Trong thời đại số hóa, việc bảo vệ dữ liệu cá nhân của khách hàng là yêu cầu bắt buộc đối với mọi tổ chức, đặc biệt là các cơ sở y tế. Trung tâm tiêm chủng có trách nhiệm nghiêm ngặt trong việc đảm bảo an toàn thông tin cá nhân của người sử dụng dịch vụ.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Trách nhiệm của Trung tâm tiêm chủng trong việc bảo vệ dữ liệu cá nhân, dựa trên các quy định hiện hành của pháp luật.

I. Dữ liệu cá nhân

Căn cứ: Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

– Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

– Dữ liệu cá nhân mà trung tâm tiêm chủng xử lý gồm:

+ Dữ liệu cơ bản: Tên, số điện thoại, địa chỉ, ngày tháng năm sinh, …

+ Dữ liệu nhạy cảm: sức khỏe, lịch sử tiêm phòng, tiền sử bệnh lý dị ứng,…

II. Vai trò của trung tâm tiêm chủng đối với DLCN xử lý

Căn cứ: Điều 38 Nghị định 13/2023/NĐ-CP

             Điều 39; Điều 40 Nghị định 13/2023/NĐ-CP

1. Bên kiểm soát dữ liệu cá nhân:

– Trung tâm tiêm chủng có trách nhiệm đảm bảo an toàn, bảo mật dữ liệu cá nhân, ghi lại và lưu trữ quá trình xử lý dữ liệu.

– Trung tâm tiêm chủng phải thông báo vi phạm bảo vệ dữ liệu, lựa chọn Bên Xử lý dữ liệu phù hợp, bảo đảm quyền của chủ thể dữ liệu và chịu trách nhiệm về thiệt hại phát sinh.

– Trung tâm tiêm chủng cần phối hợp với cơ quan chức năng trong công tác bảo vệ dữ liệu và điều tra vi phạm.

2. Bên xử lý dữ liệu cá nhân:

– Trung tâm tiêm chủng có trách nhiệm tiếp nhận và xử lý dữ liệu theo hợp đồng với Bên Kiểm soát dữ liệu, đồng thời tuân thủ các biện pháp bảo vệ dữ liệu theo quy định pháp luật.

-Trung tâm tiêm chủng phải chịu trách nhiệm về thiệt hại do quá trình xử lý dữ liệu gây ra, xóa hoặc trả lại dữ liệu sau khi hoàn thành xử lý và hợp tác với cơ quan chức năng trong việc bảo vệ dữ liệu cũng như điều tra vi phạm.

III. Trung tâm tiêm chủng phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP

– Chỉ xử lý dữ liệu đúng mục đích đã đăng ký và trong phạm vi cần thiết.

– Phải cập nhật, bảo mật và không được mua bán trái phép dữ liệu các nhân của khách hàng.

– Thời gian lưu trữ dữ liệu phải phù hợp với mục đích xử lý.

– Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu của Trung tâm tiêm chủng chịu trách nhiệm tuân thủ và chứng minh sự tuân thủ các nguyên tắc này.

IV. Trung tâm tiêm chủng không được thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 8 Nghị định 13/2023/NĐ-CP

– Trung tâm tiêm chủng không được xử lý dữ liệu cá nhân trái pháp luật hoặc sử dụng dữ liệu để chống lại Nhà nước, gây ảnh hưởng đến an ninh, trật tự xã hội hay quyền lợi hợp pháp của tổ chức, cá nhân khác.

– Đồng thời, không được cản trở cơ quan chức năng trong bảo vệ dữ liệu cá nhân hoặc lợi dụng hoạt động này để vi phạm pháp luật.

V. Trung tâm tiêm chủng thực hiện Thông báo về việc xử lý dữ liệu cá nhân

Căn cứ: Khoản 8 Điều 11; Điều 13 Nghị định 13/2023/NĐ-CP

– Trung tâm tiêm chủng phải thông báo một lần trước khi xử lý dữ liệu cá nhân, nội dung gồm: mục đích, loại dữ liệu, cách thức xử lý, bên liên quan, rủi ro có thể xảy ra, thời gian xử lý.

