CẨM NANG PHÁP LUẬT

Trách nhiệm Phòng khám khi dữ liệu cá nhân khách hàng bị tiết lộ cho tổ chức, cá nhân khác mà chưa được sự đồng ý

28
Oct

Các Phòng khám là nơi lưu trữ và xử lý một trong những loại thông tin cá nhân nhạy cảm nhất của khách hàng: dữ liệu về tình trạng sức khỏe, bệnh án, và kết quả khám chữa bệnh… Dữ liệu cá nhân khách hàng bị tiết lộ cho tổ chức, cá nhân khác mà chưa được sự đồng ý của chủ thể dữ liệu không chỉ là hành vi xâm phạm tới quyền riêng tư mà còn gây thiệt hại cho người bệnh.

Bài viết này VDPC sẽ phân tích chi tiết trách nhiệm pháp lý của Phòng khám khi để xảy ra sự cố tiết lộ thông tin cá nhân của chủ thể dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025

1. Tình huống giả định

Phòng khám X tiếp nhận khiếu nại từ một Chủ thể dữ liệu là Khách hàng A liên quan đến việc rò rỉ thông tin cá nhân của chính Khách hàng A trong quá trình khám bệnh.

Cụ thể, sau khi sử dụng dịch vụ khám tại Phòng khám X, Khách hàng A nhận được cuộc gọi từ một Bên thứ ba có cung cấp dịch vụ chăm sóc sức khỏe, bên này có mời sử dụng dịch vụ kèm theo. Do trước đó Phòng khám X có chính sách giới thiệu về gói dịch vụ chăm sóc sức khỏe được liên kết với buổi khám trước, Khách hàng A đã tin tưởng và đồng ý sử dụng dịch vụ của bên thứ ba này, thậm chí đã thanh toán cho một gói dịch vụ của Bên thứ ba.

Sau khi giao dịch hoàn tất, Khách hàng A cảm thấy nghi ngờ do người cung cấp dịch vụ không mặc đồng phục của Phòng khám X nên đã kiểm tra lại và được Phòng khám X xác nhận đó không phải là nhân viên, đối tác của mình. Khách hàng A lập tức yêu cầu chấm dứt dịch vụ, hoàn trả tiền và khiếu nại, yêu cầu Phòng khám X xin lỗi về hành vi tiết lộ dữ liệu cá nhân ra bên ngoài, đồng thời phải thu hồi thông tin, dữ liệu của Khách hàng A bị lộ.

2. Phòng khám phải chịu trách nhiệm gì đối với Khách hàng A? 

Căn cứ pháp lý: Điều 3, 37 Luật Bảo vệ dữ liệu cá nhân 2025

Trong trường hợp này, Phòng khám đang ở vai trò là Bên kiểm soát và xử lý dữ liệu cá nhân (là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân). Tương ứng với đó, Phòng khám có các trách nhiệm như sau với Khách hàng A (chủ thể dữ liệu cá nhân):

  • Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân
  • Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân
  • Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung
  • Thực hiện biện pháp quản lý, kỹ thuật phù hợp bảo vệ dữ liệu cá nhân; rà soát, cập nhật các biện pháp này khi cần thiết
  • Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân
  • Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân

Ngoài ra còn có các trách nhiệm khác như:

  • Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân
  • Bảo đảm các quyền của chủ thể dữ liệu cá nhân
  • Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định
  • Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
  • Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra
  • Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
  • Thực hiện các trách nhiệm khác theo quy định

3. Phòng khám có bắt buộc phải công khai xin lỗi không? Nên xử lý như thế nào trong tình huống này?

Căn cứ pháp lý: Điều 11 Bộ Luật dân sự 2015

Tại trường hợp với Khách hàng A, Phòng khám có thể phải thực hiện việc xin lỗi công khai với Khách hàng A nếu Khách hàng A yêu cầu cơ quan, tổ chức có thẩm quyền buộc Phòng khám phải xin lỗi công khai.

Trong trường hợp này, Phòng khám do không phải là bên có hành vi tiết lộ hay trao đổi thông tin của Khách hàng A, nên Phòng khám có thể chủ động thực hiện biện pháp xin lỗi trực tiếp với Khách hàng A, đồng thời đưa ra phương hướng giải quyết trên thiện chí và có các phương án hỗ trợ, phương án khắc phục tình huống và với dữ liệu cá nhân bị lộ của Khách hàng A.

4. Việc Khách hàng A yêu cầu thu hồi thông tin bị lộ có phù hợp quy định pháp luật không? Nếu có thì làm như thế nào?

Căn cứ pháp lý: Điều 3, 4 Luật Bảo vệ dữ liệu cá nhân 2025

Việc Khách hàng A yêu cầu thu hồi thông tin là phù hợp với quy định của Luật Bảo vệ dữ liệu cá nhân, vì Khách hàng A trong vai trò là chủ thể của dữ liệu cá nhân, thì có quyền đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân.

(Xử lý dữ liệu cá nhân là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân)

Trong trường hợp này, phòng khám có thể thực hiện việc xác minh các dịch vụ bên ngoài đã tiếp cận thông tin của phòng khám, sau thì cần thực hiện việc thu hồi, yêu cầu các tổ chức, cá nhân đó thu hồi, xóa thông tin của Khách hàng A để đảm bảo quyền lợi cho Khách hàng A.

Phòng khám cũng cần tìm kiếm và rà soát nội bộ hệ thống, nhân viên, kiểm tra về đối tượng, cá nhân đã tiết lộ thông tin của bệnh nhân ra ngoài, đồng thời nên thực hiện việc kiểm soát hoặc giới hạn về quyền truy cập, bảo vệ thông tin, dữ liệu cá nhân bệnh nhân.

5. Trong trường hợp tìm ra người tiết lộ thông tin, Phòng khám có thể yêu cầu người lộ thông tin chịu toàn bộ trách nhiệm không?

Căn cứ pháp lý:

Dù tìm ra người làm tiết lộ thông tin của Khách hàng A ra bên ngoài, nhưng Phòng khám vẫn phải chịu trách nhiệm, dù không cố tình thực hiện hành vi tiết lộ thông tin, theo quy định thì Phòng khám có thể phải chịu trách nhiệm như sau:

  1. Theo quy định của Luật Bảo vệ dữ liệu cá nhân, đây là hành vi bị nghiêm cấm đối với dữ liệu cá nhân, thì tổ chức, cá nhân thực hiện, vi phạm có thể bị phạt hành chính với tiền phạt tối đa là 03 tỷ đồng. Đối với trách nhiệm dân sự, cũng có thể phải bồi thường đối với các thiệt hại gây ra đối với chủ thể dữ liệu cá nhân nếu có.
  2. Theo quy định tại Nghị định 98/2020/NĐ-CP, hành vi chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng có thể bị phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng
  3. Theo quy định tại Nghị định 117/2020/NĐ-CP, hành vi làm lộ tình trạng bệnh, thông tin mà người bệnh đã cung cấp và hồ sơ bệnh án với Phòng khám Đa khoa sẽ bị phạt tiền từ 2.000.000 đồng đến 6.000.000 đồng

6. Phòng khám có chịu rủi ro gì nếu Khách hàng A tố cáo đến cơ quan có thẩm quyền?

Có, Phòng khám có thể vẫn phải chịu rủi ro.

Trước hết về mặt pháp lý, ngoài các mức phạt hành chính và trách nhiệm bồi thường (nếu có) mà Phòng khám có thể chịu như đã nêu ở Mục 4, thì Phòng khám còn có thể bị ảnh hưởng đến danh dự, uy tín, doanh thu hoặc thậm chí ảnh hưởng tới hoạt động của Phòng khám nếu Khách hàng A tố cáo sự việc đến cơ quan có thẩm quyền.

KẾT LUẬN

Trách nhiệm của Phòng khám khi dữ liệu cá nhân khách hàng bị tiết lộ mà không có sự đồng ý là rất nghiêm trọng. Để tuân thủ pháp luật và bảo vệ uy tín, Phòng khám phải xây dựng và duy trì các hệ thống bảo mật nghiêm ngặt, đồng thời thiết lập quy trình xử lý dữ liệu cá nhân và tuân thủ nghiêm ngặt các quy định của pháp luật.

Trên đây là Trách nhiệm Phòng khám khi dữ liệu cá nhân khách hàng bị tiết lộ cho tổ chức, cá nhân khác mà chưa được sự đồng ý. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: