RGPD & quyền riêng tư
Chính sách bảo mật
Lời mở đầu
AVNC cam kết bảo vệ quyền riêng tư. Chính sách này nêu rõ dữ liệu thu thập, mục đích, cơ sở pháp lý, thời gian lưu trữ và các quyền của quý vị theo Quy định (UE) 2016/679 (« RGPD »).
Đơn vị chịu trách nhiệm xử lý
Hội Ái hữu Việt Nam tại Nouvelle-Calédonie (AVNC), hiệp hội luật 1901, foyer Nhà Việt Nam tại Nouméa. Liên hệ RGPD : avnc.contact@gmail.com — văn phòng mở cửa thứ Hai đến thứ Sáu, 8h30 đến 12h00.
Dữ liệu thu thập
Thông tin cá nhân (xưng hô, họ, tên, ngày sinh), liên hệ (email, điện thoại, địa chỉ), thành viên gia đình cho gói gia đình (vợ/chồng và con dưới 12 tuổi), người bảo trợ (parrain), thông tin thanh toán (số tiền, phương thức, số biên nhận), lịch sử hội phí, đặt phòng và mua vé. Không thu thập dữ liệu nhạy cảm.
Cơ sở pháp lý (Điều 6 RGPD)
Hội phí : thực hiện hợp đồng (Điều 6.1.b). Đặt phòng và bán vé : thực hiện hợp đồng (Điều 6.1.b). Sổ sách kế toán (biên nhận) : nghĩa vụ pháp lý (Điều 6.1.c). Email giao dịch : lợi ích chính đáng (Điều 6.1.f). Đối với trẻ dưới 12 tuổi, sự đồng ý của người đại diện hợp pháp được thu thập (Điều 8 RGPD).
Mục đích sử dụng
Quản lý hội phí và gia hạn ; đặt phòng ; bán vé sự kiện ; theo dõi kế toán ; gửi email giao dịch (xác nhận, biên nhận, nhắc gia hạn) ; lưu giữ sổ đăng ký đồng ý và nhật ký kiểm toán làm bằng chứng RGPD.
Thời gian lưu trữ
Yêu cầu hội phí đang chờ : 30 ngày sau đó tự động xóa dữ liệu cá nhân được mã hóa. Hội phí + giao dịch tài chính : 10 năm (nghĩa vụ kế toán). Đặt phòng + vé : 5 năm. Hồ sơ : đến khi yêu cầu xóa. Nhật ký ứng dụng : 1 năm. Nhật ký Cloudflare : 3 ngày. Phiên admin : 15 phút.
Quyền của quý vị (Điều 15-22 RGPD)
Quý vị có quyền truy cập (Đ. 15), chỉnh sửa (Đ. 16), xóa (Đ. 17), giới hạn (Đ. 18), chuyển giao (Đ. 20) và phản đối (Đ. 21). Liên hệ avnc.contact@gmail.com kèm CMND/CCCD ; phản hồi trong 30 ngày. Xem trang /rgpd. Quý vị cũng có thể khiếu nại với CNIL (cnil.fr).
Đơn vị xử lý dữ liệu
Supabase (Frankfurt, Đức) : xác thực + **toàn bộ dữ liệu cá nhân** (danh tính, liên hệ, gia đình, người bảo trợ, thông tin người mua vé), theo DPA và điều khoản hợp đồng tiêu chuẩn. Cloudflare Workers + D1 + Turnstile : lưu trữ ứng dụng và chống bot ; D1 được ẩn danh nghiêm ngặt, không chứa bất kỳ dữ liệu định danh cá nhân nào — theo Data Processing Addendum. Resend (UE) : gửi email giao dịch, theo DPA.
Chuyển dữ liệu ngoài UE
Cloudflare D1 nhân bản tham chiếu kỹ thuật (UUID, số tiền, sự kiện — không có dữ liệu cá nhân) trên mạng toàn cầu. Không có dữ liệu cá nhân nào được chuyển ngoài UE : dữ liệu cá nhân chỉ tồn tại trên Supabase Frankfurt. Trong trường hợp rò rỉ D1 đơn lẻ, không thể tái định danh kỹ thuật. Các chuyển giao tuân theo điều khoản hợp đồng tiêu chuẩn của Ủy ban châu Âu.
Biện pháp bảo mật (Điều 32 RGPD)
Mã hóa TLS 1.3 khi truyền, HSTS, CSP nghiêm ngặt. Mã hóa AES-256-GCM cho dữ liệu cá nhân của các yêu cầu đang chờ. Xác thực mạnh (JWT, xoay vòng), kiểm soát truy cập theo vai trò (admin / bureau / secrétariat / kế toán), Row-Level Security trên Supabase, ghi nhật ký hoạt động nhạy cảm. Chống bot Turnstile trên các form công khai. Giới hạn tốc độ ứng dụng.
Vi phạm dữ liệu (Điều 33-34 RGPD)
Trong trường hợp có vi phạm gây rủi ro cho quyền và tự do của quý vị, AVNC thông báo CNIL trong 72 giờ và thông báo trực tiếp cho quý vị nếu rủi ro cao. Quy trình xử lý sự cố nội bộ được tài liệu hóa.
Cookies
Trang web chỉ sử dụng cookie kỹ thuật cần thiết (ngôn ngữ, trạng thái giao diện). Không có cookie quảng cáo, phân tích hay theo dõi bên thứ ba. Không cần biểu ngữ đồng ý.