Chính sách Bảo mật

1. Giới thiệu

ScrumPlay (“Dịch vụ”) là công cụ Planning Poker miễn phí được vận hành bởi DAYLAB (데이랩), một công ty đăng ký tại Hàn Quốc. Chính sách Bảo mật này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin khi bạn sử dụng Dịch vụ tại scrumplay.daylab.dev.

Chúng tôi cam kết bảo vệ quyền riêng tư của bạn và tuân thủ Luật Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPA), Quy định Bảo vệ Dữ liệu Chung của EU (GDPR), Đạo luật Quyền riêng tư Người tiêu dùng California (CCPA), Luật Bảo vệ Dữ liệu Chung của Brazil (LGPD) và Đạo luật Bảo vệ Thông tin Cá nhân của Nhật Bản (APPI).

2. Bên kiểm soát dữ liệu

3. Thông tin chúng tôi thu thập

ScrumPlay được thiết kế để giảm thiểu việc thu thập dữ liệu. Chúng tôi không yêu cầu đăng ký tài khoản, đăng nhập hay bất kỳ hình thức xác minh danh tính nào.

3.1 Thông tin bạn cung cấp trực tiếp

• Biệt danh: Tên hiển thị tạm thời bạn chọn khi tham gia phiên làm việc. Tên này không liên kết với bất kỳ danh tính thực nào.
• Dữ liệu bỏ phiếu: Ước tính story point mà bạn gửi trong các phiên lập kế hoạch.
• Tin nhắn trò chuyện: Tin nhắn gửi trong phiên lập kế hoạch.

3.2 Thông tin được thu thập tự động

• Địa chỉ IP: Được thu thập bởi các dịch vụ phân tích và theo dõi lỗi. Google Analytics ẩn danh hóa địa chỉ IP.
• Thông tin trình duyệt và hệ điều hành: Loại trình duyệt, phiên bản, hệ điều hành, loại thiết bị và độ phân giải màn hình.
• Mã định danh cookie: Mã định danh duy nhất được gán bởi các cookie phân tích và quảng cáo (xem Mục 9).
• Mã định danh quảng cáo: Được Google AdSense sử dụng để hiển thị quảng cáo phù hợp.
• Dữ liệu sử dụng: Lượt xem trang, thời lượng phiên, nguồn giới thiệu, vùng địa lý chung và mẫu tương tác (nhấp chuột, cuộn trang).
• Dữ liệu lỗi: Stack trace, URL yêu cầu và ngữ cảnh trình duyệt/hệ điều hành khi xảy ra lỗi trong ứng dụng.

4. Mục đích xử lý

Chúng tôi xử lý thông tin cho các mục đích sau:

5. Lưu giữ dữ liệu

6. Cung cấp cho bên thứ ba

Chúng tôi không bán, cho thuê hoặc chia sẻ thông tin cá nhân của bạn với bên thứ ba cho mục đích tiếp thị riêng của họ. Chúng tôi không cung cấp thông tin cá nhân cho bất kỳ bên thứ ba nào ngoài những gì được mô tả trong phần ủy thác xử lý (Mục 7) và chuyển giao quốc tế (Mục 8) dưới đây.

7. Ủy thác xử lý

Chúng tôi ủy thác một số hoạt động xử lý dữ liệu cho các nhà cung cấp dịch vụ sau (theo Điều 26 PIPA):

8. Chuyển giao dữ liệu quốc tế

Thông tin của bạn có thể được chuyển giao và xử lý tại các quốc gia ngoài quốc gia cư trú của bạn, bao gồm Hoa Kỳ. Các chuyển giao này được thực hiện cho các mục đích được mô tả trong Mục 4.

Đối với việc chuyển giao từ EEA, chúng tôi dựa vào Điều khoản Hợp đồng Tiêu chuẩn (SCC) được Ủy ban Châu Âu thông qua hoặc các quyết định về tính tương thích khi có thể áp dụng. Mỗi nhà cung cấp duy trì các biện pháp bảo vệ dữ liệu phù hợp theo quy định hiện hành.

9. Cookie và công nghệ theo dõi

Chúng tôi sử dụng cookie và các công nghệ theo dõi tương tự để vận hành và cải thiện Dịch vụ. Cookie là các tệp văn bản nhỏ được trình duyệt lưu trữ trên thiết bị của bạn.

