BAN HÀNH NGHỊ ĐỊNH 13/2023/NĐ-CP: VIỆT NAM BẢO VỆ DỮ LIỆU CÁ NHÂN TỪ NGÀY 01/07/2023

Bảo vệ dữ liệu cá nhân được nhận định là một vấn đề cực kỳ quan trọng và đang thu hút nhiều sự quan tâm tại Việt Nam. Trước đây, việc bảo vệ dữ liệu cá nhân không nhận được sự chú trọng đúng mức, nhưng với sự phát triển mạnh mẽ của công nghệ thông tin và sự gia tăng của việc sử dụng dữ liệu, vấn đề này đã trở thành một ưu tiên hàng đầu. Điển hình, trong những năm gần đây, người dân trên cả nước đang phải đối mặt với thực trạng đáng lo ngại liên quan đến việc lộ thông tin cá nhân, cuộc gọi rác, tin nhắn rác, v.v. Theo nhận định của các nhà chức trách, giải pháp cấp thiết cần được đặt ra ngay lúc này là đảm bảo an toàn hệ thống dữ liệu quốc gia về dân cư.

Thực tiễn cho thấy, pháp luật về bảo vệ dữ liệu cá nhân hiện nay đã được hơn 80 quốc gia trên thế giới thừa nhận. Dù có độ trễ trong việc ban hành chính sách pháp luật trong cùng lĩnh vực nhưng Việt Nam vẫn khẩn trương bắt kịp tiến trình và hoàn thiện khung pháp lý liên quan. Cụ thể, ngày 17/04/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan (“Nghị Định 13”). Nội dung bài viết này nhằm mục đích giới thiệu sơ bộ một số nội dung cần thiết của Nghị Định 13 với mong muốn người đọc có được góc nhìn ban đầu với văn bản pháp lý nêu trên.

 

PHẠM VI ÁP DỤNG

Nghị Định 13 có hiệu lực thi hành kể từ ngày 01/7/2023. Cùng với Luật An ninh mạng 2018 ngày 12/6/2018 và văn bản hướng dẫn thi hành đầu tiên là Nghị định số 53/2022/NĐ-CP ngày 15/8/2022, Nghị Định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị Định 13 quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Nghị Định 13 áp dụng đối với:

  • Cơ quan, tổ chức, cá nhân Việt Nam;
  • Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
  • Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
  • Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

MỘT SỐ ĐỊNH NGHĨA

  • Chủ thể dữ liệu” là cá nhân được dữ liệu cá nhân phản ánh.
  • Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
  • Dữ liệu cá nhân cơ bản” bao gồm họ và tên, thời gian sinh, thời gian chết, thông tin liên lạc, tình trạng hôn nhân và mối quan hệ gia đình, quốc tịch, hình ảnh của cá nhân, giới tính, số định danh cá nhân (số căn cước công dân, hộ chiếu, mã số thuế, số bảo hiểm xã hội/số thẻ bảo hiểm y tế, số giấy phép lái xe, số biển số xe), ngoài ra còn gồm thông tin về nhóm máu, tài khoản số và dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động của cá nhân trên không gian mạng.
  • Dữ liệu cá nhân nhạy cảm” là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm quan điểm chính trị và quan điểm tôn giáo, tình trạng sức khỏe và đời tư (ngoại trừ nhóm máu), dữ liệu sinh trắc học, dữ liệu di truyền, khuynh hướng tình dục, dữ liệu về tội phạm, dữ liệu khách hàng của tổ chức tín dụng, dịch vụ trung gian thanh toán, dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị và các dữ liệu cá nhân nhạy cảm khác theo quy định của pháp luật Việt Nam.
  • Chuyển dữ liệu cá nhân ra nước ngoài” là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: (i) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; (ii) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
  • Bên Kiểm soát dữ liệu cá nhân” là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
  • Bên Xử lý dữ liệu cá nhân” là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
  • Bên Kiểm soát và xử lý dữ liệu cá nhân” là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
  • Bên thứ ba” là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.

NGUYÊN TẮC BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 3 của Nghị định 13 đưa ra 8 nguyên tắc bảo vệ dữ liệu cá nhân. Các nguyên tắc chủ yếu xoay quanh việc tuân thủ pháp luật trong việc đảm bảo an toàn cho dữ liệu cá nhân. Đặc biệt, có một số nguyên tắc nhấn mạnh quyền của chủ thể dữ liệu và giới hạn trong hoạt động thu thập và xử lý dữ liệu của các bên liên quan:

  • Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
  • Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
  • Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
  • Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
  • Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
  • Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
  • Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
  • Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định như trên và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

 HÀNH VI BỊ NGHIÊM CẤM

  • Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
  • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
  • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
  • Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
  • Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

 QUYỀN CỦA CHỦ THỂ DỮ LIỆU

Điều 9 của Nghị Định 13 quy định 11 quyền của chủ thể dữ liệu, bao gồm:

  1. Quyền được biết;
  2. Quyền đồng ý;
  3. Quyền truy cập;
  4. Quyền rút lại sự đồng ý;
  5. Quyền xóa dữ liệu;
  6. Quyền hạn chế xử lý dữ liệu;
  7. Quyền cung cấp dữ liệu;
  8. Quyền phản đối xử lý dữ liệu;
  9. Quyền khiếu nại, tố cáo, khởi kiện;
  10. Quyền yêu cầu bồi thường thiệt hại; và
  11. Quyền tự bảo vệ.

Trong các quyền trên, chủ thể dữ liệu cần chú trọng về Quyền hạn chế xử lý dữ liệu và Quyền phản đối xử lý dữ liệu, do các quyền này có giới hạn về thời gian xử lý là 72 giờ. Cụ thể như sau:

  • Quyền hạn chế xử lý dữ liệu: Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
  • Quyền phản đối xử lý dữ liệu: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.

 ĐIỀU KIỆN VỀ SỰ ĐỒNG Ý CỦA CHỦ THỂ DỮ LIỆU

Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

  • Loại dữ liệu cá nhân được xử lý;
  • Mục đích xử lý dữ liệu cá nhân;
  • Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
  • Các quyền, nghĩa vụ của chủ thể dữ liệu.

Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

Nghị Định 13 đặc biệt lưu ý rằng sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

Ngoài ra, Nghị Định 13 cũng quy định việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.

Điều 17 của Nghị Định 13 quy định các trường hợp không cần sự đồng ý của chủ thể dữ liệu bao gồm:

  • Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
  • Việc công khai dữ liệu cá nhân theo quy định của luật;
  • Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật;
  • Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật; hoặc
  • Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

 BIỆN PHÁP BẢO VỆ DỮ LIỆU CÁ NHÂN

Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:

  1. Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
  2. Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
  3. Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị Định 13 và pháp luật có liên quan;
  4. Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
  5. Các biện pháp khác theo quy định của pháp luật.

Đối với dữ liệu cá nhân cơ bản, ngoài các biện pháp nêu trên, Điều 27 Nghị Định 13 còn quy định thêm các biện pháp gồm:

  • Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị Định 13;
  • Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân;
  • Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

Đối với dữ liệu cá nhân nhạy cảm, các tiêu chuẩn khi xử lý dữ liệu cá nhân nhạy cảm được quy định nghiêm ngặt hơn so với các tiêu chuẩn đối với dữ liệu cá nhân cơ bản. Theo Điều 28 của Nghị Định 13, bảo vệ dữ liệu cá nhân nhạy cảm bao gồm các biện pháp:

  • Tất cả các biện pháp bảo vệ dữ liệu cá nhân áp dụng đối với dữ liệu cá nhân cơ bản;
  • Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện;
  • Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý,trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị Định 13.

 CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI

Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại Nghị Định 13. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.

Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Ngoài ra, cũng nên lưu ý rằng Bộ Công an có quyền quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:

  • Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
  • Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định về hoàn thành, cập nhật hoặc bổ sung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
  • Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

Nghị Định 13 bước đầu thiết lập các quy định về quyền riêng tư và bảo mật thông tin, đặt ra những nguyên tắc cần tuân thủ để đảm bảo rằng dữ liệu cá nhân được xử lý một cách hợp pháp, minh bạch và an toàn. Tuy nhiên, bên cạnh đó, chính người dân và doanh nghiệp cũng cần nhận thức sâu sắc về tầm quan trọng của quyền riêng tư và rủi ro tiềm ẩn trong việc lộ thông tin cá nhân thông qua việc ý thức về rủi ro và biện pháp bảo vệ dữ liệu cá nhân, như việc sử dụng mật khẩu có tính bảo mật cao, cập nhật phần mềm an ninh, và chọn lọc các dịch vụ trực tuyến đáng tin cậy, là cách để người dân và doanh nghiệp đóng góp vào việc bảo vệ thông tin cá nhân của mình và tổ chức, đồng thời xây dựng một môi trường số an toàn hơn.

 

Lưu ý: Nội dung trình bày trên đây chỉ mang tính tham khảo. Tùy từng thời điểm và đối tượng khác nhau mà nội dung trên có thể sẽ không còn phù hợp. Mọi yêu cầu tư vấn chi tiết, vui lòng liên hệ LMP Lawyers.

Liên hệ tư vấn
(+84)2838224050