Trách nhiệm của cửa hàng thuốc trong việc bảo vệ dữ liệu cá nhân

Trong bối cảnh chuyển đổi số ngành y tế, việc bảo vệ dữ liệu cá nhân của khách hàng tại các cửa hàng thuốc trở nên đặc biệt quan trọng. Đây không chỉ là yêu cầu pháp lý mà còn là trách nhiệm đạo đức trong hoạt động kinh doanh dược phẩm.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Trách nhiệm của cửa hàng thuốc trong việc bảo vệ dữ liệu cá nhân, dựa trên các quy định hiện hành của pháp luật.

I. Dữ liệu cá nhân 

Căn cứ: Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

– Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

II. Vai trò của cửa hàng thuốc đối với DLCN xử lý

Căn cứ: Điều 38 Nghị định 13/2023/NĐ-CP

             Điều 39; Điều 40 Nghị định 13/2023/NĐ-CP

1. Bên kiểm soát dữ liệu cá nhân:

– Cửa hàng thuốc có trách nhiệm đảm bảo an toàn, bảo mật dữ liệu cá nhân, ghi lại và lưu trữ quá trình xử lý dữ liệu.

– Cửa hàng thuốc phải thông báo vi phạm bảo vệ dữ liệu, lựa chọn Bên Xử lý dữ liệu phù hợp, bảo đảm quyền của chủ thể dữ liệu và chịu trách nhiệm về thiệt hại phát sinh.

– Đồng thời, cửa hàng thuốc cần phối hợp với cơ quan chức năng trong công tác bảo vệ dữ liệu và điều tra vi phạm.

2. Bên xử lý dữ liệu cá nhân:

– Cửa hàng thuốc có trách nhiệm tiếp nhận và xử lý dữ liệu theo hợp đồng.

– Đồng thời tuân thủ các biện pháp bảo vệ dữ liệu theo quy định pháp luật.

– Cửa hàng thuốc phải chịu trách nhiệm về thiệt hại do quá trình xử lý dữ liệu gây ra.

– Xóa hoặc trả lại dữ liệu sau khi hoàn thành xử lý và hợp tác với cơ quan chức năng trong việc bảo vệ dữ liệu cũng như điều tra vi phạm.

III. Cửa hàng thuốc phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP

– Chỉ xử lý dữ liệu đúng mục đích đã đăng ký và trong phạm vi cần thiết.

– Phải cập nhật, bảo mật và không được mua bán trái phép dữ liệu các nhân của khách hàng.

– Thời gian lưu trữ dữ liệu phải phù hợp với mục đích xử lý.

– Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu của cửa hàng thuốc chịu trách nhiệm tuân thủ và chứng minh sự tuân thủ các nguyên tắc này.

IV. Cửa hàng thuốc không được thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 8 Nghị định 13/2023/NĐ-CP

– Cửa hàng thuốc không được xử lý dữ liệu cá nhân trái pháp luật hoặc sử dụng dữ liệu để chống lại Nhà nước, gây ảnh hưởng đến an ninh, trật tự xã hội hay quyền lợi hợp pháp của tổ chức, cá nhân khác.

– Đồng thời, không được cản trở cơ quan chức năng trong bảo vệ dữ liệu cá nhân hoặc lợi dụng hoạt động này để vi phạm pháp luật.

V. Cửa hàng thuốc thực hiện Thông báo về việc xử lý dữ liệu cá nhân

Căn cứ: Khoản 8 Điều 11; Điều 13 Nghị định 13/2023/NĐ-CP

– Cửa hàng thuốc phải thông báo một lần trước khi xử lý dữ liệu cá nhân, nội dung gồm: mục đích, loại dữ liệu, cách thức xử lý, bên liên quan, rủi ro có thể xảy ra, thời gian xử lý.

– Thông báo phải được trình bày dưới dạng văn bản hoặc điện tử. Nếu chủ thể dữ liệu đã biết và đồng ý hoặc dữ liệu do cơ quan nhà nước xử lý theo quy định, cửa hàng thuốc không cần thông báo.

