Trong thời đại số, thông tin sức khỏe cá nhân không chỉ là dữ liệu. Đây còn là quyền riêng tư của cá nhân cần được bảo vệ. Việc xử lý dữ liệu cá nhân của bệnh nhân là nghĩa vụ pháp lý và là chuẩn mực đạo đức nghề y. Đặc biệt, việc xin sự đồng ý trước khi xử lý dữ liệu cá nhân là yêu cầu bắt buộc và không thể bỏ qua. Bài viết này VDPC sẽ làm rõ các quy định pháp luật liên quan. Và hướng dẫn cụ thể trách nhiệm của bệnh viện trong từng giai đoạn.

1. Thực hiện Thông báo về việc xử lý dữ liệu cá nhân trong thời đại số

Căn cứ pháp lý: Khoản 8 Điều 11, Điều 13 Nghị định 13/2023/NĐ-CP.

Bệnh viện phải thông báo một lần trước khi xử lý dữ liệu cá nhân. Nội dung gồm:
– Mục đích;
– Loại dữ liệu;
– Cách thức xử lý
– Bên liên quan;
– Rủi ro có thể xảy ra;
– Thời gian xử lý.
Thông báo phải được trình bày dưới dạng văn bản hoặc điện tử.
Trường hợp bệnh viện không cần thông báo:
– Chủ thể dữ liệu đã biết và đồng ý;
– Dữ liệu do cơ quan Nhà nước xử lý theo quy định.
Chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

2. Bệnh viện phải xin sự đồng ý của bệnh nhân khi xử lý dữ liệu

Bệnh nhân được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình. Trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP.

Việc xin sự đồng ý phải đảm bảo:

Thông báo rõ ràng, dễ hiểu về:
– Mục đích xử lý;
– Loại dữ liệu được xử lý;
– Người xử lý dữ liệu cá nhân của bệnh nhân;
– Các quyền, nghĩa vụ của bệnh nhân.
Cho phép bệnh nhân thay đổi hoặc rút lại sự đồng ý với mục đích xử lý dữ liệu cá nhân bất cứ lúc nào.
Không ép buộc hoặc gây hiểu lầm trong quá trình xin sự đồng ý.
Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, bệnh viện liệt kê các mục đích để bệnh nhân đồng ý với một hoặc nhiều mục đích nêu ra. Bệnh nhân có thể đồng ý một phần hoặc với điều kiện kèm theo.

Hình thức thể hiện sự đồng ý của bệnh nhân:

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng một trong các hình thức dưới đây:
– Văn bản;
– Giọng nói;
– Đánh dấu vào ô đồng ý;
– Cú pháp đồng ý qua tin nhắn;
– Chọn các thiết lập kỹ thuật đồng ý;
– Qua một hành động khác thể hiện được điều này.

Mẫu Thông báo và đồng ý về việc xử lý dữ liệu cá nhân.

Định dạng của sự đồng ý:

Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản. Bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Hiệu lực của sự đồng ý:

Sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác. Hoặc khi cơ quan Nhà nước có thẩm quyền yêu cầu bằng văn bản.

Lưu ý:

Trong trường hợp có tranh chấp, bệnh viện phải có trách nhiệm chứng minh sự đồng ý của bệnh nhân.

3. Áp dụng biện pháp bảo vệ dữ liệu cá nhân trong thời đại số

Căn cứ pháp lý: Điều 26, Điều 27, khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP.

Bệnh viện phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân ngay từ đầu và trong suốt quá trình xử lý. Bao gồm biện pháp quản lý, kỹ thuật và các biện pháp khác theo quy định pháp luật.
Bệnh viện cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân. Nếu rõ những việc cần thực hiện theo quy định pháp luật.
Áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp.
Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ cho việc xử lý dữ liệu cá nhân trước khi tiến hành xử lý. Sau khi xử lý phải xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

4. Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ pháp lý: Điều 28 Nghị định 13/2023/NĐ-CP.

Bệnh viện phải thành lập bộ phận bảo vệ dữ liệu cá nhân và cử nhân sự phụ trách. Đồng thời báo cáo thông tin này với cơ quan chuyên trách.
Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể được xử lý. Trừ một số trường hợp cụ thể theo quy định. Như chủ thể đã biết và đồng ý trước khi cho bên xử lý tiến hành thu thập dữ liệu, phục vụ hoạt động của cơ quan có thẩm quyền,…
Bệnh viện hoạt động theo mô hình doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp có thể được miễn trừ quy định này trong 2 năm đầu sau khi thành lập.

5. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong thời đại số

Bệnh viện phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ngay từ khi bắt đầu xử lý.
Hồ sơ phải có giá trị pháp lý, luôn sẵn sàng cho kiểm tra của Bộ Công an và gửi một bản chính trong 60 ngày.

Lưu ý khi xử lý dữ liệu cá nhân đối với bệnh nhi

Căn cứ pháp lý: Điều 20 Nghị định 13/2023/NĐ-CP.

Phải thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
Phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định. Trừ một số trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP.
Phải xác minh tuổi của bệnh nhi trước khi xử lý dữ liệu cá nhân.
Ngừng xử lý dữ liệu cá nhân của bệnh nhi trong trường hợp:
– Xử lý dữ liệu không đúng mục đích. Hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được trẻ em/người giám hộ đồng ý;
– Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em;
– Theo yêu cầu của cơ quan chức năng có thẩm quyền. Khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Như vậy trong bối cảnh thời đại số

Trách nhiệm của bệnh viện không chỉ nằm ở việc cung cấp dịch vụ y tế chuyên môn. Mà còn là bảo vệ toàn diện quyền riêng tư và dữ liệu cá nhân của người bệnh. Việc xin sự đồng ý trước khi xử lý dữ liệu vừa là yêu cầu bắt buộc. Vừa là biểu hiện của sự minh bạch, tôn trọng và đạo đức nghề nghiệp.

Bệnh viện cần nghiêm túc thực hiện đầy đủ các biện pháp bảo mật phù hợp. Điều này giúp bệnh viện tránh rủi ro pháp lý không đáng có. Góp phần xây dựng niềm tin và sự tín nhiệm từ phía người bệnh. Yếu tố then chốt cho sự phát triển bền vững trong ngành y tế hiện đại.

Trên đây là nội dung tư vấn về Trách nhiệm của bệnh viện trong bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

TIN PHÁP LUẬT

Trách nhiệm xử lý dữ liệu cá nhân của bệnh viện trong thời đại số