Chính sách quyền riêng tư

Chính sách này áp dụng cho mọi hoạt động thu thập, lưu trữ và xử lý dữ liệu cá nhân thông qua website rihs.org.vn và các dịch vụ liên quan do Viện Nghiên cứu Khoa học Sức khỏe vận hành.

Bên kiểm soát dữ liệu (Data Controller): Viện Nghiên cứu Khoa học Sức khỏe, đơn vị KHCN trực thuộc Hội Quân Dân Y Việt Nam, trụ sở pháp lý tại Tòa B3, Grand Park Premium, Aqua Bay, Ecopark, Hưng Yên.

Đầu mối phụ trách bảo vệ dữ liệu cá nhân: ThS Nguyễn Thị Thanh Thắm — Phó Viện trưởng phụ trách Chuyển đổi số. Người đại diện chính thức (Data Protection Officer) sẽ được công bố sau khi Viện ban hành Quyết định bổ nhiệm theo Điều 28 Nghị định 13/2023/NĐ-CP.

Dữ liệu phân tích truy cập: chúng tôi sử dụng Cloudflare Web Analytics — không sử dụng cookie tracking, chỉ ghi nhận quốc gia, đường dẫn trang, nguồn giới thiệu (referrer) ở dạng tổng hợp, không nhận diện cá nhân.

Dữ liệu biểu mẫu liên hệ: họ và tên, địa chỉ email, số điện thoại (nếu cung cấp), tổ chức, nội dung tin nhắn — chỉ thu thập khi người dùng chủ động gửi biểu mẫu.

Dữ liệu truy vấn tìm kiếm: từ khoá người dùng nhập vào ô tìm kiếm trên website được lưu ở dạng ẩn danh và xóa định danh sau 90 ngày, phục vụ cải thiện chất lượng nội dung.

Cải thiện trải nghiệm người dùng và chất lượng nội dung dựa trên thống kê truy cập tổng hợp.

Phản hồi yêu cầu liên hệ, đề xuất hợp tác nghiên cứu, đào tạo, tư vấn chính sách trong vòng 2 ngày làm việc.

Phân tích chủ đề và mối quan tâm của độc giả để định hướng các nghiên cứu chính sách và ấn phẩm tương lai của Viện.

Sự đồng ý của chủ thể dữ liệu (consent) — qua banner cookie opt-in và chữ ký xác nhận trên biểu mẫu liên hệ, theo Điều 11 Nghị định 13/2023/NĐ-CP.

Lợi ích hợp pháp (legitimate interest) — phục vụ chức năng KHCN của Viện qua thống kê tổng hợp ẩn danh không ảnh hưởng quyền cá nhân.

Tuân thủ nghĩa vụ pháp luật — lưu trữ nhật ký kiểm toán phục vụ thanh tra cơ quan có thẩm quyền khi được yêu cầu.

Cloudflare Inc. — cung cấp dịch vụ CDN, DNS và Web Analytics. Máy chủ Cloudflare đặt ngoài lãnh thổ Việt Nam, nhưng KHÔNG lưu trữ nội dung biểu mẫu hoặc dữ liệu cá nhân — chỉ xử lý siêu dữ liệu kết nối (IP đã ẩn danh, country, path) cho mục đích bảo mật và phân phối nội dung.

RIHS đang hoàn tất Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Điều 25 Nghị định 13/2023/NĐ-CP để gửi Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an, đồng thời áp dụng biện pháp kỹ thuật bổ sung (ẩn danh IP, không lưu nội dung biểu mẫu trên hạ tầng Cloudflare).

RIHS KHÔNG bán, KHÔNG cho thuê, KHÔNG chia sẻ dữ liệu cá nhân với bên thứ ba cho mục đích thương mại, quảng cáo hoặc tiếp thị.

Dữ liệu biểu mẫu liên hệ: 24 tháng kể từ ngày tiếp nhận, sau đó xóa hoặc ẩn danh hóa (theo Điều 6 NĐ 13/2023).

Truy vấn tìm kiếm: ẩn danh sau 90 ngày, giữ pattern tổng hợp đến 12 tháng phục vụ phân tích xu hướng.

