Back
Ngày 17/04/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định”) và sẽ chính thức có hiệu lực vào ngày 01/07/2023. Đây là văn bản có ảnh hưởng lớn đến nhiều doanh nghiệp, cơ quan, tổ chức khác nhau đòi hỏi các đơn vị phải kịp thời rà soát, đánh giá sự đáp ứng của công tác bảo mật dữ liệu cá nhân hiện tại với yêu cầu của Nghị định.
Về nội dung Nghị định có một số điểm đang lưu ý như sau:
1. Dữ liệu cá nhân là gì?
Theo Nghị định, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, cụ thể:
2. Phạm vi áp dụng
Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan và được áp dụng với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam, dù không hoạt động tại Việt Nam.
3. Quyền của chủ thể dữ liệu
Quyền của chủ thể dữ liệu cá nhân là tập hợp rất nhiều quyền tự do cá nhân đối với dữ liệu tại Điều 9 của Nghị định bao gồm Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ. Các quyền của chủ thể dữ liệu được quy định rõ ràng, nhằm hỗ trợ hoạt động tự bảo vệ dữ liệu cá nhân của người dân, nổi bật là quyền yêu cầu bồi thường thiệt hại khi cho rằng dữ liệu cá nhân của mình bị xâm phạm.
Ngoài ra, cá nhân có quyền đồng ý và rút lại sự đồng ý đối với việc một bên nào khác xử lý dữ liệu cá nhân mình nhưng nhân sẽ bị hạn chế trong những trường hợp các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu quy định tại Điều 17 Nghị định như sau:
4. Hoạt động xử lý dữ liệu cá nhân
Theo Nghị định, xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
5. Trách nhiệm của các bên
Nghị định áp dụng cho các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, không chỉ đề cập đến chủ thể dữ liệu, mà còn bao quát bên kiểm soát dữ liệu, bên xử lý dữ liệu, và cả bên thứ ba có liên quan đến dữ liệu. Tất cả các bên phải cùng có trách nhiệm đảm bảo việc tuân thủ quy định pháp luật và chuẩn hóa công nghệ để phục vụ quá trình xử lý dữ liệu, bảo mật dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài. Các cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Đặc biệt, nhằm đảm bảo an toàn dữ liệu, Nghị định quy định một loạt các trách nhiệm mà chủ thể xử lý dữ liệu cá nhân phải thực hiện trong các hoạt động có liên quan đến lĩnh vực này, ví dụ như yêu cầu về sự đồng ý của chủ thể dữ liệu, đặc biệt là trong các trường hợp ghi âm, ghi hình tại nơi công cộng hoặc đối với dữ liệu của người đã chết/mất tích; trách nhiệm thông báo trước khi tiến hành xử lý; lưu trữ, chỉnh sửa hoặc xóa dữ liệu cá nhân; quản lý hoạt động chuyển dữ liệu ra nước ngoài.
6. Các hanh vi bị nghiêm cấm
7. Biện pháp bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Nghị định yêu cầu Bên xử lý dữ liệu cá nhân phải áp dụng áp dụng các biện pháp bảo vệ, bảo mật ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
Ngoài ra, đối với từng loại dữ liệu (cơ bản hoặc nhạy cảm), còn được áp dụng một số biện pháp bảo vệ chuyên biệt khác.
Trên đây là một số nội dung lưu ý về Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân mới được ban hành. Nghị định này đã ghi nhận một cách toàn diện các quyền lợi cơ bản của cá nhân là chủ thể dữ liệu, đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam và tạo ra hành lang pháp lý góp phần thay đổi việc xử lý dữ liệu của các doanh nghiệp trong tương lai.
8. Các dịch vụ của Gattaca Law về dữ liệu cá nhân
(i) Công tác quản trị
a. Phân tích, đánh giá sự phù hợp trong việc thu thập dữ liệu cá nhân của tổ chức;
b. Soạn thảo quy chế, quy trình xử lý dữ liệu cá nhân;
c. Soạn thảo quy trình hậu kiểm, kiểm soát việc sử dụng dữ liệu cá nhân;
d. Khoanh vùng dữ liệu cá nhân được xử lý bên ngoài lãnh thổ Việt Nam; Quy trình thực hiện việc chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi biên giới lãnh thổ Việt Nam
đ. Xây dựng hợp đồng mẫu và các tài liệu liên quan trong quá trình thu thập dữ liệu cá nhân; bao gồm cả:
+ Xây dựng mẫu văn bản thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân
+ Quy trình cập nhật dữ liệu (trong trường hợp nếu có thay đổi)
- Chuẩn bị cho việc thực hiện đăng ký xử lý dữ liệu cá nhân nhạy cảm với Ủy ban bảo vệ dữ liệu cá nhân
e. Các công việc liên quan khác.
(ii) Quản lý sự cố, giải quyết tranh chấp
a. Phân tích rủi ro, đánh giá mức độ hiệu quả của hệ thống bảo mật
b. Thực hiện giải quyết sự cố bảo mật bao gồm làm việc với chủ thể dữ liệu, các cơ quan ban ngành liên quan, cơ quan truyền thông; thực hiện giải quyết tranh chấp phát sinh (nếu có).
(iii) Công tác đào tạo
a. Đào tạo, phổ biến quy định của nghị định về bảo vệ dữ liệu cá nhân và các văn bản pháp luật khác có liên quan;
b. Đào tạo kỹ năng cho cán bộ trong việc thực hiện, tuân thủ quy định pháp luật và quy định nội bộ đối với dữ liệu cá nhân; xử lý tình huống khi gặp sự cố bảo mật.
Khánh Linh
CHÍNH PHỦ BAN HÀNH NGHỊ ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
CHÍNH PHỦ BAN HÀNH NGHỊ ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Ngày 17/04/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định”) và sẽ chính thức có hiệu lực vào ngày 01/07/2023. Đây là văn bản có ảnh hưởng lớn đến nhiều doanh nghiệp, cơ quan, tổ chức khác nhau đòi hỏi các đơn vị phải kịp thời rà soát, đánh giá sự đáp ứng của công tác bảo mật dữ liệu cá nhân hiện tại với yêu cầu của Nghị định.
Về nội dung Nghị định có một số điểm đang lưu ý như sau:
1. Dữ liệu cá nhân là gì?
Theo Nghị định, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, cụ thể:
- Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…
- Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Ví dụ như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục, dữ liệu vị trí, thông tin khách hàng của tổ chức tín dụng…
2. Phạm vi áp dụng
Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan và được áp dụng với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam, dù không hoạt động tại Việt Nam.
3. Quyền của chủ thể dữ liệu
Quyền của chủ thể dữ liệu cá nhân là tập hợp rất nhiều quyền tự do cá nhân đối với dữ liệu tại Điều 9 của Nghị định bao gồm Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ. Các quyền của chủ thể dữ liệu được quy định rõ ràng, nhằm hỗ trợ hoạt động tự bảo vệ dữ liệu cá nhân của người dân, nổi bật là quyền yêu cầu bồi thường thiệt hại khi cho rằng dữ liệu cá nhân của mình bị xâm phạm.
Ngoài ra, cá nhân có quyền đồng ý và rút lại sự đồng ý đối với việc một bên nào khác xử lý dữ liệu cá nhân mình nhưng nhân sẽ bị hạn chế trong những trường hợp các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu quy định tại Điều 17 Nghị định như sau:
- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Thứ ba có trách nhiệm chứng minh trường hợp này.
- Việc công khai dữ liệu cá nhân theo quy định của luật.
- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
- Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
4. Hoạt động xử lý dữ liệu cá nhân
Theo Nghị định, xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
5. Trách nhiệm của các bên
Nghị định áp dụng cho các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, không chỉ đề cập đến chủ thể dữ liệu, mà còn bao quát bên kiểm soát dữ liệu, bên xử lý dữ liệu, và cả bên thứ ba có liên quan đến dữ liệu. Tất cả các bên phải cùng có trách nhiệm đảm bảo việc tuân thủ quy định pháp luật và chuẩn hóa công nghệ để phục vụ quá trình xử lý dữ liệu, bảo mật dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài. Các cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Đặc biệt, nhằm đảm bảo an toàn dữ liệu, Nghị định quy định một loạt các trách nhiệm mà chủ thể xử lý dữ liệu cá nhân phải thực hiện trong các hoạt động có liên quan đến lĩnh vực này, ví dụ như yêu cầu về sự đồng ý của chủ thể dữ liệu, đặc biệt là trong các trường hợp ghi âm, ghi hình tại nơi công cộng hoặc đối với dữ liệu của người đã chết/mất tích; trách nhiệm thông báo trước khi tiến hành xử lý; lưu trữ, chỉnh sửa hoặc xóa dữ liệu cá nhân; quản lý hoạt động chuyển dữ liệu ra nước ngoài.
6. Các hanh vi bị nghiêm cấm
- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
7. Biện pháp bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Nghị định yêu cầu Bên xử lý dữ liệu cá nhân phải áp dụng áp dụng các biện pháp bảo vệ, bảo mật ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định và pháp luật có liên quan;
- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
- Các biện pháp khác theo quy định của pháp luật.
Ngoài ra, đối với từng loại dữ liệu (cơ bản hoặc nhạy cảm), còn được áp dụng một số biện pháp bảo vệ chuyên biệt khác.
Trên đây là một số nội dung lưu ý về Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân mới được ban hành. Nghị định này đã ghi nhận một cách toàn diện các quyền lợi cơ bản của cá nhân là chủ thể dữ liệu, đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam và tạo ra hành lang pháp lý góp phần thay đổi việc xử lý dữ liệu của các doanh nghiệp trong tương lai.
8. Các dịch vụ của Gattaca Law về dữ liệu cá nhân
(i) Công tác quản trị
a. Phân tích, đánh giá sự phù hợp trong việc thu thập dữ liệu cá nhân của tổ chức;
b. Soạn thảo quy chế, quy trình xử lý dữ liệu cá nhân;
c. Soạn thảo quy trình hậu kiểm, kiểm soát việc sử dụng dữ liệu cá nhân;
d. Khoanh vùng dữ liệu cá nhân được xử lý bên ngoài lãnh thổ Việt Nam; Quy trình thực hiện việc chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi biên giới lãnh thổ Việt Nam
đ. Xây dựng hợp đồng mẫu và các tài liệu liên quan trong quá trình thu thập dữ liệu cá nhân; bao gồm cả:
+ Xây dựng mẫu văn bản thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân
+ Quy trình cập nhật dữ liệu (trong trường hợp nếu có thay đổi)
- Chuẩn bị cho việc thực hiện đăng ký xử lý dữ liệu cá nhân nhạy cảm với Ủy ban bảo vệ dữ liệu cá nhân
e. Các công việc liên quan khác.
(ii) Quản lý sự cố, giải quyết tranh chấp
a. Phân tích rủi ro, đánh giá mức độ hiệu quả của hệ thống bảo mật
b. Thực hiện giải quyết sự cố bảo mật bao gồm làm việc với chủ thể dữ liệu, các cơ quan ban ngành liên quan, cơ quan truyền thông; thực hiện giải quyết tranh chấp phát sinh (nếu có).
(iii) Công tác đào tạo
a. Đào tạo, phổ biến quy định của nghị định về bảo vệ dữ liệu cá nhân và các văn bản pháp luật khác có liên quan;
b. Đào tạo kỹ năng cho cán bộ trong việc thực hiện, tuân thủ quy định pháp luật và quy định nội bộ đối với dữ liệu cá nhân; xử lý tình huống khi gặp sự cố bảo mật.
Khánh Linh
Email
Facebook