|
Nghị định về bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ 1/7/2023 |
Nghị định 13 của Chính phủ về Bảo vệ dữ liệu cá nhân đã được ban hành từ ngày 17/4/2023 và đến hôm nay (1/7/2023) đã chính thức có hiệu lực.
Cho đến thời điểm này, rất nhiều doanh nghiệp vẫn còn lúng túng trong việc thực thi các điều khoản của Nghị định 13, do chính phủ chưa ban hành thông tư hướng dẫn, cũng như chưa ban hành Nghị định xử phạt hành chính đối với các hành vi vi phạm Nghị định 13.
Khi xây dựng Nghị định 13, các chuyên gia Việt Nam đã nghiên cứu học hỏi một số Luật, quy định về bảo vệ dữ liệu cá nhân của quốc tế, trong đó có quy định GDPR của Liên minh châu Âu. Có thể nói đây là một Nghị định khá bao quát trong việc bảo vệ quyền riêng tư cá nhân. Tuy nhiên, cũng vì lý do đó mà rất nhiều tổ chức, doanh nghiệp từ trước đến nay đang lưu trữ, sử dụng dữ liệu cá nhân bị tác động bởi Nghị định này, buộc họ phải có các biện pháp ứng xử khác với dữ liệu cá nhân.
Định nghĩa dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm
Dữ liệu cá nhân trong Nghị định 13 được định nghĩa một cách khá hoàn chỉnh giống như trong GDPR. Nó hoàn chỉnh hơn nhiều so với các định nghĩa trong một số bộ luật trước đây như Luật An ninh mạng, Luật An toàn thông tin...
"Dữ liệu cá nhân" là những thông tin gắn liền với một con người cụ thể (ví dụ như tên tuổi, căn cước công dân, hình ảnh...), hoặc giúp xác định một con người cụ thể (ví dụ như Chủ tịch tập đoàn A, người đạt giải B...)
"Dữ liệu cá nhân nhạy cảm" là những dữ liệu trực tiếp ảnh hưởng đến quyền riêng tư, nếu bị xâm phạm thì ảnh hưởng trực tiếp tới chủ thể dữ liệu. Ví dụ như tình trạng sức khỏe, nguồn gốc chủng tộc, gien di truyền, đời sống tình dục, tài khoản ngân hàng... Ngoài ra, Nghị định 13 cũng quy định rõ: có những dữ liệu mà trong các bộ luật khác quy định cần được bảo vệ thì cũng được coi đó là dữ liệu cá nhân nhạy cảm.
Các chủ thể xử lý dữ liệu cá nhân
Nghị định 13 quy định có 4 loại hình chủ thể xử lý dữ liệu cá nhân, bao gồm: các bên kiểm soát dữ liệu cá nhân (trường học, công ty...), bên xử lý dữ liệu cá nhân (công ty phân tích thị trường, công ty tư vấn...), bên kiểm soát và xử lý dữ liệu cá nhân (doanh nghiệp, tập đoàn...), và bên thứ 3 là không bao gồm 3 chủ thể nói trên, nhưng được phép xử lý dữ liệu cá nhân (cơ quan chuyên trách...).
Bất kỳ hoạt động nào tác động đến dữ liệu cá nhân, từ thu thập, chỉnh sửa, lưu trữ, phát tán, phân tích... đều được coi là xử lý dữ liệu cá nhân
Điều 3 Nghị định 13 đề ra 8 nguyên tắc bảo vệ dữ liệu cá nhân: đúng pháp luật, đảm bảo minh bạch, tuân thủ mục đích, tối thiểu dữ liệu, tính chính xác, tính toàn vẹn và bảo mật, giới hạn lưu trữ (chỉ được lưu trữ trong một khoảng thời gian nhất định), giải trình.
Nghị định 13 cũng đặt ra 11 quyền đối với chủ thể dữ liệu (cá nhân) trong đó có những quyền hết sức cơ bản như: yêu cầu bồi thường thiệt hại, khiếu nại tố cáo, quyền tự bảo vệ, quyền được biết, quyền đồng ý, rút lại sự đồng ý, xóa dữ liệu, truy cập, quyền hạn chế sử dụng dữ liệu, quyền phản đối, cung cấp dữ liệu...
Về quyền đồng ý của chủ thể dữ liệu
Quyền này cho phép chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho các bên xử lý và kiểm soát dữ liệu cá nhân của mình.
Chủ thể dữ liệu có quyền được biết thông tin về các dữ liệu của mình được xử lý như thế nào.
Nghị định 13 cũng quy định chủ thể dữ liệu không phản hồi/trả lời, không đồng nghĩa với chủ thể đồng ý.
Khi bên xử lý/kiểm soát dữ liệu có nhiều mục đích đối với dữ liệu cá nhân, cần liệt kê hết các mục đích để chủ thể dữ liệu có thể đồng ý với một hoặc một vài hoặc tất cả mục đích đó.
