(Có hiệu lực kể từ ngày 03/03/2026)
Chính sách này giải thích cách EVOKA thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu của bạn khi sử dụng nền tảng AI Chatbot SaaS EVOKA. Liên hệ contact@evoka.vn để thực thi quyền dữ liệu cá nhân. 1. Giới thiệu
EVOKA (“chúng tôi”, “nền tảng”) cam kết bảo vệ quyền riêng tư và bảo mật dữ liệu của mọi Khách hàng, Đối tác và Người dùng cuối (“bạn”) khi truy cập hoặc sử dụng nền tảng SaaS EVOKA AI tại Việt Nam và trên toàn cầu.
Chính Sách Bảo Mật này được xây dựng tuân thủ:
- Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân (hiệu lực 01/07/2023)
- Luật Bảo vệ Dữ liệu Cá nhân 2025 (Luật số 91/2025/QH15, hiệu lực 01/01/2026)
- GDPR (Quy định Bảo vệ Dữ liệu Chung của EU) — áp dụng cho người dùng thuộc EEA/UK
- Luật An ninh mạng 2018 và các văn bản hướng dẫn
2. Phạm vi áp dụng
Chính sách này áp dụng cho tất cả dịch vụ, trang web (evoka.ai), ứng dụng, API và các sản phẩm liên quan do EVOKA vận hành (gọi chung là “Dịch Vụ”), bao gồm:
- Nền tảng AI Chatbot dành cho doanh nghiệp
- Bảng điều khiển quản trị (Dashboard)
- Tích hợp với nền tảng bên thứ ba (Facebook, Zalo, Website, v.v.)
- API truy cập dữ liệu
Bằng việc truy cập hoặc sử dụng Dịch Vụ, bạn xác nhận đã đọc và hiểu Chính Sách này. Nếu không đồng ý, vui lòng ngừng sử dụng Dịch Vụ.
3. Thông tin chúng tôi thu thập
3.1 Dữ liệu cá nhân cơ bản
(Theo Điều 2, Khoản 3 — NĐ 13/2023)
| Loại dữ liệu | Ví dụ | Phương thức thu thập |
|---|
| Thông tin nhận dạng | Họ tên, email, số điện thoại, địa chỉ công ty | Bạn cung cấp khi đăng ký, liên hệ, hoặc thanh toán |
| Thông tin tài khoản | Tên đăng nhập, vai trò, gói dịch vụ, lịch sử thanh toán | Tạo tự động khi bạn sử dụng Dịch Vụ |
| Dữ liệu nội dung & hội thoại | Tin nhắn, tệp đính kèm, log chat với AI chatbot | Bạn gửi hoặc hệ thống ghi nhận để vận hành AI |
| Dữ liệu kỹ thuật | Địa chỉ IP, loại trình duyệt, thiết bị, cookies, log hệ thống | Thu thập tự động qua cookie & công nghệ theo dõi |
| Thông tin thanh toán | Tên người gửi, mã giao dịch, số tiền | Qua hệ thống Casso/VietQR; EVOKA không lưu trữ hay xử lý thẻ tín dụng |
3.2 Dữ liệu cá nhân nhạy cảm
(Theo Điều 2, Khoản 4 — NĐ 13/2023)
Chúng tôi không cố ý thu thập dữ liệu nhạy cảm (tình trạng sức khỏe, tôn giáo, quan điểm chính trị, đặc điểm sinh trắc học, v.v.) trừ khi:
- Pháp luật yêu cầu; hoặc
- Bạn chủ động cung cấp kèm sự đồng ý rõ ràng (opt-in).
Trong trường hợp xử lý dữ liệu nhạy cảm, chúng tôi sẽ thông báo riêng và áp dụng các biện pháp bảo vệ nâng cao theo Điều 28, NĐ 13/2023.
3.3 Dữ liệu người dùng cuối (End-user)
Khi doanh nghiệp khách hàng sử dụng EVOKA để phục vụ người dùng cuối, EVOKA đóng vai trò Bên Xử lý Dữ liệu (Data Processor). Doanh nghiệp khách hàng là Bên Kiểm soát Dữ liệu (Data Controller) và chịu trách nhiệm:
- Thu thập sự đồng ý từ người dùng cuối
- Xác định mục đích xử lý dữ liệu
- Thực thi quyền của chủ thể dữ liệu
4. Mục đích sử dụng dữ liệu
(Theo Điều 3, Khoản 3 & Điều 13 — NĐ 13/2023)
| # | Mục đích | Cơ sở pháp lý |
|---|
| 1 | Cung cấp và duy trì Dịch Vụ: xác thực người dùng, vận hành AI chatbot, xử lý thanh toán | Thực hiện hợp đồng |
| 2 | Cải thiện hiệu năng & trải nghiệm: phân tích log, khảo sát phản hồi, tùy chỉnh giao diện | Lợi ích hợp pháp |
| 3 | Hỗ trợ & chăm sóc khách hàng: phản hồi yêu cầu, khắc phục lỗi, gửi thông báo bảo trì | Thực hiện hợp đồng |
| 4 | Bảo mật & phòng chống gian lận: ngăn chặn truy cập trái phép, điều tra hành vi vi phạm | Lợi ích hợp pháp / Nghĩa vụ pháp lý |
| 5 | Marketing được phép: gửi email tính năng mới, khuyến mại — chỉ khi bạn đã đồng ý nhận | Sự đồng ý |
| 6 | Tuân thủ pháp luật: nghĩa vụ kế toán, thuế, yêu cầu hợp pháp từ cơ quan chức năng | Nghĩa vụ pháp lý |
5. Cơ sở pháp lý xử lý dữ liệu
5.1 Theo pháp luật Việt Nam
(Điều 11 — NĐ 13/2023; Luật 91/2025)
- Sự đồng ý của chủ thể dữ liệu (opt-in, không mặc định)
- Thực hiện hợp đồng giữa bạn và EVOKA
- Nghĩa vụ pháp lý theo quy định (thuế, kế toán, an ninh mạng)
- Trường hợp khẩn cấp theo Điều 17, NĐ 13/2023
5.2 Theo GDPR (người dùng EEA/UK)
- Thực hiện hợp đồng (Điều 6.1.b GDPR)
- Lợi ích hợp pháp (Điều 6.1.f GDPR) — bảo mật, cải thiện sản phẩm
- Sự đồng ý (Điều 6.1.a GDPR) — cho marketing hoặc thu thập tùy chọn
- Tuân thủ nghĩa vụ pháp lý (Điều 6.1.c GDPR)
6. Sự đồng ý
(Điều 11 — NĐ 13/2023)
- Sự đồng ý phải tự nguyện, rõ ràng, cụ thể bằng hành vi xác nhận (đánh dấu ô đồng ý, nhấn nút, v.v.)
- Im lặng hoặc không phản hồi không được coi là đồng ý
- Khi có nhiều mục đích, mỗi mục đích được liệt kê riêng để bạn đồng ý từng phần
- Bạn có quyền rút lại sự đồng ý bất cứ lúc nào (Điều 12, NĐ 13/2023)
- Việc rút lại không ảnh hưởng tính hợp pháp của xử lý trước đó
7. Quyền của bạn
(Điều 9 — NĐ 13/2023; Luật 91/2025)
| # | Quyền | Căn cứ (NĐ 13) | Mô tả | Thời hạn |
|---|
| 1 | Quyền được biết | Đ9 K1 | Biết về hoạt động xử lý DLCN của bạn | Ngay lập tức |
| 2 | Quyền đồng ý | Đ9 K2 | Đồng ý hoặc không đồng ý cho phép xử lý | Ngay lập tức |
| 3 | Quyền truy cập | Đ9 K3 | Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa DLCN | ≤ 72 giờ |
| 4 | Quyền rút lại đồng ý | Đ9 K4, Đ12 | Rút lại sự đồng ý đã cho trước đó | Ngay lập tức |
| 5 | Quyền xóa | Đ9 K5, Đ16 | Yêu cầu xóa DLCN (“quyền được lãng quên”) | ≤ 72 giờ |
| 6 | Quyền hạn chế xử lý | Đ9 K6 | Yêu cầu tạm ngừng xử lý DLCN | ≤ 72 giờ |
| 7 | Quyền cung cấp dữ liệu | Đ9 K7, Đ14 | Nhận bản sao DLCN ở định dạng phổ biến | ≤ 72 giờ |
| 8 | Quyền phản đối | Đ9 K8 | Phản đối xử lý cho mục đích quảng cáo, tiếp thị | ≤ 72 giờ |
| 9 | Quyền khiếu nại | Đ9 K9 | Khiếu nại đến cơ quan bảo vệ dữ liệu | Theo quy định |
| 10 | Quyền yêu cầu bồi thường | Đ9 K10 | Yêu cầu bồi thường khi bị vi phạm DLCN | Theo quy định |
| 11 | Quyền tự bảo vệ | Đ9 K11 | Tự bảo vệ theo Bộ luật Dân sự | Theo quy định |
| 12 | Quyền di chuyển dữ liệu | Luật 91/2025 | Chuyển DLCN sang nhà cung cấp khác (portability) | ≤ 30 ngày |
8. Chia sẻ & công bố thông tin
(Điều 3 Khoản 3, 4 & Điều 11 — NĐ 13/2023)
Chúng tôi chỉ chia sẻ dữ liệu khi cần thiết và tuân thủ nguyên tắc tối thiểu:
| Bên nhận | Mục đích | Biện pháp bảo vệ |
|---|
| Nhà cung cấp hạ tầng (cloud, CDN) | Lưu trữ, xử lý dữ liệu | Hợp đồng NDA, tiêu chuẩn bảo mật |
| Cổng thanh toán | Xử lý giao dịch | PCI-DSS, mã hóa end-to-end |
| Đối tác tích hợp (Facebook, Zalo) | Khi bạn chủ động kết nối | OAuth/API; bạn có thể ngắt bất cứ lúc nào |
| Cơ quan nhà nước | Khi có lệnh hoặc yêu cầu hợp pháp | Xem xét kỹ, cung cấp phạm vi tối thiểu |
| Chuyển giao doanh nghiệp | Sáp nhập, mua bán, tái cấu trúc | Thông báo trước & bảo mật tương đương |
Cam kết: Chúng tôi KHÔNG bán, trao đổi hoặc cho thuê dữ liệu cá nhân của bạn cho bên thứ ba vì mục đích thương mại.
9. Chuyển giao dữ liệu quốc tế
(Điều 25 — NĐ 13/2023; Luật 91/2025)
Nếu dữ liệu của bạn được chuyển ra ngoài lãnh thổ Việt Nam, chúng tôi đảm bảo:
- Lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài (TIA) theo quy định
- Gửi hồ sơ cho Bộ Công an (Cục A05) trong 60 ngày kể từ ngày bắt đầu chuyển
- Áp dụng Standard Contractual Clauses (SCC) đối với người dùng EU/UK
- Đảm bảo bên nhận có mức bảo mật tương đương tại quốc gia đích
- Thu thập sự đồng ý của bạn trên cơ sở biết rõ cơ chế phản hồi, khiếu nại
10. Cookie & công nghệ theo dõi
| Loại cookie | Mục đích | Thời hạn | Bắt buộc? |
|---|
| Thiết yếu | Đăng nhập, bảo mật phiên, chống CSRF | Phiên | ✅ Bắt buộc |
| Chức năng | Ghi nhớ tùy chọn giao diện, ngôn ngữ | 12 tháng | Tùy chọn |
| Phân tích | Đo lường lưu lượng, cải thiện trải nghiệm | 13 tháng | Tùy chọn |
| Tiếp thị | Nhắm mục tiêu quảng cáo (nếu có) | 13 tháng | Tùy chọn |
- Bạn có quyền từ chối cookie không thiết yếu qua banner cookie khi truy cập website
- Bạn có thể quản lý cookie qua cài đặt trình duyệt
- Luật 91/2025 yêu cầu cung cấp tùy chọn “không theo dõi” — chúng tôi tuân thủ
11. Lưu trữ & bảo mật dữ liệu
(Điều 26, 27, 28 — NĐ 13/2023)
11.1 Biện pháp kỹ thuật
- Mã hóa truyền tải: TLS 1.3 cho mọi kết nối
- Mã hóa lưu trữ: AES-256 cho dữ liệu nhạy cảm tại rest
- Phân quyền: Nguyên tắc quyền tối thiểu (RBAC), zero-trust access
- Kiểm toán: Ghi log truy cập, kiểm thử bảo mật định kỳ
11.2 Biện pháp quản lý
- Quy trình nội bộ về xử lý dữ liệu cá nhân
- Đào tạo nhân viên về bảo vệ DLCN
- Đánh giá tác động xử lý dữ liệu (DPIA) cập nhật mỗi 6 tháng
11.3 Nhân sự bảo vệ dữ liệu
Chúng tôi chỉ định Nhân viên phụ trách bảo vệ dữ liệu cá nhân (DPO) theo Điều 28, NĐ 13/2023. Thông tin DPO đã được trao đổi với Cục A05, Bộ Công an.
12. Thời hạn lưu giữ
(Điều 3, Khoản 7 & Điều 16 — NĐ 13/2023)
| Loại dữ liệu | Thời hạn lưu giữ |
|---|
| Tài khoản & nội dung dịch vụ | Trong suốt thời gian sử dụng + tối đa 3 năm sau khi chấm dứt |
| Dữ liệu hội thoại AI | Theo cấu hình của doanh nghiệp khách hàng, mặc định 12 tháng |
| Log kỹ thuật & bảo mật | Tối đa 24 tháng |
| Cookie | 1 – 13 tháng, tùy loại |
| Dữ liệu thanh toán | Theo quy định pháp luật kế toán (5 năm) |
13. Đánh giá tác động xử lý dữ liệu (DPIA)
(Điều 24 — NĐ 13/2023)
EVOKA lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm:
- Thông tin và chi tiết liên lạc của EVOKA
- Mục đích xử lý và các loại DLCN được xử lý
- Tổ chức, cá nhân nhận dữ liệu (trong và ngoài Việt Nam)
- Biện pháp bảo vệ đã áp dụng
- Đánh giá mức độ ảnh hưởng và biện pháp giảm thiểu rủi ro
Hồ sơ được gửi cho Bộ Công an (Cục A05) trong 60 ngày kể từ ngày bắt đầu xử lý và cập nhật khi có thay đổi.
14. Thông báo vi phạm
(Điều 23 — NĐ 13/2023)
Trong trường hợp xảy ra vi phạm bảo vệ DLCN, chúng tôi:
- Thông báo Bộ Công an (Cục A05) chậm nhất 72 giờ sau khi phát hiện, bao gồm:
- Mô tả tính chất vi phạm (thời gian, hành vi, loại dữ liệu, số lượng)
- Chi tiết liên lạc của DPO
- Hậu quả có thể xảy ra
- Biện pháp khắc phục đã áp dụng
- Thông báo cho bạn nếu vi phạm có nguy cơ ảnh hưởng cao đến quyền lợi của bạn
- Lập Biên bản xác nhận và phối hợp xử lý
15. Bảo mật thông tin trẻ em
(Điều 20 — NĐ 13/2023)
- Dịch Vụ không nhắm tới người dưới 16 tuổi
- Xử lý DLCN trẻ em (từ đủ 7 tuổi) đòi hỏi đồng thời sự đồng ý của trẻ và cha/mẹ/người giám hộ
- Nếu phát hiện có DLCN trẻ em thu thập mà không có sự đồng ý hợp lệ, chúng tôi sẽ xóa ngay lập tức
16. Liên kết bên thứ ba
Trang web và Dịch Vụ có thể chứa liên kết đến website/ứng dụng bên thứ ba. Chúng tôi không chịu trách nhiệm về nội dung hoặc thực hành bảo mật của các bên đó. Bạn nên đọc chính sách riêng của từng bên.
17. Cập nhật Chính Sách Bảo Mật
Chúng tôi có thể cập nhật Chính Sách này để phản ánh thay đổi pháp luật hoặc hoạt động kinh doanh:
- Thông báo qua email hoặc banner trong ứng dụng, ít nhất 7 ngày trước khi có hiệu lực
- Phiên bản cập nhật ghi rõ ngày hiệu lực ở đầu tài liệu
- Tiếp tục sử dụng Dịch Vụ sau ngày hiệu lực nghĩa là bạn chấp nhận bản cập nhật
18. Liên hệ
Mọi câu hỏi, yêu cầu thực thi quyền dữ liệu hoặc khiếu nại, vui lòng liên hệ:
| |
|---|
| Email | contact@evoka.vn |
| Nhân sự phụ trách BVDLCN | Bùi Tiến Phát — CEO |
| Địa chỉ | Tổ 13, Ấp Mỹ Khoan, Xã Nhơn Trạch, Tỉnh Đồng Nai, Việt Nam |
19. Căn cứ pháp luật
| Văn bản | Số hiệu | Hiệu lực |
|---|
| Nghị định Bảo vệ DLCN | 13/2023/NĐ-CP | 01/07/2023 |
| Luật Bảo vệ DLCN | 91/2025/QH15 | 01/01/2026 |
| Nghị định xử phạt TMĐT | 24/2025/NĐ-CP | 2025 |
| Luật An ninh mạng | 24/2018/QH14 | 01/01/2019 |
| GDPR (EU) | Regulation 2016/679 | 25/05/2018 |
Cập nhật lần cuối: 03/03/2026
© 2026 EVOKA AI. Bảo lưu mọi quyền. 
