Trách nhiệm của Cửa hàng thuốc khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ

Các Cửa hàng thuốc đóng vai trò quan trọng trong việc chăm sóc sức khỏe cộng đồng, và theo đó, họ thường xuyên thu thập, xử lý các loại dữ liệu cá nhân của khách hàng. Vấn đề nghiêm trọng và có thể dẫn đến hậu quả lớn là khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ. Câu hỏi đặt ra là: Trách nhiệm của Cửa hàng thuốc khi dữ liệu cá nhân bị tiết lộ là gì?

Bài viết này VDPC sẽ phân tích các nghĩa vụ pháp lý mà các Cửa hàng thuốc phải thực hiện ngay lập tức khi phát hiện sự cố rò rỉ, làm rõ các hình thức xử phạt có thể bị áp dụng.

Căn cứ pháp lý:

• Điều 3, 7, 8, 37 Luật Bảo vệ dữ liệu cá nhân 2025
• Điều 46 Nghị định 98/2020/NĐ-CP được sửa đổi, bổ sung bởi Nghị định 24/2025/NĐ-CP
• Điều 4, 38 Nghị định 117/2020/NĐ-CP

1. Vai trò của Cửa hàng thuốc

Cửa hàng thuốc có thể ở vai trò là một trong các Bên như sau:  

• Bên kiểm soát dữ liệu cá nhân (là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân)
• Bên xử lý dữ liệu cá nhân (là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng)
• Bên kiểm soát và xử lý dữ liệu cá nhân (là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân). 

Tương ứng với vai trò của mình, Cửa hàng thuốc cũng sẽ có các trách nhiệm tương ứng.

2. Trách nhiệm của Cửa hàng thuốc ở vai trò Bên kiểm soát dữ liệu cá nhân

Trách nhiệm của bên kiểm soát dữ liệu cá nhân như sau:

• Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan
• Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung
• Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định, rà soát và cập nhật các biện pháp này khi cần thiết
• Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân
• Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân
• Bảo đảm các quyền của chủ thể dữ liệu cá nhân
• Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
• Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
• Thực hiện các trách nhiệm khác theo quy định

3. Trách nhiệm của Cửa hàng thuốc ở vai trò Bên xử lý dữ liệu cá nhân

Trách nhiệm của Bên xử lý dữ liệu cá nhân như sau:

• Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân
• Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân
• Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân
• Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
• Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
• Thực hiện các trách nhiệm khác theo quy định

4. Trách nhiệm của Cửa hàng thuốc ở vai trò Bên kiểm soát và xử lý dữ liệu cá nhân

Trách nhiệm của Bên kiểm soát và xử lý dữ liệu cá nhân:

• Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân
• Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân
• Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung
• Thực hiện biện pháp quản lý, kỹ thuật phù hợp bảo vệ dữ liệu cá nhân; rà soát, cập nhật các biện pháp này khi cần thiết
• Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân
• Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân
• Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân

Ngoài ra còn có các trách nhiệm khác như:

• Bảo đảm các quyền của chủ thể dữ liệu cá nhân
• Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định
• Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
• Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
• Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
• Thực hiện các trách nhiệm khác theo quy định

5. Trách nhiệm của Cửa hàng thuốc phải chịu như thế nào khi thông tin, dữ liệu cá nhân của chủ thể dữ liệu bị tiết lộ?

Về trách nhiệm, việc lộ dữ liệu cá nhân của chủ thể dữ liệu, theo quy định thì Cửa hàng thuốc có thể phải chịu các trách nhiệm như sau:

1. Theo quy định của Luật Bảo vệ dữ liệu cá nhân, đây là hành vi bị nghiêm cấm đối với dữ liệu cá nhân, thì tổ chức, cá nhân thực hiện, vi phạm có thể bị phạt hành chính với tiền phạt tối đa là 03 tỷ đồng. Đối với trách nhiệm dân sự, cũng có thể phải bồi thường đối với các thiệt hại gây ra đối với chủ thể dữ liệu cá nhân nếu có.
2. Theo quy định tại Nghị định 98/2020/NĐ-CP, hành vi chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng có thể bị phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng
3. Theo quy định tại Nghị định 117/2020/NĐ-CP, hành vi làm lộ tình trạng bệnh, thông tin mà người bệnh đã cung cấp và hồ sơ bệnh án với Cửa hàng thuốc sẽ bị phạt tiền từ 2.000.000 đồng đến 6.000.000 đồng
4. Ngoài ra, việc lộ thông tin của chủ thể dữ liệu cá nhân còn có thể gây ảnh hưởng đến danh dự, uy tín, doanh thu hoặc thậm chí ảnh hưởng tới hoạt động của Cửa hàng thuốc nếu sự việc xảy ra ở mức độ nghiêm trọng.

KẾT LUẬN

Cửa hàng thuốc phải nhận thức được rằng việc xử lý dữ liệu cá nhân về sức khỏe là việc xử lý dữ liệu cá nhân nhạy cảm, kéo theo trách nhiệm pháp lý cao hơn rất nhiều. Việc đầu tư vào hệ thống bảo mật, đào tạo nhân viên và xây dựng quy trình xử lý dữ liệu chuẩn mực là cần thiết để duy trì hoạt động kinh doanh an toàn và tuân thủ đúng quy định của pháp luật.

Trên đây là Trách nhiệm của Cửa hàng thuốc khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Trách nhiệm của Bên kiểm soát và xử lý dữ liệu trong khử nhận dạng và bảo vệ dữ liệu cá nhân
• Ngân hàng phải xin lại sự đồng ý khi sửa điều khoản và điều kiện dữ liệu cá nhân
• Hướng dẫn thủ tục “Cấp tài khoản định danh điện tử đối với người nước ngoài”
• Trách nhiệm bảo vệ dữ liệu cá nhân của Tổ chức phi chính phủ tại Việt Nam
• Mã hóa dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025
• Điều kiện cung cấp dịch vụ bảo vệ dữ liệu cá nhân
• Khi nào doanh nghiệp cần bộ phận bảo vệ dữ liệu cá nhân
• Trách nhiệm của Bên kiểm soát dữ liệu trong mã hóa và khử nhận dạng
• Quyền và nghĩa vụ của Chủ thể dữ liệu cá nhân 2025
• Trách nhiệm của Bên xử lý dữ liệu trong khử nhận dạng và bảo vệ dữ liệu cá nhân