Một số trường hợp đặc biệt có thể không cần xin phép chủ thể dữ liệu như: để bảo vệ tính mạng, sức khỏe cho chủ thể dữ liệu; công khai dữ liệu theo quy định của pháp luật; khẩn cấp quốc phòng an ninh; thực hiện nghĩa vụ, hợp đồng với chủ thể dữ liệu; phục vụ hoạt động của cơ quan nhà nước đã được quy định trong luật chuyên ngành.
Đánh giá tác động của việc xử lý dữ liệu cá nhân
Theo luật sư Nguyễn Đức Long, công ty luật Inteco (ông Long có bằng thạc sỹ tại Đại học UWE Bristol - Vương quốc Anh, chuyên ngành bảo mật dữ liệu), Nghị định 13 yêu cầu khi tổ chức, doanh nghiệp xử lý dữ liệu cá nhân thì phải đánh giá tác động, xem việc xử lý đó có phù hợp không, có rủi ro gì không và cách thức hạn chế các rủi ro đó.
Việc lập hồ sơ đánh giá tác động của xử lý dữ liệu cá nhân (viết tắt là DPIA) là nghĩa vụ bắt buộc đối với các bên kiểm soát và xử lý dữ liệu cá nhân. Hồ sơ này phải được lưu trữ trong suốt thời gian hoạt động để cơ quan nhà nước chuyên trách có thể kiểm tra bất cứ lúc nào. Hồ sơ này sẽ phải gửi một bản tới Cục An ninh mạng và Phòng chống Tội phạm công nghệ cao (A05) trong vòng 60 ngày kể từ ngày xử lý dữ liệu.
Chuyển dữ liệu cá nhân ra nước ngoài
Luật sư Nguyễn Đức Long liệt kê hai trường hợp: Thứ nhất là doanh nghiệp, tổ chức trong nước chuyển dữ liệu cá nhân cho một doanh nghiệp, tổ chức khác ở nước ngoài. Trường hợp thứ hai là các doanh nghiệp trong nước đặt máy chủ/cơ sở ở nước ngoài nhằm lưu trữ dữ liệu khách hàng.
Luật sư Nguyễn Đức Long lưu ý là quy định này chỉ áp dụng cho các dữ liệu cá nhân của công dân Việt Nam. Dữ liệu người nước ngoài không phải chịu sự quản lý của quy định này.
Việc chuyển dữ liệu ra nước ngoài cũng phải lập hồ sơ và chuyển cho A05. Căn cứ trên tình hình thực tế thì A05 sẽ kiểm tra mỗi năm một lần hồ sơ này. Trong trường hợp đặc biệt như có sự cố, xảy ra vi phạm dữ liệu cá nhân, thì A05 có thể kiểm tra lập tức.
"Nếu doanh nghiệp, tổ chức không tuân thủ quy định về bảo mật dữ liệu cá nhân, hoặc dữ liệu này bị sử dụng vào mục đích vi phạm an ninh quốc gia thì việc chuyển dữ liệu ra nước ngoài sẽ bị đình chỉ", ông Long cho biết.
Xử lý dữ liệu cá nhân đặc biệt
Các dữ liệu cá nhân đặc biệt được Nghị định 13 quy định bao gồm: Dữ liệu trẻ em (công dân dưới 16 tuổi); Dịch vụ tiếp thị, quảng cáo; Người đã mất; Ghi âm, ghi hình tại nơi công cộng
Xử lý dữ liệu trẻ em phải đảm bảo đem lại lợi ích tốt nhất cho trẻ em, và phải được sự đồng ý của cha mẹ hoặc người giám hộ. Trẻ em từ 7 tuổi trở lên cũng có quyền được hỏi ý kiến.
Đối với các dữ liệu cá nhân dành cho tiếp thị, quảng cáo, thì doanh nghiệp, tổ chức chỉ được xử lý dữ liệu khi khách hàng đồng ý. Khách hàng phải biết được nội dung, tần suất, phương thức giới thiệu sản phẩm.
Đối với dữ liệu người đã mất, chỉ được xử lý khi có sự đồng ý của người thân.
Trường hợp ghi âm, ghi hình cá nhân tại nơi công cộng thì chỉ cơ quan, tổ chức có thẩm quyền mới được phép. Cơ quan, tổ chức này không cần xin phép chủ thể mà chỉ cần thông báo với chủ thể việc ghi âm, ghi hình.
Tóm lược trách nhiệm các doanh nghiệp, tổ chức cần phải thực hiện
Thứ nhất, phải đảm bảo 11 quyền của chủ thể dữ liệu (theo điều 11 Nghị định 13).
Thứ hai là phải ghi lại và lưu trữ hệ thống quá trình xử lý dữ liệu cá nhân.
Thứ ba là phải chịu trách nhiệm cho những thiệt hại mà quá trình xử lý dữ liệu cá nhân gây ra. Thứ tư là phải thông báo các vi phạm quy định bảo vệ dữ liệu cá nhân. Thời gian thông báo là 72 giờ, trường hợp thông báo muộn phải giải trình rõ lý do.
Tóm lại, doanh nghiệp phải phối hợp với cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân.
Luật sư Nguyễn Đức Long cho biết, từ điều 26 đến điều 28 của Nghị định 13 cũng đặt ra các biện pháp chung bảo vệ dữ liệu như quản lý kỹ thuật, pháp lý, điều tra tố tụng. Đối với với "dữ liệu cá nhân cơ bản" thì doanh nghiệp phải xây dựng các quy định về bảo vệ dữ liệu cá nhân, áp dụng các tiêu chuẩn, kiểm tra thiết bị, an ninh mạng trước khi xử lý.
Riêng đối với "dữ liệu cá nhân nhạy cảm", ngoài việc áp dụng các quy định về bảo vệ dữ liệu cá nhân cơ bản và các biện pháp chung, thì còn phải chỉ định bộ phận hoặc nhân sự chuyên trách bảo vệ dữ liệu nhạy cảm. Thông tin về nhân sự này phải gửi cho A05, và phải thông báo cho chủ thể dữ liệu biết về việc xử lý dữ liệu cá nhân nhạy cảm.
Ông Long lưu ý việc có nhân sự chuyên trách bảo vệ dữ liệu cá nhân nhạy cảm là nghĩa vụ đối với mọi doanh nghiệp có xử lý loại dữ liệu này. Tuy nhiên cũng có trường hợp được miễn trừ tạm thời, đó là các doanh nghiệp nhỏ, siêu nhỏ hoặc doanh nghiệp khởi nghiệp. Họ sẽ được miễn trừ trong thời hạn 2 năm kể từ khi thành lập.
Một số gợi ý đối với các tổ chức, doanh nghiệp
Theo luật sư Nguyễn Đức Long, có 4 nội dung mà doanh nghiệp cần lưu ý để đảm bảo tuân thủ Nghị định 13:
Thứ nhất là cần phải duy trì thống kê được hoạt động xử lý dữ liệu có liên quan, hoặc phải xác định được đang xử lý loại dữ liệu gì, các hoạt động gì liên quan đến dữ liệu cá nhân (thu thập, phân tích, xử lý, chỉnh sửa, chuyển giao...)
Thứ hai, phải thống kê bên thứ ba mà dữ liệu cá nhân được chia sẻ. Dữ liệu cá nhân không ở một chỗ, cũng không hoàn toàn trong nội bộ doanh nghiệp. Trên thực tế, doanh nghiệp có thể phải chia sẻ, chuyển giao dữ liệu cá nhân cho bên thứ ba (ví dụ như nhà cung cấp, khách hàng) để thực hiện các hợp đồng giao dịch. Doanh nghiệp phải nắm được dòng chảy dữ liệu đi đến đâu, phục vụ chủ thể nào. Phải có cam kết, thỏa thuận với bên thứ ba trong việc bảo vệ dữ liệu đó. Đồng thời có đánh giá rủi ro trong mọi hoạt động xử lý dữ liệu cá nhân.
Thứ ba, doanh nghiệp phải cập nhật, đào tạo cho nhân viên về xử lý dữ liệu. Ở Việt Nam hiện nay không có nhiều doanh nghiệp quan tâm đến việc đào tạo nhân viên về bảo mật dữ liệu cá nhân, đặc biệt là các doanh nghiệp không hoạt động trong lĩnh vực pháp lý hay công nghệ thông tin.
Thứ tư, doanh nghiệp phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân, tuân thủ các biện pháp như tối giản dữ liệu (chỉ thu thập đúng loại dữ liệu cần thiết, tối giản thời gian xử lý dữ liệu). Nếu có dấu hiệu vi phạm phải báo cáo ngay với cơ quan chuyên trách trong 72 giờ.
Có 5 việc doanh nghiệp cần ưu tiên thực hiện sớm, đó là:
Thứ nhất là xin phép chủ thể dữ liệu về việc sử dụng dữ liệu cá nhân của họ, xem xét hạ tầng xử lý dữ liệu, rà soát các biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu từ trước đến nay, xem những biểu mẫu nào phù hợp với quy định mới.
Thứ hai là phải chỉ định nhân sự bảo vệ dữ liệu trong trường hợp doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm.
Thứ ba, doanh nghiệp, tổ chức phải có đánh giá về tác động của việc xử lý dữ liệu cá nhân
Thứ tư là phải có đánh giá về việc chuyển dữ liệu của công dân Việt Nam ra nước ngoài.
Thứ năm là phải áp dụng các biện pháp bảo mật đối với dữ liệu cá nhân./.
Đón xem bài 2: Những băn khoăn, thắc mắc của doanh nghiệp đối với việc thực thi Nghị định 13