Tuân thủ GDPR

1. Bên Kiểm soát Dữ liệu

Velora đóng vai trò bên kiểm soát dữ liệu cho tất cả thông tin cá nhân thu thập qua ứng dụng. Chúng tôi xử lý dữ liệu theo EU GDPR 2016/679 và UK GDPR. Trang này bổ sung cho Chính sách Quyền riêng tư với thông tin dành riêng cho EU/EEA.

2. Cơ sở Pháp lý cho Xử lý

Chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý theo Điều 6 GDPR:

• Đồng ý (Điều 6(1)(a)) — cho tạo nội dung AI cá nhân hóa, thông báo đẩy, truyền thông tiếp thị
• Thực hiện Hợp đồng (Điều 6(1)(b)) — cho quản lý đăng ký, vận hành hệ thống credits, xử lý mua hàng
• Lợi ích Hợp pháp (Điều 6(1)(f)) — cho phân tích ẩn danh, phòng chống gian lận, giám sát bảo mật
• Nghĩa vụ Pháp lý (Điều 6(1)(c)) — cho lưu trữ hồ sơ giao dịch tài chính (7 năm), tuân thủ COPPA

3. Quyền của bạn theo GDPR

Là cư dân EU/EEA, bạn có các quyền sau:

• Quyền Truy cập (Điều 15) — yêu cầu bản sao đầy đủ tất cả dữ liệu cá nhân
• Quyền Sửa chữa (Điều 16) — yêu cầu sửa thông tin không chính xác
• Quyền Xóa (Điều 17) — yêu cầu xóa tất cả dữ liệu cá nhân ("quyền được quên"). Xóa trong 30 ngày
• Quyền Hạn chế (Điều 18) — yêu cầu giới hạn xử lý dữ liệu
• Quyền Di chuyển Dữ liệu (Điều 20) — nhận dữ liệu ở định dạng JSON
• Quyền Phản đối (Điều 21) — phản đối xử lý dựa trên lợi ích hợp pháp
• Quyền về Quyết định Tự động (Điều 22) — tính năng AI không đưa ra quyết định ràng buộc pháp lý

4. Danh mục Dữ liệu được Xử lý

Các danh mục chi tiết dữ liệu cá nhân:

• Dữ liệu Nhận dạng — tên hiển thị, ngày sinh, giờ sinh, nơi sinh
• Dữ liệu Liên hệ — địa chỉ email (chỉ khi liên kết tài khoản)
• Dữ liệu Tài chính — trạng thái đăng ký, số dư credits, lịch sử mua hàng (xử lý qua RevenueCat)
• Dữ liệu Nội dung — nhật ký cảm xúc, tin nhắn AI chat, dữ liệu sinh đối tác tương hợp
• Dữ liệu Kỹ thuật — mã định danh thiết bị ẩn danh, phiên bản ứng dụng, nhật ký lỗi
• Dữ liệu Sử dụng — tần suất sử dụng tính năng, thời lượng phiên (ẩn danh và tổng hợp)

5. Truyền Dữ liệu Quốc tế

Dữ liệu có thể được truyền và xử lý ngoài EEA:

• Điều khoản Hợp đồng Tiêu chuẩn (SCC) được Ủy ban Châu Âu phê duyệt
• Tuân thủ Khung Bảo mật Dữ liệu EU-US cho nhà cung cấp tại Mỹ (OpenAI, Firebase, Google AdMob)
• Thỏa thuận Xử lý Dữ liệu (DPA) với tất cả bên xử lý thứ ba
• Đánh giá định kỳ thực hành bảo vệ dữ liệu của bên thứ ba

6. Thời gian Lưu trữ Dữ liệu

Theo nguyên tắc tối thiểu hóa dữ liệu (Điều 5(1)(e)):

• Dữ liệu tài khoản hoạt động: giữ lại khi tài khoản hoạt động
• Sau khi xóa tài khoản: xóa vĩnh viễn trong 30 ngày
• Hồ sơ giao dịch tài chính: giữ lại 7 năm (yêu cầu pháp lý)
• Dữ liệu phân tích ẩn danh: giữ lại 24 tháng ở dạng tổng hợp
• Nhật ký hội thoại AI: không lưu trữ — xóa ngay sau phiên
• Nhật ký cảm xúc: giữ lại khi tài khoản hoạt động; có thể xuất trước khi xóa
• Cờ kiểm duyệt nội dung: giữ lại 12 tháng để giám sát an toàn

7. Biện pháp Bảo mật Dữ liệu

Theo Điều 32 GDPR:

• Mã hóa AES-256 cho tất cả dữ liệu cá nhân khi lưu trữ
• Mã hóa TLS 1.3 cho tất cả dữ liệu khi truyền tải
• Kiểm soát truy cập theo vai trò với nguyên tắc đặc quyền tối thiểu
• Khóa lạc quan trên giao dịch credits để ngăn vấn đề toàn vẹn dữ liệu
• Đánh giá bảo mật và kiểm tra mã nguồn định kỳ
• Thông báo vi phạm dữ liệu — cơ quan giám sát trong 72 giờ (Điều 33, 34)
• Giả danh hóa và ẩn danh hóa nơi có thể

8. Cookie và Theo dõi

Ứng dụng Velora không sử dụng cookie trình duyệt. Chúng tôi sử dụng mã định danh thiết bị ẩn danh (IDFA/GAID) cho phân tích. Theo Chỉ thị ePrivacy, chúng tôi yêu cầu đồng ý trước khi kích hoạt theo dõi không thiết yếu.

9. Dữ liệu Trẻ em (Điều 8)

Velora yêu cầu người dùng cung cấp ngày sinh khi đăng ký. Người dùng dưới 16 tuổi tại EU/EEA cần sự đồng ý của phụ huynh để xử lý dữ liệu AI. Người dùng dưới 13 tuổi bị chặn khỏi tất cả tính năng AI theo COPPA và GDPR Điều 8.

10. Nhân viên Bảo vệ Dữ liệu

11. Cơ quan Giám sát

Nếu bạn cho rằng quyền bảo vệ dữ liệu đã bị vi phạm, bạn có quyền khiếu nại với Cơ quan Giám sát Bảo vệ Dữ liệu địa phương. Bạn có thể tìm cơ quan tại trang web Hội đồng Bảo vệ Dữ liệu Châu Âu: edpb.europa.eu.