9.1 Cookie thiết yếu

• NEXT_LOCALE: Lưu trữ tùy chọn ngôn ngữ của bạn. Đây là cookie bên thứ nhất cần thiết để Dịch vụ hoạt động bằng ngôn ngữ bạn ưa thích.

9.2 Cookie phân tích

• Google Analytics (_ga, _ga_*): Dùng để phân biệt người dùng và theo dõi mẫu sử dụng. Được Google LLC thiết lập. Hết hạn sau tối đa 2 năm.
• Microsoft Clarity (_clck, _clsk, CLID, MUID, SM): Dùng để theo dõi tương tác người dùng cho phát lại phiên và bản đồ nhiệt. Được Microsoft Corporation thiết lập.

9.3 Cookie quảng cáo

• Google AdSense (__gads, __gpi, IDE, DSID, NID, v.v.): Dùng để hiển thị quảng cáo cá nhân hóa và đo lường hiệu suất quảng cáo. Được Google LLC thiết lập.

9.4 Cách quản lý hoặc từ chối cookie

Bạn có thể quản lý tùy chọn cookie thông qua biểu ngữ đồng ý cookie được hiển thị khi bạn truy cập Dịch vụ lần đầu. Bạn cũng có thể kiểm soát cookie thông qua cài đặt trình duyệt:

• Chrome:Cài đặt → Quyền riêng tư và bảo mật → Cookie và dữ liệu trang web khác
• Firefox:Cài đặt → Quyền riêng tư & Bảo mật → Cookie và Dữ liệu trang web
• Safari:Tùy chọn → Quyền riêng tư → Quản lý dữ liệu trang web
• Edge:Cài đặt → Quyền riêng tư, tìm kiếm và dịch vụ → Cookie

Bạn có thể từ chối Google Analytics bằng cách cài đặt Tiện ích trình duyệt chặn Google Analytics. Bạn có thể từ chối quảng cáo cá nhân hóa từ Google tại Cài đặt Quảng cáo Google. Microsoft Clarity tôn trọng tín hiệu Không theo dõi (DNT) của trình duyệt.

Xin lưu ý rằng việc vô hiệu hóa cookie có thể ảnh hưởng đến khả năng sử dụng một số tính năng của Dịch vụ.

10. Quy trình và phương pháp hủy dữ liệu

Khi thông tin cá nhân hết thời hạn lưu giữ hoặc không còn cần thiết cho mục đích của nó, thông tin sẽ được hủy ngay lập tức bằng các phương pháp sau:

• Dữ liệu phiên (Redis): Tự động xóa qua cơ chế Time-To-Live (TTL) của Redis sau 24 giờ. Không cần can thiệp thủ công.
• Hồ sơ điện tử: Xóa bằng phương pháp kỹ thuật khiến dữ liệu không thể khôi phục (xóa tệp điện tử).
• Dữ liệu bên thứ ba: Hủy theo chính sách lưu giữ và xóa của từng nhà cung cấp (xem Mục 5).

11. Quyền của bạn và cách thực hiện

Bạn có các quyền sau đây liên quan đến thông tin cá nhân của mình. Vì ScrumPlay không yêu cầu tài khoản hoặc đăng nhập, hầu hết dữ liệu phiên được tự động xóa trong vòng 24 giờ và không thể liên kết với danh tính của bạn.

11.1 Theo Luật PIPA Hàn Quốc

• Quyền truy cập thông tin cá nhân của bạn
• Quyền yêu cầu sửa chữa thông tin không chính xác
• Quyền yêu cầu xóa thông tin của bạn
• Quyền yêu cầu đình chỉ xử lý thông tin của bạn

11.2 Theo GDPR (Cư dân EEA)

• Quyền truy cập (Điều 15)
• Quyền chỉnh sửa (Điều 16)
• Quyền xóa / “quyền được lãng quên” (Điều 17)
• Quyền hạn chế xử lý (Điều 18)
• Quyền di chuyển dữ liệu (Điều 20)
• Quyền phản đối xử lý (Điều 21)
• Quyền rút lại sự đồng ý bất kỳ lúc nào, mà không ảnh hưởng đến tính hợp pháp của việc xử lý dựa trên sự đồng ý trước khi rút lại
• Quyền khiếu nại với cơ quan giám sát tại quốc gia cư trú của bạn

11.3 Theo CCPA (Cư dân California)

• Quyền biết thông tin cá nhân nào được thu thập
• Quyền yêu cầu xóa thông tin cá nhân
• Quyền từ chối bán thông tin cá nhân
• Quyền không bị phân biệt đối xử khi thực hiện quyền của bạn

Chúng tôi không bán thông tin cá nhân theo định nghĩa của CCPA.

