Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được Chính phủ ban hành ngày 17 tháng 4 năm 2023 và đã có hiệu lực kể từ ngày 01 tháng 7 năm 2023 ("Nghị định").
Một mặt, Nghị định được kì vọng sẽ tạo ra hành lang pháp lý hiệu quả để bảo vệ dữ liệu cá nhân – một tài nguyên được coi như “dầu mỏ” của nền kinh tế số hiện nay; mặt khác, Nghị định cũng quy định thêm nhiều nghĩa vụ cho các tổ chức, cá nhân phải chấp hành trong quá trình xử lý dữ liệu cá nhân. Với phạm vi điều chỉnh và đối tượng áp dụng tương đối rộng của Nghị định, hầu hết các tổ chức, doanh nghiệp đều phải tuân thủ các quy định của Nghị định trong quá trình hoạt động sản xuất, kinh doanh và quản trị doanh nghiệp kể từ thời điểm Nghị định có hiệu lực. Bài viết giới thiệu một số nội dung của Nghị định mà doanh nghiệp cần đặc biệt lưu ý.
1. Thế nào là dữ liệu cá nhân và xử lý dữ liệu cá nhân
Theo quy định tại khoản 1 Điều 2 Nghị định, dữ liệu cá nhân (“DLCN”) là thông tin gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Trong đó, thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể. Dữ liệu cá nhân có thể ở dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử.
DLCN được Nghị định phân thành hai loại, là DLCN cơ bản và DLCN nhạy cảm. Theo đó, DLCN cơ bản bao gồm họ, tên, ngày sinh, giới tính, nơi thường trú, quốc tịch, hình ảnh, số điện thoại, số giấy tờ pháp lý cá nhân, số mã số thuế cá nhân, số bảo hiểm xã hội, tình trạng hôn nhân, thông tin về mối quan hệ gia đình, thông tin về tài khoản số và lịch sử hoạt động trên không gian mạng, các thông tin khác gắn liền hoặc giúp xác định một con người cụ thể. Trong khi đó, DLCN nhạy cảm là những dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, có thể kể đến như quan điểm chính trị, quan điểm tôn giáo, tình trạng sức khỏe theo hồ sơ bệnh án, thông tin về nguồn gốc chủng tộc, dân tộc, dữ liệu về tội phạm và hành vi phạm tội, và các dữ liệu khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Mặc dù doanh nghiệp là đối tượng điều chỉnh quan trọng của Nghị định, tuy nhiên, lưu ý rằng các thông tin của doanh nghiệp (như thông tin về kế hoạch, kết quả sản xuất kinh doanh,…) không được coi là DLCN và không thuộc đối tượng điều chỉnh của Nghị định.
Đối tượng được DLCN phản ánh được gọi là chủ thể dữ liệu. Theo đó, mọi cá nhân đều có thể là chủ thể dữ liệu khi mà DLCN phản ánh về họ được xử lý bởi chủ thể khác. Trong đó, xử lý DLCN là việc thực hiện một hoặc nhiều hoạt động tác động tới DLCN, như thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Việc doanh nghiệp thực hiện các hoạt động như lưu trữ, phân tích hồ sơ tuyển dụng của ứng viên, lưu trữ thông tin của người lao động để thực hiện các nghĩa vụ về thuế, bảo hiểm được xem là hoạt động xử lý DLCN theo quy định nêu trên.
2. Doanh nghiệp đóng vai trò gì khi tham gia vào hoạt động xử lý dữ liệu cá nhân
Khi một doanh nghiệp, tổ chức hoặc cá nhân tham gia vào hoạt động xử lý dữ liệu cá nhân, chủ thể đó có thể đóng một hoặc các vai trò sau theo quy định của Nghị định:
(i) Bên Kiểm soát dữ liệu cá nhân – là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý DLCN, tức là quyết định DLCN sẽ được xử lý để làm gì và xử lý như thế nào. Ví dụ doanh nghiệp A quyết định việc xử lý các DLCN của khách hàng như tên, số điện thoại,… nhằm mục đích nghiên cứu thị trường nhưng không trực tiếp thực hiện thì được coi là Bên Kiểm soát dữ liệu cá nhân.
(ii) Bên Xử lý dữ liệu cá nhân – là tổ chức, cá nhân thực hiện việc xử lý DLCN thay mặt cho Bên Kiểm soát dữ liệu cá nhân thông qua một hợp đồng hoặc thỏa thuận giữa hai bên. Ví dụ việc doanh nghiệp B thay mặt cho doanh nghiệp A nêu trên thực hiện xử lý DLCN trong quá trình nghiên cứu thị trường cho doanh nghiệp A theo một hợp đồng giữa hai bên thì được coi là Bên Xử lý dữ liệu cá nhân.
(iii) Bên Kiểm soát và xử lý dữ liệu cá nhân – là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý DLCN. Ví dụ như việc doanh nghiệp C quyết định sẽ tự lưu trữ DLCN của người lao động nhằm phục vụ mục đích quản lý nhân sự thì doanh nghiệp đó sẽ được coi là Bên Kiểm soát và xử lý dữ liệu.
(iv) Bên thứ ba – là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, được phép xử lý DLCN; ví dụ như doanh nghiệp D được doanh nghiệp B là Bên Xử lý dữ liệu ủy quyền để thực hiện việc xử lý DLCN.
Một tổ chức, cá nhân có thể đóng nhiều vai trò nêu trên tùy thuộc vào hoạt động của họ đối với từng loại dữ liệu cá nhân cũng như từ góc nhìn của các đối tượng khác. Đối với mỗi chủ thể thì quyền và nghĩa vụ sẽ khác nhau theo quy định của Nghị định.
3. Doanh nghiệp phải tuân thủ các nguyên tắc nào khi tham gia vào hoạt động xử lý dữ liệu cá nhân
Theo quy định tại Điều 3 Nghị định, khi tham gia vào hoạt động xử lý DLCN, tùy thuộc vào từng vai trò mà doanh nghiệp, tổ chức sẽ phải tuân thủ các nguyên tắc sau:
(i) Tuân thủ quy định của pháp luật khi xử lý DLCN (Nguyên tắc hợp pháp);
(ii) Đảm bảo chủ thể dữ liệu được biết về hoạt động liên quan đến xử lý DLCN của doanh nghiệp, tổ chức mình, trừ trường hợp luật có quy định khác (Nguyên tắc minh bạch);
(iii) Chỉ được xử lý DLCN đúng với mục đích đã đăng ký hoặc tuyên bố về hoạt động xử lý của doanh nghiệp, tổ chức mình (Nguyên tắc tuân thủ mục đích);
(iv) Chỉ được thu thập DLCN phù hợp và giới hạn trong phạm vi, mục đích cần xử lý; không được mua, bán DLCN dưới mọi hình thức (Nguyên tắc tối thiểu dữ liệu);
(v) DLCN phải được cập nhật, bổ sung phù hợp với mục đích xử lý (Nguyên tắc chính xác);
(vi) DLCN phải được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật (Nguyên tắc toàn vẹn và bảo mật).
(vii) Chỉ được lưu trữ DLCN cá nhân trong khoảng thời gian phù hợp với mục đích xử lý DLCN, trừ trường hợp pháp luật có quy định khác (Nguyên tắc giới hạn lưu trữ);
(viii) Có trách nhiệm chứng minh sự tuân thủ của mình đối với các nguyên tắc xử lý dữ liệu nêu trên (Nguyên tắc giải trình). Nguyên tắc này chỉ áp dụng đối với Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân.
4. Doanh nghiệp phải thực hiện các trách nhiệm gì khi tham gia vào hoạt động xử lý dữ liệu cá nhân
4.1. Đảm bảo các quyền của chủ thể dữ liệu
Pháp luật ấn định 11 quyền cho chủ thể dữ liệu, trong đó, hầu hết các quyền đều phải có sự tham gia của Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân thì mới có thể thực hiện được. Ngoài ra, còn có một số quyền mà chủ thể dữ liệu tự thực hiện được, như quyền tự bảo vệ, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại. Do đó, đòi hỏi Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm tuân thủ các quyền pháp định của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác. Cụ thể:
(i) Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý DLCN của mình. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải thông báo cho chủ thể dữ liệu một lần trước khi tiến hành xử lý. Việc thông báo phải bao gồm đầy đủ thông tin theo khoản 2 Điều 13 Nghị định và được thể hiện ở định dạng có thể in, sao chép bằng văn bản.
