Doanh nghiệp cần làm gì để tuân thủ nguyên tắc tính hợp pháp khi xử lý dữ liệu cá nhân 2024

Nguyên tắc tính hợp pháp khi xử lý dữ liệu cá nhân là một trong những nguyên tắc cơ bản trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Việc thu thập và xử lý dữ liệu cá nhân tiềm ẩn nhiều rủi ro pháp lý nếu không được thực hiện đúng quy định. Nguyên tắc tính hợp pháp là nền tảng để đảm bảo mọi hoạt động xử lý dữ liệu cá nhân đều được thực hiện trên cơ sở pháp luật, bảo vệ quyền và lợi ích hợp pháp của các bên liên quan.

Theo Điều 3 và Điều 11 của Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân chỉ được xử lý khi có căn cứ pháp luật cho phép. Các căn cứ pháp luật này bao gồm:

• Sự đồng ý của chủ thể dữ liệu: Đây là căn cứ quan trọng nhất, thể hiện sự tôn trọng quyền tự quyết của mỗi cá nhân đối với thông tin của mình.
• Các trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP: Ví dụ như trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe, thực hiện nghĩa vụ pháp lý của bên kiểm soát dữ liệu, hoặc vì lợi ích công cộng.

Để đảm bảo tuân thủ nguyên tắc tính hợp pháp, doanh nghiệp cần thực hiện các bước sau:

• Xác định rõ căn cứ pháp lý: Trước khi thu thập và xử lý dữ liệu cá nhân, doanh nghiệp cần xác định rõ căn cứ pháp lý cho phép hoạt động này.
  

  Ví dụ: Công ty A muốn thu thập thông tin cá nhân của khách hàng để gửi các bản tin quảng cáo về sản phẩm mới. Căn cứ pháp lý cho phép hoạt động này là sự đồng ý của khách hàng (Điều 11, Nghị định 13)

• Thông báo cho chủ thể dữ liệu: Doanh nghiệp cần thông báo đầy đủ và minh bạch cho chủ thể dữ liệu về mục đích, phạm vi, phương tiện xử lý và các thông tin liên quan khác (Điều 13, Nghị định 13).
  

  Ví dụ: Khi khách hàng đăng ký tài khoản trên website của công ty A, công ty sẽ hiển thị một thông báo về quyền riêng tư, trong đó nêu rõ mục đích thu thập thông tin, loại thông tin được thu thập, cách thức xử lý thông tin và các quyền của khách hàng liên quan đến dữ liệu cá nhân của họ.

• Thu thập và xử lý dữ liệu cá nhân một cách cần thiết và phù hợp: Doanh nghiệp chỉ được thu thập và xử lý những dữ liệu cá nhân thực sự cần thiết và phù hợp với mục đích đã được công bố.
  

  Ví dụ: Bệnh viện B chỉ thu thập thông tin sức khỏe của bệnh nhân liên quan đến việc chẩn đoán và điều trị bệnh. Bệnh viện không thu thập thông tin về tình trạng tài chính hoặc đời sống riêng tư của bệnh nhân.

• Lưu trữ và bảo mật dữ liệu cá nhân: Doanh nghiệp cần lưu trữ dữ liệu cá nhân trong thời gian cần thiết và theo quy định của pháp luật, đồng thời áp dụng các biện pháp bảo mật để ngăn chặn việc truy cập, sử dụng, tiết lộ trái phép.
  

  Ví dụ: Công ty A lưu trữ dữ liệu khách hàng trên hệ thống máy chủ được bảo mật bằng mật khẩu mạnh và tường lửa. Công ty cũng áp dụng các biện pháp mã hóa để bảo vệ dữ liệu khi truyền tải qua mạng.

• Xóa hoặc hủy dữ liệu cá nhân: Khi không còn cần thiết hoặc theo yêu cầu của chủ thể dữ liệu, doanh nghiệp cần xóa hoặc hủy dữ liệu cá nhân theo quy định.
  

  Ví dụ: Khi khách hàng của công ty A yêu cầu hủy tài khoản, công ty sẽ xóa toàn bộ thông tin cá nhân của khách hàng đó khỏi hệ thống.

Vi phạm nguyên tắc tính hợp pháp có thể dẫn đến nhiều hậu quả nghiêm trọng cho doanh nghiệp, bao gồm:

• Xử phạt hành chính: Doanh nghiệp có thể bị phạt tiền từ vài triệu đến hàng trăm triệu đồng tùy theo mức độ vi phạm (Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng).
• Bồi thường thiệt hại: Doanh nghiệp có thể phải bồi thường thiệt hại cho chủ thể dữ liệu nếu vi phạm gây ra thiệt hại về vật chất hoặc tinh thần.
• Ảnh hưởng đến uy tín: Vi phạm nguyên tắc tính hợp pháp có thể làm giảm lòng tin của khách hàng, đối tác và công chúng đối với doanh nghiệp, gây ảnh hưởng tiêu cực đến hình ảnh và uy tín của doanh nghiệp.

Theo Điều 17, Nghị định 13 quy định về Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu:

• Trường hợp khẩn cấp: Cần xử lý ngay dữ liệu cá nhân để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác (Ví dụ: chia sẻ thông tin bệnh án của bệnh nhân trong trường hợp cấp cứu).
• Thực hiện nghĩa vụ pháp lý: Bên kiểm soát dữ liệu cần xử lý dữ liệu cá nhân để thực hiện nghĩa vụ pháp lý của mình (Ví dụ: cung cấp thông tin khách hàng cho cơ quan thuế theo yêu cầu).
• Lợi ích công cộng: Xử lý dữ liệu cá nhân vì lợi ích công cộng (Ví dụ: nghiên cứu khoa học, thống kê).
• Các trường hợp khác theo quy định của pháp luật: Ví dụ như xử lý dữ liệu cá nhân trong hoạt động báo chí, xuất bản theo quy định của Luật Báo chí.

Tìm hiểu thêm về các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu

DPVN với đội ngũ luật sư giàu kinh nghiệm, chuyên môn sâu về bảo vệ dữ liệu cá nhân, sẵn sàng hỗ trợ doanh nghiệp trong việc thực hiện các quy định về bảo vệ dữ liệu cá nhân, đảm bảo tuân thủ Nghị định 13/2023/NĐ-CP và các quy định pháp luật có liên quan. Chúng tôi cung cấp các dịch vụ tư vấn pháp lý, xây dựng và rà soát chính sách bảo vệ dữ liệu cá nhân, đào tạo nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho nhân viên, và hỗ trợ doanh nghiệp xử lý các tình huống liên quan đến vi phạm dữ liệu cá nhân.