Privacy Policy

Effective date: March 16, 2026

1. Introduction

SpaMngr is an invite-only mobile application for spa management. It is used by spa owners and their staff to coordinate rooms, sessions, schedules, and employee records. Access requires an invitation from a spa administrator.

In this Privacy Policy, "SpaMngr," "we," "us," and "our" refer to the operator of the SpaMngr application.

This Privacy Policy explains what personal data we collect, why we collect it, how we use and protect it, when it may be disclosed, and what rights and choices may be available to you under applicable law.

2. Data We Collect

We collect the personal data reasonably necessary to provide and operate the SpaMngr service:

• Account data — your email address and display name, provided when you register or accept an invitation.
• Device tokens — push notification identifiers (FCM tokens) used to deliver session reminders and alerts to your device.
• Usage data — work check-ins and check-outs, session records (room assignments, start/end times), vacation requests, and calendar appointments within your spa.

We do not collect payment information, health information, or browsing history.

3. How We Use Your Data

Your data is used solely to operate the SpaMngr application:

• Authenticate you and manage your membership in your spa.
• Display real-time room status and session information to your team.
• Send push notifications for session reminders, vacation approvals, and other in-app events.
• Generate work reports and shift summaries for spa managers and owners.

We do not sell your personal data, share it for cross-context behavioral advertising, or use it for advertising purposes.

4. Legal Basis for Processing

We process your personal data on the following legal bases:

• Contract performance — processing is necessary to provide the SpaMngr service you have agreed to use.
• Legitimate interests — operating, securing, maintaining, and improving the service, including error monitoring, fraud prevention, and service reliability.
• Consent — for optional features such as push notifications, where your explicit permission is requested.

5. Data Sharing and Disclosure

We do not sell or rent your personal data. We may share data only in the following limited circumstances:

• Within your spa — your display name, role, check-in status, and session activity are visible to other members of your spa team as required for the app to function.
• Service providers — we use third-party service providers, including Google Firebase for infrastructure, Sentry for error reporting, and BetterStack for development and staging log aggregation as described below. These providers process personal data only as reasonably necessary to provide services to us.
• Legal requirements — we may disclose data if required by law, court order, or to protect the rights and safety of users.

6. Data Storage and Security

We use infrastructure provided by our service providers, including Google Firebase, to store and process app data. Personal data may be processed in the United States and other countries where those providers operate.

We implement access controls, Firestore security rules, and Cloud Function authorization to ensure that each user can only access data they are permitted to view within their spa.

7. Third-Party Services

SpaMngr uses the following third-party services:

• Google Firebase — authentication, database storage, and server-side functions. See Google's Privacy Policy.
• Sentry — crash and error reporting used to identify and fix bugs. We configure Sentry to reduce the amount of personal data included in diagnostic reports. See Sentry's Privacy Policy.
• BetterStack — log aggregation used in staging and development environments only. Not active in production builds distributed via the App Store. See BetterStack's Privacy Policy.
• Resend — email delivery used to send account verification and password reset emails. Your email address is transmitted to Resend solely for email delivery purposes. See Resend's Privacy Policy.

8. Data Retention

Your data is retained for as long as you have an active account. Session history is kept for reporting purposes even after a session ends.

If you delete your account, we delete or anonymize personal data associated with your account, including your profile, memberships, vacation requests, and notification-related records, except where limited retention is reasonably necessary for legal compliance, security, fraud prevention, dispute resolution, or internal recordkeeping.

Session service records: Session records (room assignments, service timestamps, and therapist display name snapshots) are retained by the spa operator as historical business records even after a user account is deleted. These records form the basis of monthly work reports and attendance summaries. After account deletion, the record is pseudonymized — the user's account no longer exists, but a snapshot of the display name at the time of the service may remain in the session record. If you have questions about session records retained after account deletion, contact us at contact@spamngr.cloud.

9. Your Rights

Depending on your location and applicable law, you may have rights regarding your personal data, including rights to request access, correction, deletion, or other rights available under applicable law.

