Điều khoản chung về bảo vệ và xử lý dữ liệu cá nhân

ĐIỀU KHOẢN CHUNG VỀ BẢO VỆ VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN
(GENERAL TERMS ON PERSONAL DATA PROTECTION AND PROCESSING)

(Hiệu lực kể từ ngày 01/03/2025)
(To be effective from 1 March 2025)

1. MỤC ĐÍCH VÀ PHẠM VI ÁP DỤNG
(PURPOSE AND SCOPE OF APPLICATION)

Mục đích: Điều khoản này quy định các nguyên tắc, biện pháp và trách nhiệm liên quan đến việc thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân của người dùng trên hệ thống Kiosk MediPay khi kết nối với VNeID, nhằm đảm bảo quyền riêng tư và tuân thủ pháp luật Việt Nam.

Purpose: These terms stipulate the principles, measures, and responsibilities related to the collection, processing, storage, and protection of users’ personal data on the MediPay Kiosk system when integrated with VNeID, to ensure privacy rights and compliance with Vietnamese law.

Phạm vi áp dụng: Áp dụng cho tất cả người dùng sử dụng dịch vụ MediPay thông qua Kiosk MediPay, bao gồm cá nhân, tổ chức liên quan đến việc cung cấp, vận hành và quản lý hệ thống, cũng như các bên thứ ba được ủy quyền.

Scope of application: Applicable to all users of MediPay services via the MediPay Kiosk, including individuals, organizations involved in providing, operating, and managing the system, as well as authorized third parties.

2. ĐỊNH NGHĨA CÁC THUẬT NGỮ CHÍNH
(DEFINITION OF KEY TERMS)

Các thuật ngữ dùng trong Điều khoản chung này được diễn giải và có ý nghĩa như sau:

The terms used in these General Terms are interpreted and understood as follows:

Thuật Ngữ Term	Ý Nghĩa Meaning
Dữ Liệu Cá Nhân Personal Data	Bất kỳ thông tin nào có thể được sử dụng để nhận diện hoặc liên quan đến một cá nhân, bao gồm tên, số điện thoại, dữ liệu y tế, hoặc thông tin tài chính. Ví dụ: số CMND/CCCD hoặc lịch sử điều trị của bạn. Any information that can be used to identify or relate to an individual, including name, phone number, medical data, or financial information. Example: Your ID card number or medical history.
Dữ Liệu Y Tế Medical Data	Các thông tin liên quan đến sức khỏe của bạn, chẳng hạn như hồ sơ bệnh án, chẩn đoán từ bác sĩ, đơn thuốc, kết quả xét nghiệm, hoặc thông tin về tình trạng sức khỏe mãn tính. Đây là dữ liệu nhạy cảm đặc thù trong ngành y tế. Information related to your health, such as medical records, doctor’s diagnoses, prescriptions, test results, or chronic health conditions. This is sensitive data specific to the healthcare industry.
Chủ Thể Dữ Liệu Data Subject	Người mà dữ liệu cá nhân phản ánh, chẳng hạn như bệnh nhân sử dụng dịch vụ của MediPay, nhà cung cấp y tế, hoặc người giám hộ hợp pháp. The person to whom the personal data pertains, such as a patient using MediPay services, a healthcare provider, or a legal guardian.
Bên Kiểm Soát Dữ Liệu Data Controller	MediPay – tổ chức chịu trách nhiệm quyết định mục đích và cách thức xử lý dữ liệu cá nhân của bạn. MediPay – the organization responsible for determining the purposes and methods of processing your personal data.
Bên Xử Lý Dữ Liệu Data Processor	Các tổ chức hoặc cá nhân được MediPay ủy quyền xử lý dữ liệu Organizations or individuals authorized by MediPay to process data
Sự Đồng Ý Consent	Sự chấp thuận tự nguyện, rõ ràng và cụ thể của bạn, cho phép MediPay xử lý dữ liệu của bạn. Your voluntary, clear, and specific approval, expressed through actions, allowing MediPay to process your data.

3. NGUYÊN TẮC XỬ LÝ DỮ LIỆU CÁ NHÂN
(PRINCIPLES OF PERSONAL DATA PROCESSING)

Dữ liệu cá nhân chỉ được thu thập và xử lý khi có sự đồng ý rõ ràng của người dùng, trừ trường hợp pháp luật có quy định khác.
Personal data is only collected and processed with the user’s explicit consent, except where otherwise required by law.
Việc xử lý dữ liệu phải minh bạch, đúng mục đích đã thông báo và không gây tổn hại đến quyền lợi của người dùng.
Data processing must be transparent, aligned with the stated purpose, and not harm the user’s interests.
Dữ liệu được xử lý với phạm vi tối thiểu cần thiết và phải đảm bảo tính chính xác, cập nhật.
Data is processed within the minimum necessary scope and must be accurate and up-to-date.
Tuân thủ các quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân tại Việt Nam.
Compliance with current Vietnamese laws on personal data protection is mandatory.

