MetroTune™ — Chính sách bảo vệ dữ liệu cá nhân

Điều 1. Bên kiểm soát dữ liệu cá nhân

Người chịu trách nhiệm bảo vệ dữ liệu cá nhân: Bộ phận Quản lý, Archet Studio LLC. Mọi thắc mắc liên quan đến dữ liệu cá nhân xin liên hệ qua email trên.

Điều 2. Mục đích xử lý dữ liệu cá nhân

Công ty xử lý dữ liệu cá nhân cho các mục đích sau:

• Hỗ trợ khách hàng: Tiếp nhận và phản hồi yêu cầu qua email — inquiry@archetstudio.com (yêu cầu chung) và support@archetstudio.com (hỗ trợ ứng dụng)
• Hiển thị quảng cáo: Hiển thị quảng cáo thông qua Google AdMob SDK. Mức độ cá nhân hóa quảng cáo được xác định khi ứng dụng khởi động, dựa trên sự đồng ý của người dùng và quyền theo dõi của nền tảng. Trên iOS, MetroTune luôn hiển thị quảng cáo không cá nhân hóa — không thu thập IDFA. Người dùng EU/EEA sẽ thấy thêm biểu mẫu đồng ý Google UMP. Trên Android, AAID có thể được SDK sử dụng theo mặc định

Điều 3. Loại dữ liệu cá nhân được thu thập

Công ty thu thập các loại dữ liệu cá nhân cơ bản sau đây. Công ty không thu thập dữ liệu cá nhân nhạy cảm.

1. Qua email liên hệ

• Hạng mục: Họ tên, địa chỉ email, nội dung yêu cầu, và các chi tiết kỹ thuật do người dùng tự nguyện cung cấp (loại thiết bị, phiên bản hệ điều hành)
• Phương thức: Do người dùng tự nguyện cung cấp qua email — inquiry@archetstudio.com (yêu cầu chung), support@archetstudio.com (hỗ trợ ứng dụng), privacy@archetstudio.com (quyền riêng tư)
• Các chi tiết kỹ thuật do người dùng tự nguyện cung cấp khi liên hệ hỗ trợ chỉ được sử dụng để giải quyết vấn đề kỹ thuật và cải thiện sản phẩm. Công ty không bán thông tin này hoặc sử dụng cho mục đích tiếp thị

2. Thu thập tự động qua AdMob SDK

• Mã nhận dạng quảng cáo — AAID (Android, được bật theo mặc định). Trên iOS, không thu thập IDFA — chỉ hiển thị quảng cáo không cá nhân hóa
• Địa chỉ IP
• Dữ liệu tương tác quảng cáo (lượt xem, lượt nhấn, hoàn thành quảng cáo có thưởng)
• Dữ liệu kỹ thuật SDK (không tích hợp SDK báo cáo sự cố riêng biệt)

3. Âm thanh micrô (xử lý tạm thời)

• MetroTune™ sử dụng micrô để phát hiện cao độ (bộ chỉnh âm) và phát hiện tiếng vỗ tay đôi để xác định nhịp độ (máy đếm nhịp)
• Âm thanh chỉ được xử lý trên thiết bị — không ghi âm, lưu trữ hoặc truyền đi
• Không thực hiện nhận dạng giọng nói

4. Lưu trữ cục bộ trên thiết bị (không gửi lên máy chủ)

• Cài đặt người dùng (giao diện màu, trạng thái mở khóa premium)
• Dấu thời gian hoàn thành quảng cáo có thưởng

Dữ liệu lưu trữ cục bộ không rời khỏi thiết bị và không được gửi đến bất kỳ máy chủ nào.

Điều 4. Phương thức xử lý và thời gian xử lý

Điều 5. Tổ chức, cá nhân được xử lý dữ liệu

Công ty ủy quyền xử lý dữ liệu cá nhân cho bên thứ ba sau:

Công ty không bán, chia sẻ hoặc cung cấp dữ liệu cá nhân cho bất kỳ bên thứ ba nào ngoài phạm vi nêu trên, trừ khi có sự đồng ý của chủ thể dữ liệu hoặc theo yêu cầu của pháp luật.

Điều 6. Chuyển dữ liệu cá nhân ra nước ngoài

Theo Điều 25 Nghị định 13/2023/NĐ-CP, Công ty chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam như sau:

Công ty đã lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Điều 26 Nghị định 13/2023/NĐ-CP. Chủ thể dữ liệu có quyền từ chối việc chuyển dữ liệu ra nước ngoài bằng cách tắt thu thập mã nhận dạng quảng cáo theo hướng dẫn tại Điều 9 dưới đây.

Điều 7. Hậu quả, thiệt hại không mong muốn có thể xảy ra

Theo Điều 11 Nghị định 13/2023/NĐ-CP, Công ty thông báo các hậu quả và thiệt hại không mong muốn có thể xảy ra:

• Rò rỉ dữ liệu: Trong trường hợp xảy ra sự cố bảo mật, dữ liệu cá nhân có thể bị truy cập trái phép. Công ty cam kết thông báo cho Bộ Công an trong vòng 72 giờ kể từ khi phát hiện vi phạm.
• Quảng cáo nhắm mục tiêu: Khi đồng ý cá nhân hóa quảng cáo, mã nhận dạng quảng cáo của bạn sẽ được sử dụng để hiển thị quảng cáo phù hợp. Bạn có thể từ chối bất kỳ lúc nào.
• Chuyển dữ liệu ra nước ngoài: Dữ liệu được chuyển đến máy chủ Google tại Hoa Kỳ, nơi có khung pháp lý bảo vệ dữ liệu khác với Việt Nam.

