,

BẢO VỆ DỮ LIỆU CÁ NHÂN THEO NGHỊ ĐỊNH 13/2023/NĐ-CP

13 minutes

Chính phủ Việt Nam ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân vào ngày 17 tháng 4 năm 2023 (sau đây gọi là “Nghị định 13” hoặc “Nghị định Bảo vệ Dữ liệu Cá nhân“), có hiệu lực từ ngày 01 tháng 7 năm 2023. Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong khuôn khổ chương trình tăng cường khung pháp lý điều chỉ không gian mạng của Chính phủ, sau Luật An ninh mạng số 24/2018/QH14, ban hành ngày 12 tháng 6 năm 2018, và Nghị định hướng dẫn đầu tiên, Nghị định số 53/2022/NĐ-CP, ban hành ngày 15 tháng 8 năm 2022.

Liên quan đến các hoạt động xử lý dữ liệu cá nhân, Nghị định 13 đặt ra các nghĩa vụ cụ thể về bảo vệ dữ liệu và an ninh mạng. Nghị định Bảo vệ Dữ liệu Cá nhân là một quy định pháp lý quan trọng, yêu cầu các nhà đầu tư và doanh nghiệp hoạt động tại Việt Nam nghiên cứu kỹ lưỡng nhằm đảm bảo tuân thủ đầy đủ các yêu cầu pháp lý mới.

Dưới đây là tóm tắt các quy định cơ bản của Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân:

  1. DỮ LIỆU CÁ NHÂN VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN:
  1. “Dữ liệu cá nhân” được định nghĩa là thông tin điện tử được biểu diễn dưới dạng ký tự, chữ cái, chữ số, hình ảnh, âm thanh hoặc các hình thức tương đương khác, có liên quan đến một cá nhân hoặc được sử dụng để nhận diện một cá nhân.

Thông tin dùng để nhận diện cá nhân” là thông tin phát sinh từ các hoạt động của cá nhân, có thể dùng để nhận diện cá nhân khi kết hợp với các thông tin và dữ liệu khác được lưu trữ.

Dữ liệu cá nhân bao gồm Dữ liệu Cá nhân Cơ bản và Dữ liệu Cá nhân Nhạy cảm:

  • Dữ liệu Cá nhân Cơ bản bao gồm:
    • Họ, tên đệm và tên; các tên khác (nếu có);
    • Ngày sinh; ngày tử vong hoặc ngày bị tuyên bố mất tích;
    • Giới tính;
  1. CÁC ĐỐI TƯỢNG CHỊU SỰ ĐIỀU CHỈNH CỦA NGHỊ ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN

Nghị định 13/2023/NĐ-CP áp dụng đối với các đối tượng sau:

  • Cơ quan, tổ chức, cá nhân Việt Nam;
  • Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
  • Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
  • Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Căn cứ vào cách thức xử lý dữ liệu, các đối tượng chịu sự điều chỉnh của Nghị định 13/2023/NĐ-CP được phân thành các nhóm sau:

  • Bên Kiểm soát dữ liệu cá nhân: tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
  • Bên Xử lý dữ liệu cá nhân: tổ chức, cá nhân thực hiện xử lý dữ liệu thay mặt Bên Kiểm soát dữ liệu cá nhân theo hợp đồng hoặc thỏa thuận.
  • Bên Kiểm soát và Xử lý dữ liệu cá nhân: tổ chức, cá nhân vừa quyết định mục đích, phương tiện vừa trực tiếp xử lý dữ liệu cá nhân.
  • Bên thứ ba: tổ chức, cá nhân không phải là Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân nhưng được ủy quyền xử lý dữ liệu cá nhân.

III. NGUYÊN TẮC BẢO VỆ DỮ LIỆU CÁ NHÂN

Nghị định 13 quy định các tổ chức phải có sự đồng ý trước của cá nhân khi xử lý dữ liệu cá nhân và tuân thủ các nguyên tắc quy định tại Điều 3, bao gồm: (i) Hợp pháp; (ii) Minh bạch; (iii) Đúng mục đích đã công bố; (iv) Giới hạn về phạm vi và mục đích; (v) Sử dụng dữ liệu phù hợp, được cập nhật; (vi) Bảo mật; (vii) Lưu trữ dữ liệu trong thời gian phù hợp; (viii) Chịu trách nhiệm giải trình.

Lưu ý: Nghị định 13 cấm hành vi mua bán dữ liệu cá nhân. Tuy nhiên, Điều 22 quy định việc thiết lập hệ thống phần mềm, thực hiện các biện pháp kỹ thuật hoặc tổ chức thu thập, chuyển giao, mua bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu là vi phạm bảo vệ dữ liệu cá nhân. Do đó, có thể hiểu rằng giao dịch mua bán dữ liệu cá nhân không bị cấm hoàn toàn nhưng phải có sự đồng ý của chủ thể dữ liệu.

  1. QUYỀN CỦA CHỦ THỂ DỮ LIỆU
  1. Quyền của chủ thể dữ liệu: Nghị định 13 quy định 11 quyền của Chủ thể dữ liệu, bao gồm:
  2. Quyền được biết;
  3. Quyền đồng ý;
  4. Quyền truy cập;
  5. Quyền rút lại sự đồng ý;
  6. Quyền xóa dữ liệu;
  7. Quyền hạn chế xử lý dữ liệu;
  8. Quyền cung cấp dữ liệu;
  9. Quyền phản đối xử lý dữ liệu;
  10. Quyền khiếu nại, tố cáo và/hoặc khởi kiện;
  11. Quyền yêu cầu bồi thường thiệt hại;
  12. Quyền tự bảo vệ.

Trong số các quyền nêu trên, doanh nghiệp cần đặc biệt lưu ý quyền số 6 và số 8, do thời hạn tuân thủ chỉ là 72 giờ:

  • Hạn chế xử lý dữ liệu: Việc hạn chế xử lý dữ liệu phải được thực hiện trong vòng 72 giờ kể từ khi nhận được yêu cầu của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
  • Phản đối xử lý dữ liệu: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân phải đáp ứng yêu cầu của chủ thể dữ liệu trong vòng 72 giờ kể từ khi nhận được yêu cầu, trừ trường hợp pháp luật có quy định khác.
  1. Sự đồng ý của chủ thể dữ liệu:
  • Hình thức đồng ý phù hợp: Phải được thể hiện rõ ràng và cụ thể dưới dạng văn bản, giọng nói, đánh dấu vào ô đồng ý, gửi tin nhắn xác nhận hoặc thông qua các thao tác kỹ thuật khác thể hiện sự đồng ý. Ngoài ra, sự đồng ý phải có thể in, sao chép bằng văn bản, bao gồm cả định dạng điện tử hoặc có thể xác minh.
  • Đồng ý tự nguyện và có hiểu biết: Chủ thể dữ liệu phải tự nguyện đồng ý dựa trên việc hiểu rõ các hoạt động xử lý dữ liệu, bao gồm: (i) mục đích xử lý; (ii) loại dữ liệu cá nhân được xử lý; (iii) đối tượng được xử lý dữ liệu cá nhân; (iv) quyền và nghĩa vụ của chủ thể dữ liệu.
  • Cho cùng một mục đích: Nếu dữ liệu được xử lý vì nhiều mục đích, sự đồng ý có thể áp dụng cho một hoặc nhiều mục đích đã công bố. Chủ thể dữ liệu có quyền đồng ý một phần hoặc có điều kiện.
  • Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
  • Hiệu lực: Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu quyết định rút lại hoặc khi có yêu cầu bằng văn bản từ cơ quan có thẩm quyền.

Ngoại trừ một số trường hợp nhất định, việc xử lý dữ liệu cá nhân cho bất kỳ mục đích nào, bao gồm tiếp thị và quảng cáo chéo, đều cần có sự đồng ý của chủ thể dữ liệu. Nếu tổ chức thay đổi cách thức xử lý dữ liệu, phải có sự đồng ý mới.

