Chính sách quyền riêng tư

Đơn vị vận hành website và đóng vai trò Bên Kiểm soát dữ liệu cá nhân (Data Controller) theo Luật 91/2025/QH15 là Công ty TNHH Omi HealthTech (Omi HealthTech), thành viên của OmiGroup. Mọi yêu cầu liên quan đến quyền của chủ thể dữ liệu cá nhân được tiếp nhận qua đầu mối sau:

Trong giai đoạn khởi tạo, trước khi HL7 Vietnam được thành lập theo thông lệ quốc tế, Omi HealthTech là bên duy nhất vận hành website. Khi tổ chức HL7 Vietnam chính thức hoạt động, vai trò kiểm soát dữ liệu sẽ được chuyển giao minh bạch và chính sách này sẽ được cập nhật tương ứng.

Dữ liệu kỹ thuật cơ bản do hạ tầng web xử lý: địa chỉ IP, thời điểm truy cập, trình duyệt, hệ điều hành, URL được yêu cầu, mã trạng thái HTTP và nhật ký kỹ thuật cần thiết để vận hành, bảo mật và khắc phục sự cố. Những dữ liệu này được xử lý ở mức hạ tầng bởi nhà cung cấp CDN/hosting (xem Mục 7) và không được kết hợp để tạo hồ sơ cá nhân.

Dữ liệu liên hệ qua email: nếu bạn chủ động nhấn vào liên kết email và gửi thư tới [email protected], nội dung email, địa chỉ email của bạn và các thông tin bạn tự nguyện cung cấp sẽ được xử lý qua hệ thống email tương ứng. Việc gửi email là hành động nằm ngoài tương tác tối thiểu của website và được xem như sự đồng ý cho mục đích trao đổi công việc cụ thể mà bạn nêu.

Website không chủ động thu thập: dữ liệu y tế của cá nhân, dữ liệu định danh nhạy cảm (CCCD, BHXH, BHYT), dữ liệu sinh trắc, dữ liệu thanh toán, dữ liệu của trẻ em dưới 15 tuổi.

Chính sách này được xây dựng theo khung pháp lý Việt Nam hiện hành:

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (Quốc hội thông qua 26/6/2025, hiệu lực 01/01/2026)
• Nghị định 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết thi hành Luật Bảo vệ dữ liệu cá nhân (hiệu lực 01/01/2026, thay thế Nghị định 13/2023/NĐ-CP)
• Luật An ninh mạng số 24/2018/QH14 và các văn bản hướng dẫn
• Nghị định 137/2024/NĐ-CP về giao dịch điện tử và các quy định liên quan

Với tính chất của một website chuẩn hóa công khai, nguyên tắc áp dụng là thu thập tối thiểu, minh bạch, có mục đích rõ ràng và tôn trọng lựa chọn của người dùng. Website không mở rộng xử lý dữ liệu vượt quá nhu cầu vận hành cơ bản.

Website này sử dụng cookie cần thiết để ghi nhớ lựa chọn đồng ý hoặc từ chối cookie của bạn. Cookie cần thiết không phục vụ quảng cáo, không tạo hồ sơ hành vi và không được dùng để theo dõi chéo ngoài phạm vi hoạt động tối thiểu của website.

Công cụ phân tích lưu lượng đang tắt trong giai đoạn hardening public/pilot. Nếu bật trong tương lai, website sẽ cập nhật chính sách và chỉ kích hoạt sau khi cơ chế đồng ý phù hợp được phê duyệt theo Luật 91/2025/QH15.

Bạn có thể thay đổi lựa chọn bất kỳ lúc nào bằng Tùy chọn cookie ở cuối trang.

Website được vận hành trên dịch vụ Cloudflare Pages với mạng lưới CDN toàn cầu. Việc này giúp website phục vụ người dùng Việt Nam nhanh hơn và giảm rủi ro bị tấn công, nhưng đồng thời có thể phát sinh việc xử lý dữ liệu kỹ thuật (IP, nhật ký truy cập) ở các điểm hiện diện ngoài lãnh thổ Việt Nam.

Omi HealthTech chỉ sử dụng các nhà cung cấp hạ tầng có chính sách bảo mật rõ ràng, đáp ứng chuẩn quốc tế (ISO 27001, SOC 2) và hỗ trợ các điều khoản bảo vệ dữ liệu tương đương. Khi thực hiện hồ sơ đánh giá tác động theo Điều 25 Nghị định 356/2025/NĐ-CP, nội dung liên quan đến chuyển dữ liệu xuyên biên giới sẽ được công bố trong phần này.