– Chủ thể dữ liệu cá nhân nhạy cảm phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

VI. Cửa hàng thuốc phải xin sự đồng ý của khách hàng khi xử lý dữ liệu

Căn cứ: Điều 11 Nghị định 13/2023/NĐ-CP

             Khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP

1. Cửa hàng thuốc phải đảm bảo việc xin sự đồng ý

– Thông báo rõ ràng, dễ hiểu về: mục đích xử lý, loại dữ liệu được xử lý, người xử lý dữ liệu cá nhân của khách hàng và quyền, nghĩa vụ của khách hàng.

– Cho phép khách hàng thay đổi hoặc rút lại sự đồng ý với mục đích xử lý DLCN.

– Không ép buộc hoặc gây hiểu lầm trong quá trình xin sự đồng ý.

– Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, cửa hàng thuốc liệt kê các mục đích để khách hàng đồng ý với một hoặc nhiều mục đích nêu ra. Khách hàng có thể đồng ý một phần hoặc với điều kiện kèm theo.

2. Hình thức thể hiện sự đồng ý của khách hàng

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng một trong các hình thức dưới đây:

– Văn bản;

– Giọng nói;

– Đánh dấu vào ô đồng ý;

– Cú pháp đồng ý qua tin nhắn;

– Chọn các thiết lập kỹ thuật đồng ý;

– Qua một hành động khác thể hiện được điều này.

3. Định dạng của sự đồng ý

Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4. Hiệu lực của sự đồng ý

Sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

Lưu ý: Trong trường hợp có tranh chấp, cửa hàng thuốc phải có trách nhiệm chứng minh sự đồng ý của khách hàng.

VII. Cửa hàng thuốc áp dụng biện pháp bảo vệ dữ liệu cá nhân

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

              Điều 27; Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP

– Cửa hàng thuốc phải áp dụng các biện pháp bảo vệ DLCN ngay từ đầu và trong suốt quá trình xử lý.

– Cửa hàng thuốc cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân.

 – Áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp.

– Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ cho việc xử lý dữ liệu cá nhân trước khi tiến hành xử lý, sau khi xử lý phải xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

VIII. Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

– Cửa hàng thuốc phải thành lập bộ phận bảo vệ dữ liệu cá nhân và cử nhân sự phụ trách.

– Đồng thời báo cáo thông tin này với cơ quan chuyên trách.

– Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm được xử lý.

– Cửa hàng thuốc hoạt động theo mô hình doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp có thể được miễn trừ quy định này trong 2 năm đầu sau khi thành lập.

IX. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

– Cửa hàng thuốc phải lập và lưu giữ Hồ sơ đánh giá tác động DLCN từ khi xử lý.

– Hồ sơ phải có giá trị pháp lý, luôn sẵn sàng cho kiểm tra của Bộ Công an và gửi một bản chính trong 60 ngày.

X. Lưu ý khi xử lý dữ liệu cá nhân đối với trẻ em

Căn cứ: Điều 20 Nghị định 13/2023/NĐ-CP

– Phải thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.

– Phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên

– Phải có sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp.

– Phải xác minh tuổi của trẻ trước khi xử lý dữ liệu cá nhân.

– Ngừng xử lý dữ liệu cá nhân của trẻ trong trường hợp:

+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được trẻ em/người giám hộ đồng ý;

+ Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em;

+ Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Kết luận:

Cửa hàng thuốc cần chủ động tuân thủ quy định pháp luật và áp dụng các biện pháp kỹ thuật để bảo vệ thông tin cá nhân khách hàng. Đảm bảo an toàn dữ liệu là yếu tố quan trọng để xây dựng niềm tin và phát triển bền vững.

Trên đây là nội dung tư vấn về Trách nhiệm của cửa hàng thuốc trong việc bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Trách nhiệm của Hãng Taxi trong việc bảo vệ dữ liệu cá nhân
• Trách nhiệm của Hợp Tác xã vận tải trong việc bảo vệ dữ liệu cá nhân
• Trách nhiệm của Công ty vận tải hàng hóa trong việc bảo vệ dữ liệu cá nhân
• Công ty xe du lịch trong việc bảo vệ Dữ liệu cá nhân