Bỏ qua đến nội dung chính
Onepass

Chính sách Bảo mật Onepass

Cập nhật lần cuối: ngày 17 tháng 05 năm 2026

Chính sách Bảo mật này ("Chính sách") giải thích cách Onepass thu thập, sử dụng, lưu trữ, chia sẻ, chuyển giao và bảo vệ dữ liệu cá nhân khi cá nhân hoặc tổ chức truy cập hoặc sử dụng website, ứng dụng, nền tảng marketplace, hệ thống OneTicket, API, dashboard, công cụ check-in, các sản phẩm event technology và các dịch vụ liên quan do Onepass cung cấp (gọi chung là "Dịch vụ").

Bằng việc truy cập hoặc sử dụng Dịch vụ, bạn xác nhận rằng bạn đã đọc, hiểu Chính sách này và đồng ý với cách xử lý dữ liệu được mô tả tại đây, trong phạm vi pháp luật cho phép.

Điều 1. Phạm vi áp dụng

1.1. Chính sách này áp dụng đối với dữ liệu cá nhân mà Onepass thu thập hoặc xử lý liên quan đến:

• Người truy cập website hoặc ứng dụng.

• Buyer / Attendee / Fan.

• Organizer.

• Venue.

• Khách hàng sử dụng OneTicket theo mô hình self-service hoặc enterprise.

• Đối tác, nhà cung cấp, người liên hệ bán hàng, người gửi yêu cầu hỗ trợ.

• Cá nhân khác tương tác với Onepass trong quá trình sử dụng Dịch vụ.

1.2. Chính sách này không tự động áp dụng cho:

• Dữ liệu bạn cung cấp trực tiếp cho Organizer ngoài hệ thống Onepass.

• Website, ứng dụng, nền tảng hoặc dịch vụ của bên thứ ba không do Onepass kiểm soát.

• Cách Organizer, Venue hoặc đối tác khác xử lý dữ liệu sau khi họ nhận dữ liệu từ Onepass hoặc từ bạn, trừ khi pháp luật hoặc thỏa thuận áp dụng quy định khác.

Điều 2. Giải thích từ ngữ

2.1. "Dữ liệu cá nhân" là thông tin dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một cá nhân xác định hoặc giúp xác định một cá nhân cụ thể.

2.2. "Chủ thể dữ liệu" là cá nhân mà dữ liệu cá nhân phản ánh.

2.3. "Organizer" là tổ chức/cá nhân tạo, quản lý hoặc vận hành Sự kiện thông qua Onepass hoặc OneTicket.

2.4. "Venue" là đơn vị quản lý hoặc vận hành địa điểm diễn ra Sự kiện.

2.5. "Consumer Data" là dữ liệu liên quan đến buyer/attendee/fan phát sinh từ việc đăng ký, mua vé, tham gia sự kiện, check-in hoặc tương tác với Dịch vụ.

2.6. "Xử lý dữ liệu" bao gồm một hoặc nhiều hoạt động thu thập, ghi nhận, phân tích, lưu trữ, chỉnh sửa, truyền đưa, chia sẻ, kết hợp, khóa, xóa hoặc hoạt động khác tác động đến dữ liệu cá nhân.

Điều 3. Dữ liệu cá nhân chúng tôi thu thập

3.1. Dữ liệu bạn cung cấp trực tiếp

Onepass có thể thu thập các loại dữ liệu sau khi bạn đăng ký tài khoản, mua vé, tạo sự kiện, điền form hoặc liên hệ với chúng tôi:

• Họ và tên.

• Email.

• Số điện thoại.

• Địa chỉ.

• Ngày sinh hoặc độ tuổi, nếu cần cho điều kiện sự kiện.

• Thông tin tài khoản đăng nhập.

• Thông tin thanh toán hoặc thông tin nhận tiền.

• Dữ liệu KYC/KYB, thông tin định danh, giấy tờ pháp lý.

• Thông tin hóa đơn, mã số thuế nếu có.

• Nội dung trao đổi với bộ phận hỗ trợ.

• Thông tin do bạn nhập vào form đăng ký sự kiện, seat selection, khảo sát, waitlist hoặc biểu mẫu tùy chỉnh.

3.2. Dữ liệu được thu thập tự động

Khi bạn truy cập hoặc sử dụng Dịch vụ, Onepass có thể tự động thu thập:

• Địa chỉ IP.

• Loại thiết bị, hệ điều hành, loại trình duyệt.

• Device identifiers.

• Log data, crash data.

• Thời gian truy cập, hành vi click, page views, session information.

• Từ khóa tìm kiếm, trang đã xem, nguồn truy cập.

• Dữ liệu kỹ thuật từ cookies, pixels, SDKs, local storage và công nghệ tương tự.

