VIỆT NAM: QUY ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN CHÍNH THỨC ĐƯỢC ÁP DỤNG

Nhằm ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, bảo vệ quyền và lợi ích của người dùng. Ngày 17 tháng 4 năm 2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân. Đây là văn bản pháp lý đầu tiên của Việt Nam quy định về bảo vệ cá nhân cũng như trách nhiệm bảo vệ dữ liệu của cơ quan, tổ chức, cá nhân có liên quan. Hãy cùng IP Leader điểm qua một số nội dung đáng chú ý trong bài viết này.

Ảnh. Nguồn: Alamy.com

Phạm vi và đối tượng áp dụng

Nghị định 13 có phạm vi áp dụng rộng, bao gồm cả bên ngoài lãnh thổ Việt Nam và bao trùm lên gần như tất cả các đối tượng ở Việt Nam và nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý cá nhân tại Việt Nam.

Các định nghĩa, khái niệm mới:

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp.

Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.

Bên Kiểm soát Dữ liệu Cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

Bên Xử lý Dữ liệu Cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát Dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát Dữ liệu.

Bên Kiểm soát và Xử lý Dữ liệu Cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể Dữ liệu, Bên Kiểm Soát Dữ liệu, Bên Xử lý Dữ liệu, Bên Kiểm soát và Xử lý Dữ liệu, được phép xử lý dữ liệu cá nhân.

Các hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân

Chính phủ cũng đã ban hành một số hành vi nghiêm cấm trong Nghị định 13 về Bảo vệ dữ liệu cá nhân, cụ thể:

  1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
  2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
  3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
  4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
  5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Sự đồng ý của chủ thể dữ liệu

Sự đồng ý của chủ thể dữ liệu là yêu cầu bắt buộc khi tiến hành xử lý dữ liệu cá nhân, trừ trường hợp Luật có quy định khác. Sự đồng ý này phải được thể hiện rõ ràng (im lặng không được xem là đồng ý) và có thể là đồng ý một phần hoặc đồng ý với điều kiện kèm theo. Chủ thể dữ liệu có quyền truy cập và kiểm tra dữ liệu cá nhân. Nếu chủ thể dữ liệu rút lại sự đồng ý thì dữ liệu cá nhân có liên quan của chủ thể phải được xóa đi trong vòng 72 giờ.

Ngoại lệ của việc sử dụng dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu

Khi sử dụng dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu là yêu cầu bắt buộc khi tiến hành sử dụng, xử lý dữ liệu. Tuy nhiên Nghị định 13 cũng quy định các trường hợp không cần sự đồng ý của chủ thể dữ liệu để xử lý dữ liệu, bao gồm:

  1. Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
  2. Việc công khai dữ liệu cá nhân theo quy định của luật.
  3. Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
  4. Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
  5. Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

Trẻ em cũng có quyền được bảo vệ dữ liệu cá nhân

Nghị định 13 dành riêng một điều khoản liên quan đến xử lý dữ liệu cá nhân của trẻ em, cụ thể:

1. Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.

2. Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17 Nghị định này. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em.

3. Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:

– Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;

– Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;

– Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.

Vi phạm quy định bảo vệ dữ liệu cá nhân có thể xử lý hình sự

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Yêu cầu khắt khe hơn đối với chuyển dữ liệu cá nhân ra nước ngoài

Nghị định 13 đặt ra các yêu cầu mới đối với việc chuyển dữ liệu ra nước ngoài, vốn là vấn đề không được điều chỉnh trước khi Nghị định này được ban hành. Cụ thể, trong trường hợp dữ liệu dự định được chuyển ra nước ngoài, bên xử lý dữ liệu chuyển dữ liệu ra nước ngoài, bao gồm cả Bên thứ ba, phải thực hiện các nghĩa vụ sau:

  1. Lập và lưu giữ hồ sơ Đánh giá Tác động Chuyển Dữ liệu Cá nhân Ra Nước ngoài (“Hồ sơ Chuyển Dữ liệu”) theo mẫu quy định. Hồ sơ này phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của BCA;
  2. Nộp 01 bản chính Hồ sơ Chuyển Dữ liệu cho Cục An ninh Mạng trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân để Cục An ninh Mạng đánh giá và có thể yêu cầu hoàn thiện nếu phát hiện hồ sơ nói trên chưa đầy đủ và không đúng quy định;
  3. Thông báo bằng văn bản cho Cục An ninh Mạng về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công; và
  4. Cập nhật, bổ sung hồ sơ Chuyển Dữ liệu khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cục An ninh Mạng trong thời hạn 10 ngày kể từ ngày yêu cầu.

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.

Trước tình hình phức tạp như hiện nay, khi lừa đảo trực tuyến bùng nổ, các cuộc gọi rác tràn lan. Dữ liệu cá nhân bị đánh cắp, mua bán một cách công khai, các đối tượng lừa đảo có thể xây dựng các kịch bản tinh vi như lừa vi phạm giao thông, nợ thuế, con bị tai nạn… nhằm chiếm đoạt thông tin cá nhân và tiền của nạn nhân. Việc ban hành Nghị định riêng về Bảo vệ dữ liệu cá nhân là rất cần thiết; Nghị định đã bao phủ được các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, bao gồm từ chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu đến cả các bên thứ ba có liên quan đến dữ liệu. Nghị định cũng giúp tạo ra hành lang pháp lý để các cơ quan quản lý nhà nước có thể rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân với các cơ quan, tổ chức.

Nguồn:

 Quy định mới về bảo vệ dữ liệu cá nhân tại Việt Nam

Đã có Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân áp dụng từ 01/7/2023

Những nội dung chủ yếu của Nghị định 13/2023/NĐ-CP, ngày 17/4/2023 về bảo vệ dữ liệu cá nhân