DỮ LIỆU CÁ NHÂN VỀ SỨC KHỎE VÀ KINH DOANH BẢO HIỂM: QUY ĐỊNH VÀ TRÁCH NHIỆM CỦA DOANH NGHIỆP THEO LUẬT BVDLCN 2025
Tìm hiểu quy định về dữ liệu cá nhân (DLCN) sức khỏe và trong bảo hiểm theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025): khi nào được xử lý, giới hạn, trách nhiệm và các sai lầm mà doanh nghiệp cần tránh.
Dữ liệu cá nhân về sức khỏe và trong hoạt động kinh doanh bảo hiểm là gì?
Luật BVDLCN 2025 chưa đưa ra danh mục cụ thể xác định dữ liệu nào được coi là thông tin sức khỏe hoặc liên quan đến hoạt động kinh doanh bảo hiểm.
Thông thường, dữ liệu cá nhân về sức khỏe được hiểu là các thông tin phản ánh tình trạng sức khỏe, bệnh lý, lịch sử y tế… Đây là nhóm dữ liệu nhạy cảm, có nguy cơ ảnh hưởng trực tiếp đến quyền lợi và quyền riêng tư nếu bị xâm phạm. Trong hoạt động kinh doanh bảo hiểm, dữ liệu cá nhân bao gồm thông tin được thu thập và xử lý để đánh giá rủi ro, ký kết hợp đồng bảo hiểm sức khỏe, bảo hiểm nhân thọ, và giải quyết quyền lợi bảo hiểm.
Đối tượng phải tuân thủ
Điều 26 Luật BVDLCN 2025 áp dụng chủ yếu cho:
- Cơ sở cung cấp dịch vụ khám bệnh, chữa bệnh (bệnh viện, phòng khám) có xử lý DLCN về sức khỏe.
- Doanh nghiệp kinh doanh bảo hiểm nhân thọ, bảo hiểm sức khỏe và các đơn vị cung cấp dịch vụ đại lý bảo hiểm, môi giới bảo hiểm, dịch vụ phụ trợ bảo hiểm.
Đặc biệt, tổ chức hoặc cá nhân phát triển ứng dụng y tế hoặc ứng dụng kinh doanh bảo hiểm cũng phải tuân thủ đầy đủ quy định về bảo vệ DLCN. Điều này đồng nghĩa việc bảo vệ dữ liệu phải được tính đến ngay từ giai đoạn thiết kế ứng dụng (Privacy by Design). Tuy nhiên, vẫn còn điểm chưa rõ trong luật là các ứng dụng fitness, thiết bị đeo tay thông minh có thu thập dữ liệu sức khỏe nhưng không gắn với dịch vụ y tế liệu có thuộc phạm vi điều chỉnh của quy định này hay chỉ áp dụng cho các ứng dụng telehealth.
Điều kiện xử lý dữ liệu sức khỏe và dữ liệu trong bảo hiểm
Luật BVDLCN 2025 yêu cầu việc xử lý DLCN về sức khỏe và trong hoạt động kinh doanh bảo hiểm phải có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp ngoại lệ quy định tại luật, đồng thời phải tuân thủ đầy đủ các quy định bảo vệ DLCN và pháp luật có liên quan.
Chia sẻ dữ liệu sức khỏe và dữ liệu trong bảo hiểm
Tổ chức, cá nhân hoạt động trong lĩnh vực y tế không được cung cấp DLCN cho bên thứ ba (ví dụ: tổ chức chăm sóc sức khỏe, doanh nghiệp bảo hiểm sức khỏe, bảo hiểm nhân thọ) trừ khi:
- Có yêu cầu bằng văn bản của chủ thể dữ liệu, hoặc
- Thuộc trường hợp miễn trừ xin đồng ý theo quy định của Luật BVDLCN 2025.
Chuyển dữ liệu trong hoạt động tái bảo hiểm
Doanh nghiệp kinh doanh tái bảo hiểm hoặc nhượng tái bảo hiểm, nếu chuyển dữ liệu cá nhân cho đối tác, phải nêu rõ nội dung chuyển dữ liệu trong hợp đồng với khách hàng để đảm bảo tính minh bạch.
PrivacyCompliance là đơn vị tư vấn hàng đầu tại Việt Nam trong lĩnh vực bảo vệ dữ liệu cá nhân và tuân thủ pháp luật về quyền riêng tư. Với đội ngũ chuyên gia giàu kinh nghiệm, sở hữu nhiều chứng chỉ quốc tế uy tín như CIPM, CIPP/E, FIP, CISA, CISM, CRISC®, ISO 27001, ISO 31000…, chúng tôi đã đồng hành cùng nhiều tổ chức, doanh nghiệp trong việc thiết kế và triển khai các giải pháp tuân thủ thực tiễn, hiệu quả.Chúng tôi cam kết mang đến giải pháp toàn diện và chuyên biệt trong việc xây dựng, vận hành và duy trì hệ thống tuân thủ bảo vệ dữ liệu cá nhân, đáp ứng cả khung pháp lý quốc tế và quy định pháp luật Việt Nam, giúp doanh nghiệp giảm thiểu rủi ro và nâng cao uy tín.🌐 Website: privacycompliance.vn📞 Điện thoại: +84 964 899 109📧 Email: info@privacycompliance.vn |
CÁC CÂU HỎI THƯỜNG GẶP
Bệnh viện có thể chia sẻ thông tin sức khỏe của bệnh nhân cho công ty bảo hiểm nhân thọ không?
Không, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu hoặc thuộc trường hợp miễn trừ theo luật. Việc chỉ dựa trên sự đồng ý của bệnh nhân tiềm ẩn rủi ro vi phạm.
Vi phạm quy định về dữ liệu sức khỏe trong bảo hiểm, hình thức xử phạt là gì?
Tùy tính chất, mức độ, hậu quả, hành vi vi phạm có thể bị xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo pháp luật. Hiện chưa có văn bản quy định riêng mức phạt cho vi phạm liên quan ghi âm, ghi hình tại nơi/hoạt động công cộng; tuy nhiên, Luật BVDLCN 2025 quy định mức phạt tối đa có thể lên tới 3 tỷ đồng đối với tổ chức (cá nhân tối đa bằng một nửa mức phạt của tổ chức).
Trong trường hợp cấp cứu, có cần xin sự đồng ý khi xử lý dữ liệu cá nhân của người bệnh không?
Không, tình huống này việc xử lý dữ liệu cần thiết để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu cá nhân trong trường hợp cấp bách nên sẽ không cần sự đồng ý của chủ thể dữ liệu.
#PDPL #privacy #healthdata #insurancedata #personaldata #privacycompliance #dulieucanhan #DLCN
Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN THEO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025: QUY ĐỊNH, THỦ TỤC VÀ LƯU Ý QUAN TRỌNG
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN THEO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025: QUY ĐỊNH, THỦ TỤC VÀ LƯU Ý QUAN TRỌNG Hướng dẫn chi tiết lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) theo Luật Bảo vệ dữ liệu cá […]
Learn more
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN THEO LUẬT BVDLCN 2025: QUY TRÌNH, THÀNH PHẦN VÀ LƯU Ý KHI CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI
HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN THEO LUẬT BVDLCN 2025: QUY TRÌNH, THÀNH PHẦN VÀ LƯU Ý KHI CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI Hướng dẫn chi tiết lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (DTIA) theo Luật Bảo vệ dữ […]
Learn more
DLCN TỪ GHI ÂM, GHI HÌNH NƠI CÔNG CỘNG THEO LUẬT BVDLCN 2025: QUY ĐỊNH VÀ TRÁCH NHIỆM DOANH NGHIỆP
DLCN TỪ GHI ÂM, GHI HÌNH NƠI CÔNG CỘNG THEO LUẬT BVDLCN 2025: QUY ĐỊNH VÀ TRÁCH NHIỆM DOANH NGHIỆP Tìm hiểu quy định về thu thập dữ liệu cá nhân (DLCN) từ hoạt động ghi âm, ghi hình nơi công cộng theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025): điều […]
Learn more