– Thông báo phải được trình bày dưới dạng văn bản hoặc điện tử. Nếu chủ thể dữ liệu đã biết và đồng ý hoặc dữ liệu do cơ quan nhà nước xử lý theo quy định, Trung tâm tiêm chủng không cần thông báo.

– Dữ liệu cá nhân được xử lý là nhạy cảm thì cân thông báo đó là dữ liệu nhạy cảm.

VI. Trung tâm tiêm chủng phải xin sự đồng ý của khách hàng khi xử lý dữ liệu

Căn cứ: Điều 11 Nghị định 13/2023/NĐ-CP

              Khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP

1. Trung tâm tiêm chủng phải đảm bảo việc xin sự đồng ý

– Thông báo rõ ràng, dễ hiểu về mục đích xử lý, loại dữ liệu được xử lý, người xử lý dữ liệu cá nhân của khách hàng và các quyền, nghĩa vụ của khách hàng.

– Cho phép khách hàng thay đổi hoặc rút lại sự đồng ý với mục đích xử lý DLCN.

– Không ép buộc hoặc gây hiểu lầm trong quá trình xin sự đồng ý.

– Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Trung tâm tiêm chủng liệt kê các mục đích để khách hàng đồng ý với một hoặc nhiều mục đích nêu ra. Khách hàng có thể đồng ý một phần hoặc với điều kiện kèm theo.

2. Hình thức thể hiện sự đồng ý của khách hàng

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng một trong các hình thức dưới đây:

– Văn bản;

– Giọng nói;

– Đánh dấu vào ô đồng ý;

– Cú pháp đồng ý qua tin nhắn;

– Chọn các thiết lập kỹ thuật đồng ý;

– Qua một hành động khác thể hiện được điều này.

3. Định dạng của sự đồng ý

Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4. Hiệu lực của sự đồng ý

Sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

Lưu ý: Trong trường hợp có tranh chấp, Trung tâm tiêm chủng phải có trách nhiệm chứng minh sự đồng ý của khách hàng.

VII. Trung tâm tiêm chủng áp dụng biện pháp bảo vệ dữ liệu cá nhân

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

              Điều 27; Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP

– Trung tâm tiêm chủng phải áp dụng các biện pháp bảo vệ DLCN ngay từ đầu và trong suốt quá trình xử lý.

– Trung tâm tiêm chủng cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân.

– Áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp.

– Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ cho việc xử lý dữ liệu cá nhân trước khi tiến hành xử lý, sau khi xử lý phải xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

VIII. Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

– Trung tâm tiêm chủng phải thành lập bộ phận bảo vệ DLCN và cử nhân sự phụ trách.

– Đồng thời báo cáo thông tin này với cơ quan chuyên trách.

– Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm được xử lý.

– Trung tâm tiêm chủng hoạt động theo mô hình doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp có thể được miễn trừ quy định này trong 2 năm đầu sau khi thành lập.

IX. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

– Trung tâm tiêm chủng phải lập và lưu giữ Hồ sơ đánh giá tác động DLCN từ khi xử lý.

– Hồ sơ phải có giá trị pháp lý, luôn sẵn sàng cho kiểm tra của Bộ Công an và gửi một bản chính trong 60 ngày.

X. Lưu ý khi xử lý dữ liệu cá nhân đối với trẻ em

Căn cứ: Điều 20 Nghị định 13/2023/NĐ-CP

– Phải thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.

– Phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên

– Phải có sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp.

– Phải xác minh tuổi của trẻ trước khi xử lý dữ liệu cá nhân.

– Ngừng xử lý dữ liệu cá nhân của trẻ trong trường hợp:

+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được trẻ em/người giám hộ đồng ý;

+ Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em;

+ Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Kết luận:

Việc tuân thủ quy định về bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ pháp lý mà còn là yếu tố tạo dựng niềm tin cho khách hàng. Trung tâm tiêm chủng cần chủ động xây dựng và duy trì hệ thống bảo mật hiệu quả, bảo vệ quyền riêng tư của người dân.

Trên đây là nội dung tư vấn về Trách nhiệm của Trung tâm tiêm chủng trong việc bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: