Trong thời đại số hóa hiện nay, dữ liệu cá nhân trở thành tài sản quan trọng cần được bảo vệ nghiêm ngặt. Phòng khám chuyên khoa da liễu có trách nhiệm pháp lý và đạo đức trong việc đảm bảo an toàn cho thông tin của người bệnh.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Trách nhiệm của phòng khám chuyên khoa da liễu trong việc bảo vệ dữ liệu cá nhân, dựa trên các quy định hiện hành của pháp luật.

I. Dữ liệu cá nhân

Căn cứ: Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

– Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

– Dữ liệu cơ bản: Tên, tuổi, số điện thoại, email, địa chỉ,…

– Dữ liệu nhạy cảm: Hình ảnh vùng da (mụn, vảy nến), hồ sơ điều trị,…

II. Vai trò của phòng khám chuyên khoa da liễu đối với DLCN xử lý

Căn cứ: Điều 38 Nghị định 13/2023/NĐ-CP

             Điều 39; Điều 40 Nghị định 13/2023/NĐ-CP

1. Bên kiểm soát dữ liệu cá nhân:

– Phòng khám chuyên khoa da liễu có trách nhiệm đảm bảo an toàn, bảo mật dữ liệu cá nhân, ghi lại và lưu trữ quá trình xử lý dữ liệu.

– Phòng khám chuyên khoa da liễu phải thông báo vi phạm bảo vệ dữ liệu, lựa chọn Bên Xử lý dữ liệu phù hợp, bảo đảm quyền của chủ thể dữ liệu và chịu trách nhiệm về thiệt hại phát sinh.

– Đồng thời, Phòng khám chuyên khoa da liễu cần phối hợp với cơ quan chức năng trong công tác bảo vệ dữ liệu và điều tra vi phạm.

2. Bên xử lý dữ liệu cá nhân:

– Phòng khám chuyên khoa da liễu có trách nhiệm tiếp nhận và xử lý dữ liệu theo hợp đồng với Bên Kiểm soát dữ liệu, đồng thời tuân thủ các biện pháp bảo vệ dữ liệu theo quy định pháp luật.

– Phòng khám chuyên khoa da liễu phải chịu trách nhiệm về thiệt hại do quá trình xử lý dữ liệu gây ra, xóa hoặc trả lại dữ liệu sau khi hoàn thành xử lý và hợp tác với cơ quan chức năng trong việc bảo vệ dữ liệu cũng như điều tra vi phạm.

III. Phòng khám chuyên khoa da liễu phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP

– Dữ liệu chỉ được thu thập và xử lý cho mục đích khám, điều trị, chăm sóc da.

– Phải cập nhật, bảo mật và không được mua bán trái phép dữ liệu các nhân của bệnh nhân.

– Thời gian lưu trữ dữ liệu phải phù hợp với mục đích xử lý.

– Không được chia sẻ ảnh khách hàng lên mạng xã hội nếu không có sự đồng ý rõ ràng.

IV. Phòng khám chuyên khoa da liễu không được thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 8 Nghị định 13/2023/NĐ-CP

– Phòng khám chuyên khoa da liễu không được xử lý dữ liệu cá nhân trái pháp luật hoặc sử dụng dữ liệu để chống lại Nhà nước, gây ảnh hưởng đến an ninh, trật tự xã hội hay quyền lợi hợp pháp của tổ chức, cá nhân khác.

– Đồng thời, không được cản trở cơ quan chức năng trong bảo vệ dữ liệu cá nhân hoặc lợi dụng hoạt động này để vi phạm pháp luật.

V. Phòng khám chuyên khoa da liễu thực hiện Thông báo về việc xử lý dữ liệu cá nhân

Căn cứ: Khoản 8 Điều 11; Điều 13 Nghị định 13/2023/NĐ-CP

– Phòng khám chuyên khoa da liễu phải thông báo một lần trước khi xử lý dữ liệu cá nhân, nội dung gồm: mục đích, loại dữ liệu, cách thức xử lý, bên liên quan, rủi ro có thể xảy ra, thời gian xử lý.

