Nghị định 13 về bảo vệ dữ liệu cá nhân (Tên đầy đủ là “Nghị định 13/2023/NĐ-CP”) được Chính phủ thông qua vào ngày 17/04/2023 và chính thức có hiệu lực từ ngày 01/07/2023. Đây là văn bản pháp lý có vai trò quan trọng trong việc đảm bảo quyền riêng tư và bảo vệ dữ liệu cá nhân của người dân trong lãnh thổ Việt Nam. Nghị định 13 đặt ra một loạt các công việc doanh nghiệp phải làm để bảo vệ dữ liệu cá nhân. Bài viết sau của VLM Law Firm đề xuất các công việc mà các doanh nghiệp có thể triển khai thực hiện ngay để tuân thủ Nghị định 13.

1. Xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân

Nghị định 13 phân biệt rõ ràng các vai trò khác nhau của những các bên tham gia vào xử lý dữ liệu và quy định trách nhiệm riêng cho từng vai trò. Cụ thể:

Bên Kiểm soát dữ liệu là tổ chức hoặc cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Bên Kiểm soát dữ liệu đóng vai trò lớn hơn trong việc thông báo và hợp tác với các cơ quan nếu có sự vi phạm dữ liệu cá nhân. Bên Kiểm soát dữ liệu chịu trách nhiệm cuối cùng trước chủ thể dữ liệu và có nghĩa vụ chứng minh rằng đã có được sự đồng ý trước cho tất cả các hoạt động xử lý.

Bên Xử lý dữ liệu là tổ chức hoặc cá nhân giao kết hợp đồng với Bên Kiểm soát dữ liệu về việc thực hiện việc xử lý dữ liệu cá nhân dưới sự hướng dẫn của Bên Kiểm soát dữ liệu. Bên Xử lý dữ liệu có trách nhiệm thông báo cho Bên Kiểm soát dữ liệu về các vi phạm cũng như phối hợp với các cơ quan có thẩm quyền trong việc điều tra khi có vi phạm.

Bên Kiểm soát và xử lý dữ liệu là một vai trò kép, theo đó phải tuân thủ các nghĩa vụ của cả Bên Kiểm soát dữ liệu lẫn Bên Xử lý dữ liệu.

Bên thứ ba là tổ chức hoặc cá nhân không phải Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu nhưng được phép xử lý dữ liệu cá nhân. Định nghĩa này có thể mở rộng sang bất kỳ ai tham gia vào việc xử lý dữ liệu cá nhân, chẳng hạn như các bên cung cấp dịch vụ thanh toán, dịch vụ viễn thông, v.v.

Việc xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân sẽ ảnh hưởng đến quyền và nghĩa vụ của doanh nghiệp, đồng thời cũng định hình các công việc/thủ tục mà doanh nghiệp cần thực hiện.

2. Phân loại dữ liệu cá nhân

Dữ liệu cá nhân là các thông tin liên quan đến một con người cụ thể hoặc giúp xác định một con người cụ thể khi các thông tin này được sử dụng độc lập hoặc kết hợp với các thông tin khác có thể là thông tin trực tiếp, chữ số, chữ viết, hình ảnh, âm thanh, video và dữ liệu kỹ thuật số.

Nghị định 13 phân loại dữ liệu cá nhân thành hai loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; đồng thời liệt kê các dữ liệu chính yếu thuộc hai loại này.

Dữ liệu cá nhân cơ bản bao gồm: thông tin định danh thông thường, như họ và tên, thời gian sinh, thời gian chết, thông tin liên lạc, tình trạng hôn nhân và mối quan hệ gia đình, quốc tịch, hình ảnh của cá nhân, giới tính, số định danh cá nhân (số căn cước công dân, hộ chiếu, mã số thuế, số bảo hiểm xã hội/số thẻ bảo hiểm y tế, số giấy phép lái xe, số biển số xe), ngoài ra còn gồm thông tin về nhóm máu, tài khoản số và dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động của cá nhân trên không gian mạng.

Dữ liệu cá nhân nhạy cảm được định nghĩa là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm: quan điểm chính trị và quan điểm tôn giáo, tình trạng sức khỏe và đời tư (ngoại trừ nhóm máu), dữ liệu sinh trắc học, dữ liệu di truyền, khuynh hướng tình dục, dữ liệu về tội phạm, dữ liệu khách hàng của tổ chức tín dụng, dịch vụ trung gian thanh toán, dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị và các dữ liệu cá nhân nhạy cảm khác theo quy định của pháp luật Việt Nam.

Nghị định 13 thể hiện rằng dữ liệu cá nhân nhạy cảm sẽ được bảo vệ chặt chẽ so với dữ liệu cá nhân cơ bản. Khi xử lý dữ liệu cá nhân nhạy cảm, bên xử lý dữ liệu cần lưu ý một số điểm sau:

‐ Chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

‐ Doanh nghiệp phải chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (“Cục An ninh mạng”).

3. Xây dựng quy trình, rà soát, điều chỉnh hệ thống tài liệu của doanh nghiệp

Nghị định 13 yêu cầu các tổ chức cung cấp thông báo tuân thủ cho các cá nhân trước khi xử lý dữ liệu cá nhân của họ. Trừ một số ngoại lệ tại Điều 17 Nghị định 13, việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu.

1. Nội dung: Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

‐ Loại dữ liệu cá nhân được xử lý;

‐ Mục đích xử lý dữ liệu cá nhân;

‐ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;

‐ Các quyền, nghĩa vụ của chủ thể dữ liệu.

2. Hình thức của sự đồng ý:

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

Các hình thức này phải được thể hiện ở định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu sẽ không được coi là sự đồng ý.

Như vậy, doanh nghiệp cần rà soát và cập nhật các chính sách bảo mật hiện có hoặc xây dựng các chính sách bảo mật mới bao gồm tối thiểu các yêu cầu theo quy định của Nghị định 13 để cung cấp cho các cá nhân trong thời gian sớm nhất.

4. Thực hiện các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân

Theo quy định của Nghị định 13, ngoài các biện pháp quản lý, doanh nghiệp còn cần thiết lập các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân.

Mặc dù Nghị định 13 không quy định rõ về các biện pháp kỹ thuật này, tuy nhiên, có thể hiểu đây là các biện pháp bảo vệ về mặt kỹ thuật, phân biệt với các biện pháp quản lý thông thường. Ví dụ thiết lập hệ thống tường lửa để ngăn chặn các hành vi xâm nhập vào hệ thống dữ liệu cá nhân, sử dụng hệ thống bảo mật nhiều lớp cho việc truy cập dữ liệu cá nhân,…

Việc thực hiện các biện pháp kỹ thuật này có thể giúp cho doanh nghiệp thuận lợi cho việc giải trình khi thực hiện thủ tục đánh giá tác động xử lý dữ liệu cá nhân và các thủ tục khác có liên quan.

5. Báo cáo đánh giá tác động cho cơ quan có thẩm quyền để xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra ngước ngoài

Cả Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu đều phải tiến hành đánh giá tác động bảo vệ dữ liệu cá nhân đối với tất cả các hoạt động xử lý của mình, bao gồm tự xử lý dữ liệu cá nhân cơ bản và nhạy cảm hoặc bằng cách ký hợp đồng với bên xử lý dữ liệu cá nhân hoặc cung cấp thông tin cho bên thứ ba hoặc chuyển dữ liệu cá nhân ra nước ngoài và gửi trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý dữ liệu.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải bao gồm: thông tin của cả Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân và nhân sự phụ trách xử lý dữ liệu cá nhân nội bộ của họ, người nhận dữ liệu cá nhân và quốc tịch của họ, loại và mục đích của dữ liệu cá nhân được xử lý, thời gian lưu giữ, các biện pháp bảo vệ dữ liệu và đánh giá rủi ro và các biện pháp giảm thiểu rủi ro đối với hoạt động xử lý. Đơn vị phụ trách dữ liệu sẽ cần đảm bảo rằng các báo cáo đánh giá tác động luôn có sẵn để Bộ Công an xem xét và được cập nhật, bổ sung trong trường hợp có bất kỳ thông tin nào trong đó thay đổi.

Nếu phát hiện có vi phạm hoặc nếu việc chuyển dữ liệu cá nhân vi phạm lợi ích hoặc an ninh quốc gia, Bộ Công an có toàn quyền ngăn chặn mọi hoạt động chuyển dữ liệu cá nhân ra nước ngoài.

---

Nếu bạn cần Tư vấn hoặc Hỗ trợ Dịch vụ trọn gói, vui lòng liên hệ với VLM Law Firm thông qua các kênh sau:

• Số điện thoại: 0977 364 568 (có thể nhắn trên Zalo)
• Đến trực tiếp tại Văn phòng: 14 Điện Biên Phủ, Phường 17, Quận Bình Thạnh, Thành phố Hồ Chí Minh.
• Hoặc bạn BẤM VÀO ĐÂY để điền thông tin, VLM Law Firm sẽ gọi lại cho bạn nhé!