Điều 8. Quyền của chủ thể dữ liệu

Theo Điều 9 Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có các quyền sau:

• Quyền được biết — Được biết về việc xử lý dữ liệu cá nhân của mình
• Quyền đồng ý — Đồng ý hoặc không đồng ý cho việc xử lý dữ liệu cá nhân
• Quyền truy cập — Truy cập để xem dữ liệu cá nhân của mình
• Quyền rút lại sự đồng ý — Rút lại sự đồng ý đã cho trước đó
• Quyền xóa dữ liệu — Yêu cầu xóa dữ liệu cá nhân của mình
• Quyền hạn chế xử lý — Yêu cầu hạn chế việc xử lý dữ liệu cá nhân
• Quyền nhận bản sao dữ liệu — Yêu cầu nhận bản sao dữ liệu cá nhân của mình
• Quyền phản đối — Phản đối việc xử lý dữ liệu cá nhân
• Quyền khiếu nại, tố cáo, khởi kiện — Khiếu nại, tố cáo hoặc khởi kiện theo quy định pháp luật
• Quyền yêu cầu bồi thường — Yêu cầu bồi thường thiệt hại khi quyền bảo vệ dữ liệu cá nhân bị vi phạm
• Quyền tự bảo vệ — Tự bảo vệ theo quy định pháp luật

Cách thực hiện quyền: Gửi email đến privacy@archetstudio.com. Công ty sẽ phản hồi trong vòng 30 ngày.

Điều 9. Thu thập tự động và cách từ chối

Ứng dụng MetroTune™ sử dụng Google AdMob SDK, có thể thu thập tự động mã nhận dạng quảng cáo (AAID trên Android) và địa chỉ IP. Trên iOS, không thu thập IDFA — chỉ hiển thị quảng cáo không cá nhân hóa. Trang web của Công ty (archetstudio.com) không sử dụng cookie hoặc công nghệ theo dõi tương tự.

Cách từ chối thu thập tự động:

• iOS: không cần thao tác — MetroTune luôn hiển thị quảng cáo không cá nhân hóa trên iOS
• Android: Cài đặt > Google > Quảng cáo > Từ chối cá nhân hóa quảng cáo
• EU/EEA: Biểu mẫu đồng ý Google UMP hiển thị khi khởi động lần đầu. Để thay đổi lựa chọn đồng ý, liên hệ privacy@archetstudio.com

Việc từ chối không ảnh hưởng đến khả năng sử dụng ứng dụng. Quảng cáo sẽ được hiển thị ở dạng không cá nhân hóa.

Điều 10. Bảo vệ dữ liệu cá nhân của trẻ em

MetroTune™ là ứng dụng công cụ dành cho đối tượng chung, không nhắm đến trẻ em dưới 16 tuổi (theo Điều 35 Nghị định 13/2023/NĐ-CP và Luật Trẻ em 2016). Công ty không có chủ đích thu thập dữ liệu cá nhân của trẻ em. Nếu phát hiện dữ liệu cá nhân của trẻ em đã được thu thập một cách vô ý, Công ty sẽ xóa ngay lập tức.

Nếu quý phụ huynh hoặc người giám hộ cho rằng trẻ em đã cung cấp dữ liệu cá nhân cho Công ty, xin liên hệ privacy@archetstudio.com.

Điều 11. Biện pháp bảo mật

Công ty áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân:

• Giảm thiểu dữ liệu: Không vận hành máy chủ backend hoặc lưu trữ đám mây riêng. Dữ liệu người dùng được xử lý ở mức tối thiểu.
• Mã hóa truyền tải: Tất cả kết nối mạng (bao gồm AdMob) được mã hóa qua HTTPS/TLS.
• Kiểm soát truy cập: Hạn chế quyền truy cập vào hệ thống xử lý dữ liệu cá nhân.
• Dữ liệu cục bộ: Cài đặt người dùng chỉ lưu trên thiết bị, không gửi đến máy chủ bên ngoài.

Điều 12. Thông báo vi phạm dữ liệu

Theo Điều 23 Nghị định 13/2023/NĐ-CP, trong trường hợp xảy ra vi phạm bảo mật ảnh hưởng đến dữ liệu cá nhân, Công ty sẽ thông báo cho Bộ Công an (Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao) trong vòng 72 giờ kể từ khi phát hiện vi phạm, đồng thời thông báo cho các chủ thể dữ liệu bị ảnh hưởng.

Điều 13. Khiếu nại và liên hệ

Nếu bạn cho rằng quyền lợi về dữ liệu cá nhân của bạn bị xâm phạm, bạn có thể liên hệ trực tiếp với Công ty hoặc gửi khiếu nại đến cơ quan có thẩm quyền.

Điều 14. Hiệu lực và cập nhật

Chính sách này có hiệu lực kể từ ngày ghi ở đầu trang. Công ty có thể cập nhật chính sách này theo thời gian. Đối với các thay đổi quan trọng (thay đổi mục đích xử lý, bên thứ ba nhận dữ liệu), Công ty sẽ thông báo trước ít nhất 7 ngày thông qua MetroTune™ hoặc trang web. Đối với các thay đổi trọng yếu, Công ty sẽ thông báo trước ít nhất 30 ngày và yêu cầu sự đồng ý mới nếu cần thiết.