3.3. Dữ liệu từ Organizer hoặc Venue

Nếu bạn mua vé hoặc đăng ký tham gia sự kiện, Organizer hoặc Venue có thể thu thập thêm dữ liệu thông qua Onepass như:

• Thông tin check-in.

• Hạng vé, seat number, quyền lợi.

• Câu trả lời khảo sát hoặc custom registration fields.

• Lịch sử vào cửa hoặc sử dụng quyền tham gia.

• Thông tin hỗ trợ tại sự kiện.

3.4. Dữ liệu từ bên thứ ba

Onepass có thể nhận dữ liệu từ:

• Payment Processors và tổ chức tài chính.

• Nhà cung cấp social login.

• Đối tác marketing, fraud prevention và analytics.

• Nhà cung cấp tích hợp CRM, email, SMS, venue systems.

• Nguồn công khai hợp pháp hoặc cơ sở dữ liệu được phép sử dụng.

Điều 4. Mục đích xử lý dữ liệu

Onepass có thể xử lý dữ liệu cá nhân cho các mục đích sau:

4.1. Cung cấp và duy trì Dịch vụ

Tạo và quản lý tài khoản.

Xử lý đơn hàng, vé, đăng ký, check-in, payout hoặc quản trị sự kiện.

Cấu hình seatmap, phân quyền người dùng, lịch sử giao dịch và vận hành nền tảng.

4.2. Hỗ trợ khách hàng và vận hành

Trả lời yêu cầu hỗ trợ.

Xử lý lỗi hệ thống, tranh chấp, khiếu nại.

Xác minh danh tính hoặc giao dịch.

4.3. Phân tích, cải tiến và phát triển sản phẩm

Phân tích hành vi sử dụng.

Đo lường hiệu suất tính năng.

Cải thiện trải nghiệm người dùng, bảo mật và tính ổn định hệ thống.

4.4. Phòng chống gian lận và quản trị rủi ro

Phát hiện bot, scraping, chargeback abuse.

Đánh giá rủi ro giao dịch, organizer hoặc event.

Bảo vệ nền tảng, người dùng và đối tác thanh toán.

4.5. Marketing và communications

Gửi email, SMS hoặc thông báo giao dịch.

Gửi bản tin, ưu đãi, nội dung marketing của Onepass nếu có căn cứ phù hợp.

Hỗ trợ Organizer gửi communications liên quan đến event trong phạm vi được phép.

4.6. Tuân thủ pháp luật

Lưu trữ hồ sơ.

Đáp ứng yêu cầu từ cơ quan nhà nước, ngân hàng, tổ chức thanh toán.

Thực hiện nghĩa vụ thuế, kế toán, kiểm toán và tuân thủ.

Điều 5. Căn cứ xử lý dữ liệu

Onepass có thể xử lý dữ liệu cá nhân dựa trên một hoặc nhiều căn cứ sau:

5.1. Sự đồng ý của chủ thể dữ liệu khi pháp luật yêu cầu hoặc khi Onepass dựa vào lựa chọn chủ động của bạn.

5.2. Việc cần thiết để giao kết hoặc thực hiện hợp đồng hoặc cung cấp Dịch vụ mà bạn yêu cầu, ví dụ xử lý mua vé, xác nhận đăng ký, vận hành tài khoản hoặc triển khai SaaS.

5.3. Nghĩa vụ pháp lý mà Onepass phải tuân thủ, như lưu trữ hồ sơ giao dịch, phản hồi cơ quan chức năng hoặc xử lý yêu cầu pháp lý.

5.4. Lợi ích hợp pháp của Onepass hoặc bên liên quan, chẳng hạn như bảo mật hệ thống, phòng chống gian lận, cải thiện sản phẩm, quản trị rủi ro và bảo vệ quyền lợi hợp pháp của các bên, trong phạm vi pháp luật cho phép.

Điều 6. Chia sẻ dữ liệu cá nhân

6.1. Chia sẻ với Organizer

Khi bạn mua vé, đăng ký, tham gia waitlist, điền form, check-in hoặc tương tác với một Sự kiện, Onepass có thể chia sẻ dữ liệu liên quan với Organizer của Sự kiện đó để phục vụ việc tổ chức, quản trị, hỗ trợ khách hàng, kiểm soát vào cửa, liên hệ liên quan đến event hoặc các mục đích hợp pháp khác.

6.2. Chia sẻ với Venue hoặc đối tác vận hành

Onepass có thể chia sẻ dữ liệu cần thiết với Venue hoặc đối tác được ủy quyền để hỗ trợ:

• Check-in.

• Admission control.

• Seat assignment.

• Hỗ trợ onsite.

• Dịch vụ hậu cần hoặc an ninh của sự kiện.

6.3. Chia sẻ với nhà cung cấp dịch vụ

Onepass có thể chia sẻ dữ liệu với các service providers hỗ trợ:

• Hosting, cloud, CDN.

