DPO Console · OmiKaigo

Mã DSR	Người gửi	Loại quyền	Liên quan	Nhận	Hạn	Trạng thái	Owner
`DSR-2026-008`	Anh Nguyễn Văn Tuấn (LR Cụ Hoa)	Quyền truy cập	R-001847 (mẹ)	08/05/2026	Còn 3 ngày	Đang xử lý	DPO Liên
`DSR-2026-007`	Chị Vũ Thị Hồng (LR Cụ Phạm Văn Cụng)	Quyền xóa (RTBF)	R-000234 (sau khi rời 03/2026)	05/05/2026	Còn 6 ngày	Chờ DPO quyết định	DPO Liên
`DSR-2026-006`	Anh Lê Văn Phú (LR Cụ Cúc)	Rút consent BV liên kết	R-001632	02/05/2026	Quá hạn 1d	Cần phản hồi	DPO Liên
`DSR-2026-005`	Chị Mai (cháu Cụ Sơn)	Sửa đổi	R-001022	25/04/2026	Đã hoàn	✓ Closed	DPO Liên

⚠️ DSR-2026-007: Quyền xóa (Quyền được lãng quên)

Cụ Phạm Văn Cụng đã rời cơ sở 03/2026 (theo yêu cầu gia đình, còn nợ HĐ T02). Con gái yêu cầu xóa dữ liệu cá nhân sau giai đoạn lưu trữ y tế bắt buộc.

Phân tích pháp lý:

✅ Có quyền theo Luật BVDLCN 91/2025 Đ.18 (quyền xóa)
⚠️ Nhưng: hồ sơ KCB lưu theo PL về lưu trữ (TT 53/2017/TT-BYT) — tối thiểu 10 năm cho HS bệnh án nội trú
⚠️ Hợp đồng + e-invoice: lưu 10 năm theo Luật Kế toán 88/2015 Đ.41 + NĐ 174/2016
⚠️ Sổ sách BHYT/BHXH: lưu theo Luật BHYT + BHXH (5-30 năm tùy loại)
✅ Có thể xóa ngay: ảnh + voice notes + phản hồi không liên quan KCB

Đề xuất phản hồi:

➊ Pseudonymize PII (tên → mã)
➋ Xóa ảnh + voice notes
➌ Giữ y tế 5 năm (hashed)
➍ Xóa hoàn toàn sau 5 năm
➎ Gửi thư xác nhận cho LR

5 DPIA đang hiệu lực

Mã DPIA	Hoạt động xử lý	Mức rủi ro	Duyệt	Tái đánh giá
DPIA-2026-001	Care plan + assessment management	Medium	Q1/2026	Q1/2027
DPIA-2026-002	eMAR (PHI)	High	Q1/2026	Q3/2026
DPIA-2026-003	Cổng gia đình (chia sẻ)	Medium	Q1/2026	Q1/2027
DPIA-2026-004	Chuyển BV (cross-org)	High	Q2/2026	Q4/2026
DPIA-2026-005	AI fall detection (cảm biến đêm)	High	Chờ xử lý	—

Cư dân	Y tế	Tài chính	BV liên kết	Hình ảnh nội bộ	Marketing	Ngày ký
Cụ Hoa (R-001847)	✓	✓	—	✓	—	15/03/2024
Cụ Bảo (R-001789)	✓	✓	✓	✓	—	02/11/2023
Cụ Cúc (R-001632)	✓	✓	✗ rút 02/05/26	✓	—	20/05/2023
Cụ Hoàng (R-001520)	✓	✓	✓	✓	✓	12/01/2025
Cụ Liễu (R-001401)	✓	✓	✓	✓	—	18/09/2024

✅

Không có data breach trong 12 tháng qua

Lần ICAP review gần nhất: 15/04/2026 · Không phát hiện vulnerability

Quy trình báo cáo lộ lọt dữ liệu

Quy định Luật 91/2025 Đ.34 + NĐ 356/2025:
➊ Phát hiện → DPO log immediate
➋ Đánh giá rủi ro trong 24h
➌ Báo cáo CISC (Cục An ninh mạng) trong 72h nếu rủi ro cao
➍ Thông báo các DS bị ảnh hưởng nếu rủi ro nghiêm trọng
➎ Mitigation actions trong 30 ngày
➏ Lessons learned + DPIA update

Sổ hoạt động xử lý dữ liệu (ROP) — Đ.32 NĐ 356/2025

Hoạt động	Loại DL	Cơ sở pháp lý	Retention	Tiếp nhận
Care delivery	PHI + PII	Hợp đồng + consent + NĐ 103/2017	≥10 năm theo TT 53/2017/TT-BYT	Care team nội bộ
eMAR medication	PHI	Hợp đồng + consent + Luật KCB 15/2023 + TT 53/2017	≥10 năm	Y tá + BS + Kho thuốc
Hoá đơn + e-invoice/td>	PII (tài chính)	Hợp đồng + Luật Kế toán	10 năm	Kế toán + CQT
Cổng gia đình	PHI + ảnh + voice	Consent gia đình	Đến rời + 2 năm	LR đã ủy quyền
Chuyển BV	PHI	Consent + Luật KCB	5 năm	BV TW liên kết (có DPA)
BHYT claims	PII + PHI	BHYT Law	10 năm	BHXH VN
Marketing (opt-in)	PII	Consent + Luật Quảng cáo	Tới rút consent	Marketing team
Audit log	Tất cả	ISO 27001 + Luật 91/2025	7 năm	Admin + DPO

🔐 Bảng điều khiển DPO — Bộ phận Bảo vệ Dữ liệu