Dữ liệu phân tích Cloudflare: 90 ngày theo chính sách của nhà cung cấp.

Nhật ký kiểm toán (audit log): 12 tháng phục vụ điều tra sự cố an ninh và yêu cầu của cơ quan có thẩm quyền.

Mã hóa kết nối: TLS 1.2 trở lên cho toàn bộ traffic. Chứng chỉ Let's Encrypt tự động gia hạn.

Ẩn danh hóa IP: sử dụng HMAC-SHA256 kết hợp pepper bí mật để pseudonymize địa chỉ IP trước khi lưu nhật ký.

Chủ quyền dữ liệu: máy chủ chính đặt tại data center Hà Nội (Việt Nam) tuân thủ Điều 26–27 Luật An ninh mạng 2018.

Kiểm soát truy cập: áp dụng tập hợp các kiểm soát chọn lọc từ tiêu chuẩn ISO/IEC 27001:2022, phân quyền theo vai trò, MFA cho tài khoản quản trị.

Theo Điều 9 Nghị định 13/2023/NĐ-CP, anh/chị có các quyền sau đối với dữ liệu cá nhân của mình:

Quyền được biết, quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền hạn chế xử lý, quyền rút sự đồng ý, quyền yêu cầu chuyển dữ liệu, quyền phản đối xử lý.

Quyền khiếu nại, tố cáo, khởi kiện theo quy định của pháp luật — gửi tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an, hoặc Tòa án có thẩm quyền.

Gửi yêu cầu qua email: [email protected] (tiêu đề ghi rõ "Yêu cầu thực hiện quyền dữ liệu cá nhân"). Hộp thư [email protected] dành riêng cho dữ liệu cá nhân sẽ được kích hoạt khi Viện hoàn tất hạ tầng hành chính.

Nội dung yêu cầu cần ghi rõ: họ tên, thông tin liên hệ, loại quyền muốn thực hiện và nội dung dữ liệu liên quan.

RIHS sẽ phản hồi trong vòng 72 giờ kể từ thời điểm nhận được yêu cầu theo khoản 4 Điều 14 và khoản 6 Điều 11 Nghị định 13/2023/NĐ-CP. Trường hợp phức tạp, thời gian xử lý không vượt quá 15 ngày làm việc và có thông báo lý do cho chủ thể dữ liệu.

Website rihs.org.vn phục vụ đối tượng nghiên cứu viên, chuyên gia chính sách và người trưởng thành. Chúng tôi KHÔNG chủ ý thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi.

Trường hợp phát hiện đã thu thập dữ liệu trẻ em mà không có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp theo Điều 20 Nghị định 13/2023, chúng tôi sẽ xóa ngay lập tức và thông báo cho người giám hộ nếu thông tin liên lạc có sẵn.

Trường hợp phát hiện vi phạm dữ liệu cá nhân có khả năng ảnh hưởng tới quyền và lợi ích của chủ thể, RIHS cam kết thông báo cho Bộ Công an và chủ thể dữ liệu trong vòng 72 giờ kể từ khi phát hiện, theo Điều 23 Nghị định 13/2023/NĐ-CP.

Nội dung thông báo bao gồm: mô tả vụ việc, loại dữ liệu bị ảnh hưởng, số lượng chủ thể, tác động dự kiến và biện pháp khắc phục đã/đang thực hiện.

Phiên bản hiện tại: 1.0, hiệu lực ngày 28/05/2026. Đây là phiên bản đầu tiên — chưa có lịch sử bản trước đó.

Khi có thay đổi đáng kể về cách xử lý dữ liệu, chúng tôi sẽ thông báo qua banner trên website ít nhất 30 ngày trước khi áp dụng và cập nhật ngày hiệu lực ở đầu chính sách.

Mọi câu hỏi, đề nghị hoặc khiếu nại liên quan đến quyền riêng tư xin liên hệ đầu mối bảo vệ dữ liệu — ThS Nguyễn Thị Thanh Thắm — qua hộp thư [email protected] (tiêu đề: "Quyền riêng tư").