hoặc sử dụng các dịch vụ kỹ thuật xuyên biên giới, Pebbles có thể chuyển giao, lưu trữ hoặc cho phép truy cập dữ liệu cá nhân tại máy chủ hoặc hệ thống đặt ngoài lãnh thổ Việt Nam trong phạm vi phù hợp với quy định pháp luật.
14.2. Khi thực hiện xử lý dữ liệu cá nhân có yếu tố nước ngoài, Pebbles sẽ áp dụng hoặc yêu cầu áp dụng các biện pháp bảo vệ phù hợp và thực hiện các thủ tục, hồ sơ hoặc biện pháp quản trị cần thiết theo quy định pháp luật hiện hành.
Điều 15. Quyền và nghĩa vụ của Người dùng
15.1. Người dùng có các quyền theo quy định của pháp luật, bao gồm quyền được biết, quyền đồng ý hoặc không đồng ý trong trường hợp pháp luật yêu cầu, quyền truy cập, quyền chỉnh sửa, quyền rút lại sự đồng ý, quyền xóa hoặc yêu cầu xóa, quyền yêu cầu hạn chế xử lý, quyền yêu cầu cung cấp dữ liệu, quyền phản đối xử lý dữ liệu cho một số mục đích nhất định, quyền khiếu nại, tố cáo, khởi kiện và các quyền khác theo quy định pháp luật.
15.2. Pebbles sẽ tiếp nhận và xử lý các yêu cầu hợp lệ của chủ thể dữ liệu trong thời hạn và theo trình tự do pháp luật quy định. Trước khi thực hiện yêu cầu, Pebbles có thể áp dụng các biện pháp hợp lý để xác minh danh tính hoặc thẩm quyền của người yêu cầu nhằm bảo vệ dữ liệu cá nhân.
15.3. Người dùng có nghĩa vụ cung cấp dữ liệu chính xác, đầy đủ trong phạm vi cần thiết; cập nhật thông tin khi có thay đổi; bảo vệ tài khoản và dữ liệu của mình; tôn trọng dữ liệu cá nhân của người khác; chỉ cung cấp dữ liệu của trẻ em hoặc người khác khi có căn cứ hợp pháp; và phối hợp với Pebbles khi phát sinh sự cố, tranh chấp hoặc yêu cầu liên quan đến dữ liệu cá nhân.
Điều 16. Thông tin liên hệ và điều khoản chung
16.1. Trường hợp Người dùng có câu hỏi, yêu cầu hoặc khiếu nại liên quan đến Chính sách này hoặc việc xử lý dữ liệu cá nhân, Người dùng có thể liên hệ Pebbles qua các kênh chính thức được công bố tại từng thời điểm.
16.2. Trước khi công bố chính thức, Pebbles cần điền đầy đủ các thông tin sau vào bản Chính sách công khai:
tên pháp lý đầy đủ của doanh nghiệp sở hữu/vận hành Pebbles; mã số doanh nghiệp hoặc mã số thuế (nếu công bố); địa chỉ trụ sở; email đầu mối bảo vệ dữ liệu cá nhân/chăm sóc khách hàng; hotline; website chính thức; và ngày hiệu lực của Chính sách.
