1. Giới thiệu

Chính sách quyền riêng tư này (sau đây gọi là “Chính sách này”) giải thích cách Japan Onsen & Sauna Guide (sau đây gọi là “Trang web này”) thu thập, sử dụng, bảo vệ và chia sẻ thông tin cá nhân của người dùng (sau đây gọi là “Người dùng”).

Trang web này cung cấp dịch vụ cho người dùng trong Nhật Bản và trên toàn cầu, đồng thời tuân thủ các quy định pháp luật sau:

• Luật bảo vệ thông tin cá nhân của Nhật Bản (APPI)
• Quy định chung về bảo vệ dữ liệu của EU (GDPR)
• Đạo luật quyền riêng tư của người tiêu dùng California (CCPA)
• Các luật bảo vệ dữ liệu hiện hành khác của từng quốc gia

---

2. Thông tin đơn vị vận hành

Nhà cung cấp dịch vụ: ForceEngine Co., Ltd.

Lưu ý: Đối với các phần miễn phí như tìm kiếm cơ sở và xem bài viết, các giao dịch không thuộc phạm vi “bán hàng qua thương mại điện tử” theo Luật giao dịch thương mại chỉ định là chủ yếu. Mặt khác, nếu bạn mua nội dung số có thu phí như premium magazine, vui lòng xem Thông báo theo Luật giao dịch thương mại chỉ định.

---

3. Thông tin cá nhân được thu thập

3.1 Thông tin được thu thập khi đăng ký danh sách chờ

Khi đăng ký vào danh sách chờ của premium magazine, chúng tôi thu thập các thông tin sau.

• Địa chỉ email (người dùng tự nguyện nhập)
• Thời điểm đăng ký
• Cài đặt ngôn ngữ tại thời điểm đăng ký

Thông tin đã thu thập chỉ được dùng để gửi email thông báo khi magazine được phát hành. Bạn có thể hủy đăng ký khỏi danh sách chờ bất cứ lúc nào bằng liên kết hủy trong email.

3.2 Thông tin được thu thập khi liên hệ với chúng tôi

Chúng tôi thu thập các thông tin sau được gửi từ biểu mẫu liên hệ.

• Địa chỉ email
• Nội dung liên hệ
• Thời điểm gửi

3.3 Thông tin được thu thập tự động

Khi truy cập Trang web này, các thông tin sau sẽ được tự động thu thập:

• Địa chỉ IP
• Loại và phiên bản trình duyệt
• Hệ điều hành
• URL giới thiệu (trang nguồn truy cập vào Trang web này)
• Thời điểm truy cập
• Trang đã xem
• Cookie ID (xem bên dưới)

3.4 Thông tin vị trí

Khi sử dụng chức năng tìm kiếm cơ sở, sau khi có sự cho phép của người dùng, chúng tôi có thể lấy thông tin vị trí của thiết bị (vĩ độ và kinh độ). Thông tin này chỉ được dùng để cung cấp kết quả tìm kiếm và sẽ không được lưu trữ.

3.5 Thông tin được thu thập khi mua và thanh toán premium magazine, v.v.

Khi mua nội dung có phí thông qua Stripe Checkout, v.v., các thông tin sau sẽ được chúng tôi hoặc đơn vị xử lý thanh toán xử lý.

• Địa chỉ email (xác minh người mua, gửi magic link)
• Thông tin nhận dạng của nội dung đã mua (ví dụ: mã định danh của tạp chí)
• Thông tin nhận dạng liên quan đến thanh toán và đơn hàng (ví dụ: mã giao dịch do đơn vị xử lý thanh toán phát hành. Bản thân số thẻ sẽ không được lưu trên máy chủ của chúng tôi)
• Số tiền thanh toán, loại tiền tệ và thời điểm thanh toán (lưu dưới dạng hồ sơ giao dịch)

Các thông tin thanh toán nhạy cảm như số thẻ và mã bảo mật sẽ do đơn vị xử lý thanh toán xử lý theo hình thức tuân thủ PCI DSS.

3.6 Thông tin xử lý khi đăng nhập (xác thực) bằng magic link, v.v.

Việc đăng nhập để xem nội dung có phí có liên quan đến nền tảng xác thực mà chúng tôi sử dụng. Trong quá trình này, các thông tin sau có thể được tạo và lưu trữ.

• Địa chỉ email (nơi nhận liên kết đăng nhập)
• Mã định danh phiên và mã thông báo xác thực (có thể được lưu trong cookie của trình duyệt, v.v.)
• Nhật ký kỹ thuật liên quan đến các lần thử đăng nhập (địa chỉ IP, thời điểm truy cập, v.v. để ngăn chặn việc lạm dụng)

---

4. Mục đích sử dụng thông tin cá nhân

Thông tin cá nhân đã thu thập được sử dụng cho các mục đích sau:

4.1 Cung cấp dịch vụ

• Hiển thị và quản lý nội dung
• Xử lý mua nội dung có phí, quản lý lịch sử mua hàng, cấp quyền xem
• Thực hiện đăng nhập bằng magic link, v.v., duy trì phiên làm việc
• Gửi thông báo hoàn tất mua hàng, gửi liên kết xem, gửi liên kết đăng nhập lại (nếu người dùng thực hiện thủ tục)

4.2 Cải thiện dịch vụ

• Phân tích truy cập
• Nâng cao tính dễ sử dụng của trang web
• Phát triển tính năng mới

4.3 Giao tiếp

• Trả lời yêu cầu liên hệ
• Gửi thông báo quan trọng (liên quan đến bảo mật, thay đổi dịch vụ, v.v.)
• Gửi email thông báo phát hành magazine cho người đăng ký danh sách chờ (dựa trên sự đồng ý của người đăng ký)
• Cung cấp thông tin hoàn tất mua hàng đối với nội dung có phí, gửi email đăng nhập bằng magic link, v.v. (nếu người dùng thực hiện thủ tục)

4.4 Ngăn chặn việc lạm dụng

• Phát hiện spam và bot
• Điều tra sự cố bảo mật

4.5 Tuân thủ pháp luật

• Thực hiện nghĩa vụ pháp lý
• Đáp ứng các yêu cầu pháp lý

---

5. Cơ sở pháp lý cho việc xử lý thông tin cá nhân (tuân thủ GDPR)

Cơ sở pháp lý để xử lý thông tin cá nhân của cư dân EU như sau:

5.1 Lợi ích hợp pháp (GDPR Article 6(1)(f))

• Phân tích để cải thiện dịch vụ
• Ngăn chặn việc lạm dụng
• Duy trì bảo mật

5.2 Sự đồng ý (GDPR Article 6(1)(a))

• Sử dụng cookie phân tích
• Đăng ký vào danh sách chờ

5.3 Tuân thủ nghĩa vụ pháp lý (GDPR Article 6(1)(c))

• Lưu giữ thông tin theo yêu cầu của pháp luật

5.4 Thực hiện hợp đồng (GDPR Article 6(1)(b))

Bao gồm cả người dùng trong EU, chúng tôi xử lý địa chỉ email và thông tin liên quan đến mua hàng, thanh toán trong phạm vi cần thiết để ký kết và thực hiện hợp đồng mua nội dung có phí.

---

6. Sử dụng Cookie

Trang web này sử dụng các cookie sau:

6.1 Cookie bắt buộc (không cần đồng ý)

| Mục đích | Thời hạn lưu trữ | | ------------------------------------- | ----------------------- | | Lưu cài đặt ngôn ngữ | 30 ngày | | Duy trì phiên đăng nhập (xác thực xem có phí, v.v.) | Theo cài đặt của nền tảng xác thực |

6.2 Cookie phân tích (cần có sự đồng ý)

| Mục đích | Thời hạn lưu trữ | | ----------------------------------------------- | ---------------- | | Phân tích truy cập (thống kê số khách, số lượt xem trang, v.v.) | Tối đa 2 năm |

Về dịch vụ phân tích truy cập: Trang web này sử dụng dịch vụ phân tích truy cập của bên thứ ba để phân tích tình trạng sử dụng trang web. Các dịch vụ này sử dụng cookie để theo dõi hành vi người dùng, nhưng không thu thập thông tin có thể nhận dạng cá nhân.

Quản lý Cookie: Bạn có thể từ chối chấp nhận cookie hoặc xóa cookie hiện có trong cài đặt trình duyệt. Tuy nhiên, nếu vô hiệu hóa cookie bắt buộc, một số chức năng của dịch vụ có thể không hoạt động bình thường.

---

7. Cung cấp thông tin cá nhân cho bên thứ ba

Trang web này sẽ không cung cấp thông tin cá nhân của người dùng cho bên thứ ba, trừ các trường hợp sau.

7.1 Bên thứ ba cần thiết để cung cấp dịch vụ

| Danh mục | Mục đích | Thông tin được cung cấp | Địa điểm | | ---------------------------------- | ---------------------------------- | -------------------------------------------------------- | -------- | | Cơ sở dữ liệu đám mây / xác thực | Cơ sở dữ liệu, xác thực, lưu trữ | Thông tin liên quan đến danh sách chờ, mua hàng, xác thực, dữ liệu liên quan đến phiên | Mỹ, v.v. | | Dịch vụ phân tích truy cập | Phân tích tình trạng sử dụng trang web | Nhật ký truy cập | Mỹ | | Nhà cung cấp dịch vụ lưu trữ | Lưu trữ trang web | Nhật ký truy cập | Mỹ | | Dịch vụ gửi email | Gửi thông báo, email magic link, v.v. | Địa chỉ email, token dùng cho liên kết chứa trong nội dung email, v.v. | Mỹ | | Đơn vị xử lý thanh toán | Xử lý thanh toán thẻ tín dụng | Thông tin cần thiết cho thanh toán (số thẻ đầy đủ không được chúng tôi lưu giữ) | Mỹ, v.v. |

Các bên thứ ba này quản lý thông tin cá nhân theo tiêu chuẩn bảo mật nghiêm ngặt, dựa trên Thỏa thuận xử lý dữ liệu (Data Processing Agreement) phù hợp.

7.2 Chuyển dữ liệu quốc tế

Như đã nêu ở trên, một phần thông tin cá nhân sẽ được chuyển sang Mỹ hoặc ngoài EU. Các việc chuyển này được bảo vệ bằng các cơ chế sau:

• Điều khoản hợp đồng tiêu chuẩn (Standard Contractual Clauses, SCC)
• Quyết định đầy đủ mức bảo vệ (nếu áp dụng)
• Các biện pháp bảo vệ khác tuân thủ Chương 5 của GDPR

7.3 Tiết lộ theo pháp luật

Trong các trường hợp sau, chúng tôi có thể tiết lộ thông tin cá nhân theo nghĩa vụ pháp lý:

• Lệnh của tòa án
• Yêu cầu chính thức từ cơ quan thực thi pháp luật
• Để bảo vệ tính mạng hoặc thân thể trong tình huống khẩn cấp

---

8. Quyền của người dùng

8.1 Quyền của tất cả người dùng

• Quyền truy cập: quyền kiểm tra thông tin cá nhân của mình
• Quyền chỉnh sửa: quyền sửa thông tin sai
• Quyền xóa: quyền xóa thông tin cá nhân
• Quyền phản đối: quyền phản đối việc xử lý thông tin cá nhân

8.2 Các quyền bổ sung của cư dân EU (đối tượng GDPR)

• Quyền di chuyển dữ liệu: quyền nhận thông tin cá nhân dưới dạng có thể đọc bằng máy và chuyển sang dịch vụ khác
• Quyền hạn chế xử lý: quyền hạn chế việc xử lý trong một số tình huống nhất định
• Quyền phản đối quyết định tự động, bao gồm cả profiling

8.3 Các quyền bổ sung của cư dân California (đối tượng CCPA)

• Quyền được biết: quyền biết các danh mục và thông tin cụ thể của dữ liệu cá nhân được thu thập
• Quyền xóa: quyền yêu cầu xóa thông tin cá nhân
• Quyền từ chối bán: quyền từ chối việc bán thông tin cá nhân (Trang web này không bán thông tin cá nhân)
• Quyền không bị phân biệt đối xử: quyền không bị phân biệt đối xử về dịch vụ vì đã thực hiện quyền của mình

8.4 Cách thực hiện quyền

Để thực hiện các quyền này, vui lòng nộp yêu cầu thông qua biểu mẫu liên hệ.

Thời gian xử lý:

• Yêu cầu thông thường: xử lý trong vòng 30 ngày
• Yêu cầu phức tạp: tối đa 60 ngày (sẽ thông báo trước nếu gia hạn)

---

9. Thời gian lưu giữ dữ liệu

| Loại dữ liệu | Thời gian lưu giữ | | ------------------------------------ | ---------------------------------------------------------------------- | | Thông tin đăng ký danh sách chờ | Cho đến khi hủy qua liên kết hủy, hoặc 90 ngày sau khi magazine được phát hành | | Hồ sơ liên quan đến mua và thanh toán nội dung có phí | Trong thời hạn cần thiết theo pháp luật và cho mục đích kế toán, thuế (xóa những dữ liệu không cần thiết sau khi hết thời hạn) | | Nội dung liên hệ | Tối đa 1 năm sau khi hoàn tất xử lý | | Nhật ký truy cập | Tối đa 90 ngày | | Dữ liệu sao lưu | Tối đa 180 ngày | | Cookie | Khác nhau tùy từng cookie (xem ở trên) |

Lưu giữ để tuân thủ pháp luật: Chỉ khi có thông tin cần phải lưu giữ do nghĩa vụ pháp lý cụ thể, chẳng hạn như hồ sơ liên quan đến thuế, chúng tôi mới lưu giữ trong thời hạn do pháp luật quy định.

---

10. Bảo mật dữ liệu

Trang web này áp dụng các biện pháp kỹ thuật và tổ chức sau để bảo vệ thông tin cá nhân khỏi truy cập trái phép, mất mát, phá hủy và giả mạo:

10.1 Biện pháp kỹ thuật

• Mã hóa SSL/TLS: mã hóa toàn bộ liên lạc bằng HTTPS
• Cập nhật bảo mật định kỳ

10.2 Biện pháp tổ chức

• Quản lý nghiêm ngặt quyền truy cập
• Thiết lập kế hoạch ứng phó sự cố bảo mật

10.3 Ứng phó khi xảy ra vi phạm dữ liệu

Nếu chẳng may xảy ra rò rỉ thông tin cá nhân:

1. Báo cáo cho cơ quan giám sát trong vòng 72 giờ (theo yêu cầu của GDPR)
2. Thông báo trực tiếp cho người dùng bị ảnh hưởng trong trường hợp rủi ro cao
3. Điều tra nguyên nhân và thực hiện biện pháp ngăn ngừa tái diễn

---

11. Thông tin cá nhân của trẻ em

Trang web này không phải là dịch vụ dành cho trẻ em dưới 13 tuổi (đối với cư dân EU là dưới 16 tuổi). Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ em dưới 13 tuổi (đối với cư dân EU là dưới 16 tuổi).

Nếu phát hiện rằng trẻ em dưới 13 tuổi đã cung cấp thông tin cá nhân cho Trang web này, chúng tôi sẽ nhanh chóng xóa thông tin đó.

Nếu bạn là phụ huynh và cho rằng con mình đã cung cấp thông tin cá nhân cho Trang web này, vui lòng liên hệ ngay với chúng tôi.

---

12. Thay đổi Chính sách quyền riêng tư

Trang web này có thể cập nhật Chính sách này theo thời gian, theo thay đổi của pháp luật hoặc do cải thiện dịch vụ.

12.1 Cách thông báo thay đổi

• Thông báo trên trang web

12.2 Hiệu lực của thay đổi

Chính sách sau khi thay đổi sẽ có hiệu lực tại thời điểm được đăng trên trang web. Việc tiếp tục sử dụng dịch vụ được xem như là bạn đã đồng ý với Chính sách sau khi thay đổi.

---

13. Dành cho cư dân EU (tuân thủ GDPR)

13.1 Bên kiểm soát dữ liệu

Đơn vị vận hành Trang web này là bên kiểm soát dữ liệu đối với thông tin cá nhân của bạn.

13.2 Đại diện tại EU (GDPR Điều 27)

Như Trang web này có trụ sở ngoài EU, việc dữ liệu cá nhân được gửi ra ngoài EU (ví dụ: Mỹ) thông qua máy chủ hoặc đơn vị xử lý thanh toán (chuyển xuyên biên giới) là có thể xảy ra. Theo GDPR, vấn đề này chủ yếu được xếp vào Chương V (các bảo đảm cho việc chuyển dữ liệu như quyết định đầy đủ mức bảo vệ, điều khoản hợp đồng tiêu chuẩn, v.v.).

Mặt khác, việc bổ nhiệm “đại diện trong EU” theo Điều 27 (còn gọi là đại diện EU) không chỉ vì lý do “có chuyển dữ liệu xuyên biên giới”. Đó là một quy định riêng, theo đó nếu bên kiểm soát dữ liệu ngoài EU xử lý dữ liệu cá nhân trong bối cảnh cung cấp hàng hóa/dịch vụ liên tục cho người trong EU, thì khi đáp ứng các yêu cầu pháp lý, có thể được yêu cầu bổ nhiệm đại diện.

Hiện tại, Trang web này chưa có đại diện EU. Khi việc sử dụng của cư dân EU trở nên liên tục và ở quy mô nhất định, và chúng tôi xác định cần tuân thủ Điều 27, chúng tôi sẽ phản hồi bằng cách thông báo trong Chính sách này hoặc các thông báo liên quan khác. Về các đánh giá pháp lý cụ thể, nếu cần, vui lòng tham khảo ý kiến chuyên gia.

13.3 Khiếu nại lên cơ quan giám sát

Nếu có khiếu nại liên quan đến GDPR, bạn có thể nộp đơn lên cơ quan giám sát bảo vệ dữ liệu của quốc gia nơi bạn sinh sống.

Cơ quan bảo vệ dữ liệu chính của EU:

• Đức: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
• Pháp: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Danh sách cơ quan giám sát của từng quốc gia

---

14. Dành cho cư dân California (tuân thủ CCPA) {#ccpa-rights}

14.1 Về việc bán và chia sẻ thông tin cá nhân

Thông báo quan trọng: Trang web này không bán thông tin cá nhân.

Trang web này không thực hiện các việc sau:

• Bán thông tin cá nhân cho bên thứ ba để đổi lấy khoản thanh toán bằng tiền
• “Chia sẻ” theo định nghĩa của CCPA (tiết lộ thông tin cá nhân cho mục đích quảng cáo hành vi liên ngữ cảnh)

Về việc cung cấp cho bên thứ ba:

Thông tin cá nhân mà Trang web này chia sẻ với các nhà cung cấp dịch vụ (nhà cung cấp đám mây, dịch vụ phân tích, v.v.) chỉ giới hạn trong phạm vi cần thiết để cung cấp dịch vụ, và các nhà cung cấp dịch vụ này hoạt động theo các thỏa thuận bảo vệ dữ liệu nghiêm ngặt. Việc chia sẻ này không thuộc phạm vi “bán” hay “chia sẻ” theo định nghĩa của CCPA.

14.2 Hỗ trợ Global Privacy Control (GPC)

Trang web này tự động nhận diện và tôn trọng tín hiệu Global Privacy Control (GPC).

GPC là gì:

• Tín hiệu được gửi thông qua trình duyệt hoặc tiện ích mở rộng của trình duyệt
• Thể hiện ý muốn của người dùng rằng “không bán hoặc chia sẻ thông tin cá nhân của tôi”
• Việc xử lý này được luật bang California (CCPA) yêu cầu

Phản hồi của Trang web này:

• Khi truy cập Trang web này bằng trình duyệt có bật GPC, cookie phân tích sẽ tự động bị vô hiệu hóa
• Không hiển thị banner, và ngay lập tức áp dụng cài đặt ưu tiên quyền riêng tư

Cách thiết lập GPC:

• Trình duyệt hỗ trợ: Brave, Firefox (tiện ích mở rộng), DuckDuckGo, v.v.
• Xem thêm: https://globalprivacycontrol.org/

14.3 Thực hiện quyền theo luật California

Bạn có thể thực hiện quyền của mình theo phương thức được nêu ở Điều 8 của Chính sách này.

Các quyền đặc biệt của cư dân California:

• Quyền được biết: danh mục và thông tin cụ thể của thông tin cá nhân được thu thập trong 12 tháng qua
• Quyền xóa: yêu cầu xóa thông tin cá nhân mà Trang web này đang nắm giữ
• Quyền từ chối bán (Trang web này không bán)
• Quyền không bị phân biệt đối xử: chất lượng dịch vụ không bị giảm vì đã thực hiện quyền của mình

Cách thực hiện quyền:

Vui lòng nộp yêu cầu qua biểu mẫu liên hệ.

Thời gian xử lý: Trong vòng 45 ngày (nếu phức tạp, tối đa 90 ngày, sẽ thông báo trước khi gia hạn)

---

15. Đăng ký và hủy đăng ký danh sách chờ

15.1 Về việc đăng ký

Danh sách chờ của premium magazine là dịch vụ mà người dùng có nhu cầu nhận thông báo khi magazine được phát hành có thể tự nguyện đăng ký. Khi đăng ký, chỉ cần địa chỉ email.

Việc đăng ký vào danh sách chờ xử lý thông tin cá nhân dựa trên cơ sở pháp lý sau (GDPR Article 6(1)(a)):

• Sự đồng ý: được xem là đã đồng ý khi người dùng tự nguyện nhập địa chỉ email và nhấn nút đăng ký.

15.2 Về email thông báo

Sau khi đăng ký, chúng tôi có thể gửi các email sau:

• Email xác nhận đăng ký
• Email thông báo phát hành magazine

Chúng tôi không gửi bất kỳ email spam nào. Chúng tôi chỉ liên hệ để thông báo khi magazine được phát hành.

15.3 Cách hủy

Bạn có thể hủy danh sách chờ bất cứ lúc nào:

1. Liên kết hủy trong email: nhấp vào liên kết “hủy nhận” trong email đã nhận
2. Biểu mẫu liên hệ: liên hệ qua biểu mẫu liên hệ để yêu cầu hủy

Sau khi hủy, thông tin đăng ký sẽ được xóa nhanh chóng.

---

16. Xử lý dành cho người mua premium magazine (liên kết thanh toán và xác thực)

16.1 Mua hàng và thanh toán

Khi mua nội dung có phí, địa chỉ email, nội dung mua, mã định danh giao dịch do đơn vị xử lý thanh toán phát hành, v.v. sẽ được xử lý để thực hiện hợp đồng và tuân thủ pháp luật. Về nguyên tắc, số thẻ tín dụng, v.v. sẽ được xử lý trong hệ thống của đơn vị xử lý thanh toán, và chúng tôi không lưu chúng trên máy chủ của Trang web này.

16.2 Liên kết xác thực

Đối với người dùng có quyền xem, chúng tôi có thể gửi một URL đăng nhập dùng một lần đến địa chỉ email của họ. Điều này nhằm áp dụng phương thức xác thực mà chúng tôi không lưu giữ mật khẩu thường trực. Thời hạn hiệu lực của liên kết và quy trình cấp lại sẽ tuân theo email liên quan và hướng dẫn trên trang web.

16.3 Dịch vụ của bên thứ ba

Vui lòng xem Điều 7 của Chính sách này và chính sách quyền riêng tư của từng nhà cung cấp để biết chi tiết về các xử lý như thanh toán, xác thực/cơ sở dữ liệu và gửi email.

---

17. Luật áp dụng và thẩm quyền

17.1 Luật áp dụng

Việc giải thích và áp dụng Chính sách này sẽ tuân theo pháp luật Nhật Bản.

Tuy nhiên, các quy định pháp luật sau có thể được áp dụng ưu tiên:

• Đối với cư dân EU: Quy định chung về bảo vệ dữ liệu của EU (GDPR)
• Đối với cư dân California: Đạo luật quyền riêng tư của người tiêu dùng California (CCPA)
• Ngoài ra, các quy định bắt buộc tại nơi cư trú của người dùng

17.2 Tòa án có thẩm quyền

Mọi tranh chấp liên quan đến Chính sách này sẽ thuộc thẩm quyền xét xử sơ thẩm độc quyền của Tòa án khu vực Tokyo.

Tuy nhiên, nếu thẩm quyền của tòa án khác được ưu tiên theo quy định bắt buộc của pháp luật, điều này sẽ không áp dụng.