Chính sách bảo mật và bảo vệ dữ liệu cá nhân

CHÍNH SÁCH BẢO MẬT VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN

THÔNG TIN CHUNG
CÔNG TY CỔ PHẦN MEDIC HOLDING
0110856643 –

• Đơn vị ban hành: Phòng khám Đa khoa Medic Hà Nam
• Người phê duyệt: Giám đốc Phòng khám – Ông/Bà :Nguyễn Thị Khuyến
• Số điện thoại: 115.115  Email: medichanam@gmail.com

1. MỤC TIÊU

Chính sách này nhằm đảm bảo mọi nhân viên xử lý dữ liệu cá nhân tuân thủ đúng quy định pháp luật và yêu cầu hợp tác với Prudential/Eastspring, bảo vệ quyền riêng tư và bảo mật của khách hàng.

III. CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN – NHÂN VIÊN

1. Nguyên tắc cơ bản:
   • Chỉ thu thập, xử lý dữ liệu cá nhân khi có mục đích rõ ràng, hợp pháp và được sự đồng ý của khách hàng.
   • Hạn chế truy cập theo nguyên tắc “ít quyền nhất” (Least Privilege).
2. Trách nhiệm của nhân viên:
   • Không lưu trữ thông tin khách hàng trên thiết bị cá nhân.
   • Không chia sẻ dữ liệu cho bên thứ ba nếu chưa được phép bằng văn bản.
   • Khoá thiết bị truy cập khi rời khỏi bàn làm việc.
   • Báo cáo ngay sự cố bảo mật cho bộ phận phụ trách an toàn thông tin.
3. Đào tạo và cam kết:
   • Bắt buộc tham gia chương trình đào tạo bảo mật hằng năm.
   • Ký cam kết tuân thủ chính sách bảo mật trước khi được cấp quyền truy cập.
4. Kiểm soát và giám sát:
   • Rà soát quyền truy cập định kỳ 6 tháng/lần.
   • Sử dụng hệ thống ghi log truy cập và cảnh báo truy cập bất thường.

1. HƯỚNG DẪN XỬ LÝ DỮ LIỆU THEO HỢP ĐỒNG VỚI PRUDENTIAL/EASTSPRING

1. Dữ liệu được xử lý:
   • Thông tin định danh, thông tin liên hệ, dữ liệu tài chính, thông tin giao dịch bảo hiểm.
2. Yêu cầu đặc biệt:
   • Dữ liệu phải được mã hóa khi lưu trữ và truyền đi.
   • Chỉ cá nhân được phân quyền mới có quyền truy cập.
   • Không sao chép hoặc trích xuất dữ liệu ra khỏi hệ thống mà không có phê duyệt.
3. Bảo mật và tuân thủ:
   • Tuân thủ Nghị định 13/2023/NĐ-CP và các quy định của Prudential về bảo vệ dữ liệu.
   • Báo cáo ngay mọi sự cố liên quan đến dữ liệu của Prudential trong vòng 24h kể từ khi phát hiện.

1. QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU

1. Mục đích và cơ sở pháp lý xử lý dữ liệu cá nhân:
   • Dữ liệu cá nhân được xử lý nhằm mục đích khám, chữa bệnh, quản lý hồ sơ y tế, thanh toán bảo hiểm và chăm sóc khách hàng.
   • Cơ sở pháp lý: sự đồng ý rõ ràng của chủ thể dữ liệu, hợp đồng dịch vụ y tế, yêu cầu pháp lý từ cơ quan có thẩm quyền.
2. Người nhận dữ liệu cá nhân:
   • Các bên liên kết phục vụ chăm sóc y tế, đơn vị bảo hiểm (ví dụ: Prudential), các cơ quan quản lý nhà nước theo yêu cầu.
3. Thời gian lưu trữ dữ liệu:
   • Hồ sơ y tế: tối thiểu 10 năm kể từ ngày kết thúc điều trị theo quy định pháp luật.
   • Dữ liệu hợp đồng bảo hiểm: tối thiểu 5 năm hoặc lâu hơn theo thỏa thuận.
4. Chuyển giao dữ liệu cá nhân:
   • Có thể chuyển giao cho bên thứ ba hoặc ra nước ngoài nếu phục vụ mục đích khám chữa bệnh, bảo hiểm, với sự đồng ý của chủ thể dữ liệu.
   • Áp dụng biện pháp bảo vệ: mã hóa, hợp đồng ràng buộc bảo mật, và tuân thủ quy định pháp luật.
5. Quyền của chủ thể dữ liệu:
   • Quyền truy cập, chỉnh sửa, xóa dữ liệu, hạn chế xử lý, rút lại sự đồng ý.
   • Có thể liên hệ phòng bảo mật dữ liệu của Phòng khám để thực hiện quyền.

1. CAM KẾT ÁP DỤNG

Chính sách này có hiệu lực từ ngày ký. Mọi nhân viên liên quan đến xử lý dữ liệu cá nhân của khách hàng đều bắt buộc phải nắm rõ, tuân thủ và chịu trách nhiệm theo nội dung quy định tại đây.