English
中文 (中国)
Chính phủ đã chính thức ban hành Nghị định số 13/2023/NĐ-CP về hoạt động bảo vệ dữ liệu cá nhân và có hiệu lực từ ngày 01 tháng 7 năm 2023. Nghị định này sẽ có thể ảnh hưởng mạnh mẽ đến phương pháp thu thập, chuyển dữ liệu ra nước ngoài, lưu trữ và xử lý dữ liệu cá nhân tại Việt Nam.
Các quy định pháp luật về hoạt động bảo vệ dữ liệu cá nhân đã được nhiều quốc gia trên thế giới ban hành nhằm bảo vệ quyền dữ liệu cá nhân, ngăn ngừa các hành vi xâm phạm dữ liệu cá nhân làm ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức, cụ thể như: Đạo luật bảo vệ dữ liệu cá nhân của Singapore ( 2012), Quy định chung về bảo vệ dữ liệu (GDPR) của EU (2016) và Đạo luật bảo vệ dữ liệu của Vương quốc Anh (2018).
Với sự cần thiết của các quy định về hoạt động bảo vệ dữ liệu cá nhân, ngày 09/02/2021, Bộ Công an đã đưa ra dự thảo lần thứ nhất của Nghị định này để trình Chính phủ. Việc ban hành Nghị định số 13/2023/NĐ-CP phải được thực hiện theo sự cho phép của Ủy ban Thường vụ Quốc hội theo quy định của Luật Ban hành văn bản quy phạm pháp luật. Ngày 17 tháng 4 năm 2023, Chính phủ đã chính thức ban hành Nghị định bảo vệ dữ liệu cá nhân số 13/2023/NĐ-CP. Nghị định này sẽ bắt đầu có hiệu lực kể từ ngày 1 tháng 7 năm 2023.
Nghị định bảo vệ dữ liệu cá nhân lần đầu tiên áp dụng các quy định sau:
1. Phạm vi lãnh thổ áp dụng nghị định bảo vệ dữ liệu cá nhân được mở rộng.
Theo đó, nghị định này được áp dụng cho tất cả các đối tượng tham gia trực tiếp hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam, bao gồm:
- Cơ quan, tổ chức, cá nhân Việt Nam;
- Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
- Cơ quan, tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài; Và
- Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
2. Định nghĩa về dữ liệu cá nhân và hoạt động xử lý dữ liệu cũng đã được mở rộng
Tại Điều 2.1, “dữ liệu cá nhân” được chia thành hai nhóm “dữ liệu cá nhân cơ bản” và “dữ liệu cá nhân nhạy cảm”. Nghị định bảo vệ dữ liệu cá nhân cũng đã xác định chi tiết danh sách đối tượng dữ liệu của từng nhóm. Đặc biệt, danh sách “Dữ liệu cá nhân nhạy cảm” có rất nhiều đối tượng dữ liệu và sẽ được mở rộng.
3. Mở rộng các danh mục các đối tượng điều chỉnh
Theo đó, thuật ngữ “bộ điều khiển dữ liệu” và “bộ xử lý dữ liệu” đã được công nhận trong nghị định bảo vệ dữ liệu cá nhân. Khái niệm “đơn vị kiểm soát và xử lý dữ liệu” cũng đã được quy định trong Nghị định này.
Ngoài ra, cũng có những quy định mới được đưa ra mà cả đối tượng dữ liệu và bên kiểm soát/xử lý dữ liệu cần lưu ý, chẳng hạn như:
- áp dụng bảo vệ dữ liệu cá nhân trong hoạt động kinh doanh tiếp thị và quảng bá sản phẩm;
- lập và lưu giữ Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
4. Quy định phân loại dữ liệu cá nhân
Dữ liệu cá nhân được chia thành hai loại, dữ liệu cơ bản và dữ liệu nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm họ và tên; Ngày sinh; ngày mất; giới tính; nơi sinh, nơi thường trú, nơi tạm trú, nơi ở hiện nay; quốc tịch; hình ảnh cá nhân; số điện thoại; số chứng minh nhân dân hoặc số định danh cá nhân, số hộ chiếu; giấy phép lái xe, biển số xe; Mã số thuế cá nhân; mã số BHXH, BHYT; tình trạng hôn nhân; mối quan hệ gia đình.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân liên quan đến quyền riêng tư của một cá nhân, nếu bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích của cá nhân đó, bao gồm: Quan điểm chính trị, tôn giáo; tình trạng sức khoẻ, đời sống riêng tư ghi trong bệnh án; nguồn gốc hoặc dân tộc; đặc điểm di truyền; đặc điểm đặc biệt; đời sống và khuynh hướng tình dục; minh chứng hành vi phạm tội được thu thập hoặc lưu trữ bởi cơ quan thực thi pháp luật; thông tin khách hàng của ngân hàng như danh tính, tài khoản, tiền gửi, tài sản ký gửi, giao dịch; Vị trí cá nhân được xác định thông qua các dịch vụ định vị.
5. Yêu cầu mới về sự đồng ý của chủ sở hữu dữ liệu, hoạt động xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu xuyên biên giới
Nghị định bảo vệ dữ liệu cá nhân cũng có các yêu cầu mới liên quan đến sự đồng ý của chủ sở hữu dữ liệu, xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu xuyên biên giới, các yêu cầu trên được thể hiện với những quy định mới sau đây:
Trước khi thực hiện và trong suốt quá trình xử lý dữ liệu cá nhân, Người kiểm soát dữ liệu cá nhân và người xử lý dữ liệu cá nhân cần có sự đồng ý của chủ sở hữu dữ liệu trong mọi hoạt động, trừ khi luật có quy định khác.
Sự đồng ý của chủ sở hữu dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, bằng giọng nói, bằng cách đánh dấu vào ô đồng ý, bằng cú pháp đồng ý bằng tin nhắn văn bản, bằng cách chọn cài đặt đồng ý hoặc bằng các hành động khác thể hiện điều này và có thể được in ra, sao chép bằng văn bản, kể cả ở định dạng điện tử hoặc văn bản có thể kiểm chứng. Cần lưu ý rằng, sự im lặng hoặc không phản hồi của chủ sở hữu Dữ liệu không được coi là sự đồng ý.
Tuy nhiên, để đảm quyền, lợi ích của chủ sở hữu dữ liệu không ảnh hưởng đến lợi ích công cộng, Nghị định này cũng quy định các trường hợp ngoại lệ khi xử lý dữ liệu cá nhân mà không được sự đồng ý của chủ sở hữu dữ liệu tại Điều 17, bao gồm:
- trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng và sức khỏe của chủ sở hữu dữ liệu hoặc những người khác, nhưng Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này;
- các trường hợp công khai dữ liệu cá nhân theo quy định của pháp luật;
- cơ quan nhà nước có thẩm quyền xử lý dữ liệu trong trường hợp xảy ra tình trạng khẩn cấp về quốc phòng, an ninh, trật tự, an toàn xã hội, thiên tai lớn, dịch bệnh nguy hiểm;
- khi có nguy cơ đe dọa đến an ninh, quốc phòng nhưng chưa đến mức phải ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và hành vi vi phạm pháp luật theo quy định của pháp luật;
- Thực hiện các nghĩa vụ theo hợp đồng của chủ sở hữu dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật; Và
- Phục vụ hoạt động của cơ quan nhà nước do pháp luật chuyên ngành quy định.
Trường hợp xử lý dữ liệu nhạy cảm, bên xử lý dữ liệu phải chỉ định cơ quan có chức năng bảo vệ dữ liệu cá nhân, cử người phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận, cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan bảo vệ dữ liệu cá nhân.
Tương tự như trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, bên chuyển dữ liệu ra nước ngoài phải lập hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài. Hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài phải được chuẩn bị sẵn để phục vụ cho hoạt động kiểm tra, đánh giá của Bộ Công an và 01 bản chính hồ sơ gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này trong thời hạn 60 ngày kể từ ngày dữ liệu cá nhân được xử lý.
6. Các biện pháp quản lý của tổ chức, cá nhân để bảo vệ dữ liệu cá nhân tại Việt Nam
Để đảm bảo khả năng bảo vệ quyền dữ liệu cá nhân và ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, Điều 26, 27 và 28 của Nghị định trên quy định các biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi soạn thảo, bắt đầu và trong quá trình xử lý dữ liệu cá nhân, bao gồm:
- Các biện pháp quản lý được thực hiện bởi các tổ chức và cá nhân liên quan đến việc xử lý dữ liệu cá nhân;
- Các biện pháp kỹ thuật được thực hiện bởi các tổ chức và cá nhân liên quan đến việc xử lý dữ liệu cá nhân;
- Các biện pháp của cơ quan quản lý nhà nước có thẩm quyền theo quy định của Nghị định này và pháp luật có liên quan;
- Các biện pháp điều tra, tố tụng của cơ quan nhà nước có thẩm quyền và các biện pháp khác theo quy định của pháp luật.
Nghị định bảo vệ dữ liệu cá nhân cũng cung cấp cơ sở pháp lý để thiết lập một cổng thông tin về hoạt động bảo vệ dữ liệu cá nhân tại Việt Nam. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân sẽ là Cục An ninh mạng và Phòng chống tội phạm công nghệ cao thuộc Bộ Công an Việt Nam.
7. Nghiêm cấm mọi hoạt động mua bán dữ liệu cá nhân
Theo quy định tại Điều 4 của Nghị định này, cơ quan, tổ chức, cá nhân có hành vi vi phạm quy định bảo vệ dữ liệu cá nhân (trong việc phòng ngừa, phát hiện, ngăn chặn và xử lý vi phạm liên quan đến dữ liệu cá nhân) theo quy định của pháp luật, tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt hành chính, xử lý hình sự theo quy định.
- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu với mục đích chống phá Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu ảnh hưởng đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
8. Thời gian miễn trừ các quy định về chỉ định cá nhân và bảo vệ dữ liệu cá nhân tại Việt Nam
Theo Điều 49, Doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa và doanh nghiệp mới thành lập được lựa chọn miễn trừ các quy định về chỉ định cá nhân và bảo vệ dữ liệu cá nhân trong thời hạn 2 năm đầu kể từ khi thành lập doanh nghiệp, ngoại trừ các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp mới thành lập trực tiếp tham gia hoạt động xử lý dữ liệu cá nhân.
Đã đến lúc các nhà đầu tư nước ngoài đang kinh doanh tại Việt Nam, các công ty đa quốc gia có trụ sở, văn phòng đại diện, chi nhánh tại Việt Nam, các nền tảng và dịch vụ xuyên biên giới hướng tới khách hàng Việt Nam rà soát lại toàn bộ hệ thống xử lý, lưu trữ, truyền tải và bảo vệ dữ liệu cá nhân để đảm bảo rằng các hệ thống này đáp ứng đầy đủ các yêu cầu của Nghị định bảo vệ dữ liệu cá nhân. Với nhiều năm kinh nghiệm trong lĩnh vực xử lý thông tin, dữ liệu cá nhân, sở hữu trí tuệ, ASL LAW đang hỗ trợ khách hàng trong việc đảm bảo tuân thủ các quy định trên.
Trong thời kỳ bùng nổ của công nghệ thông tin, dữ liệu cá nhân, nhất là dữ liệu cá nhân trên không gian mạng trở thành miếng mồi ngon mà kẻ xấu có thể thu thập, mua bán, sử dụng để thực hiện các hành vi xâm phạm quyền con người, quyền công dân, vi phạm pháp luật. Vì vậy, Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 1/7/2023 sẽ đóng vai trò quan trọng trong việc bảo vệ dữ liệu cá nhân tại Việt Nam một cách hiệu quả nhưng cũng yêu cầu nhiều bên nâng cao trách nhiệm trong việc thực thi các quy định này.
Nguyễn Thị Thúy Chung, Luật sư cao cấp tại ASL LAW
Liên hệ với công ty luật ASL LAW để được hướng dẫn về luật doanh nghiệp, luật lao động, luật sở hữu trí tuệ, luật bất động sản.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