Việc xử lý dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu chỉ được phép trong các trường hợp sau:

  • Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
  • Công bố theo quy định của pháp luật;
  • Do cơ quan Nhà nước thực hiện trong trường hợp khẩn cấp hoặc có nguy cơ đe dọa an ninh quốc gia, quốc phòng; để ngăn chặn bạo loạn, khủng bố, tội phạm hoặc vi phạm pháp luật;
  • Giám sát an ninh với thông báo trước cho chủ thể dữ liệu để phục vụ mục đích hợp pháp của bên xử lý dữ liệu;
  • Để thực hiện nghĩa vụ hợp đồng với chủ thể dữ liệu theo quy định của pháp luật (trừ trường hợp để phục vụ mục đích tiếp thị và quảng cáo).
  1. MỘT SỐ HOẠT ĐỘNG CẦN THIẾT MÀ DOANH NGHIỆP CÓ THỂ THỰC HIỆN ĐỂ TUÂN THỦ NGHỊ ĐỊNH 13
HẠNG MỤC HÀNH ĐỘNG HÀNH ĐỘNG TUÂN THỦ
Xác định vai trò trong xử lý dữ liệu cá nhân

Xác định loại dữ liệu cá nhân được xử lý

 1. Chỉ định bộ phận phụ trách đối với từng hoạt động xử lý trong các đơn vị kinh doanh liên quan.

2. Xem xét các kỹ thuật xử lý và ghi nhận dữ liệu, ví dụ: giao dịch, thời gian thực, theo lô hoặc xử lý đa nhiệm.

Xác định và phân loại vào nhóm phù hợp:

• Bên Kiểm soát dữ liệu

• Bên Xử lý dữ liệu

• Bên vừa Kiểm soát vừa Xử lý dữ liệu

• Bên thứ ba
Thiết lập hệ thống phân loại và quản lý dữ liệu cho các loại dữ liệu cá nhân khác nhau, đồng thời phát triển hoặc sửa đổi cơ cấu quản lý dữ liệu nội bộ và quy chế vận hành.

Xác định và phân loại vào nhóm phù hợp:

Dữ liệu cá nhân

• Dữ liệu cá nhân cơ bản

• Dữ liệu cá nhân nhạy cảm.
Xác định cơ sở pháp lý cho việc xử lý dữ liệu cá nhân 1. Tổ chức xử lý dữ liệu có trách nhiệm chứng minh việc xử lý là hợp pháp.

Nguyên tắc bảo vệ dữ liệu cá nhân: (Vui lòng tham khảo Mục III)

2. Xem xét liệu các quy trình, quy tắc, hướng dẫn hiện tại và nhật ký hệ thống có thể chứng minh sự tuân thủ hay không. Các nội dung sau cần được quy định trong các quy tắc và chính sách nội bộ: hướng dẫn xử lý dữ liệu cá nhân; ủy quyền cho nhân viên xử lý dữ liệu; hướng dẫn xử lý vi phạm dữ liệu cá nhân; và các biện pháp khắc phục.

3. Thiết lập cơ chế đảm bảo sự đồng ý có thể được in hoặc tái tạo bằng văn bản, kể cả dưới dạng điện tử.

4. Xác định liệu chủ thể dữ liệu có được thông báo nếu việc xử lý phụ thuộc vào các điều kiện khác hay không.

Việc xử lý không cần sự đồng ý chỉ giới hạn trong các trường hợp sau:
Triển khai cơ chế cho phép cá nhân rút lại sự đồng ý 1. Đánh giá và cập nhật các cơ chế hiện tại để đảm bảo quyền này; đào tạo nhân viên chịu trách nhiệm xử lý yêu cầu của chủ thể dữ liệu và nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

Khi sự đồng ý được sử dụng làm cơ sở pháp lý để xử lý dữ liệu cá nhân, phải có cơ chế cho phép cá nhân rút lại sự đồng ý, đồng thời đảm bảo khả năng in hoặc tái tạo khi cần thiết.

2. Khi rút lại sự đồng ý, tổ chức cần thông báo cho cá nhân về hậu quả hoặc thiệt hại có thể xảy ra do việc rút lại sự đồng ý.
Yêu cầu thông báo về xử lý dữ liệu cá nhân Xem xét và cập nhật các chính sách quyền riêng tư hiện có hoặc phát triển chính sách mới để cung cấp cho cá nhân càng sớm càng tốt.

Thông báo về quyền riêng tư phải được gửi đến cá nhân trước khi xử lý dữ liệu cá nhân của họ và cần bao gồm, nhưng không giới hạn ở: loại dữ liệu, mục đích, phương pháp xử lý; danh tính của bên xử lý dữ liệu hoặc bên thứ ba có liên quan; rủi ro trong xử lý, thời điểm xử lý.
Triển khai hệ thống xử lý yêu cầu của chủ thể dữ liệu

Bổ nhiệm Nhân sự bảo vệ dữ liệu

 Hệ thống cho phép chủ thể dữ liệu thực hiện quyền của họ và có nhân sự phù hợp để tiếp nhận, đánh giá, xác thực và phản hồi các yêu cầu này.
Bổ nhiệm nhân sự bảo vệ dữ liệu hoặc chỉ định một bộ phận đảm nhiệm nhiệm vụ tuân thủ này.

Thời gian ân hạn 2 năm chỉ áp dụng đối với doanh nghiệp siêu nhỏ, nhỏ, vừa, công ty khởi nghiệp không trực tiếp tham gia cung cấp dịch vụ xử lý dữ liệu cá nhân. Ngoài trường hợp này, tổ chức bắt buộc phải bổ nhiệm nhân sự bảo vệ dữ liệu.
Bảo mật dữ liệu và báo cáo vi phạm dữ liệu Trong vòng 72 giờ kể từ khi xảy ra vi phạm bảo vệ dữ liệu cá nhân hoặc vi phạm khác theo quy định của Nghị định, Bên Kiểm soát Dữ liệu và Bên vừa Kiểm soát vừa Xử lý Dữ liệu có thể phải thông báo cho Bộ Công an về vi phạm (bao gồm các biện pháp khắc phục hậu quả) theo biểu mẫu ban hành kèm theo Nghị định.

Xem xét hợp đồng với các Bên Xử lý Dữ liệu để kiểm tra xem có bao gồm nghĩa vụ và trách nhiệm liên quan đến bảo vệ và bảo mật dữ liệu hay không, đồng thời làm rõ cách phân bổ trách nhiệm giữa các bên.
Báo cáo đánh giá tác động đối với việc xử lý dữ liệu cá nhân và chuyển dữ liệu ra ngoài Việt Nam Xem xét hoặc phát triển biểu mẫu đánh giá tác động và rủi ro bảo vệ thông tin cá nhân theo định dạng được quy định trong Nghị định 13. Báo cáo này cần được lưu trữ, sẵn sàng để kiểm tra và phải có cơ chế đảm bảo các báo cáo này được lập và nộp trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý hoặc có thay đổi đối với hoạt động đó.

Cả Bên Kiểm soát Dữ liệu và Bên Xử lý Dữ liệu đều phải thực hiện đánh giá tác động thông tin cá nhân đối với tất cả các hoạt động xử lý của mình, bao gồm xử lý dữ liệu cá nhân cơ bản và nhạy cảm, tự xử lý hoặc thông qua hợp đồng với Bên Xử lý Dữ liệu, cung cấp thông tin cho bên thứ ba hoặc chuyển dữ liệu cá nhân ra nước ngoài, và nộp báo cáo trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý liên quan.

Cơ sở pháp lý: Điều 24, 25 Nghị định 13/2023/NĐ-CP
Điều tra và kiểm tra Thiết lập cơ chế và chỉ định nhân sự chịu trách nhiệm xử lý các yêu cầu điều tra và kiểm tra từ cơ quan có thẩm quyền.