8 điểm nổi bật của Nghị định 13 về bảo vệ dữ liệu cá nhân

Một trong những điểm nổi bật của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là phạm vi điều chỉnh rộng, bao gồm cả các tổ chức, cá nhân Việt Nam và nước ngoài. Điều này khác biệt so với các quy định trước đây, vốn chỉ tập trung vào các tổ chức, cá nhân trong nước. Sự thay đổi này mang đến một khung pháp lý toàn diện hơn, bảo vệ dữ liệu cá nhân của người dân Việt Nam trước các hoạt động xử lý dữ liệu từ cả trong và ngoài nước. Vậy, Nghị định 13/2023/NĐ-CP có những điểm mới và đột phá nào so với các quy định pháp luật trước đây? Hãy cùng DPVN đi sâu tìm hiểu và phân tích những điểm đáng chú ý của văn bản quan trọng này.

Điều 1 Nghị định 13/2023/NĐ-CP quy định về phạm vi điều chỉnh và đối tượng áp dụng của Nghị định, bao gồm:

• Phạm vi điều chỉnh: Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
• Đối tượng áp dụng:
  • Cơ quan, tổ chức, cá nhân Việt Nam
  • Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam
  • Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài
  • Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam

Như vậy, Nghị định 13/2023/NĐ-CP có phạm vi điều chỉnh rộng, bao gồm cả các tổ chức, cá nhân trong và ngoài nước có hoạt động liên quan đến xử lý dữ liệu cá nhân tại Việt Nam. Điều này khác biệt so với các quy định trước đây, thường chỉ tập trung vào các tổ chức, cá nhân trong nước. Việc mở rộng phạm vi điều chỉnh giúp bảo vệ toàn diện hơn quyền lợi của chủ thể dữ liệu cá nhân, đồng thời tạo ra một sân chơi bình đẳng cho các doanh nghiệp trong và ngoài nước hoạt động tại Việt Nam, đồng thời tạo ra một sân chơi bình đẳng cho các doanh nghiệp trong và ngoài nước hoạt động tại Việt Nam.

Quỵ định tại Điều 2 Nghị định 13/2023/NĐ-CP đưa ra các khái niệm và phân loại dữ liệu cá nhân một cách rõ ràng và chi tiết:

• Dữ liệu cá nhân: là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
  • Dữ liệu cá nhân cơ bản: bao gồm họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, hình ảnh, tình trạng hôn nhân, thông tin gia đình, thông tin tài khoản số, dữ liệu phản ánh hoạt động trên không gian mạng…
  • Dữ liệu cá nhân nhạy cảm: là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, gồm thông tin về quan điểm chính trị, tôn giáo, tình trạng sức khỏe, đời sống tình dục, nguồn gốc chủng tộc, dữ liệu di truyền, dữ liệu tội phạm…

Việc phân loại dữ liệu cá nhân thành cơ bản và nhạy cảm là một điểm mới của Nghị định 13/2023/NĐ-CP. Việc này giúp các tổ chức, cá nhân nhận biết được các loại dữ liệu cần được bảo vệ đặc biệt, từ đó áp dụng các biện pháp bảo vệ phù hợp.

Điều 9 Nghị định 13/2023/NĐ-CP liệt kê 11 quyền của chủ thể dữ liệu cá nhân:

• Quyền được biết: Chủ thể dữ liệu có quyền được biết về việc dữ liệu cá nhân của mình đang được thu thập, sử dụng và chia sẻ như thế nào.
  

  Ví dụ, khi đăng ký sử dụng một dịch vụ trực tuyến, bạn có quyền được biết những thông tin cá nhân nào của bạn sẽ được thu thập, mục đích thu thập và các bên thứ ba nào sẽ được chia sẻ thông tin đó.

• Quyền đồng ý: Chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình.
  

  Ví dụ, bạn có quyền từ chối cung cấp số điện thoại của mình cho một trang web nếu bạn không muốn nhận tin nhắn quảng cáo từ họ.

• Quyền truy cập: Chủ thể dữ liệu có quyền truy cập vào dữ liệu cá nhân của mình mà bên kiểm soát dữ liệu đang lưu trữ.
  

  Ví dụ, bạn có quyền yêu cầu một ngân hàng cung cấp cho bạn lịch sử giao dịch tài khoản của bạn.

• Quyền rút lại sự đồng ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý đã cho phép xử lý dữ liệu cá nhân của mình trước đó.
  

  Ví dụ, nếu bạn đã đồng ý cho một ứng dụng truy cập vào vị trí của bạn, bạn có thể thay đổi quyết định và tắt quyền truy cập vị trí của ứng dụng đó.

• Quyền xóa dữ liệu: Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát dữ liệu xóa bỏ dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu không còn cần thiết cho mục đích thu thập hoặc khi chủ thể dữ liệu rút lại sự đồng ý.
• Quyền hạn chế xử lý dữ liệu: Trong một số trường hợp nhất định, chủ thể dữ liệu có quyền yêu cầu bên kiểm soát dữ liệu hạn chế việc xử lý dữ liệu cá nhân của mình.
  

  Ví dụ, nếu bạn cho rằng dữ liệu cá nhân của bạn không chính xác, bạn có thể yêu cầu bên kiểm soát dữ liệu hạn chế xử lý dữ liệu đó cho đến khi thông tin được cập nhật chính xác.

• Quyền cung cấp dữ liệu: Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát dữ liệu cung cấp cho mình một bản sao dữ liệu cá nhân của mình ở định dạng có cấu trúc, thông dụng và có thể đọc được bằng máy tính.
  

  Ví dụ, bạn có thể yêu cầu một mạng xã hội cung cấp cho bạn tất cả các bài đăng và bình luận của bạn trên mạng xã hội đó.

• Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu được xử lý cho mục đích tiếp thị trực tiếp.
  

  Ví dụ, bạn có thể yêu cầu một công ty ngừng gửi email quảng cáo cho bạn.

• Quyền khiếu nại, tố cáo, khởi kiện: Nếu chủ thể dữ liệu cho rằng quyền lợi của mình bị xâm phạm do việc xử lý dữ liệu cá nhân, họ có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
• Quyền yêu cầu bồi thường thiệt hại: Nếu chủ thể dữ liệu bị thiệt hại do việc xử lý dữ liệu cá nhân của mình, họ có quyền yêu cầu bên kiểm soát dữ liệu bồi thường thiệt hại.
• Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ quyền lợi của mình bằng các biện pháp pháp lý khác theo quy định của pháp luật.

So với các quy định trước đây, Nghị định 13/2023/NĐ-CP đã quy định rõ ràng và cụ thể hơn về các quyền của chủ thể dữ liệu cá nhân, đồng thời bổ sung thêm một số quyền mới như quyền hạn chế xử lý dữ liệu và quyền cung cấp dữ liệu. Điều này giúp tăng cường bảo vệ quyền lợi của chủ thể dữ liệu cá nhân trong thời đại số.

Để làm rõ hơn về các quyền của chủ thể dữ liệu cá nhân, tham khảo bài viết Chủ thể dữ liệu cá nhân: Quyền hạn và trách nhiệm

Điều 3 Nghị định 13/2023/NĐ-CP nêu rõ 8 nguyên tắc xử lý dữ liệu cá nhân:

• Tính hợp pháp, trung thực, minh bạch và có mục đích: Mọi hoạt động xử lý dữ liệu cá nhân phải tuân thủ quy định của pháp luật, không được sử dụng cho các mục đích bất hợp pháp.
  

  Ví dụ, một công ty không thể thu thập thông tin cá nhân của khách hàng để bán cho bên thứ ba mà không có sự đồng ý của khách hàng.

• Tính chính xác, đầy đủ, cập nhật và giới hạn: Dữ liệu cá nhân phải được đảm bảo tính chính xác, đầy đủ và cập nhật. Việc thu thập và xử lý dữ liệu cá nhân phải được giới hạn trong phạm vi cần thiết để phục vụ mục đích đã đăng ký, công bố.
  

  Ví dụ, nếu địa chỉ của bạn thay đổi, bạn có quyền yêu cầu công ty cập nhật lại thông tin của bạn.

• Bảo mật và an toàn: Các biện pháp bảo mật cần được áp dụng để bảo vệ dữ liệu cá nhân khỏi các nguy cơ bị đánh cắp, rò rỉ hoặc sử dụng trái phép, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
  

  Ví dụ, các công ty cần mã hóa dữ liệu cá nhân nhạy cảm như thông tin thẻ tín dụng.

• Tính hạn chế mục đích: Dữ liệu cá nhân không được sử dụng cho mục đích khác với mục đích đã được công bố, trừ trường hợp được sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp luật có quy định khác.
• Tính giới hạn thời gian lưu trữ: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian cần thiết để thực hiện mục đích xử lý dữ liệu cá nhân theo quy định của Nghị định này, trừ trường hợp pháp luật có quy định khác.
• Tính minh bạch: Bên kiểm soát dữ liệu cá nhân phải cung cấp cho chủ thể dữ liệu cá nhân các thông tin cần thiết về hoạt động xử lý dữ liệu cá nhân, bao gồm mục đích xử lý, phạm vi xử lý, phương tiện xử lý và các thông tin khác liên quan đến quyền và lợi ích của chủ thể dữ liệu cá nhân.
• Tôn trọng quyền của chủ thể dữ liệu cá nhân: Bên kiểm soát dữ liệu cá nhân phải tôn trọng và bảo đảm các quyền của chủ thể dữ liệu cá nhân theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
• Tính trách nhiệm giải trình: Bên kiểm soát dữ liệu cá nhân phải có trách nhiệm chứng minh việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
  

  Ví dụ, nếu một công ty bị khiếu nại về việc sử dụng dữ liệu cá nhân sai mục đích, công ty đó phải chứng minh được rằng họ đã sử dụng dữ liệu đúng mục đích đã được khách hàng đồng ý.

Việc tuân thủ các nguyên tắc này là rất quan trọng để đảm bảo quyền lợi của chủ thể dữ liệu cá nhân và tạo niềm tin cho người dùng trong môi trường số.

Nghị định 13/2023/NĐ-CP không định nghĩa rõ về “Đánh giá tác động xử lý dữ liệu cá nhân”, tuy nhiên, quy định tại Điều 24 của Nghị định này yêu cầu bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ “Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân” kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân trong các trường hợp sau:

• Xử lý dữ liệu cá nhân nhạy cảm.
• Xử lý dữ liệu cá nhân trên quy mô lớn.
• Sử dụng công nghệ mới để xử lý dữ liệu cá nhân.
• Chuyển dữ liệu cá nhân ra nước ngoài.
• Các trường hợp khác theo quy định của Bộ Công an.

Có thể hiểu đánh giá tác động xử lý dữ liệu cá nhân là quy trình lập và lưu giữ hồ sơ đánh giá tác động, bao gồm các thông tin sau đây:

• Thông tin và chi tiết liên lạc của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.
• Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân.
• Mục đích xử lý dữ liệu cá nhân.
• Các loại dữ liệu cá nhân được xử lý.
• Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam.
• Trường hợp chuyển dữ liệu cá nhân ra nước ngoài.
• Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có).
• Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng.
• Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
• Sự đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh.

Việc đánh giá tác động xử lý dữ liệu cá nhân là rất quan trọng, giúp các tổ chức, cá nhân nhận diện và đánh giá các rủi ro liên quan đến quyền riêng tư của chủ thể dữ liệu cá nhân trước khi tiến hành xử lý, từ đó đề xuất các biện pháp giảm thiểu rủi ro, đảm bảo việc xử lý dữ liệu cá nhân tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định.

Tại Điều 25 Nghị định 13/2023/NĐ-CP có quy định về việc chuyển dữ liệu cá nhân ra nước ngoài.

Các điều kiện cần thiết để được chuyển dữ liệu cá nhân ra nước ngoài

Theo khoản 1 Điều 25, dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp bên chuyển dữ liệu ra nước ngoài (bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba) đáp ứng đủ các điều kiện sau:

• Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại khoản 2 Điều 25.
• Thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25.
• Quy trình và thủ tục chuyển dữ liệu cá nhân ra nước ngoài:

Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

• Hồ sơ này bao gồm các thông tin về bên chuyển và bên nhận dữ liệu, mục đích và phạm vi xử lý dữ liệu, các biện pháp bảo vệ dữ liệu được áp dụng, đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu, và các biện pháp giảm thiểu rủi ro (khoản 2 Điều 25).
• Gửi hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an): Bên chuyển dữ liệu gửi 01 bản chính hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong thời gian 60 ngày, kể từ ngày bắt đầu xử lý dữ liệu cá nhân (khoản 3 Điều 25).
• Thông báo sau khi chuyển dữ liệu thành công: Sau khi việc chuyển dữ liệu diễn ra thành công, bên chuyển dữ liệu phải thông báo bằng văn bản cho Cục An ninh mạng về việc chuyển dữ liệu và cung cấp chi tiết liên lạc của tổ chức, cá nhân phụ trách (khoản 4 Điều 25).
• Cập nhật hồ sơ khi có thay đổi: Khi có thay đổi về nội dung hồ sơ đã gửi, bên chuyển dữ liệu phải cập nhật và gửi lại cho Cục An ninh mạng trong vòng 10 ngày kể từ ngày yêu cầu (khoản 6 Điều 25).

Các trường hợp bị cấm chuyển dữ liệu cá nhân ra nước ngoài

• Theo khoản 8 Điều 25, Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
  • Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam.
  • Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định về đánh giá tác động và cập nhật hồ sơ.
  • Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

Điều 29 Nghị định 13/2023/NĐ-CP quy định Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) là cơ quan chuyên trách về bảo vệ dữ liệu cá nhân, có trách nhiệm:

• Giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
• Hướng dẫn, triển khai hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân, đề xuất ban hành Tiêu chuẩn bảo vệ dữ liệu cá nhân và các khuyến nghị áp dụng.
• Xây dựng, quản lý, vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• Đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
• Tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân.
• Thúc đẩy các biện pháp và thực hiện nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, triển khai hợp tác quốc tế về bảo vệ dữ liệu cá nhân.
• Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

Điều 29 Nghị định 13/2023/NĐ-CP cũng quy định về Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, có các chức năng và nhiệm vụ sau:

• Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân.
• Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân.
• Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân.
• Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng.
• Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
• Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
• Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật.
• Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
• Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân đóng vai trò quan trọng trong việc nâng cao nhận thức và hiểu biết của người dân về quyền và nghĩa vụ của mình trong việc bảo vệ dữ liệu cá nhân. Đồng thời, cổng thông tin cũng là kênh thông tin chính thức để các tổ chức, cá nhân cập nhật các quy định pháp luật, chính sách mới nhất về bảo vệ dữ liệu cá nhân, cũng như báo cáo các hành vi vi phạm.

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã khẳng định cam kết của Chính phủ trong việc bảo vệ quyền riêng tư và thông tin cá nhân của người dân.

Với những điểm nổi bật như mở rộng phạm vi điều chỉnh, làm rõ các khái niệm và phân loại dữ liệu cá nhân, quy định chi tiết về quyền của chủ thể dữ liệu, nguyên tắc xử lý dữ liệu, đánh giá tác động bảo vệ dữ liệu cá nhân, chuyển dữ liệu cá nhân ra nước ngoài, thành lập cơ quan chuyên trách và cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, Nghị định 13/2023/NĐ-CP đã tạo ra một bước tiến đáng kể trong việc hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam.

Để đảm bảo quyền lợi của mình và tránh các rủi ro pháp lý, các tổ chức, cá nhân cần tìm hiểu và tuân thủ nghiêm túc các quy định của Nghị định 13/2023/NĐ-CP.