– Thông báo phải được trình bày dưới dạng văn bản hoặc điện tử. Nếu chủ thể dữ liệu đã biết và đồng ý hoặc dữ liệu do cơ quan nhà nước xử lý theo quy định, phòng khám chuyên khoa da liễu không cần thông báo.

VI. Phòng khám chuyên khoa da liễu phải xin sự đồng ý của bệnh nhân khi xử lý dữ liệu

Căn cứ: Điều 11 Nghị định 13/2023/NĐ-CP

              Khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP

1. Phòng khám chuyên khoa da liễu phải đảm bảo việc xin sự đồng ý

– Thông báo rõ ràng, dễ hiểu về mục đích xử lý, loại dữ liệu được xử lý, người xử lý dữ liệu cá nhân của bệnh nhân và các quyền, nghĩa vụ của bệnh nhân.

– Cho phép khách hàng thay đổi hoặc rút lại sự đồng ý với mục đích xử lý DLCN.

– Không ép buộc hoặc gây hiểu lầm trong quá trình xin sự đồng ý.

– Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, phòng khám chuyên khoa da liễu liệt kê các mục đích để bệnh nhân đồng ý với một hoặc nhiều mục đích nêu ra. Bệnh nhân có thể đồng ý một phần hoặc với điều kiện kèm theo.

2. Hình thức thể hiện sự đồng ý của bệnh nhân

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng một trong các hình thức dưới đây:

– Văn bản;

– Giọng nói;

– Đánh dấu vào ô đồng ý;

– Cú pháp đồng ý qua tin nhắn;

– Chọn các thiết lập kỹ thuật đồng ý;

– Qua một hành động khác thể hiện được điều này.

3. Định dạng của sự đồng ý

Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4. Hiệu lực của sự đồng ý

Sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

Lưu ý: Trong trường hợp có tranh chấp, phòng khám chuyên khoa da liễu phải có trách nhiệm chứng minh sự đồng ý của bệnh nhân.

VII. Phòng khám chuyên khoa da liễu áp dụng biện pháp bảo vệ dữ liệu cá nhân

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

              Điều 27; Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP

– Phòng khám phải áp dụng biện pháp bảo vệ DLCN ngay từ đầu và trong suốt quá trình xử lý.

– Phòng khám cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân.

– Áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp.

– Kiểm tra định kỳ hệ thống lưu trữ hình ảnh, phần mềm theo dõi điều trị.

– Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ cho việc xử lý dữ liệu cá nhân trước khi tiến hành xử lý, sau khi xử lý phải xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

VIII. Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

– Phòng khám phải thành lập bộ phận bảo vệ DLCN và cử nhân sự phụ trách.

– Đồng thời báo cáo thông tin này với cơ quan chuyên trách.

– Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm được xử lý.

– Phòng khám chuyên khoa da liễu hoạt động theo mô hình doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp có thể được miễn trừ quy định này trong 2 năm đầu sau khi thành lập.

IX. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

– Phòng khám chuyên khoa da liễu phải lập và lưu giữ Hồ sơ đánh giá tác động DLCN từ khi xử lý.

– Hồ sơ phải có giá trị pháp lý, luôn sẵn sàng cho kiểm tra của Bộ Công an và gửi một bản chính trong 60 ngày.

X. Lưu ý khi xử lý dữ liệu cá nhân đối với bệnh nhi

Căn cứ: Điều 20 Nghị định 13/2023/NĐ-CP

– Phải thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.

– Phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên

– Phải có sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp.

– Phải xác minh tuổi của trẻ trước khi xử lý dữ liệu cá nhân.

– Ngừng xử lý dữ liệu cá nhân của trẻ trong trường hợp:

+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được trẻ em/người giám hộ đồng ý;

+ Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em;

+ Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Kết luận:

Việc bảo vệ dữ liệu cá nhân không chỉ là tuân thủ pháp luật mà còn là nền tảng để xây dựng niềm tin giữa người bệnh và cơ sở y tế. Phòng khám cần chủ động áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để thực hiện tốt trách nhiệm này.

Trên đây là nội dung tư vấn về Trách nhiệm của phòng khám chuyên khoa da liễu trong việc bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: