English
中文 (中国)
Mới đây, Việt Nam đã ban hành dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân và sắp có hiệu lực. Điều này có ảnh hưởng gì đến các nhà doanh nghiệp và nhà đầu tư tại Việt Nam?
Thế kỷ này là một bước ngoặt mới trong sự phát triển của nhân loại. Chúng ta đang chứng kiến sự phát triển của viễn thông, internet với tốc độ chưa từng có trước đây. Sự phát triển đó mở ra kỷ nguyên khoa học và công nghệ mới, góp phần thúc đẩy cuộc Cách mạng 4.0. Tuy nhiên, sự phát triển này cũng tiềm ẩn những rủi ro rất lớn đối với quyền riêng tư, trong đó quyền được bảo vệ dữ liệu cá nhân là một trong những quyền quan trọng nhất.
Tầm quan trọng của Dữ liệu cá nhân trong cuộc cách mạng 4.0
Quyền đối với Dữ liệu Cá nhân là yếu tố cốt lõi của Quyền Bảo mật của con người. Quyền này là quyền cơ bản của con người, bảo vệ sự độc lập và thịnh vượng của con người. Bằng quyền này, chúng ta có thể tạo cho mình một sự khác biệt, đặc trưng giữa cá thể này với cá thể khác, giúp phân biệt người với người, giúp chúng ta kiểm soát luồng thông tin cũng như sự tương tác giữa những con người trong xã hội. Do đó, quyền này tạo ra cho chúng ta địa vị trong cộng đồng. Qua đó, tất cả những điều này sẽ không còn ý nghĩa, vô hiệu nếu quyền này bị vi phạm. Từ đó làm nổi bật lên tầm quan trọng của việc bảo vệ dữ liệu cá nhân, góp phần tạo nên một xã hội dân chủ, văn minh và bền vững.
Với tốc độ phát triển nhanh chóng của công nghệ, hầu hết thông tin hiện nay đều được lưu trữ trong kho lưu trữ vật lý và điện toán đám mây. Sự bảo mật như vậy đồng nghĩa với việc sẽ luôn có nguy cơ đánh cắp thông tin, dẫn đến toàn bộ dữ liệu bị cướp mất, rò rỉ. Vì vậy, việc bảo vệ dữ liệu cá nhân phải được ưu tiên.
Luật bảo vệ dữ liệu cá nhân trên thế giới
Nhiều quốc gia trên thế giới đã thiết lập đầy đủ luật bảo vệ dữ liệu cá nhân.
Tại Châu Á, Malaysia (2010) và Singapore (Đạo luật bảo vệ dữ liệu cá nhân năm 2012, Quy định bảo vệ dữ liệu cá nhân năm 2014), Thái Lan (Đạo luật bảo vệ dữ liệu cá nhân năm 2019), Nhật Bản (2003, sửa đổi 2016), Hàn Quốc (2011, sửa đổi 2013, 2014, 2015, 2017, 2020) đã thông qua luật bảo vệ dữ liệu cá nhân. Hầu hết luật bảo vệ dữ liệu cá nhân trên thế giới có nguồn gốc từ Liên minh châu Âu. Đây là khu vực đầu tiên thiết lập Đạo luật bảo vệ dữ liệu cá nhân vào năm 1981. Khi Đạo luật Dữ liệu cá nhân chính thức được đưa ra lần đầu tiên vào năm 1985 đã có 85 quốc gia tham gia vào Đạo luật, ngoại trừ Thổ Nhĩ Kỳ.
Theo Quy định chung về bảo vệ dữ liệu (GDPR): dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể nhận dạng được. Theo định nghĩa, thông tin bao gồm tên, địa chỉ bưu điện và email cộng với số điện thoại, giấy phép lái xe, tài khoản ngân hàng, thẻ tín dụng, hộ chiếu và số an sinh xã hội. Trong một số trường hợp nhất định, nó cũng bao gồm các số nhận dạng như dữ liệu sinh trắc học, cookie web, ID thiết bị di động và các yếu tố khác, cụ thể như ‘thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội.
