Việt Nam sẽ sớm có văn bản quy phạm pháp luật đầu tiên về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan với việc ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân (Nghị định PDP) vào ngày 17 tháng 4 năm 2023, có hiệu lực từ ngày 1 tháng 7 năm 2023. Trong bài viết sau, VLIP sẽ chỉ ra những điểm chính đáng chú ý tại Nghị định này.

Theo Nghị định PDP, các hoạt động xử lý dữ liệu bao gồm thu thập, ghi lại, phân tích, xác nhận, lưu trữ, chỉnh sửa, tiết lộ, kết hợp, truy cập, truy xuất, mã hóa, giải mã, sao chép, chia sẻ, truyền tải, cung cấp, chuyển, xóa, hủy và các hành động liên quan sẽ có quy định cụ thể, trong đó, quan trọng nhất là sự hạn chế đối với việc các bên xử lý, thu thập dữ liệu có thể được thực hiện, khi có và không có sự cho phép của chủ thể dữ liệu.

Nghị định PDP quy định các quyền của chủ thể dữ liệu; các điều kiện và hình thức đồng ý bao gồm sự đồng ý bằng văn bản và thông qua SMS, trong số những điều kiện khác; các loại dữ liệu nhạy cảm cá nhân khác nhau bao gồm cả tình trạng sức khỏe của chủ thể dữ liệu và quan điểm liên quan đến chính trị; các biện pháp bảo vệ dữ liệu cá nhân cơ bản; các yêu cầu mới đối với việc truyền dữ liệu xuyên biên giới; trách nhiệm tương ứng của Cục An ninh mạng và phòng, chống tội phạm công nghệ cao và các cơ quan chức năng, v.v.

Các điểm chính đáng chú ý tại Nghị định số 13

Phân loại dữ liệu cơ bản và dữ liệu nhạy cảm

Dữ liệu cá nhân được chia thành hai loại, dữ liệu cơ bản và dữ liệu nhạy cảm.

Khoản 3 Điều 2 Nghị định số 13 quy định dữ liệu cá nhân cơ bản bao gồm: họ và tên; ngày sinh; ngày mất; giới tính; nơi sinh, nơi thường trú, nơi tạm trú, nơi ở hiện nay; quốc tịch; hình ảnh cá nhân; số điện thoại; số chứng minh nhân dân hoặc số định danh cá nhân, số hộ chiếu; giấy phép lái xe, biển số xe; Mã số thuế cá nhân; mã số BHXH, BHYT; tình trạng hôn nhân; thông tin về mối quan hệ gia đình.

Khoản 4 Điều 2 Nghị định số 13 quy định dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân liên quan đến quyền riêng tư của một cá nhân, nếu bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích của cá nhân đó, bao gồm: Quan điểm chính trị, tôn giáo; tình trạng sức khoẻ, đời sống riêng tư ghi trong bệnh án; nguồn gốc hoặc dân tộc; đặc điểm di truyền; đặc điểm đặc biệt; đời sống và khuynh hướng tình dục; minh chứng hành vi phạm tội được thu thập hoặc lưu trữ bởi cơ quan thực thi pháp luật; thông tin khách hàng của ngân hàng như danh tính, tài khoản, tiền gửi, tài sản ký gửi, giao dịch; Vị trí cá nhân được xác định thông qua các dịch vụ định vị.

Việc lần đầu tiên Việt Nam có văn bản quy phạm pháp luật quy định cụ thể dữ liệu cơ bản và dữ liệu cá nhân tại Việt Nam có tầm quan trọng lớn trong việc bảo vệ quyền riêng tư, dữ liệu cá nhân và đảm bảo an ninh thông tin của người dân Việt Nam.

