Trong bối cảnh công nghệ phát triển mạnh mẽ, việc bảo vệ dữ liệu cá nhân trong lĩnh vực y tế trở nên cấp thiết hơn bao giờ hết. Phòng khám chuyên khoa nhi có trách nhiệm quan trọng trong việc bảo đảm an toàn thông tin của trẻ em và gia đình.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Trách nhiệm của phòng khám chuyên khoa nhi trong việc bảo vệ dữ liệu cá nhân, dựa trên các quy định hiện hành của pháp luật.

I. Dữ liệu cá nhân

Căn cứ: Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

– Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

– Dữ liệu cá nhân phòng khám chuyên khoa nhi xử lý:

+ Dữ liệu cơ bản: Tên trẻ, tuổi, tên cha mẹ, số điện thoại, địa chỉ,…

+ Dữ liệu nhạy cảm: Hồ sơ sức khỏe, lịch sử tiêm chủng, kết quả xét nghiệm,…

II. Vai trò của phòng khám chuyên khoa nhi đối với DLCN xử lý

Căn cứ: Điều 38 Nghị định 13/2023/NĐ-CP

              Điều 39; Điều 40 Nghị định 13/2023/NĐ-CP

1. Bên kiểm soát dữ liệu cá nhân:

– Phòng khám có trách nhiệm đảm bảo an toàn, bảo mật dữ liệu cá nhân, ghi lại và lưu trữ quá trình xử lý dữ liệu.

– Phòng khám phải thông báo vi phạm bảo vệ dữ liệu, lựa chọn Bên Xử lý dữ liệu phù hợp, bảo đảm quyền của chủ thể dữ liệu và chịu trách nhiệm về thiệt hại phát sinh.

– Đồng thời, Phòng khám cần phối hợp với cơ quan chức năng trong công tác bảo vệ dữ liệu và điều tra vi phạm.

2. Bên xử lý dữ liệu cá nhân:

– Phòng khám có trách nhiệm tiếp nhận và xử lý dữ liệu theo hợp đồng với Bên Kiểm soát dữ liệu, đồng thời tuân thủ các biện pháp bảo vệ dữ liệu theo quy định pháp luật.

– Phòng khám phải chịu trách nhiệm về thiệt hại do quá trình xử lý dữ liệu gây ra, xóa hoặc trả lại dữ liệu sau khi hoàn thành xử lý và hợp tác với cơ quan chức năng trong việc bảo vệ dữ liệu cũng như điều tra vi phạm.

III. Phòng khám chuyên khoa nhi phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP

– Chỉ xử lý dữ liệu đúng mục đích đã đăng ký và trong phạm vi cần thiết.

– Phải cập nhật, bảo mật và không được mua bán trái phép dữ liệu các nhân của trẻ.

– Không công khai dữ liệu trẻ.

– Thời gian lưu trữ dữ liệu phải phù hợp với mục đích xử lý.

IV. Phòng khám chuyên khoa nhi không được thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 8 Nghị định 13/2023/NĐ-CP

              Khoản 11 Điều 6 Luật Trẻ em 2016

– Phòng khám không được xử lý dữ liệu cá nhân trái pháp luật hoặc sử dụng dữ liệu để chống lại Nhà nước, gây ảnh hưởng đến an ninh, trật tự xã hội hay quyền lợi hợp pháp của tổ chức, cá nhân khác.

– Không được cản trở cơ quan chức năng trong bảo vệ dữ liệu cá nhân hoặc lợi dụng hoạt động này để vi phạm pháp luật.

– Công bố, tiết lộ thông tin riêng tư, bí mật cá nhân của trẻ em mà không được sự đồng ý của trẻ từ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ.

V. Phòng khám chuyên khoa nhi thực hiện Thông báo về việc xử lý dữ liệu cá nhân

Căn cứ: Khoản 8 Điều 11; Điều 13 Nghị định 13/2023/NĐ-CP

– Phòng khám phải thông báo rõ ràng, dễ hiểu cho người giám hộ hợp pháp (cha/mẹ hoặc người nuôi dưỡng được pháp luật công nhận).

– Số lần thông báo: một lần trước khi xử lý dữ liệu cá nhân.

