Doanh nghiệp kinh doanh dược cần rà soát toàn diện chính sách dữ liệu

Tuy nhiên, cách thu thập và phân tách quản lý dữ liệu của các nhà thuốc còn nhiều khoảng trống có thể khiến các doanh nghiệp này gặp rủi ro về pháp lý dù họ đang nỗ lực chứng minh việc tuân thủ pháp lý hiện hành.

Tháng 1-2026, hầu hết các chuỗi nhà thuốc lớn, như FPT Long Châu, Pharmacity hay An Khang... đều đã công bố những chính sách bảo mật, bảo vệ dữ liệu cá nhân trên trang web chính thức(1) nhằm đáp ứng yêu cầu tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025) vừa có hiệu lực và Nghị định 356/2025/NĐ-CP (Nghị định 356) được ban hành ngày 31-12-2025, quy định chi tiết một số điều và biện pháp thi hành Luật BVDLCN 2025. Nhưng có thể thấy vẫn tồn tại những khoảng trống đáng kể do tính đặc thù của ngành dược - lĩnh vực mà dữ liệu cá nhân (DLCN) không chỉ gắn với thông tin định danh, mà còn liên quan trực tiếp đến sức khỏe, tình trạng bệnh lý và đời sống riêng tư của mỗi cá nhân.

Dữ liệu sức khỏe không chỉ là “thông tin giao dịch”

Thông qua toa thuốc, lịch sử mua hàng, tư vấn của dược sĩ và các chương trình chăm sóc khách hàng, nhà thuốc có thể nắm giữ một lượng lớn thông tin phản ánh trực tiếp hoặc gián tiếp tình trạng sức khỏe của cá nhân khách hàng chứ không đơn thuần chỉ tên, số điện thoại hay địa chỉ giao hàng.

Nghị định 356 xác định dữ liệu về sức khỏe là dữ liệu cá nhân nhạy cảm(2), đòi hỏi mức độ bảo vệ cao hơn so với DLCN thông thường. Điều này kéo theo hàng loạt hệ quả pháp lý như điều kiện xử lý nghiêm ngặt hơn, yêu cầu cao hơn về biện pháp bảo mật, cũng như nghĩa vụ giải trình của bên kiểm soát và xử lý dữ liệu. Thực tế việc tình trạng sức khỏe được liệt kê như một DLCN nhạy cảm không phải là quy định mới, Nghị định 13/2023/NĐ-CP về bảo vệ DLCN (Nghị định 13) cũng đã đề cập vấn đề này.

Tuy nhiên, khi rà soát các chính sách bảo vệ DLCN hiện hành của các chuỗi nhà thuốc lớn có thể nhận thấy một điểm chung đó là dữ liệu sức khỏe chưa được nhận diện và xử lý như một nhóm DLCN nhạy cảm độc lập. Các chính sách đều liệt kê chung “thông tin cá nhân”, “thông tin giao dịch”, “thông tin khách hàng” mà không tách bạch rõ ràng đâu là dữ liệu cơ bản, đâu là dữ liệu sức khỏe thuộc dữ liệu nhạy cảm cần áp dụng cơ chế bảo vệ tăng cường. Cách tiếp cận này tiềm ẩn rủi ro pháp lý đáng kể.

Thứ nhất, doanh nghiệp có thể gặp khó khăn trong việc chứng minh rằng mình đã áp dụng các biện pháp bảo vệ tương xứng với tính chất nhạy cảm của dữ liệu. Nghị định 356 đặt ra các quy định khắt khe hơn đối với doanh nghiệp (bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu) liên quan đến các DLCN nhạy cảm.

Có thể kể đến như việc cần thông báo cụ thể cho chủ thể dữ liệu về việc DLCN được thu thập là DLCN nhạy cảm hoặc phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh DLCN và các biện pháp bảo mật khác trong quá trình chuyển giao DLCN nhạy cảm. Khi dữ liệu sức khỏe bị đồng nhất vào dữ liệu cơ bản, ranh giới này trở nên mờ nhạt, người gặp khó khăn lớn nhất lúc này chính là các công ty dược - chủ sở hữu chuỗi nhà thuốc.

Thứ hai, việc không phân loại đúng dữ liệu sức khỏe khiến quyền kiểm soát của chủ thể dữ liệu khó được bảo đảm trên thực tế. Một khách hàng có nhu cầu tiếp cận, chỉnh sửa hoặc hạn chế xử lý dữ liệu liên quan đến tình trạng bệnh lý của mình gần như không thể biết phải thực hiện quyền đó như thế nào nếu chính sách không nhận diện rõ loại dữ liệu đang được xử lý. Lúc này, “quả bóng trách nhiệm” thuộc về công ty dược mà không phải khách hàng sử dụng dịch vụ.

Sự vắng bóng của cơ chế thực thi quyền

Luật BVDLCN 2025 đặt quyền của chủ thể dữ liệu ở vị trí trung tâm, với hàng loạt quyền cụ thể như quyền được biết, quyền đồng ý, quyền rút lại sự đồng ý, quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền hạn chế xử lý và quyền khiếu nại(3). Đồng thời, Nghị định 356 đã đặt ra nghĩa vụ của bên kiểm soát DLCN, bên kiểm soát và xử lý DLCN phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu, đảm bảo chủ thể dữ liệu được biết về thủ tục thực hiện các quyền của mình(4).

Đối với ngành dược, việc bảo đảm các quyền này có ý nghĩa đặc biệt quan trọng bởi DLCN được xử lý gắn chặt với đời sống riêng tư và sức khỏe của cá nhân. Tuy nhiên, trong các chính sách bảo vệ DLCN như của Long Châu, Pharmacity và An Khang, các quyền này chủ yếu được liệt kê như một cam kết mang tính nguyên tắc. Điều còn thiếu là cơ chế để những quyền đó được thực thi một cách hiệu quả và nhất quán.

Chẳng hạn, các chính sách này không làm rõ cách thức để khách hàng gửi yêu cầu thực hiện quyền của mình như gửi qua kênh nào, có cần biểu mẫu hay không, thời hạn phản hồi là bao lâu, bộ phận nào chịu trách nhiệm xử lý. Những câu hỏi này mang tính vận hành, nhưng lại quyết định việc quyền của chủ thể dữ liệu có thực sự được bảo đảm hay không. Đặc biệt, trong ngành dược, quyền xóa dữ liệu và quyền hạn chế xử lý dữ liệu thường đặt ra những tình huống pháp lý phức tạp.

Một mặt, khách hàng có quyền yêu cầu xóa DLCN khi mục đích xử lý đã đạt được. Mặt khác, doanh nghiệp lại có nghĩa vụ lưu trữ một số thông tin nhất định theo quy định chuyên ngành, phục vụ kiểm tra, truy xuất nguồn gốc hoặc trách nhiệm pháp lý. Nếu không có khung xử lý rõ ràng cho những xung đột này, doanh nghiệp rất dễ rơi vào thế bị động khi tiếp nhận yêu cầu từ khách hàng, đồng thời quyền lợi của khách hàng (chủ thể dữ liệu) có thể cũng không được bảo đảm.

Nghị định 13 đã bị thay thế: cần rà soát toàn diện chính sách dữ liệu

Trong giai đoạn đầu của khung pháp lý về bảo vệ DLCN, Nghị định 13 đóng vai trò như một văn bản đặt nền móng. Nhiều doanh nghiệp đã xây dựng chính sách bảo vệ DLCN dựa trên các quy định của nghị định này. Tuy nhiên, với việc Luật BVDLCN 2025 và Nghị định 356 đã chính thức có hiệu lực, Nghị định 13 đã bị thay thế. Nghị định 356 cũng đã được ban hành và không chỉ đơn thuần kế thừa tinh thần của Nghị định 13, mà còn cụ thể hóa nhiều nghĩa vụ mới, phản ánh cách tiếp cận chặt chẽ và hệ thống hơn đối với bảo vệ DLCN.

Đối với doanh nghiệp kinh doanh dược, điều này đồng nghĩa với việc các chính sách ban hành trước đây, nếu chỉ dựa trên Nghị định 13, nhiều khả năng không còn phù hợp với khung pháp lý hiện hành, đơn cử như các nội dung đã được đề cập ở trên. Trong bối cảnh đó, việc rà soát toàn diện các chính sách bảo vệ DLCN đã ban hành là yêu cầu cấp thiết đặt ra với các doanh nghiệp, đặc biệt là các doanh nghiệp trong lĩnh vực dược, nơi mà DLCN được yêu cầu bảo vệ một cách nghiêm ngặt.

Có thể thấy, các nhà thuốc như FPT Long Châu, Pharmacity hay An Khang... đều là các nhà thuốc chiếm thị phần rất lớn trên thị trường hiện nay. Họ cũng là các doanh nghiệp đi đầu trong việc ban hành các chính sách về bảo vệ DLCN của khách hàng. Điều này chứng tỏ sự quan tâm đặc biệt của các doanh nghiệp này đối với vấn đề bảo vệ DLCN của khách hàng.

Tuy vậy, để các chính sách này thật sự phát huy hiệu quả trên thực tế, vừa là giải pháp tuân thủ pháp luật cho doanh nghiệp, vừa tạo ra các cơ chế minh bạch, tiến bộ trong hoạt động xử lý DLCN, các doanh nghiệp dược cần đánh giá kỹ lưỡng hơn về sự đặc thù của các DLCN trong ngành dược, từ đó hiệu chỉnh/ban hành các chính sách bảo vệ DLCN phù hợp và mang tính thực chất hơn để không chỉ đảm bảo uy tín thương hiệu của doanh nghiệp mà còn thực thi đầy đủ quyền của người tiêu dùng.

(*) Công ty Luật TNHH HM&P

(1) https://nhathuoclongchau.com.vn/chinh-sach/chinh-sach-bao-mat, https://www.pharmacity.vn/page/chinh-sach-bao-ve-du-lieu-ca-nhan-danh-cho-khach-hang, https://www.nhathuocankhang.com/chinh-sach-bao-mat-an-khang, truy cập lần cuối ngày 2-1-2026.

(2) Điểm d Khoản 1 Điều 4 Nghị định 356.

(3) Khoản 1 Điều 4 Luật BVDLCN 2025.

(4) Khoản 1 Điều 5 nghị định 356.

LS. Nguyễn Nhật Dương (*)