Ngoài ra, đây cũng là một minh chứng quan trọng cho quốc tế rằng Việt Nam sẵn sàng tuân thủ các tiêu chuẩn và quy định quốc tế, như Hiệp định Bảo vệ Dữ liệu Châu Âu (GDPR) và các quy định tương tự. Phân biệt rõ các loại dữ liệu cá nhân sẽ tạo cơ sở để tiến hành bảo hộ, xử phạt các hành vi xâm phạm dữ liệu cá nhân cũng như trách nhiệm bảo vệ, không tiết lộ của các cơ quan xử lý dữ liệu cá nhân, đặc biệt khi xử lý các loại dữ liệu cá nhân nhạy cảm.

Quyền của chủ thể dữ liệu

Điều 9 Nghị định số 13 quy định chi tiết quyền của chủ thể dữ liệu, gồm 10 quyền sau:

1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ một số trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác hoặc khi có đe dọa đến an ninh quốc phòng.

3. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.

5. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

6. Quyền hạn chế xử lý dữ liệu:

a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;

b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.

7. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

8. Quyền phản đối xử lý dữ liệu:

a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;

b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.

9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Yêu cầu cần có sự đồng ý của thể dữ liệu

Nghị định số 13 về bảo vệ dữ liệu cá nhân có yêu cầu mới liên quan đến sự đồng ý của chủ thể dữ liệu, là điều kiện bắt buộc cần có trong nhiều hoạt động liên quan đến thu thập, xử lý dữ liệu cá nhân.

Theo quy định tại Điều 11 Nghị định số 13, trước khi thực hiện và trong suốt quá trình xử lý dữ liệu cá nhân, Người kiểm soát dữ liệu cá nhân và người xử lý dữ liệu cá nhân cần có sự đồng ý của chủ thể dữ liệu trong mọi hoạt động, trừ khi luật có quy định khác.

Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, bằng giọng nói, bằng cách đánh dấu vào ô đồng ý, bằng cú pháp đồng ý bằng tin nhắn văn bản, bằng cách chọn cài đặt đồng ý hoặc bằng các hành động khác thể hiện điều này và có thể được in ra, sao chép bằng văn bản, kể cả ở định dạng điện tử hoặc văn bản có thể kiểm chứng.

Trong đó, có lưu ý rằng sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

Quy trình xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân

Trong trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.

Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. Trong đó, việc thông báo cần được thực hiện theo nguyên tắc càng nhanh càng tốt, với tinh thần cố gắng khắc phục thiệt hại, tuyệt không được để tình trạng phát hiện nhưng chờ đến khi gần hết thời hạn 72 giờ mới thông báo.

Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:

a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;

b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;

c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;

d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

Trường hợp không thể thông báo đầy đủ các nội dung, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn với lí do hợp lí.

Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an xử lý hành vi vi phạm.

Hướng về tương lai

Nghị định PDP về bảo vệ dữ liệu cá nhân tại Việt Nam sẽ thiết lập một tiêu chuẩn mới cho tất cả các tổ chức trong và ngoài nước liên quan đến cách xử lý dữ liệu cá nhân tại Việt Nam.

Dự kiến, Chính phủ Việt Nam sẽ sớm thông qua dự thảo nghị định xử phạt hành chính trong lĩnh vực an ninh mạng, qua đó tạo điều kiện thực hiện các quy định về an ninh mạng và bảo vệ dữ liệu chi tiết hơn.

Cao hơn Nghị định số 13, Luật Bảo vệ Dữ liệu Cá nhân cũng sẽ bắt đầu giai đoạn soạn thảo vào năm 2024. Trong thời điểm hiện tại, quyền riêng tư dữ liệu cũng được đề cập trong một số dự luật, chẳng hạn như các dự luật về giao dịch điện tử, viễn thông và bảo vệ người tiêu dùng.

Qua đó, có thể nhận định rằng Việt Nam đang ngày càng chú trọng về vấn đề bảo vệ dữ liệu cá nhân, quyền riêng tư của người dân Việt Nam, đẩy mạnh nhân quyền – yếu tố cơ bản, cơ sở nhất cho sự phát triển bền vững của một xã hội văn minh, hiện đại.






    RELATED ARTICLESMORE FROM AUTHOR