Xử lý, sự đồng ý và quyền được lãng quên theo GDPR
- Xử lý: bất kỳ tập hợp các thao tác thủ công hoặc tự động nào được thực hiện trên dữ liệu cá nhân, bao gồm thu thập, lưu trữ, tổ chức và thay đổi;
- Sự đồng ý: được đưa ra một cách tự do, cụ thể, thông báo và rõ ràng. Sự đồng ý yêu cầu một lựa chọn chủ động, tích cực, do đó, phải nỗ lực để đảm bảo rằng tất cả dữ liệu liên quan đến nhân viên, khách hàng và đối tác kinh doanh đều được đồng ý và có bằng chứng đầy đủ;
- Quyền được lãng quên: các cá nhân có quyền xem bản sao dữ liệu của họ và quyền yêu cầu xóa dữ liệu đó. Các tổ chức phải trang bị các cơ chế không chỉ để bảo vệ thông tin cá nhân khỏi bị xâm phạm mà còn để xác định, phân tích và loại bỏ thông tin đó khỏi quá trình xử lý.
Do Brexit, Luật bảo vệ dữ liệu cá nhân của Anh hơi khác so với EU, nhưng vẫn giữ nguyên hầu hết các quy định cốt lõi.
“Quyền được lãng quên” là một hệ thống độc nhất trong Luật bảo vệ dữ liệu cá nhân của Liên minh Châu Âu. Về cơ bản, đây là quyền cho phép cá nhân xem bản sao hồ sơ của họ cũng như có quyền yêu cầu xóa hồ sơ đó khỏi tổ chức đang nắm giữ thông tin. Thông lệ này được áp dụng ở Argentina, Philippines và EU.
Tại Việt Nam, luật Bảo vệ Dữ liệu Cá nhân vẫn chưa được thiết lập một cách triệt để.
Các vấn đề hiện hành xoay quanh việc Bảo vệ Dữ liệu Cá nhân tại Việt Nam
Những hạn chế trong các quy định của pháp luật Việt Nam hiện hành về bảo vệ dữ liệu cá nhân
Hiện tại, định nghĩa về Dữ liệu cá nhân và các quy định có liên quan nằm rải rác giữa các văn bản pháp luật khác nhau. Việc không có sự thống nhất như vậy dễ gây xung đột với nhau. Các vấn đề khác có thể được kể đến như:
- Thứ nhất, định nghĩa về Thông tin cá nhân vẫn chưa thống nhất giữa các văn bản pháp luật có liên quan (thể hiện ở cả nội dung quy định và kỹ thuật lập pháp).
- Thứ hai, các quy định mới hiện hành chỉ tập trung quy định về bảo vệ thông tin cá nhân trên môi trường mạng (hay môi trường điện tử), chưa có quy định cụ thể về bảo vệ thông tin cá nhân trên môi trường truyền thống.
- Thứ ba, luật bảo vệ thông tin cá nhân chưa theo kịp thực tiễn sử dụng dữ liệu cá nhân như dữ liệu hình ảnh cá nhân (công nghệ nhận dạng khuôn mặt), dữ liệu sinh trắc học (như vân tay, mống mắt,…)
- Thứ tư, các văn bản quy phạm pháp luật về bảo vệ thông tin cá nhân chưa lường trước được các tình huống thực tế trong việc thu thập và xử lý thông tin cá nhân như: việc thu thập và xử lý thông tin cá nhân là trẻ em cần được sự đồng ý của những ai, việc chuyển giao thông tin cá nhân qua biên giới nên được kiểm soát như thế nào, những ràng buộc pháp lý nào đối với việc ẩn danh thông tin cá nhân để sử dụng.
- Thứ năm, không có quy định về quyền được lãng quên trong những trường hợp cần thiết (quyền được lãng quên một loại quyền quý giá của con người mà pháp luật về bảo vệ thông tin cá nhân của nhiều nước đã quy định).
- Thứ sáu, chưa có quy định cụ thể về trách nhiệm bồi thường thiệt hại đối với chủ thể có hành vi sai trái trong việc thu thập và sử dụng thông tin cá nhân.
- Thứ bảy, mức xử phạt vi phạm hành chính đối với hành vi thu thập và sử dụng thông tin cá nhân quá thấp: từ 940 USD đến 1400 USD.
Tuy nhiên, Việt Nam mới đây đã ban hành dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân.
Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân của Việt Nam
Nghị định này được Bộ Công an ban hành tháng 02 năm 2021 và dự kiến sẽ có hiệu lực từ ngày 1 tháng 12 năm 2021. Khi chính thức có hiệu lực, Nghị định hứa hẹn sẽ có các cơ chế giúp bảo vệ dữ liệu cá nhân một cách rõ ràng hơn ở Việt Nam.
Định nghĩa dữ liệu cá nhân
Định nghĩa: Dữ liệu cá nhân là dữ liệu về một cá nhân hoặc liên quan đến việc nhận dạng hoặc khả năng nhận dạng của một cá nhân cụ thể. Định nghĩa tương tự như định nghĩa của EU.
Dữ liệu cá nhân bao gồm:
a) Họ, tên đệm và tên khai sinh, bí danh (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết, mất tích;
c) Nhóm máu, giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên lạc, địa chỉ email;
đ) Trình độ học vấn;
e) Dân tộc;
g) Quốc tịch;
h) Số điện thoại;
i) Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, biển số xe, mã số thuế cá nhân, số bảo hiểm xã hội;
k) Tình trạng hôn nhân;
l) Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.
Danh mục dữ liệu cá nhân
Nghị định cũng chia dữ liệu cá nhân thành 2 nhóm: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm thông tin nhận dạng cơ bản như tên đầy đủ, tuổi, ngày sinh,… trong khi dữ liệu cá nhân nhạy cảm phát triển xung quanh cuộc sống cá nhân đó như xu hướng tình dục, tài khoản ngân hàng, tiền sử y tế, tiền sử phạm tội,… Thông qua việc phân loại các đối tượng, Nghị định đưa ra cách phân loại tốt hơn để xây dựng các quy định tốt hơn nhằm bảo vệ một mục dữ liệu cá nhân.
Nguyên tắc bảo vệ dữ liệu cá nhân
1. Nguyên tắc pháp lý: Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật;
2. Nguyên tắc mục đích: Dữ liệu cá nhân chỉ được xử lý theo đúng mục đích đã đăng ký, được khai báo về việc xử lý thông tin cá nhân;
3. Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định;
4. Nguyên tắc hạn chế sử dụng: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được phép của cơ quan có thẩm quyền theo quy định của pháp luật;
5. Nguyên tắc về chất lượng dữ liệu: Dữ liệu cá nhân phải được cập nhật và đầy đủ để đảm bảo mục đích xử lý dữ liệu;
6. Nguyên tắc bảo mật: Các biện pháp bảo vệ dữ liệu cá nhân được áp dụng trong quá trình xử lý dữ liệu cá nhân;
7. Nguyên tắc cá nhân: Chủ thể dữ liệu phải biết và nhận được thông báo về các hoạt động của họ liên quan đến việc xử lý dữ liệu cá nhân;
8. Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu;
Quyền của chủ thể dữ liệu liên quan đến việc xử lý dữ liệu cá nhân
Chủ thể dữ liệu sẽ có các quyền sau:
1. Đồng ý hoặc không đồng ý cho Bên xử lý dữ liệu cá nhân, Bên thứ ba xử lý dữ liệu cá nhân của họ, trừ khi pháp luật có quy định khác;
2. Nhận thông báo từ Bên xử lý dữ liệu cá nhân tại thời điểm xử lý hoặc ngay khi có thể;
3. Yêu cầu Bên xử lý dữ liệu cá nhân sửa, xem và cung cấp bản sao dữ liệu cá nhân của mình;
4. Yêu cầu Bên xử lý dữ liệu cá nhân ngừng xử lý dữ liệu cá nhân, hạn chế quyền truy cập vào dữ liệu cá nhân, ngừng tiết lộ hoặc cho phép truy cập vào dữ liệu cá nhân, xóa hoặc đóng dữ liệu cá nhân đã thu thập, trừ trường hợp pháp luật yêu cầu;
6. Yêu cầu bồi thường theo quy định của pháp luật khi có căn cứ cho rằng dữ liệu cá nhân của mình bị xâm phạm;
Nghị định cũng nâng mức phạt cao hơn nhiều đối với hành vi vi phạm. Hơn nữa, nó cũng cung cấp định nghĩa rõ ràng hơn về Dữ liệu Cá nhân, cũng như hành động vi phạm.
Sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân
1. Sự đồng ý của chủ thể dữ liệu đối với việc xử lý dữ liệu cá nhân của anh ta/cô ta chỉ có giá trị nếu nó dựa trên ý chí tự do của anh ta và qua đó, biết những điều sau đây:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Đối tượng được phép xử lý và chia sẻ dữ liệu cá nhân;
d) Điều kiện chuyển giao và chia sẻ dữ liệu cá nhân cho bên thứ ba;
d) Quyền của chủ thể dữ liệu liên quan đến việc xử lý dữ liệu cá nhân của mình theo quy định của pháp luật.
2. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý;
3. Chủ thể dữ liệu có thể đồng ý một phần hoặc kèm theo các điều kiện.
4. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở định dạng có thể in ra, sao chép lại bằng văn bản;
Các biện pháp xử phạt hành chính mới đối với các hành vi vi phạm
Trong trường hợp vi phạm:
– Một khoản tiền phạt lên đến $ US4400,00
– Phạt đến 5% doanh thu của người vi phạm (EU: 4%)
Tác động đến các nhà đầu tư và doanh nghiệp tại Việt Nam
Yêu cầu cụ thể đối với dữ liệu cá nhân nhạy cảm
Theo Dự thảo, dữ liệu cá nhân nhạy cảm phải được đăng ký với Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) trước khi xử lý. Người xử lý cần chuẩn bị một đơn đáp ứng các yêu cầu quy định và trình lên PDPC để phê duyệt đăng ký.
PDPC sẽ xử lý hồ sơ trong vòng 20 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ. Yêu cầu này được coi là rất nặng nề, khó khăn đối với các công ty.
Bổ nhiệm nhân sự phụ trách
Doanh nghiệp phải chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và báo cáo thông tin này cho Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC).
Quy định mới về chuyển giao dữ liệu xuyên biên giới
Dự thảo Nghị định cũng đưa ra các quy định mới liên quan đến việc chuyển giao dữ liệu cá nhân xuyên biên giới. Dữ liệu cá nhân của công dân Việt Nam có thể được chuyển giao ra khỏi biên giới lãnh thổ Việt Nam khi có đủ 04 điều kiện sau:
a) Khi chủ thể dữ liệu đồng ý với việc chuyển giao;
b) Dữ liệu gốc được lưu trữ tại Việt Nam;
c) Có tài liệu chứng minh quốc gia, vùng lãnh thổ hoặc khu vực cụ thể trên quốc gia, vùng lãnh thổ được chuyển đến đã ban hành quy định về bảo vệ dữ liệu cá nhân ở mức tương đương hoặc cao hơn quy định tại dự thảo nghị định;
d) Được sự đồng ý bằng văn bản của Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC).
Dữ liệu Cá nhân từ lâu đã đóng một vai trò to lớn đối với nhiều nhà đầu tư nước ngoài, từ lĩnh vực tài chính, bảo hiểm, ngân hàng đến công nghệ, lưu trữ. Sự phát triển như vậy báo hiệu rằng quyền riêng tư sẽ ngày càng được bảo mật hơn ở Việt Nam và việc tiếp cận đến dữ liệu cá nhân sẽ ngày càng trở nên khó khăn.
Liên hệ với công ty luật ASL LAW để được hướng dẫn về luật doanh nghiệp và luật lao động.
BÀI VIẾT HỮU ÍCH LIÊN QUAN