• Payment processing.

• Gửi email, SMS, thông báo.

• Customer support.

• Analytics, anti-fraud, monitoring.

• Backup, security, compliance hoặc hạ tầng tích hợp.

• 6.4.

6.5. Chia sẻ theo yêu cầu pháp luật hoặc để bảo vệ quyền lợi hợp pháp

Onepass có thể tiết lộ dữ liệu khi cần thiết để:

• Tuân thủ yêu cầu pháp lý.

• Thực thi điều khoản, chính sách.

• Bảo vệ quyền, tài sản, an toàn của Onepass, người dùng, đối tác hoặc cộng đồng.

Điều 7. Vai trò xử lý dữ liệu

7.1. Tùy theo bản chất dịch vụ, mục đích xử lý và mối quan hệ hợp đồng áp dụng, Onepass, Organizer, Venue hoặc đối tác liên quan có thể đóng vai trò là:

• Bên kiểm soát dữ liệu độc lập.

• Bên xử lý dữ liệu.

• Đồng kiểm soát dữ liệu.

• Hoặc bên nhận dữ liệu trong phạm vi được phép. Cách tiếp cận linh hoạt này phù hợp hơn với mô hình marketplace + SaaS + enterprise so với việc ấn định cứng một vai trò duy nhất.

7.2. Trong nhiều trường hợp:

• Onepass xử lý dữ liệu tài khoản, dữ liệu nền tảng, dữ liệu kỹ thuật và dữ liệu giao dịch để cung cấp Dịch vụ.

• Organizer xử lý dữ liệu attendee liên quan đến Sự kiện của mình.

• Venue có thể nhận dữ liệu cần thiết cho admission hoặc vận hành sự kiện.

7.3. Nếu pháp luật hoặc hợp đồng yêu cầu, vai trò dữ liệu cụ thể sẽ được mô tả chi tiết hơn tại Data Processing Addendum (DPA), hợp đồng dịch vụ hoặc phụ lục dữ liệu.

Điều 8. Chuyển dữ liệu xuyên biên giới

8.1. Tùy kiến trúc hệ thống và mô hình dịch vụ, dữ liệu cá nhân có thể được lưu trữ hoặc xử lý tại Việt Nam hoặc ở quốc gia khác nơi Onepass, Affiliate, nhà cung cấp dịch vụ hoặc đối tác công nghệ của Onepass hoạt động.

8.2. Khi thực hiện chuyển dữ liệu xuyên biên giới, Onepass sẽ áp dụng các biện pháp phù hợp theo pháp luật hiện hành, bao gồm điều khoản hợp đồng, tiêu chuẩn bảo mật, cơ chế quản trị dữ liệu hoặc biện pháp bảo vệ hợp lý khác.

Điều 9. Cookies và công nghệ tương tự

9.1. Onepass có thể sử dụng cookies, pixels, SDKs, local storage, tags hoặc công nghệ tương tự để:

• Duy trì phiên đăng nhập.

• Ghi nhớ lựa chọn người dùng.

• Phân tích hiệu quả sử dụng.

• Hỗ trợ marketing và remarketing.

• Phòng chống gian lận và tăng cường bảo mật.

9.2. Bạn có thể điều chỉnh trình duyệt hoặc thiết bị để từ chối một số cookies; tuy nhiên, việc đó có thể làm ảnh hưởng đến chức năng của Dịch vụ.

9.3. Onepass có thể ban hành Cookie Policy riêng để giải thích chi tiết hơn về loại cookie, thời hạn và lựa chọn của người dùng.

Điều 10. Marketing và lựa chọn của bạn

10.1. Onepass có thể gửi:

• Transactional communications như vé, xác nhận đơn hàng, thông báo check-in, cập nhật sự kiện.

• Service communications như thay đổi điều khoản, sự cố hệ thống, thông báo tài khoản.

• Marketing communications như newsletter, ưu đãi hoặc giới thiệu sản phẩm, nếu có căn cứ phù hợp.

10.2. Bạn có thể hủy đăng ký nhận marketing communications bằng cách sử dụng liên kết unsubscribe, thay đổi cài đặt tài khoản hoặc liên hệ với Onepass.

10.3. Việc hủy đăng ký marketing không áp dụng với các thông báo giao dịch hoặc thông báo hệ thống cần thiết.

Điều 11. Bảo mật dữ liệu

11.1. Onepass áp dụng các biện pháp kỹ thuật, tổ chức và vận hành hợp lý để bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, mất mát, tiết lộ, thay đổi hoặc phá hủy.

11.2. Các biện pháp này có thể bao gồm:

• Phân quyền truy cập.

• Mã hóa hoặc pseudonymization khi phù hợp.

• Giám sát hệ thống.

• Sao lưu và phục hồi dữ liệu.

• Kiểm soát nội bộ và đào tạo nhân sự.

• Thẩm định nhà cung cấp dịch vụ.

11.3. Tuy nhiên, không có hệ thống, hạ tầng mạng hoặc phương thức truyền dữ liệu nào an toàn tuyệt đối;

Điều 12. Lưu trữ dữ liệu

12.1. Onepass lưu trữ dữ liệu cá nhân trong thời gian cần thiết để:

• Cung cấp Dịch vụ.

• Duy trì tài khoản.

• Thực hiện giao dịch và nghĩa vụ hậu giao dịch.

• Đáp ứng nghĩa vụ pháp lý, kế toán, thuế, kiểm toán.

• Giải quyết tranh chấp, khiếu nại, chargeback và điều tra gian lận.

12.2. Thời gian lưu trữ cụ thể có thể phụ thuộc vào:

• Loại dữ liệu.

• Vai trò dữ liệu của Onepass.

• Mô hình dịch vụ.

• Yêu cầu pháp luật hoặc hợp đồng.

• Mức độ cần thiết cho quyền và lợi ích hợp pháp của Onepass.

12.3. Sau khi hết thời hạn lưu trữ cần thiết, dữ liệu có thể được xóa, ẩn danh, pseudonymize hoặc lưu trữ giới hạn theo chính sách nội bộ và pháp luật áp dụng.

Điều 13. Quyền của chủ thể dữ liệu

13.1. Tùy theo pháp luật áp dụng, bạn có thể có một hoặc nhiều quyền sau:

• Quyền được biết.

• Quyền truy cập dữ liệu.

• Quyền yêu cầu chỉnh sửa, cập nhật dữ liệu.

• Quyền rút lại sự đồng ý trong một số trường hợp.

• Quyền yêu cầu xóa hoặc hủy dữ liệu.

• Quyền yêu cầu hạn chế xử lý.

• Quyền phản đối một số hình thức xử lý.

• Quyền yêu cầu cung cấp bản sao dữ liệu hoặc chuyển dữ liệu nếu pháp luật cho phép.

13.2. Onepass có thể yêu cầu bạn xác minh danh tính trước khi xử lý yêu cầu nhằm bảo vệ dữ liệu và quyền của chủ thể dữ liệu.

13.3. Trong một số trường hợp, Onepass có thể từ chối hoặc giới hạn yêu cầu nếu:

• Pháp luật cho phép hoặc yêu cầu lưu giữ dữ liệu.

• Dữ liệu liên quan đến quyền và lợi ích hợp pháp của bên khác.

• Yêu cầu không thể thực hiện hợp lý về mặt kỹ thuật hoặc vận hành.

• Dữ liệu nằm trong phạm vi Organizer hoặc bên thứ ba đã nhận trước đó.

13.4. Nếu bạn là Attendee, cần lưu ý rằng dữ liệu đã được chia sẻ cho Organizer trước thời điểm Onepass xử lý yêu cầu xóa có thể vẫn được Organizer lưu giữ theo chính sách riêng của họ;

Điều 14. Dữ liệu của trẻ em

14.1. Onepass không cố ý thu thập dữ liệu cá nhân của trẻ em trái với quy định pháp luật hiện hành.

14.2. Nếu phát hiện dữ liệu được cung cấp trái quy định, Onepass có thể thực hiện các biện pháp như xóa dữ liệu, hạn chế tài khoản hoặc yêu cầu xác minh sự đồng ý của cha mẹ/người giám hộ theo quy định.

Điều 15. Liên kết và dịch vụ bên thứ ba

15.1. Dịch vụ có thể chứa liên kết đến website, ứng dụng hoặc nền tảng của bên thứ ba.

15.2. Onepass không chịu trách nhiệm đối với nội dung, bảo mật hoặc thực tiễn xử lý dữ liệu của các bên thứ ba đó.

Điều 16. Cập nhật Chính sách

16.1. Onepass có quyền sửa đổi, cập nhật hoặc bổ sung Chính sách này theo từng thời điểm để phản ánh thay đổi của pháp luật, mô hình dịch vụ, công nghệ hoặc yêu cầu quản trị.

16.2. Phiên bản cập nhật sẽ được đăng tải trên website, ứng dụng hoặc được thông báo bằng phương thức phù hợp.

16.3. Trừ khi được quy định khác, phiên bản cập nhật có hiệu lực kể từ ngày được công bố hoặc từ ngày được ghi trong Chính sách.

Điều 17. Liên hệ

Nếu bạn có câu hỏi, yêu cầu hoặc khiếu nại liên quan đến Chính sách này hoặc việc xử lý dữ liệu cá nhân, vui lòng liên hệ:

Privacy Officer – Onepass

Email: privacy@onepass.vn