4. LOẠI DỮ LIỆU CÁ NHÂN ĐƯỢC THU THẬP
(TYPES OF PERSONAL DATA COLLECTED)

Dữ liệu từ VNeID: Họ và tên, ngày tháng năm sinh, số định danh cá nhân, giới tính, địa chỉ, ảnh chân dung và các thông tin khác do VNeID cung cấp.
Data from VNeID: Full name, date of birth, personal identification number, gender, address, portrait photo, and other information provided by VNeID.
Dữ liệu từ MediPay: Thông tin giao dịch thanh toán, lịch sử sử dụng dịch vụ y tế, thông tin liên hệ (email, số điện thoại) do người dùng cung cấp qua Kiosk MediPay.
Data from MediPay: Payment transaction information, medical service usage history, contact information (email, phone number) provided by users via the MediPay Kiosk.
Dữ liệu kỹ thuật: Thời gian truy cập, nhật ký hoạt động trên Kiosk.
Technical data: Access time, activity logs on the Kiosk.

5. MỤC ĐÍCH XỬ LÝ DỮ LIỆU
(PURPOSES OF DATA PROCESSING)

Xác thực danh tính người dùng thông qua kết nối với VNeID.
Authenticate user identity through integration with VNeID.
Đảm bảo an toàn hệ thống và cải thiện trải nghiệm người dùng.
Ensure system security and improve user experience.
Tuân thủ các yêu cầu pháp lý hoặc báo cáo theo quy định của cơ quan nhà nước có thẩm quyền.
Comply with legal requirements or reporting obligations as stipulated by competent state authorities.

6. CHIA SẺ VÀ CHUYỂN GIAO DỮ LIỆU CÁ NHÂN
(SHARING AND TRANSFER OF PERSONAL DATA)

Dữ liệu cá nhân chỉ được chia sẻ với các bên thứ ba (như đối tác y tế, hoặc cơ quan nhà nước) khi có sự đồng ý của người dùng hoặc đáp ứng yêu cầu pháp lý.
Personal data is only shared with third parties (e.g., medical partners, banks, or state agencies) with user consent or to meet legal requirements.
MediPay cam kết ký kết thỏa thuận bảo mật với các bên thứ ba để đảm bảo dữ liệu được bảo vệ trong quá trình chuyển giao.
MediPay commits to signing confidentiality agreements with third parties to ensure data protection during transfer

7. BIỆN PHÁP BẢO VỆ DỮ LIỆU
(DATA PROTECTION MEASURES)

Áp dụng công nghệ mã hóa (encryption) cho dữ liệu truyền tải và lưu trữ.
Apply encryption technology for data transmission and storage.
Sử dụng hệ thống tường lửa, phần mềm chống xâm nhập và các biện pháp an ninh mạng tiên tiến.
Use firewalls, intrusion prevention software, and advanced cybersecurity measures.
Hạn chế quyền truy cập dữ liệu chỉ cho nhân sự được ủy quyền, có ký cam kết bảo mật.
Restrict data access to authorized personnel who have signed confidentiality agreements.
Thực hiện kiểm tra định kỳ để phát hiện và khắc phục lỗ hổng bảo mật.
Conduct periodic audits to detect and address security vulnerabilities.
Xử lý kịp thời các sự cố rò rỉ dữ liệu và thông báo cho người dùng trong vòng 24 giờ.
Promptly address data breach incidents and notify users within 24 hours

8 . QUYỀN CỦA NGƯỜI DÙNG
(USER RIGHTS)

Quyền truy cập: Yêu cầu xem dữ liệu cá nhân đang được MediPay lưu trữ.
Right to access: Request to view personal data stored by MediPay.
Quyền chỉnh sửa: Yêu cầu cập nhật hoặc sửa đổi dữ liệu nếu không chính xác.
Right to rectify: Request updates or corrections to inaccurate data.
Quyền xóa: Yêu cầu xóa dữ liệu khi không còn cần thiết, trừ trường hợp pháp luật yêu cầu lưu trữ.
Right to erasure: Request data deletion when no longer necessary, except where retention is legally required.
Quyền rút lại đồng ý: Rút lại sự đồng ý cho việc xử lý dữ liệu bất kỳ lúc nào.
Right to withdraw consent: Withdraw consent for data processing at any time.
Quyền khiếu nại: Liên hệ MediPay hoặc cơ quan quản lý nếu quyền lợi bị xâm phạm.
Right to complain: Contact MediPay or regulatory authorities if rights are violated.

9. THỜI GIAN LƯU TRỮ DỮ LIỆU
(DATA RETENTION PERIOD)

Dữ liệu cá nhân được lưu trữ trong thời gian cần thiết để thực hiện mục đích đã nêu hoặc theo yêu cầu pháp luật.
Personal data is stored for the duration necessary to fulfill the stated purposes or as required by law.
Dữ liệu giao dịch được lưu trữ tối đa 3 năm kể từ ngày giao dịch cuối cùng, trừ khi pháp luật hay VNeID quy định khác. Sau khi hết thời gian lưu trữ, dữ liệu sẽ được xóa hoặc ẩn danh hóa để không thể truy xuất.
Transaction data is retained for a maximum of 3 years from the last transaction, unless otherwise stipulated by law or VNeID. After the retention period, data will be deleted or anonymized to prevent retrieval.

10. LIÊN HỆ
(CONTACT INFFORMATION)

Mọi thắc mắc, yêu cầu hoặc khiếu nại liên quan đến bảo vệ dữ liệu cá nhân, vui lòng liên hệ qua email: [email protected] hoặc hotline: 1900-3426. MediPay cam kết phản hồi trong vòng 24 giờ kể từ khi nhận được yêu cầu.
For any inquiries, requests, or complaints regarding personal data protection, please contact via email: [email protected] or hotline: 1900-3426. MediPay commits to responding within 24 hours of receiving a request.