THỎA THUẬN XỬ LÝ DỮ LIỆU CÁ NHÂN

 

Phiên bản: 1.0

Ngày hiệu lực: 01/01/2026

 

ĐIỀU 1: ĐỊNH NGHĨA

  1. Bên Kiểm soát dữ liệu (Controller): Là khách hàng (Bệnh viện/Phòng khám) quyết định mục đích và phương tiện xử lý dữ liệu cá nhân của bệnh nhân/khách hàng.

  2. Bên Xử lý dữ liệu (Processor): Là MedX Solution, thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát thông qua các giải pháp phần mềm/hạ tầng công nghệ.

  3. Dữ liệu cá nhân: Bao gồm dữ liệu cơ bản và dữ liệu nhạy cảm (thông tin sức khỏe, hồ sơ bệnh án) được chuyển giao cho MedX xử lý.

 

ĐIỀU 2: PHẠM VI VÀ MỤC ĐÍCH XỬ LÝ

  1. MedX cam kết chỉ xử lý dữ liệu theo các chỉ thị bằng văn bản của Bên Kiểm soát và trong phạm vi cung cấp dịch vụ đã thỏa thuận tại Hợp đồng chính.

  2. MedX không được sử dụng dữ liệu của Bên Kiểm soát cho bất kỳ mục đích nào khác (như quảng cáo, bán dữ liệu, nghiên cứu thị trường) trừ khi có văn bản đồng ý riêng biệt.

 

ĐIỀU 3: NGHĨA VỤ CỦA MEDX SOLUTION (BÊN XỬ LÝ)

  1. Tuân thủ chỉ thị: Chỉ thực hiện xử lý dữ liệu theo phạm vi công việc. Nếu phát hiện chỉ thị của Bên Kiểm soát vi phạm pháp luật (Nghị định 13), MedX phải thông báo ngay lập tức.

  2. Cam kết bảo mật: Đảm bảo mọi nhân viên, chuyên gia có quyền truy cập vào dữ liệu đều đã ký thỏa thuận bảo mật (NDA) và được đào tạo về an toàn thông tin.

  3. Hỗ trợ quyền của chủ thể dữ liệu: Khi bệnh nhân của Bên Kiểm soát yêu cầu thực hiện các quyền (truy cập, xóa, sửa), MedX có trách nhiệm cung cấp các công cụ kỹ thuật để Bên Kiểm soát thực hiện các yêu cầu này trong thời hạn luật định.

  4. Lập hồ sơ xử lý: MedX duy trì nhật ký xử lý dữ liệu (log) để phục vụ việc kiểm tra và báo cáo cơ quan nhà nước.

 

ĐIỀU 4: BIỆN PHÁP BẢO MẬT KỸ THUẬT

MedX cam kết duy trì các biện pháp bảo vệ phù hợp với tính chất nhạy cảm của dữ liệu y tế, bao gồm:

  • Mã hóa dữ liệu ở trạng thái lưu trữ (At-rest) và trạng thái truyền tải (In-transit).

  • Hệ thống quản lý quyền truy cập phân cấp (Role-based Access Control).

  • Định kỳ thực hiện kiểm tra lỗ hổng bảo mật (Penetration Testing).

 

ĐIỀU 5: XỬ LÝ SỰ CỐ DỮ LIỆU

  1. Trong trường hợp xảy ra sự cố (rò rỉ, mất mát hoặc truy cập trái phép vào dữ liệu), MedX phải thông báo cho Bên Kiểm soát bằng văn bản trong vòng 24 giờ kể từ khi phát hiện.

  2. Thông báo phải bao gồm: Tính chất sự cố, loại dữ liệu bị ảnh hưởng, hậu quả dự kiến và các biện pháp khắc phục đang triển khai.

  3. MedX phối hợp chặt chẽ với Bên Kiểm soát để báo cáo cơ quan chức năng (Cục An ninh mạng – Bộ Công an) theo quy định.

 

ĐIỀU 6: THUÊ BÊN THỨ BA XỬ LÝ (SUB-PROCESSOR)

  1. Bên Kiểm soát đồng ý cho MedX thuê các đối tác hạ tầng (ví dụ: Google Cloud, AWS, Viettel IDC) để lưu trữ dữ liệu.

  2. MedX cam kết các bên thứ ba này cũng phải tuân thủ các nghĩa vụ bảo mật không thấp hơn các tiêu chuẩn quy định tại Thỏa thuận này.

 

ĐIỀU 7: KIỂM TRA VÀ GIÁM SÁT (AUDIT)

Bên Kiểm soát có quyền tự mình hoặc thuê một đơn vị độc lập tiến hành kiểm tra (không quá 01 lần/năm) việc tuân thủ các quy định về bảo mật của MedX tại trụ sở hoặc thông qua hệ thống quản lý. MedX có trách nhiệm phối hợp và cung cấp bằng chứng chứng minh sự tuân thủ.

 

ĐIỀU 8: TRẢ LẠI VÀ TIÊU HỦY DỮ LIỆU

Khi chấm dứt hợp đồng dịch vụ, theo lựa chọn của Bên Kiểm soát, MedX sẽ:

  1. Trả lại toàn bộ dữ liệu dưới định dạng có cấu trúc (như .sql, .csv, .json).

  2. Xóa vĩnh viễn dữ liệu trên toàn bộ hạ tầng lưu trữ của MedX và các bên thứ ba, đồng thời cung cấp biên bản xác nhận tiêu hủy dữ liệu.

 

ĐIỀU 9: HIỆU LỰC

Thỏa thuận này có hiệu lực song song với Hợp đồng chính và sẽ tiếp tục có hiệu lực đối với các điều khoản bảo mật cho đến khi toàn bộ dữ liệu của Bên Kiểm soát được tiêu hủy hoàn toàn.

 

 

Nếu có bất kỳ câu hỏi nào về Điều khoản sử dụng, vui lòng liên hệ:

  • Email: support@medx-solution.com

  • Hotline: 0917762383

  • Địa chỉ: Tầng 4, Tòa H10, Số 2, Ngõ 475 Nguyễn Trãi, Phường Thanh Liệt, Thành phố Hà Nội