– Nội dung thông báo: mục đích, loại dữ liệu, cách thức xử lý, bên liên quan, rủi ro có thể xảy ra và thời gian xử lý.

– Thông báo phải được trình bày dưới dạng văn bản hoặc điện tử. Nếu người dám hộ đã biết và đồng ý hoặc dữ liệu do cơ quan nhà nước xử lý theo quy định, phòng khám chuyên khoa nhi không cần thông báo.

– Khi xử lý dữ liệu nhạy cảm thì cần thông báo đó là dữ liệu cá nhân nhạy cảm.

VI. Phòng khám chuyên khoa nhi phải xin sự đồng ý khi xử lý dữ liệu

Căn cứ: Điều 11 Nghị định 13/2023/NĐ-CP

              Khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP

1. Phòng khám chuyên khoa nhi phải đảm bảo việc xin sự đồng ý

– Thông báo rõ ràng, dễ hiểu về mục đích xử lý, loại dữ liệu được xử lý, người xử lý dữ liệu cá nhân của trẻ và các quyền, nghĩa vụ của trẻ/người giám hộ của trẻ.

– Cho phép khách hàng thay đổi hoặc rút lại sự đồng ý với mục đích xử lý DLCN.

– Không ép buộc hoặc gây hiểu lầm trong quá trình xin sự đồng ý.

– Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, phòng khám liệt kê các mục đích để trẻ/người giám hộ đồng ý với một hoặc nhiều mục đích nêu ra. Có thể đồng ý một phần hoặc với điều kiện kèm theo.

2. Hình thức thể hiện sự đồng ý của trẻ/người giám hộ

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng một trong các hình thức dưới đây:

– Văn bản;

– Giọng nói;

– Đánh dấu vào ô đồng ý;

– Cú pháp đồng ý qua tin nhắn;

– Chọn các thiết lập kỹ thuật đồng ý;

– Qua một hành động khác thể hiện được điều này.

3. Định dạng của sự đồng ý

Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4. Hiệu lực của sự đồng ý

Sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

Lưu ý: Trong trường hợp có tranh chấp, phòng khám chuyên khoa nhi phải có trách nhiệm chứng minh sự đồng ý của trẻ/người giám hộ.

VII. Phòng khám chuyên khoa nhi áp dụng biện pháp bảo vệ dữ liệu cá nhân

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

              Điều 27; Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP

– Phòng khám phải áp dụng biện pháp bảo vệ DLCN ngay từ đầu và trong suốt quá trình xử lý.

– Phòng khám cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân.

– Áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp.

– Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ cho việc xử lý dữ liệu cá nhân trước khi tiến hành xử lý, sau khi xử lý phải xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

VIII. Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

– Phòng khám phải thành lập bộ phận bảo vệ dữ liệu cá nhân và cử nhân sự phụ trách.

– Đồng thời báo cáo thông tin này với cơ quan chuyên trách.

– Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm được xử lý.

– Phòng khám chuyên khoa nhi hoạt động theo mô hình doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp có thể được miễn trừ quy định này trong 2 năm đầu sau khi thành lập.

IX. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

– Phòng khám phải lập và lưu giữ Hồ sơ đánh giá tác động DLCN từ khi xử lý.

– Hồ sơ phải có giá trị pháp lý, luôn sẵn sàng cho kiểm tra của Bộ Công an và gửi một bản chính trong 60 ngày.

X. Lưu ý khi xử lý dữ liệu cá nhân đối với trẻ em

Căn cứ: Điều 20 Nghị định 13/2023/NĐ-CP

– Phải thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.

– Phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên

– Phải có sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp.

– Phải xác minh tuổi của trẻ trước khi xử lý dữ liệu cá nhân.

– Ngừng xử lý dữ liệu cá nhân của trẻ trong trường hợp:

+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được trẻ em/người giám hộ đồng ý;

+ Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em;

+ Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Kết luận:

Việc tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ pháp lý mà còn thể hiện đạo đức nghề nghiệp của phòng khám. Qua đó, tạo dựng niềm tin và bảo vệ quyền lợi chính đáng của người bệnh.

Trên đây là nội dung tư vấn về Trách nhiệm của phòng khám chuyên khoa nhi trong việc bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: