Chính Sách Bảo Mật

Pickcourt ("chúng tôi", "Pickcourt") cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của người dùng, tuân thủ Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân, Luật An ninh mạng 2018, Luật Bảo vệ Quyền lợi Người tiêu dùng 2023 và các quy định pháp luật khác của Việt Nam.

1. Phạm vi áp dụng

Chính sách này áp dụng cho:

• Website pickcourt.com và toàn bộ subdomain;
• Ứng dụng di động Pickcourt trên iOS và Android;
• Hệ thống quản lý dành cho chủ sân (manager.pickcourt.com);
• Mọi dịch vụ liên quan do Pickcourt cung cấp.

2. Đơn vị chịu trách nhiệm xử lý dữ liệu

• Đơn vị vận hành: Pickcourt
• Email phụ trách bảo mật: info@pickcourt.com
• Email liên hệ chung: hello@pickcourt.com
• Website: https://pickcourt.com

3. Loại dữ liệu cá nhân được thu thập

3.1 Dữ liệu cơ bản (Người chơi)

• Họ tên, số điện thoại, email, ảnh đại diện;
• Giới tính, năm sinh (tùy chọn);
• Vị trí địa lý (chỉ khi người dùng đồng ý cấp quyền);
• Trình độ thể thao tự khai và được hệ thống tính toán (Level 0.0–7.0 theo từng môn).

3.2 Dữ liệu sử dụng dịch vụ

• Lịch sử đặt sân, hủy sân, no-show;
• Lịch sử tham gia trận đấu, sự kiện, giải đấu (Open Match, Americano, Mexicano, Tournament);
• Tương tác xã hội: follow, kết bạn, đánh giá, bình luận;
• Nội dung do người dùng đăng tải (ảnh, văn bản).

3.3 Dữ liệu tài khoản chủ sân (Tenant Admin)

• Tên, SĐT, email người liên hệ;
• Tên doanh nghiệp, mã số thuế, địa chỉ kinh doanh;
• Tài khoản ngân hàng / ví điện tử (khi kích hoạt thanh toán online);
• Tài liệu pháp lý (giấy phép kinh doanh, hợp đồng).

3.4 Dữ liệu kỹ thuật thu thập tự động

• Địa chỉ IP, loại thiết bị, hệ điều hành, phiên bản app;
• Cookies và mã định danh thiết bị;
• Push notification token (Firebase Cloud Messaging);
• Crash logs, sự kiện sử dụng (analytics events);
• Thông tin trình duyệt, ngôn ngữ, múi giờ.

3.5 Dữ liệu nhạy cảm

Pickcourt KHÔNG chủ động thu thập dữ liệu cá nhân nhạy cảm theo Điều 2.4 NĐ 13/2023 (tình trạng sức khỏe, dữ liệu sinh trắc học, quan điểm chính trị, dữ liệu tài chính chi tiết, v.v.). Trong trường hợp người dùng tự nguyện cung cấp (ví dụ: ghi chú chấn thương khi đăng ký giải đấu), chúng tôi sẽ áp dụng biện pháp bảo vệ tăng cường và xin sự đồng ý riêng.

4. Mục đích xử lý dữ liệu

Chúng tôi xử lý dữ liệu cá nhân cho các mục đích sau:

• Cung cấp dịch vụ cốt lõi: đặt sân, ghép trận, tổ chức giải đấu, kết nối cộng đồng;
• Tính toán level và xếp hạng: dựa trên kết quả trận đấu để gợi ý đối thủ phù hợp;
• Bảo mật và chống gian lận: phát hiện hành vi bất thường, ngăn chặn tài khoản giả mạo;
• Hỗ trợ khách hàng: phản hồi yêu cầu, giải quyết khiếu nại;
• Cải thiện sản phẩm: phân tích hành vi tổng hợp (anonymized) để tối ưu trải nghiệm;
• Tuân thủ pháp luật: đáp ứng yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền;
• Marketing: chỉ thực hiện khi có sự đồng ý riêng của người dùng và có thể rút lại bất cứ lúc nào.

5. Cơ sở pháp lý xử lý dữ liệu

Theo Điều 17 NĐ 13/2023, Pickcourt xử lý dữ liệu cá nhân dựa trên:

• Sự đồng ý của chủ thể dữ liệu (đối với dữ liệu marketing, vị trí, nhạy cảm);
• Thực hiện hợp đồng giữa người dùng và Pickcourt (booking, dịch vụ);
• Nghĩa vụ pháp lý của Pickcourt theo pháp luật Việt Nam;
• Lợi ích chính đáng của Pickcourt (bảo mật hệ thống, phòng chống gian lận), với điều kiện không xâm phạm quyền lợi cơ bản của chủ thể dữ liệu.

6. Chia sẻ và tiết lộ dữ liệu

Pickcourt KHÔNG bán dữ liệu cá nhân cho bên thứ ba. Việc chia sẻ chỉ diễn ra trong các trường hợp sau:

6.1 Với chủ sân (khi người dùng đặt sân)

Khi người chơi đặt sân, các thông tin cần thiết (tên, SĐT, thời gian đặt) sẽ được chia sẻ với chủ sân để hoàn thành dịch vụ. Chủ sân có nghĩa vụ bảo mật thông tin này theo cam kết với Pickcourt.

6.2 Với nền tảng đối tác (sân External)

Một số sân hiển thị trên Pickcourt thuộc các nền tảng đối tác bên thứ ba (ví dụ: ALOBO, Mewin và các nền tảng tương tự). Khi Người dùng yêu cầu đặt sân tại các sân này, Pickcourt thực hiện booking thay mặt Người dùng theo uỷ quyền tại thời điểm Người dùng xác nhận đặt sân ("book hộ tự động").

Để hoàn tất booking, Pickcourt cần:

• Chia sẻ với nền tảng đối tác các thông tin tối thiểu cần thiết: họ tên, số điện thoại, và (khi nền tảng đó yêu cầu) email, thời gian đặt;
• Theo dõi trạng thái booking trên nền tảng đối tác và thông báo lại cho Người dùng các cập nhật trạng thái (xác nhận, đang chờ, bị từ chối, bị huỷ bởi đối tác, đổi giờ) qua thông báo trong app, push notification, email hoặc SMS.

Việc chia sẻ dữ liệu nêu trên dựa trên sự đồng ý của Người dùng và là điều kiện cần thiết để thực hiện hợp đồng đặt sân. Khi dữ liệu được chuyển sang nền tảng đối tác, việc xử lý dữ liệu của bên đó tuân theo chính sách bảo mật của nền tảng tương ứng; Pickcourt khuyến nghị Người dùng tham khảo chính sách của nền tảng đối tác trước khi sử dụng dịch vụ.

6.3 Với nhà cung cấp dịch vụ kỹ thuật (Data Processor)

Pickcourt sử dụng các nhà cung cấp dịch vụ uy tín để vận hành hệ thống. Các nhà cung cấp này chỉ xử lý dữ liệu theo chỉ đạo của Pickcourt và đã ký cam kết bảo mật:

• Hosting hạ tầng: Vercel (frontend), Koyeb (API), Supabase (database)
• Truyền tin: Resend (email), Twilio (SMS), Firebase Cloud Messaging (push notification)
• Phân tích: PostHog (analytics)
• Thanh toán (khi áp dụng): MoMo, VNPay và các đơn vị trung gian thanh toán được Ngân hàng Nhà nước cấp phép

6.4 Theo yêu cầu pháp luật

Khi có yêu cầu hợp lệ bằng văn bản từ cơ quan nhà nước có thẩm quyền (cơ quan điều tra, tòa án, cơ quan thuế, cơ quan quản lý chuyên ngành) theo quy định pháp luật Việt Nam.

6.5 Khi có sự đồng ý của người dùng

Trong các trường hợp ngoài phạm vi nêu trên, việc chia sẻ chỉ thực hiện khi có sự đồng ý rõ ràng của người dùng.

7. Chuyển dữ liệu xuyên biên giới

Một số nhà cung cấp dịch vụ kỹ thuật của Pickcourt có máy chủ đặt ngoài lãnh thổ Việt Nam (Hoa Kỳ, EU, Singapore). Pickcourt thực hiện đánh giá tác động và áp dụng các biện pháp bảo vệ tương đương theo Điều 25 NĐ 13/2023, bao gồm điều khoản hợp đồng tiêu chuẩn (SCC), mã hóa dữ liệu khi truyền và lưu trữ, kiểm soát truy cập theo nguyên tắc least-privilege.

8. Thời gian lưu trữ dữ liệu

• Tài khoản đang hoạt động: lưu trữ trong suốt thời gian sử dụng dịch vụ;
• Sau khi xóa tài khoản: dữ liệu được xóa hoặc ẩn danh trong vòng 30 ngày, trừ trường hợp pháp luật yêu cầu lưu trữ lâu hơn;
• Lịch sử giao dịch / hóa đơn: lưu trữ tối thiểu 5 năm theo Luật Kế toán 2015;
• Logs hệ thống và bảo mật: lưu trữ tối đa 24 tháng;
• Nội dung do người dùng đăng tải công khai: có thể tiếp tục lưu trữ ở dạng ẩn danh sau khi xóa tài khoản, nếu liên quan đến hoạt động cộng đồng đã kết thúc;
• Dữ liệu marketing: đến khi người dùng rút sự đồng ý.

9. Bảo mật dữ liệu

Pickcourt áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu:

• Mã hóa truyền tin (TLS 1.2+) và mã hóa dữ liệu khi lưu trữ (AES-256);
• Row-Level Security (RLS) trên database, đảm bảo dữ liệu mỗi tổ chức được cô lập;
• Kiểm soát truy cập theo nguyên tắc least-privilege và xác thực hai yếu tố (2FA) cho tài khoản admin;
• Audit log đầy đủ cho các hoạt động truy cập dữ liệu nhạy cảm;
• Backup định kỳ và kế hoạch khôi phục thảm họa;
• Đào tạo nhân sự về bảo mật và bảo vệ dữ liệu cá nhân.

Tuy nhiên, không có hệ thống nào an toàn tuyệt đối. Người dùng có trách nhiệm bảo vệ tài khoản của mình bằng mật khẩu mạnh và không chia sẻ thông tin đăng nhập.

10. Quyền của chủ thể dữ liệu

Theo Điều 9 NĐ 13/2023, người dùng có các quyền sau:

• Quyền được biết về việc xử lý dữ liệu cá nhân của mình;
• Quyền đồng ý / rút lại sự đồng ý đối với việc xử lý dữ liệu;
• Quyền truy cập để xem, chỉnh sửa dữ liệu cá nhân;
• Quyền xóa dữ liệu khi không còn cần thiết hoặc khi người dùng rút lại sự đồng ý;
• Quyền hạn chế xử lý dữ liệu cá nhân;
• Quyền cung cấp dữ liệu ở định dạng có thể đọc được;
• Quyền phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp;
• Quyền khiếu nại, tố cáo, khởi kiện theo quy định pháp luật;
• Quyền yêu cầu bồi thường thiệt hại nếu có vi phạm phát sinh thiệt hại.

Để thực hiện các quyền trên, vui lòng gửi yêu cầu qua email info@pickcourt.com. Chúng tôi sẽ phản hồi trong vòng 72 giờ và xử lý yêu cầu trong vòng 30 ngày kể từ ngày tiếp nhận, tuân thủ thời hạn quy định tại NĐ 13/2023.

11. Trẻ em dưới 16 tuổi

Pickcourt không cố ý thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi mà không có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp. Nếu phát hiện dữ liệu của trẻ em được thu thập mà không có sự đồng ý hợp lệ, chúng tôi sẽ xóa dữ liệu đó trong thời gian sớm nhất. Phụ huynh phát hiện trường hợp này vui lòng liên hệ info@pickcourt.com.

12. Cookies và công nghệ tương tự

Pickcourt sử dụng cookies và công nghệ tương tự, được phân loại như sau:

• Cookies thiết yếu: phục vụ đăng nhập, bảo mật phiên — không thể tắt;
• Cookies tính năng: ghi nhớ tùy chọn ngôn ngữ, giao diện;
• Cookies phân tích: đo lường hiệu năng và cải thiện trải nghiệm (PostHog);
• Cookies marketing: chỉ kích hoạt khi người dùng đồng ý.

Người dùng có thể quản lý cookies trong cài đặt trình duyệt. Tắt cookies có thể ảnh hưởng đến một số tính năng.

13. Thông báo và push notification

Khi cài đặt ứng dụng di động, người dùng có thể được hỏi cấp quyền nhận push notification. Người dùng có thể tắt thông báo bất cứ lúc nào trong cài đặt thiết bị hoặc trong app. Pickcourt chỉ gửi thông báo liên quan đến dịch vụ (xác nhận đặt sân, lời mời tham gia trận, cập nhật giải đấu) hoặc marketing nếu người dùng đã đồng ý.

14. Vi phạm dữ liệu

Trong trường hợp xảy ra sự cố bảo mật ảnh hưởng đến dữ liệu cá nhân, Pickcourt sẽ thông báo cho Bộ Công an (Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 72 giờ kể từ thời điểm phát hiện, và thông báo cho người dùng bị ảnh hưởng theo quy định tại Điều 23 NĐ 13/2023.

15. Thay đổi Chính sách Bảo mật

Pickcourt có thể cập nhật Chính sách này theo thời gian. Mọi thay đổi quan trọng sẽ được thông báo qua email, trong ứng dụng hoặc trên website ít nhất 30 ngày trước khi có hiệu lực. Việc tiếp tục sử dụng dịch vụ sau ngày hiệu lực đồng nghĩa với việc chấp nhận các thay đổi.

16. Liên hệ

• Vấn đề bảo mật / dữ liệu cá nhân: info@pickcourt.com
• Liên hệ chung: hello@pickcourt.com
• Website: https://pickcourt.com