Chính sách quyền riêng tư

Chính sách áp dụng cho toàn bộ dịch vụ The Clara Care, gồm giao diện web, API và các module như Research, Council, Self-Med, CareGuard, Scribe, bảng quản trị hệ thống và các thành phần tích hợp liên quan.

Chính sách này được áp dụng cho cả tài khoản cá nhân, tài khoản tổ chức và tài khoản quản trị khi truy cập các tài nguyên thuộc hệ thống.

• Người dùng cuối: dữ liệu tài khoản, truy vấn, tài liệu tải lên, dữ liệu thuốc, bản ghi hội thoại và dữ liệu đồng thuận.
• Quản trị viên (admin): dữ liệu cấu hình hệ thống, nhật ký thao tác quản trị, bản ghi audit và dữ liệu giám sát vận hành.
• Nguyên tắc tách biệt: dữ liệu người dùng và dữ liệu vận hành quản trị được tách quyền truy cập theo vai trò, chỉ mở khi có nhu cầu hợp lệ phục vụ vận hành, hỗ trợ hoặc tuân thủ pháp luật.

• Dữ liệu tài khoản: họ tên, email, vai trò, trạng thái xác thực, thông tin phiên đăng nhập.
• Dữ liệu vận hành: log request/response, tín hiệu lỗi, timestamp, chỉ số chất lượng và hiệu năng.
• Dữ liệu người dùng cung cấp: truy vấn, tài liệu tải lên, thông tin thuốc, nội dung ghi chú, bản tóm tắt lâm sàng.
• Dữ liệu đồng thuận: phiên bản consent, thời điểm chấp thuận, user context dùng cho kiểm chứng pháp lý.

• Cung cấp chức năng cốt lõi của sản phẩm và duy trì trải nghiệm sử dụng ổn định.
• Nâng cao chất lượng suy luận, truy xuất bằng chứng và khả năng kiểm chứng câu trả lời.
• Phát hiện, điều tra, ngăn chặn hành vi bất thường hoặc truy cập trái phép.
• Đáp ứng nghĩa vụ tuân thủ pháp luật, yêu cầu kiểm toán và quy trình quản trị nội bộ.

The Clara Care xử lý dữ liệu dựa trên: (i) sự đồng ý của người dùng đối với các tính năng nhạy cảm; (ii) nhu cầu thực hiện hợp đồng/dịch vụ; (iii) nghĩa vụ pháp lý hợp lệ; và (iv) lợi ích chính đáng về an toàn vận hành hệ thống.

Các căn cứ này được diễn giải theo quy định pháp luật Việt Nam hiện hành, bao gồm Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018.

Dữ liệu được lưu trong thời gian cần thiết để phục vụ mục đích nêu trên, hoặc theo yêu cầu pháp lý hiện hành. Sau khi hết thời gian lưu trữ, dữ liệu sẽ được xóa hoặc ẩn danh hóa theo quy trình kỹ thuật.

Với log vận hành và audit trail, hệ thống có thể lưu dài hơn để phục vụ điều tra sự cố, truy vết và đối chiếu tuân thủ.

Hệ thống chỉ chia sẻ dữ liệu trong phạm vi cần thiết cho vận hành, ví dụ đối tác hạ tầng, dịch vụ xử lý hỗ trợ hoặc khi có yêu cầu pháp lý hợp lệ từ cơ quan có thẩm quyền.

The Clara Care không bán dữ liệu cá nhân cho bên thứ ba.

• Kiểm soát truy cập theo vai trò, nguyên tắc tối thiểu quyền hạn và phân tách môi trường vận hành.
• Giám sát bảo mật liên tục, cảnh báo bất thường và quy trình phản ứng sự cố theo mức độ ưu tiên.
• Ghi nhận nhật ký truy cập nhạy cảm để phục vụ truy vết, kiểm tra và hậu kiểm.

Người dùng có thể yêu cầu truy cập, chỉnh sửa hoặc xóa dữ liệu cá nhân trong phạm vi pháp luật cho phép. The Clara Care có thể cần xác minh danh tính trước khi xử lý các yêu cầu này nhằm đảm bảo an toàn thông tin.

Trong trường hợp có xử lý hạ tầng đa vùng, The Clara Care áp dụng biện pháp kỹ thuật và điều khoản ràng buộc phù hợp để duy trì mức độ bảo vệ dữ liệu tương đương với tiêu chuẩn nội bộ.

Mọi yêu cầu liên quan quyền riêng tư hoặc dữ liệu cá nhân vui lòng gửi về clara@thiennn.icu.

Chính sách có thể được cập nhật theo thay đổi pháp lý hoặc thay đổi kiến trúc hệ thống. Phiên bản mới nhất luôn được công bố tại mục Thỏa thuận người dùng của The Clara Care.