11.4 Theo LGPD (Brazil) và APPI (Nhật Bản)

Nếu bạn là cư dân Brazil, bạn có các quyền theo LGPD bao gồm truy cập, sửa chữa, ẩn danh hóa, di chuyển và xóa dữ liệu cá nhân. Nếu bạn là cư dân Nhật Bản, bạn có các quyền theo APPI bao gồm tiết lộ, sửa chữa và ngừng sử dụng thông tin cá nhân.

11.5 Cách thực hiện quyền của bạn

Để thực hiện bất kỳ quyền nào ở trên, vui lòng liên hệ với chúng tôi tại contact@daylab.dev. Chúng tôi sẽ phản hồi yêu cầu của bạn trong vòng 10 ngày (PIPA) hoặc 30 ngày (GDPR/CCPA). Bạn cũng có thể gửi yêu cầu thông qua người đại diện hợp pháp hoặc đại lý được ủy quyền.

Nếu bạn tin rằng quyền của mình đã bị vi phạm, bạn có thể khiếu nại với:

• Hàn Quốc:Ủy ban Bảo vệ Thông tin Cá nhân (PIPC) — pipc.go.kr
• EEA: Cơ quan Bảo vệ Dữ liệu (DPA) tại địa phương của bạn

12. Các biện pháp đảm bảo an toàn thông tin cá nhân

Chúng tôi thực hiện các biện pháp kỹ thuật và tổ chức sau để bảo vệ thông tin cá nhân của bạn:

• Mã hóa trong quá trình truyền: Tất cả dữ liệu truyền giữa trình duyệt và máy chủ của chúng tôi được mã hóa bằng HTTPS/TLS.
• Giảm thiểu dữ liệu: Chúng tôi chỉ thu thập thông tin tối thiểu cần thiết cho mỗi mục đích. Không yêu cầu đăng ký tài khoản.
• Xóa tự động: Dữ liệu phiên được tự động xóa sau 24 giờ qua Redis TTL.
• Kiểm soát truy cập: Quyền truy cập vào hạ tầng máy chủ và dữ liệu chỉ giới hạn cho nhân viên được ủy quyền.
• Bảo mật bên thứ ba: Tất cả nhà cung cấp dịch vụ bên thứ ba duy trì chứng nhận bảo mật và biện pháp bảo vệ dữ liệu riêng của họ.

13. Người phụ trách bảo vệ thông tin cá nhân (CPO)

Theo Điều 31 PIPA, chúng tôi chỉ định người sau đây làm Người phụ trách bảo vệ thông tin cá nhân, chịu trách nhiệm giám sát tất cả các vấn đề liên quan đến bảo vệ thông tin cá nhân:

Đối với bất kỳ câu hỏi, khiếu nại hoặc yêu cầu thực hiện quyền liên quan đến bảo mật, vui lòng liên hệ CPO theo địa chỉ email trên.

14. Quyền riêng tư trẻ em

ScrumPlay không hướng đến trẻ em dưới 16 tuổi (hoặc 13 tuổi tại các khu vực tài phán có quy định áp dụng). Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ em. Nếu bạn tin rằng một trẻ em đã cung cấp thông tin cá nhân cho chúng tôi, vui lòng liên hệ tại contact@daylab.dev và chúng tôi sẽ xóa ngay lập tức.

15. Thay đổi Chính sách Bảo mật này

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian để phản ánh những thay đổi trong hoạt động hoặc luật pháp hiện hành. Các thay đổi sẽ được đăng trên trang này với ngày “Cập nhật lần cuối” mới. Nếu chúng tôi thực hiện các thay đổi quan trọng, chúng tôi sẽ thông báo cho người dùng thông qua Dịch vụ trước khi các thay đổi có hiệu lực.

Chính sách này có hiệu lực từ ngày 28 tháng 3 năm 2026.

16. Liên hệ

Nếu bạn có bất kỳ câu hỏi hoặc thắc mắc nào về Chính sách Bảo mật này hoặc các hoạt động xử lý dữ liệu của chúng tôi, vui lòng liên hệ: