Pháp lý

Chính sách bảo mật

Cập nhật lần cuối: tháng 3, 2026 · Áp dụng theo Luật số 91/2025/QH15

1. Giới thiệu & Chủ thể kiểm soát dữ liệu

Tại Reservo (gọi là "Reservo", "chúng tôi"), chúng tôi cam kết tuyệt đối bảo vệ quyền riêng tư và an toàn thông tin của người dùng. Chúng tôi vận hành nền tảng đặt lịch hàng đầu cho nhà hàng, spa và các dịch vụ có thể đặt lịch tại Đà Nẵng, Việt Nam.

Theo Luật Bảo vệ Dữ liệu Cá nhân (Luật số 91/2025/QH15) của nước Cộng hòa Xã hội Chủ nghĩa Việt Nam ("Luật BVDLCN"), Reservo đóng vai trò là Bên kiểm soát dữ liệu (và trong một số trường hợp cụ thể, là Bên xử lý dữ liệu) đối với dữ liệu cá nhân được thu thập thông qua nền tảng. Thông báo bảo mật này giải thích cách chúng tôi thu thập, quản lý, mã hóa và bảo vệ dữ liệu cá nhân của bạn khi bạn tương tác với website, ứng dụng của chúng tôi, hoặc đặt dịch vụ của Đối tác thông qua các tích hợp như "Reserve with Google".

2. Liên hệ & Cán bộ Bảo vệ Dữ liệu (DPO)

Nếu bạn có câu hỏi, nhận xét hoặc yêu cầu chính thức liên quan đến Thông báo này hoặc việc thực thi các quyền theo luật định của bạn, vui lòng liên hệ chúng tôi qua trang Liên hệ hoặc qua email tại privacy@reservo.vn.

Tuân thủ quy định của Luật BVDLCN, Reservo đã bổ nhiệm một Cán bộ Bảo vệ Dữ liệu (DPO) chuyên trách để giám sát toàn bộ hoạt động xử lý dữ liệu và đảm bảo tuân thủ nghiêm ngặt. Bạn có thể liên hệ trực tiếp với DPO của chúng tôi tại dpo@reservo.vn.

3. Thông tin chúng tôi thu thập & Cách chúng tôi sử dụng

Thông báo này áp dụng với bạn nếu: bạn truy cập và duyệt các Trang web, Ứng dụng của chúng tôi; bạn đặt lịch hẹn hoặc bàn ăn với các Đối tác Đà Nẵng thông qua chúng tôi (gọi là "Khách hàng"); bạn tương tác với nền tảng qua tích hợp bên thứ ba, cụ thể là "Reserve with Google"; hoặc bạn vận hành doanh nghiệp trên nền tảng Reservo (gọi là "Đối tác").

Theo pháp luật Việt Nam, chúng tôi phân loại dữ liệu thu thập thành Dữ liệu cá nhân cơ bảnDữ liệu cá nhân nhạy cảm. Chúng tôi chỉ xử lý thông tin của bạn dựa trên các căn cứ pháp lý nghiêm ngặt được phép theo Điều 19 Luật BVDLCN, chủ yếu dựa trên sự đồng ý tường minh của bạn hoặc sự cần thiết để thực hiện hợp đồng với bạn.

A. Thông tin khi bạn truy cập dịch vụ

Khi bạn truy cập Dịch vụ của chúng tôi, chúng tôi thu thập một số thông tin kỹ thuật cần thiết cho bảo mật và chức năng của nền tảng.

  • Thông tin kỹ thuật (Dữ liệu cơ bản): Địa chỉ IP, loại và phiên bản trình duyệt, ID thiết bị, cài đặt múi giờ, hệ điều hành và nhật ký bảo mật. Được xử lý theo nghĩa vụ pháp lý nhằm đảm bảo an ninh mạng và ngăn chặn các giao dịch gian lận trên nền tảng.
  • Dữ liệu vị trí (Dữ liệu nhạy cảm): Để gợi ý các nhà hàng và spa gần bạn tại Đà Nẵng, chúng tôi có thể yêu cầu quyền truy cập dữ liệu vị trí GPS của bạn. Theo Luật BVDLCN, đây là Dữ liệu cá nhân nhạy cảm. Chúng tôi sẽ không bao giờ theo dõi vị trí của bạn nếu không có sự đồng ý tường minh, riêng biệt và khẳng định qua lời nhắc trên thiết bị. Bạn có thể rút lại sự đồng ý bất kỳ lúc nào trong cài đặt thiết bị.

B. Thông tin khi bạn đặt lịch (trực tiếp hoặc qua Google)

Khi bạn tạo tài khoản Reservo hoặc thực hiện đặt lịch, chúng tôi thu thập Dữ liệu cá nhân cơ bản cần thiết để thực hiện hợp đồng đặt chỗ:

  • Họ và tên; Địa chỉ email; Số điện thoại di động
  • Lịch sử đặt chỗ và tùy chọn đã lưu

Tích hợp "Reserve with Google": Reservo là đối tác được ủy quyền của Google. Nếu bạn sử dụng tính năng "Reserve with Google" qua Google Search hoặc Google Maps để đặt dịch vụ với các Đối tác Đà Nẵng của chúng tôi, Reservo nhận thông tin hồ sơ mà bạn đã chia sẻ tường minh (tên, email, số điện thoại) trực tiếp từ Google API. Dữ liệu này được truyền an toàn và được Reservo xử lý hoàn toàn theo căn cứ Cần thiết để thực hiện hợp đồng nhằm hoàn tất yêu cầu đặt chỗ tại cơ sở bạn đã chọn. Để biết cách Google quản lý dữ liệu của bạn trước khi truyền, vui lòng xem Chính sách quyền riêng tư của Google.

C. Xử lý Dữ liệu cá nhân nhạy cảm (Biểu mẫu tư vấn sức khỏe tại Spa)

Do trọng tâm của chúng tôi vào lĩnh vực sức khỏe tại Đà Nẵng, khi đặt một số dịch vụ Spa hoặc Salon, bạn có thể cần điền biểu mẫu tư vấn do Đối tác cung cấp.

  • Các biểu mẫu này có thể yêu cầu thông tin sức khỏe, tình trạng sinh lý hoặc tiết lộ dị ứng để đảm bảo cung cấp dịch vụ an toàn.
  • Theo Luật BVDLCN, đây cấu thành Dữ liệu cá nhân nhạy cảm.
  • Vai trò của Reservo: Reservo đóng vai trò thuần túy là Bên xử lý dữ liệu bảo mật cho thông tin này. Dữ liệu được bảo vệ bằng mã hóa đầu cuối. Chúng tôi không phân tích, kiếm tiền từ, hoặc sử dụng dữ liệu sức khỏe nhạy cảm này cho vận hành nền tảng hay tiếp thị. Dữ liệu chỉ được truyền an toàn đến đúng Đối tác bạn đang đặt lịch, người đóng vai trò là Bên kiểm soát dữ liệu chịu trách nhiệm chăm sóc trực tiếp của bạn.

D. Yêu cầu ăn uống đặc biệt tại nhà hàng

Nếu bạn tự nguyện cung cấp các yêu cầu ăn uống đặc biệt (dị ứng nghiêm trọng, chế độ ăn theo tôn giáo) trong ghi chú đặt bàn tại nhà hàng, thông tin này cũng có thể được phân loại là Dữ liệu cá nhân nhạy cảm. Dữ liệu này được xử lý hoàn toàn theo sự đồng ý tường minh của bạn tại thời điểm đặt chỗ nhằm đảm bảo sức khỏe và an toàn của bạn trong trải nghiệm ăn uống.

E. Thông tin từ đối tác (doanh nghiệp)

Nếu bạn vận hành nhà hàng hoặc spa tại Đà Nẵng sử dụng Reservo, chúng tôi thu thập thông tin doanh nghiệp và liên hệ để quản lý tài khoản, tạo điều kiện cho các giao dịch, và đồng bộ dữ liệu dịch vụ lên Google Maps. Bằng cách sử dụng Reservo, các Đối tác đồng ý tường minh cho phép dữ liệu doanh nghiệp, menu dịch vụ và lịch trống được truyền tới Google để kích hoạt tích hợp "Reserve with Google", tuân thủ nghiêm ngặt chính sách của Google cấm nhúng thông tin cá nhân người tiêu dùng vào các nguồn cấp dữ liệu của doanh nghiệp.

4. Căn cứ pháp lý để xử lý dữ liệu

Chúng tôi xử lý dữ liệu cá nhân của bạn tuân thủ nghiêm ngặt Luật Bảo vệ Dữ liệu Cá nhân (Luật 91/2025/QH15). Chúng tôi không dựa vào khái niệm "lợi ích hợp pháp" chung chung. Các căn cứ pháp lý của chúng tôi bao gồm:

  • Cần thiết theo hợp đồng (Điều 19): Xử lý tên, thông tin liên hệ và thời gian đặt chỗ để hoàn tất đặt chỗ tại nhà hàng hoặc spa của bạn.
  • Đồng ý tường minh: Chúng tôi yêu cầu sự đồng ý tự nguyện, riêng biệt của bạn để gửi tiếp thị quảng cáo, bản tin, gợi ý cá nhân hóa, và để xử lý dữ liệu vị trí chính xác hoặc biểu mẫu tư vấn sức khỏe nhạy cảm. Bạn có thể rút lại sự đồng ý bất kỳ lúc nào mà không bị phạt.
  • Nghĩa vụ pháp lý (Điều 19): Xử lý cần thiết để tuân thủ các yêu cầu thực thi pháp luật của Việt Nam, quy định thuế, hoặc bảo vệ tính mạng và sức khỏe trong tình huống khẩn cấp.

5. Chúng tôi chia sẻ thông tin của bạn với ai?

Để vận hành nền tảng hiệu quả tại Đà Nẵng, chúng tôi chia sẻ dữ liệu với các đơn vị cụ thể dưới các biện pháp bảo vệ hợp đồng nghiêm ngặt:

  • Đối tác (Cơ sở dịch vụ): Chúng tôi chia sẻ thông tin liên hệ và đặt chỗ của bạn với nhà hàng hoặc spa cụ thể bạn đã chọn. Sau khi được truyền an toàn, Đối tác đảm nhận trách nhiệm là Bên kiểm soát dữ liệu cho trải nghiệm địa phương của bạn.
  • Google LLC: Dữ liệu xác nhận đặt chỗ và dữ liệu kho dịch vụ được đồng bộ với Google API cho người dùng sử dụng giao diện "Reserve with Google".
  • Nhà cung cấp dịch vụ: Chúng tôi sử dụng các tổ chức bên thứ ba được bảo mật cho lưu trữ dữ liệu đám mây, xử lý thanh toán được mã hóa và gửi SMS. Các bộ xử lý phụ này chỉ hoạt động theo hướng dẫn tường minh của chúng tôi và bị ràng buộc bởi Thỏa thuận Xử lý Dữ liệu nghiêm ngặt.
  • Cơ quan pháp luật: Chúng tôi sẽ tiết lộ thông tin cho Bộ Công an hoặc các cơ quan nhà nước Việt Nam khác nếu được yêu cầu chính thức theo pháp luật hoặc lệnh tòa án để phát hiện gian lận hoặc tội phạm mạng.

6. Chúng tôi lưu trữ thông tin ở đâu & Chuyển dữ liệu xuyên biên giới

Reservo sử dụng hạ tầng đám mây tiên tiến để đảm bảo tính ổn định của nền tảng. Dữ liệu của bạn có thể được chuyển đến và lưu trữ trên các máy chủ bảo mật cao bên ngoài lãnh thổ Việt Nam (ví dụ: AWS tại Singapore hoặc Google Cloud tại các trung tâm dữ liệu khu vực).

Reservo tiến hành Đánh giá Tác động Chuyển dữ liệu Xuyên biên giới (CTIA) toàn diện theo quy định của Luật BVDLCN. Chúng tôi đảm bảo tất cả các chuyển dữ liệu quốc tế đều được bảo vệ bằng các biện pháp pháp lý và mật mã mạnh mẽ, đảm bảo dữ liệu của bạn được bảo vệ tương đương với pháp luật Việt Nam. Báo cáo CTIA chi tiết được nộp cho Cục A05 — Bộ Công an theo quy định pháp luật.

7. Bảo mật dữ liệu & Quy trình thông báo vi phạm 72 giờ

Mọi thông tin bạn cung cấp cho chúng tôi đều được lưu trữ an toàn. Tuân thủ Điều 12 Luật BVDLCN, Reservo áp dụng mã hóa đầu cuối để truyền tải dữ liệu cá nhân nhạy cảm, và tất cả các kết nối nền tảng đều được bảo mật bằng các giao thức mật mã tiêu chuẩn ngành.

Thông báo vi phạm: Mặc dù chúng tôi triển khai các chính sách phát hiện mối đe dọa nghiêm ngặt, không có việc truyền tải internet nào là hoàn toàn an toàn. Trong trường hợp không may xảy ra sự cố bảo mật dữ liệu, Reservo tuân thủ nghiêm ngặt các quy định pháp luật: chúng tôi sẽ thông báo chính thức cho Cục A05 — Bộ Công an trong vòng 72 giờ kể từ khi phát hiện và sẽ kịp thời thông báo cho tất cả người dùng bị ảnh hưởng, mô tả chi tiết bản chất vi phạm và các biện pháp khắc phục ngay lập tức được thực hiện để bảo vệ dữ liệu của bạn.

8. Bạn có những quyền gì đối với dữ liệu cá nhân?

Theo Luật Bảo vệ Dữ liệu Cá nhân Việt Nam, bạn được đảm bảo 11 quyền cơ bản liên quan đến dữ liệu cá nhân của mình. Bạn có quyền:

  • Được biết: Biết dữ liệu của bạn đang được xử lý như thế nào, như được trình bày trong Thông báo này.
  • Đồng ý / Phản đối: Tự do cấp hoặc từ chối đồng ý cho các hoạt động xử lý dữ liệu cụ thể.
  • Truy cập: Xem, truy cập và yêu cầu chỉnh sửa bất kỳ dữ liệu không chính xác nào chúng tôi lưu giữ về bạn.
  • Rút lại đồng ý: Rút lại sự đồng ý xử lý tiếp thị hoặc dữ liệu nhạy cảm bất kỳ lúc nào.
  • Xóa dữ liệu: Yêu cầu xóa hoàn toàn dữ liệu của bạn khỏi hệ thống của chúng tôi. Sau khi có yêu cầu, chúng tôi sẽ thực hiện xóa trong vòng 72 giờ.
  • Hạn chế xử lý: Yêu cầu tạm dừng việc xử lý dữ liệu của bạn.
  • Cung cấp dữ liệu: Yêu cầu bản sao dữ liệu cá nhân của bạn ở định dạng có thể đọc được.
  • Phản đối xử lý: Phản đối việc dữ liệu của bạn được sử dụng cho hồ sơ tự động hoặc tiếp thị trực tiếp.
  • Khiếu nại và khởi kiện: Khởi kiện pháp lý đối với các vi phạm quy định bảo vệ dữ liệu.
  • Yêu cầu bồi thường thiệt hại: Yêu cầu bồi thường cho tổn hại do vi phạm dữ liệu gây ra.
  • Tự bảo vệ: Yêu cầu cơ quan có thẩm quyền bảo vệ các quyền dân sự của bạn liên quan đến dữ liệu.

Thực hiện quyền của bạn: Liên hệ dpo@reservo.vn bất kỳ lúc nào. Nếu có mối lo ngại chưa được giải quyết, bạn có quyền nộp khiếu nại chính thức lên Cổng thông tin Quốc gia về Bảo vệ Dữ liệu Cá nhân (baovedlcn.gov.vn) do Cục A05 — Bộ Công an quản lý, hoặc liên hệ Sở Thông tin và Truyền thông Đà Nẵng.

9. Cập nhật Chính sách bảo mật này

Chính sách này được soạn thảo đặc biệt để tuân thủ khung pháp lý Luật BVDLCN 2026. Chúng tôi tiến hành Đánh giá Tác động Xử lý Dữ liệu (DPIA) định kỳ và có thể cập nhật Chính sách này để phản ánh các thay đổi về công nghệ hoặc quy định. Nếu có thay đổi cơ bản, chúng tôi sẽ thông báo chủ động cho bạn qua email hoặc thông báo nổi bật trên nền tảng.

© 2026 Reservo. Chính sách bảo mật này tuân thủ Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15 của nước Cộng hòa Xã hội Chủ nghĩa Việt Nam.