Website không chủ động gửi dữ liệu y tế hoặc dữ liệu cá nhân nhạy cảm ra ngoài lãnh thổ Việt Nam thông qua các trang công khai của hl7.org.vn.

Thời gian lưu trữ tương ứng với mức xử lý dữ liệu tối thiểu của website:

• Nhật ký truy cập kỹ thuật (IP, thời điểm, URL): lưu ở mức nhà cung cấp hạ tầng trong thời gian cần thiết để phục vụ bảo mật và phát hiện bất thường, thông thường không quá 90 ngày.
• Nội dung email bạn chủ động gửi: lưu trong hệ thống email công việc trong thời gian hợp lý để xử lý yêu cầu và tuân thủ nghĩa vụ pháp lý (tối đa 24 tháng kể từ lần trao đổi cuối, trừ khi pháp luật yêu cầu lưu lâu hơn).
• Lựa chọn cookie: lưu tại thiết bị của bạn trong tối đa 12 tháng hoặc đến khi bạn xóa.

Khi không còn cần thiết cho mục đích đã nêu, dữ liệu sẽ được xóa hoặc ẩn danh theo quy trình nội bộ của Omi HealthTech và tuân thủ Điều 16 Luật 91/2025/QH15.

Omi HealthTech áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu website trước truy cập trái phép, thay đổi, tiết lộ hoặc mất mát, bao gồm: HTTPS bắt buộc, kiểm soát quyền quản trị theo nguyên tắc ít đặc quyền nhất, nhật ký thay đổi nội dung và rà soát định kỳ cấu hình hạ tầng.

Trong trường hợp xảy ra sự cố vi phạm dữ liệu cá nhân liên quan tới hl7.org.vn, Omi HealthTech cam kết:

• Thông báo tới cơ quan có thẩm quyền trong vòng 72 giờ kể từ khi biết về sự cố, theo Mẫu số 08 kèm theo Nghị định 356/2025/NĐ-CP.
• Thông báo trực tiếp tới chủ thể dữ liệu bị ảnh hưởng khi có rủi ro cao tới quyền và lợi ích hợp pháp.
• Công bố cập nhật tóm tắt trên trang này sau khi sự cố được khắc phục.

Theo Luật 91/2025/QH15, bạn có các quyền sau đối với dữ liệu cá nhân của mình do website xử lý:

• Quyền được biết: được thông tin về loại dữ liệu, mục đích, thời gian lưu trữ và các bên nhận dữ liệu.
• Quyền đồng ý và rút lại đồng ý: rút lại đồng ý bất kỳ lúc nào với các hoạt động xử lý dựa trên đồng ý.
• Quyền truy cập, chỉnh sửa: yêu cầu xem và chỉnh sửa dữ liệu cá nhân không chính xác.
• Quyền xóa dữ liệu: yêu cầu xóa dữ liệu khi không còn cần thiết hoặc xử lý không còn cơ sở pháp lý.
• Quyền hạn chế, phản đối xử lý: yêu cầu ngừng hoặc hạn chế xử lý dữ liệu cá nhân của mình.
• Quyền khiếu nại: phản ánh tới Omi HealthTech hoặc cơ quan nhà nước có thẩm quyền.

Để thực hiện các quyền trên, gửi yêu cầu tới [email protected] kèm mô tả cụ thể. Omi HealthTech sẽ phản hồi trong thời hạn theo quy định pháp luật (thông thường không quá 30 ngày).

Website có thể sử dụng dịch vụ của bên thứ ba trong phạm vi cần thiết để vận hành hạ tầng web (CDN, email, giám sát vận hành). Các bên này hoạt động với vai trò Bên xử lý dữ liệu theo chỉ thị của Omi HealthTech, với phạm vi và thời gian tương ứng mục đích vận hành.

Website không bán dữ liệu cá nhân, không khai thác dữ liệu cho quảng cáo hành vi và không vận hành các luồng tiếp thị tự động. Website cũng không cung cấp dữ liệu cho bên thứ ba vì mục đích thương mại, trừ trường hợp pháp luật Việt Nam yêu cầu.