(ii) Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý DLCN của mình. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi họ tự nguyện, biết rõ về loại DLCN được xử lý; mục đích xử lý; tổ chức, cá nhân được xử lý; các quyền, nghĩa vụ của mình và được thể hiện một cách rõ ràng, cụ thể, ở một định dạng có thể được in, sao chép bằng văn bản. Đặc biệt, sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Tuy nhiên, việc xử lý DLCN cũng có thể không cần sự đồng ý của chủ thể dữ liệu trong một số trường hợp theo quy định tại Điều 17 Nghị định.
(iii) Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa DLCN của mình trong trường hợp không thể chỉnh sửa trực tiếp. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa DLCN ngay khi có thể sau khi được chủ thể dữ liệu cá nhân đồng ý. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa.
(iv) Quyền rút lại sự đồng ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý của mình đối với việc xử lý DLCN mà không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý. Khi nhận được yêu cầu rút lại sự đồng ý, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra và ngừng xử lý DLCN của chủ thể đó.
(v) Quyền xóa dữ liệu: Chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa DLCN của mình trong trường hợp nhận thấy DLCN không còn cần thiết cho mục đích thu thập; khi rút lại sự đồng ý, phản đối việc xử lý; khi DLCN bị xử lý không đúng mục đích đã đồng ý; việc xử lý DLCN vi phạm pháp luật; hoặc DLCN phải xóa theo quy định pháp luật.
(vi) Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình. Nếu có yêu cầu thì Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân phải thực hiện trong 72 giờ sau khi có yêu cầu, với toàn bộ dữ liệu cá nhân mà bị yêu cầu hạn chế.
(vii) Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân hoặc tổ chức, cá nhân khác dữ liệu cá nhân của mình khi có văn bản đồng ý của bên thứ ba đó. Ngoài ra, bên kiểm soát cũng có thể cung cấp DLCN cho tổ chức, cá nhân khác theo nhu cầu của mình khi có sự đồng ý của chủ thể dữ liệu.
(viii) Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác. Các bên phải thực hiện yêu cầu trong vòng 72 giờ kể từ khi nhận được yêu cầu.
4.2. Thông báo vi phạm quy định về bảo vệ dữ liệu
Trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an (“A05”) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Việc thông báo được thực hiện theo Mẫu số 03 tại Phụ lục của Nghị định, trực tiếp hoặc qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. Trong khi đó, Bên Xử lý dữ liệu cá nhân cũng có trách nhiệm phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy vi phạm.
Trong thông báo gửi A05 cần phải có các nội dung sau: (i) Mô tả tính chất của việc vi phạm quy định bảo vệ DLCN, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại DLCN và số lượng dữ liệu liên quan; (ii) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ DLCN; (iii) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ DLCN; (iv) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của vụ việc.
4.3. Thực hiện đánh giá tác động xử lý dữ liệu cá nhân
Khi tham gia xử lý DLCN, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có nghĩa vụ phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ phải được xác lập bằng văn bản có giá trị pháp lý và phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của A05.
Hồ sơ của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải bao gồm các nội dung sau: (i) Thông tin và chi tiết liên lạc của bên kiểm soát; (ii) Họ tên, chi tiết liên lạc của tổ chức, nhân viên bảo vệ DLCN; (iii) Mục đích xử lý DLCN; (iv) Các loại DLCN được xử lý; (v) Tổ chức, cá nhân nhận DLCN; (vi) Trường hợp chuyển DLCN ra nước ngoài; (vii) Thời gian xử lý DLCN, thời gian dự kiến để xóa, hủy DLCN (nếu có); (viii) Các biện pháp bảo vệ DLCN được áp dụng; (ix) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hồ sơ phải được gửi 01 bản chính trực tiếp hoặc qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân đến A05. Doanh nghiệp cũng có trách nhiệm phải hoàn thiện theo yêu cầu của A05 khi hồ sơ chưa đầy đủ, chưa đúng quy định và cập nhật, bổ sung khi có sự thay đổi về nội dung Hồ sơ theo Mẫu số 05 tại Phụ lục của Nghị định.
Tương tự, Bên Xử lý dữ liệu cá nhân cũng phải lập và lưu giữ Hồ sơ trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Nghĩa vụ này của Bên Xử lý dữ liệu cá nhân đa phần tương đồng với Bên Kiểm soát, Bên Kiểm soát và xử lý dữ liệu cá nhân nêu trên, trừ một số điểm khác biệt về nội dung của Hồ sơ đánh giá tác động, thay vì thông tin về mục đích xử lý và tổ chức, cá nhân được xử lý thì Bên Xử lý phải cung cấp thông tin về các hoạt động xử lý.
4.4. Thực hiện đánh giá tác động chuyển dữ liệu ra nước ngoài
Doanh nghiệp có nghĩa vụ phải thực hiện đánh giá tác động chuyển DLCN ra nước ngoài nếu thực hiện hoạt động này – tức là việc sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ Việt Nam để xử lý DLCN của công dân Việt Nam. Trách nhiệm này áp dụng cho cả Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên thứ ba.
Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài bao gồm các nội dung sau: (i) Thông tin và chi tiết liên lạc của Bên chuyển và Bên tiếp nhận DLCN; (ii) Họ tên, chi tiết liên lạc của tổ chức, cá nhân của Bên chuyển DLCN phụ trách việc chuyển và tiếp nhận DLCN; (iii) Mô tả và luận giải mục tiêu của hoạt động xử lý DLCN sau khi dữ liệu được ra nước ngoài; (iv) Mô tả và làm rõ loại DLCN chuyển ra nước ngoài; (v) Mô tả và nêu rõ sự tuân thủ quy định của Nghị định, các biện pháp bảo vệ DLCN được áp dụng; (vi) Đánh giá mức độ ảnh hưởng, hậu quả và thiệt hại không mong muốn có khả năng xảy ra khi xử lý DLCN, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; (viii) Sự đồng ý của chủ thể dữ liệu; (ix) Văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận DLCN về việc xử lý DLCN.
Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài phải được nộp trong vòng 60 ngày kể từ ngày chuyển DLCN ra nước ngoài và hoàn thiện theo yêu cầu của A05 và cập nhật, bổ sung khi có sự thay đổi về nội dung. Doanh nghiệp, tổ chức cũng phải lưu giữ Hồ sơ để luôn có sẵn cho việc kiểm tra, đánh giá của Bộ Công an.
4.5. Áp dụng các biện pháp bảo vệ dữ liệu cá nhân
Doanh nghiệp tham gia vào hoạt động xử lý DLCN phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
- Biện pháp quản lý;
- Biện pháp kỹ thuật;
- Biện pháp bảo vệ áp dụng cho DLCN cơ bản;
+ Xây dựng, ban hành các quy định về bảo vệ DLCN;
+ Áp dụng các tiêu chuẩn bảo vệ DLCN phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý DLCN;
+ Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử DLCN trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa DLCN.
- Biện pháp bảo vệ áp dụng cho DLCN nhạy cảm
+ Chỉ định bộ phận có chức năng bảo vệ DLCN hoặc chỉ định nhân sự phụ trách bảo vệ DLCN đối với chủ thể có xử lý DLCN nhạy cảm (nghĩa vụ này được miễn trừ trong vòng 2 năm đầu thành lập đối với doanh nghiệp siêu nhỏ, nhỏ, vừa hoặc doanh nghiệp khởi nghiệp và không trực tiếp kinh doanh hoạt động xử lý DLCN).
+ Thông báo cho chủ thể dữ liệu biết việc DLCN nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp pháp luật có quy định khác.
Trên đây là một số lưu ý cho doanh nghiệp về các nội dung điển hình của Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 01/7/2023. Hiện nay chưa có văn bản pháp luật quy định về chế tài xử phạt nếu vi phạm các quy định về bảo vệ dữ DLCN nêu trên, tuy nhiên, tham khảo Dự thảo Nghị định được xây dựng trước đây thì chế tài cho các hành vi vi phạm có thể sẽ hết sức nặng nề. Do đó, các doanh nghiệp, tổ chức cần lưu ý tuân thủ các quy định của Nghị định để tránh các rủi ro pháp lý có thể xảy ra.
Mọi trao đổi và thắc mắc vui lòng liên lạc tới Công ty Chúng Tôi.
SDS CONSULTING CO.,LTD
DIRECTOR
TA HUONG LY
Trụ sở chính 