Trách nhiệm của Phòng khám khi được yêu cầu thu hồi dữ liệu

Trách nhiệm của Phòng khám đối với việc thu hồi dữ liệu khách hàng là một vấn đề quan trọng nhằm bảo vệ quyền riêng tư của khách hàng. Khi khách hàng yêu cầu thu hồi hoặc xóa bỏ dữ liệu cá nhân, Phòng khám cần đảm bảo rằng yêu cầu được thực hiện. Việc này thể hiện sự tôn trọng đối với khách hàng và xây dựng uy tín cho Phòng khám.

Trong phạm vi bài viết này, VDPC sẽ làm rõ Trách nhiệm của Phòng khám khi được yêu cầu thu hồi dữ liệu.

1. Dữ liệu khách hàng mà phòng khám xử lý:

Căn cứ: Khoản 3, 4 Điều 2 Nghị định 13/2023/NĐ-CP

– Thông tin định danh: Họ tên, ngày tháng năm sinh, giới tính, v.v

– Thông tin liên hệ: Địa chỉ, số điện thoại, v.v

– Thông tin nhận dạng: Số CMND/CCCD, số hộ chiếu hoặc các giấy tờ định danh khác

– Thông tin tài chính (nếu có): Số tài khoản, thông tin giao dịch; thông tin hóa đơn, v.v

– Thông tin y tế và điều trị: Hồ sơ bệnh án, kết quả xét nghiệm, v.v

– Các thông tin khác nhạy cảm: Thông tin di truyền, đặc điểm sinh học, v.v

– Các thông tin liên quan đến khách hàng khác.

2. Yêu cầu thu hồi thông tin bị lộ của khách hàng:

Căn cứ: Điều 16; khoản 3 Điều 20 Nghị định 13/2023NĐ-CP

– Khách hàng có quyền yêu cầu phòng khám tiến hành xóa bỏ, vô hiệu hóa thông tin cá nhân đã bị rò rỉ. Yêu cầu này phù hợp với các quy định của pháp luật về bảo vệ dữ liệu cá nhân.

– Việc thu hồi dữ liệu phải được thực hiện trong 72 giờ sau khi có yêu cầu.

3. Trách nhiệm của phòng khám khi yêu cầu thu hồi dữ liệu phù hợp với quy định:

– Theo khoản 2 Điều 69 Luật khám chữa bệnh 2023 thì phòng khám phải lưu giữ hồ sơ bệnh án và giữ bí mật theo quy định của pháp luật. 

–  Phòng khám cần trao đổi với bệnh nhân về trách nhiệm lưu trữ hồ sơ bệnh án và xin sự đồng ý của bệnh nhân để được lưu trữ hồ sơ bệnh án theo đúng quy định. Đồng thời cam kết thực hiện các biện pháp cần thiết để bảo vệ thông tin DLCN của bệnh nhân.

– Đối với bên thứ ba, phòng khám cần lập tức liên hệ với bên cung cấp dịch vụ để yêu cầu ngừng sử dụng và xóa bỏ thông tin đã bị rò rỉ.

4. Trường hợp tìm ra được người làm lộ thông tin là nhân viên:

– Phòng khám không thể yêu cầu nhân viên chịu toàn bộ trách nhiệm nếu việc làm lộ dữ liệu cá nhân xảy ra trong quá trình nhân viên thực hiện công việc theo nhiệm vụ được giao hoặc có liên quan đến trách nhiệm của phòng khám.

– Theo khoản 6 Điều 3 Nghị định 13/2023/NĐ-CP, phòng khám khi xử lý dữ liệu cá nhân có trách nhiệm bảo vệ thông tin cá nhân của khách hàng. Nếu không có biện pháp bảo mật thích hợp thì phòng khám vẫn phải chịu trách nhiệm.

– Nếu người lao động có hành vi vi phạm được quy định trong nội quy hoặc được thỏa thuận trong hợp đồng lao động, thì có thể:

+ Kỷ luật người có lỗi theo quy định.

+ Yêu cầu người có lỗi hoàn trả một khoản tiền bồi thường (nếu có thiệt hại).

5. Rủi ro Phòng khám phải chịu nếu khách hàng tố cáo đến cơ quan có thẩm quyền:

Căn cứ: Điều 4 Nghị định 13/2023/NĐ-CP

Việc làm lộ thông tin khách hàng có thể bị xử lý kỷ luật, phạt hành chính, hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

a) Rủi ro hành chính:

Căn cứ: Điểm b khoản 2 Điều 1 và điểm c khoản 2 Điều 46 Nghị định 24/2025/NĐ-CP;

              Khoản 5 Điều 4 và Điểm c khoản 3 Điều 38 Nghị định số 117/2020/NĐ-CP

– Nếu cơ quan chức năng xác định vi phạm quy định về bảo vệ thông tin cá nhân, phòng khám sẽ bị phạt hành chính theo quy định của pháp luật hiện hành.

– Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng về việc không có biện pháp bảo đảm an toàn, an ninh thông tin của người tiêu dùng khi thu thập, lưu trữ, sử dụng hoặc không có biện pháp ngăn ngừa các hành vi vi phạm an toàn, an ninh thông tin của người tiêu dùng theo quy định.

– Phạt tiền từ 2.000.000 đồng đến 6.000.000 đồng về việc làm lộ thông tin người bệnh cung cấp và hồ sơ bệnh án.

b) Rủi ro dân sự:

Căn cứ: Điều 584; Điều 585 Bộ luật Dân sự 2015

– Khách hàng có thể khởi kiện đòi bồi thường thiệt hại về tinh thần và vật chất. Trường hợp thiệt hại có thật và đủ chứng cứ, phòng khám có thể phải chi trả khoản bồi thường.

c) Rủi ro về uy tín:

– Có thể gây tổn thất về danh tiếng, mất lòng tin của khách hàng. Từ đó gây ảnh hưởng đến hoạt động kinh doanh lâu dài của phòng khám.

6. Phòng khám cần thực hiện đầy đủ các công việc sau để tuân thủ quy định pháp luật:

– Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện, phải thực hiện của bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên thứ ba và bao gồm các phòng, ban liên quan của họ.

– Áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực y tế có liên quan tới xử lý dữ liệu cá nhân như HIPAA (Đạo luật về chuyển đổi và giải trình bảo hiểm y tế).

– Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

– Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân, trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp là cá nhân thì trao đổi thông tin của cá nhân thực hiện.

– Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân của chủ thể dữ liệu được xử lý.

Kết Luận