• Access — you may request information about the personal data we hold about you.
• Correction — where available, you may update your display name and email address in the app, or contact us to request correction.
• Deletion — you may delete your account in Settings → Account → Delete Account.
• Consent withdrawal — where processing is based on consent, such as device permissions for notifications, you may withdraw consent at any time through your device settings.

To exercise privacy-related rights, contact us at contact@spamngr.cloud. We may need to verify your identity before processing certain requests.

10. California Privacy Notice

If you are a California resident, you may have rights under California law regarding your personal information, including the right to know what personal information we collect and how we use and disclose it, the right to request correction of inaccurate personal information, and the right to request deletion of personal information, subject to applicable exceptions. California law also protects consumers from unlawful discrimination for exercising applicable privacy rights.

In the last 12 months, depending on how the app is configured and used, we may have collected the following categories of personal information:

• identifiers, such as email address, display name, and device notification tokens;
• usage or operational information associated with check-ins, schedules, sessions, vacation requests, and related spa management activity;
• diagnostic information associated with app errors, crashes, and service reliability.

We collect personal information directly from you, automatically from your device and app usage, and from your spa administrator or spa configuration. We collect and use this information to provide and operate the app, manage accounts and spa membership, send notifications, support spa operations, maintain security, and improve service reliability.

We may disclose these categories of personal information to:

• service providers that assist with authentication, hosting, storage, notifications, backend operations, diagnostics, and security; and
• authorized personnel within your spa, where necessary for the service to function.

We do not sell personal information.

We do not share personal information for cross-context behavioral advertising.

We do not use sensitive personal information for purposes other than providing and operating the app's requested features.

California residents may submit privacy-related requests by contacting us at contact@spamngr.cloud.

11. Push Notifications

SpaMngr uses Firebase Cloud Messaging (FCM) to deliver push notifications for session reminders, vacation approvals, and other in-app events. You can disable push notifications at any time through your device's system settings. Disabling notifications will not affect your ability to use the app.

12. Vietnamese Users

SpaMngr respects Vietnamese personal data protection laws applicable to users in Vietnam. Vietnamese users may exercise their rights to access, correct, or request deletion of their personal data by contacting us at contact@spamngr.cloud.

Please note that personal data may be processed through infrastructure operated by our service providers, including in the United States and other countries where they operate. Personal data may be processed outside of Vietnam through infrastructure operated by our service providers, subject to applicable law.

13. Children's Privacy

SpaMngr is not directed at children under the age of 13. We do not knowingly collect personal data from children. If you believe a child has provided us with personal data, please contact us and we will delete it promptly.

14. Changes to This Policy

We may update this Privacy Policy from time to time. When we do, we will update the effective date at the top of this page and post the revised version here. We encourage you to review this policy periodically.

15. Cookies and Tracking

The SpaMngr mobile app does not use cookies. The SpaMngr website (this page) does not use tracking cookies or third-party analytics scripts. We do not track users' activities across third-party websites or online services for behavioral advertising purposes through this website.

16. Contact

If you have questions about this Privacy Policy or your personal data, please contact us:

SpaMngr
contact@spamngr.cloud

Ngày có hiệu lực: 16 tháng 3, 2026

1. Giới Thiệu

SpaMngr là ứng dụng di động quản lý spa theo hình thức mời. Ứng dụng được sử dụng bởi chủ spa và nhân viên để phối hợp phòng, ca làm việc, lịch trình và hồ sơ nhân viên. Truy cập vào ứng dụng yêu cầu lời mời từ quản trị viên của spa.

Trong Chính sách Bảo mật này, "SpaMngr," "chúng tôi," "của chúng tôi" đề cập đến nhà vận hành ứng dụng SpaMngr.

Chính sách Bảo mật này giải thích dữ liệu cá nhân nào chúng tôi thu thập, lý do thu thập, cách chúng tôi sử dụng và bảo vệ dữ liệu, khi nào dữ liệu có thể được tiết lộ, và các quyền và lựa chọn có thể có đối với bạn theo luật áp dụng.

2. Dữ Liệu Chúng Tôi Thu Thập

Chúng tôi thu thập dữ liệu cá nhân cần thiết hợp lý để cung cấp và vận hành dịch vụ SpaMngr:

• Dữ liệu tài khoản — địa chỉ email và tên hiển thị của bạn, được cung cấp khi bạn đăng ký hoặc chấp nhận lời mời.
• Token thiết bị — mã định danh thông báo đẩy (FCM token) được sử dụng để gửi nhắc nhở ca làm việc và cảnh báo đến thiết bị của bạn.
• Dữ liệu sử dụng — check-in và check-out, hồ sơ ca làm việc (phân công phòng, thời gian bắt đầu/kết thúc), yêu cầu nghỉ phép và lịch hẹn trong spa của bạn.

Chúng tôi không thu thập thông tin thanh toán, thông tin sức khỏe hoặc lịch sử duyệt web.

3. Cách Chúng Tôi Sử Dụng Dữ Liệu Của Bạn

Dữ liệu của bạn chỉ được sử dụng để vận hành ứng dụng SpaMngr:

• Xác thực danh tính và quản lý tư cách thành viên của bạn trong spa.
• Hiển thị trạng thái phòng và thông tin ca làm việc theo thời gian thực cho nhóm của bạn.
• Gửi thông báo đẩy cho nhắc nhở ca làm việc, phê duyệt nghỉ phép và các sự kiện trong ứng dụng khác.
• Tạo báo cáo làm việc và tóm tắt ca cho quản lý và chủ spa.

Chúng tôi không bán dữ liệu cá nhân của bạn, không chia sẻ dữ liệu cho mục đích quảng cáo hành vi liên ngữ cảnh, và không sử dụng dữ liệu cho mục đích quảng cáo.

4. Cơ Sở Pháp Lý Để Xử Lý

Chúng tôi xử lý dữ liệu cá nhân của bạn trên các cơ sở pháp lý sau:

• Thực hiện hợp đồng — việc xử lý là cần thiết để cung cấp dịch vụ SpaMngr mà bạn đã đồng ý sử dụng.
• Lợi ích hợp pháp — vận hành, bảo mật, duy trì và cải thiện dịch vụ, bao gồm giám sát lỗi, phòng chống gian lận và độ tin cậy của dịch vụ.
• Sự đồng ý — đối với các tính năng tùy chọn như thông báo đẩy, nơi yêu cầu quyền rõ ràng của bạn.

5. Chia Sẻ và Tiết Lộ Dữ Liệu

Chúng tôi không bán hoặc cho thuê dữ liệu cá nhân của bạn. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp hạn chế sau:

• Trong spa của bạn — tên hiển thị, vai trò, trạng thái check-in và hoạt động ca làm việc của bạn được hiển thị cho các thành viên khác trong nhóm spa khi cần thiết để ứng dụng hoạt động.
• Nhà cung cấp dịch vụ — chúng tôi sử dụng các nhà cung cấp dịch vụ bên thứ ba, bao gồm Google Firebase cho cơ sở hạ tầng, Sentry để báo cáo lỗi và BetterStack để tổng hợp nhật ký trong môi trường phát triển và staging như mô tả bên dưới. Các nhà cung cấp này chỉ xử lý dữ liệu cá nhân khi cần thiết hợp lý để cung cấp dịch vụ cho chúng tôi.
• Yêu cầu pháp lý — chúng tôi có thể tiết lộ dữ liệu nếu được yêu cầu theo pháp luật, lệnh tòa án hoặc để bảo vệ quyền và sự an toàn của người dùng.

6. Lưu Trữ và Bảo Mật Dữ Liệu

Chúng tôi sử dụng cơ sở hạ tầng do các nhà cung cấp dịch vụ của chúng tôi cung cấp, bao gồm Google Firebase, để lưu trữ và xử lý dữ liệu ứng dụng. Dữ liệu cá nhân có thể được xử lý tại Hoa Kỳ và các quốc gia khác nơi các nhà cung cấp đó hoạt động.

Chúng tôi triển khai kiểm soát truy cập, quy tắc bảo mật Firestore và ủy quyền Cloud Function để đảm bảo mỗi người dùng chỉ có thể truy cập dữ liệu họ được phép xem trong spa của mình.

7. Dịch Vụ Bên Thứ Ba

SpaMngr sử dụng các dịch vụ bên thứ ba sau:

• Google Firebase — xác thực, lưu trữ cơ sở dữ liệu và các hàm máy chủ. Xem Chính sách Bảo mật của Google.
• Sentry — báo cáo sự cố và lỗi được sử dụng để xác định và sửa lỗi. Chúng tôi cấu hình Sentry để giảm lượng dữ liệu cá nhân được đưa vào các báo cáo chẩn đoán. Xem Chính sách Bảo mật của Sentry.
• BetterStack — tổng hợp nhật ký chỉ được sử dụng trong môi trường staging và phát triển. Không hoạt động trong các bản phát hành sản xuất được phân phối qua App Store. Xem Chính sách Bảo mật của BetterStack.
• Resend — dịch vụ gửi email được sử dụng để gửi email xác minh tài khoản và đặt lại mật khẩu. Địa chỉ email của bạn được chuyển đến Resend chỉ nhằm mục đích gửi email. Xem Chính sách Bảo mật của Resend.

8. Lưu Giữ Dữ Liệu

Dữ liệu của bạn được lưu giữ miễn là bạn có tài khoản hoạt động. Lịch sử ca làm việc được giữ lại cho mục đích báo cáo ngay cả sau khi ca kết thúc.

Nếu bạn xóa tài khoản, chúng tôi sẽ xóa hoặc ẩn danh hóa dữ liệu cá nhân liên quan đến tài khoản của bạn, bao gồm hồ sơ, tư cách thành viên, yêu cầu nghỉ phép và các hồ sơ liên quan đến thông báo, ngoại trừ trường hợp việc lưu giữ có giới hạn là cần thiết hợp lý để tuân thủ pháp lý, bảo mật, phòng chống gian lận, giải quyết tranh chấp hoặc lưu trữ hồ sơ nội bộ.

Hồ sơ dịch vụ ca làm việc: Hồ sơ ca làm việc (phân công phòng, mốc thời gian dịch vụ và ảnh chụp tên hiển thị của kỹ thuật viên) được nhà vận hành spa lưu giữ như hồ sơ kinh doanh lịch sử ngay cả sau khi tài khoản người dùng bị xóa. Các hồ sơ này là cơ sở của báo cáo làm việc hàng tháng và tóm tắt chuyên cần. Sau khi xóa tài khoản, hồ sơ được giả danh hóa — tài khoản người dùng không còn tồn tại, nhưng ảnh chụp tên hiển thị tại thời điểm dịch vụ có thể vẫn còn trong hồ sơ ca làm việc. Nếu bạn có câu hỏi về hồ sơ ca làm việc được giữ lại sau khi xóa tài khoản, hãy liên hệ với chúng tôi tại contact@spamngr.cloud.

9. Quyền Của Bạn

Tùy thuộc vào vị trí và luật áp dụng, bạn có thể có các quyền đối với dữ liệu cá nhân của mình, bao gồm quyền yêu cầu truy cập, chỉnh sửa, xóa hoặc các quyền khác có sẵn theo luật áp dụng.

• Truy cập — bạn có thể yêu cầu thông tin về dữ liệu cá nhân chúng tôi lưu giữ về bạn.
• Chỉnh sửa — khi có sẵn, bạn có thể cập nhật tên hiển thị và địa chỉ email trong ứng dụng, hoặc liên hệ với chúng tôi để yêu cầu chỉnh sửa.
• Xóa — bạn có thể xóa tài khoản trong Cài đặt → Tài khoản → Xóa tài khoản.
• Rút lại sự đồng ý — khi việc xử lý dựa trên sự đồng ý, chẳng hạn quyền thiết bị đối với thông báo, bạn có thể rút lại sự đồng ý bất kỳ lúc nào qua cài đặt thiết bị.

Để thực hiện các quyền liên quan đến bảo mật, hãy liên hệ với chúng tôi tại contact@spamngr.cloud. Chúng tôi có thể cần xác minh danh tính của bạn trước khi xử lý một số yêu cầu.

10. Thông Báo Bảo Mật California

Nếu bạn là cư dân California, bạn có thể có các quyền theo luật California liên quan đến thông tin cá nhân của mình, bao gồm quyền biết thông tin cá nhân nào chúng tôi thu thập và cách chúng tôi sử dụng và tiết lộ, quyền yêu cầu sửa chữa thông tin không chính xác và quyền yêu cầu xóa thông tin cá nhân, tùy thuộc vào các ngoại lệ áp dụng.

Trong 12 tháng qua, tùy thuộc vào cách ứng dụng được cấu hình và sử dụng, chúng tôi có thể đã thu thập các danh mục thông tin cá nhân sau:

• mã định danh như địa chỉ email, tên hiển thị và token thông báo thiết bị;
• thông tin sử dụng hoặc vận hành liên quan đến check-in, lịch trình, ca làm việc, yêu cầu nghỉ phép và hoạt động quản lý spa liên quan;
• thông tin chẩn đoán liên quan đến lỗi, sự cố ứng dụng và độ tin cậy dịch vụ.

Chúng tôi có thể tiết lộ các danh mục thông tin cá nhân này cho:

• các nhà cung cấp dịch vụ hỗ trợ xác thực, lưu trữ, thông báo, vận hành backend, chẩn đoán và bảo mật; và
• nhân sự được ủy quyền trong spa của bạn, khi cần thiết để dịch vụ hoạt động.

Chúng tôi không bán thông tin cá nhân.

Chúng tôi không chia sẻ thông tin cá nhân cho mục đích quảng cáo hành vi liên ngữ cảnh.

Cư dân California có thể gửi yêu cầu liên quan đến bảo mật bằng cách liên hệ với chúng tôi tại contact@spamngr.cloud.

11. Thông Báo Đẩy

SpaMngr sử dụng Firebase Cloud Messaging (FCM) để gửi thông báo đẩy cho nhắc nhở ca làm việc, phê duyệt nghỉ phép và các sự kiện trong ứng dụng khác. Bạn có thể tắt thông báo đẩy bất kỳ lúc nào qua cài đặt hệ thống thiết bị. Việc tắt thông báo sẽ không ảnh hưởng đến khả năng sử dụng ứng dụng.

12. Người Dùng Tại Việt Nam

SpaMngr tôn trọng các quy định pháp luật về bảo vệ dữ liệu cá nhân áp dụng cho người dùng tại Việt Nam. Người dùng Việt Nam có thể thực hiện quyền truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu cá nhân của mình bằng cách liên hệ với chúng tôi tại contact@spamngr.cloud.

Lưu ý rằng dữ liệu cá nhân có thể được xử lý thông qua cơ sở hạ tầng do các nhà cung cấp dịch vụ của chúng tôi vận hành, bao gồm tại Hoa Kỳ và các quốc gia khác nơi họ hoạt động. Bằng cách sử dụng SpaMngr, bạn hiểu rằng dữ liệu cá nhân có thể được xử lý ngoài Việt Nam thông qua cơ sở hạ tầng do các nhà cung cấp dịch vụ của chúng tôi vận hành.

13. Quyền Riêng Tư Của Trẻ Em

SpaMngr không hướng đến trẻ em dưới 13 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu bạn cho rằng trẻ em đã cung cấp dữ liệu cá nhân cho chúng tôi, hãy liên hệ và chúng tôi sẽ xóa ngay.

14. Thay Đổi Chính Sách Này

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian. Khi thực hiện, chúng tôi sẽ cập nhật ngày hiệu lực ở đầu trang này và đăng phiên bản sửa đổi tại đây. Chúng tôi khuyến khích bạn xem xét chính sách này định kỳ.

15. Cookie và Theo Dõi

Ứng dụng di động SpaMngr không sử dụng cookie. Trang web SpaMngr (trang này) không sử dụng cookie theo dõi hoặc các tập lệnh phân tích bên thứ ba. Chúng tôi không theo dõi hoạt động của người dùng trên các trang web hoặc dịch vụ trực tuyến bên thứ ba cho mục đích quảng cáo hành vi thông qua trang web này.

16. Liên Hệ

Nếu bạn có câu hỏi về Chính sách Bảo mật này hoặc dữ liệu cá nhân của mình, vui lòng liên hệ với chúng tôi:

SpaMngr
contact@spamngr.cloud