Nghị định 13/2023/NĐ-CP, có hiệu lực từ ngày 01/07/2023, là văn bản pháp lý quan trọng nhằm bảo vệ dữ liệu cá nhân của mỗi chúng ta. Trong đó, dữ liệu cá nhân cơ bản là một khái niệm nền tảng, đặc biệt cần được hiểu rõ bởi các doanh nghiệp và tổ chức tại Việt Nam. Vậy, “Dữ liệu cá nhân cơ bản” là gì và tại sao nó lại quan trọng đến vậy? Hãy cùng DPVN tìm hiểu trong bài viết này.
Dữ liệu cá nhân cơ bản là gì?
Dữ liệu cá nhân cơ bản là các thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Cụ thể, theo Điều 2 Nghị định 13/2023/NĐ-CP dữ liệu cá nhân cơ bản bao gồm các thông tin sau:
- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có)
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích
- Giới tính
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
- Quốc tịch
- Hình ảnh của cá nhân
- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế
- Tình trạng hôn nhân
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái)
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng
- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định về dữ liệu cá nhân nhạy cảm
Điểm khác biệt giữa Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm
Điểm khác biệt | Dữ liệu cá nhân cơ bản | Dữ liệu cá nhân nhạy cảm |
Tính chất | Các thông tin cơ bản giúp nhận diện, liên lạc hoặc tìm hiểu về một cá nhân. | Các thông tin nhạy cảm, riêng tư, tiết lộ đời sống cá nhân của một người. |
Mức độ bảo vệ | Thường được bảo vệ ở mức độ thông thường. | Cần được bảo vệ đặc biệt nghiêm ngặt do tính chất riêng tư, nhạy cảm. |
Ví dụ | Họ tên, số điện thoại, địa chỉ email, ngày tháng năm sinh, địa chỉ thường trú. | Thông tin về tình trạng sức khỏe, nguồn gốc chủng tộc, quan điểm chính trị, tôn giáo, dữ liệu sinh trắc học, thông tin về đời sống tình dục. |
Tìm hiểu thêm thông tin về dữ liệu cá nhân nhạy cảm theo Nghị định 13
Nguyên tắc chung về xử lý dữ liệu cá nhân cơ bản
Theo Điều 3 của Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu cá nhân, bao gồm cả dữ liệu cá nhân cơ bản và nhạy cảm, phải tuân thủ các nguyên tắc sau:
- Tính pháp lý: Mọi hoạt động xử lý dữ liệu cá nhân phải tuân thủ quy định của pháp luật.
- Tính minh bạch: Chủ thể dữ liệu được biết về hoạt động liên quan đến việc xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Mục đích rõ ràng: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được các bên liên quan đăng ký hoặc tuyên bố.
- Tính phù hợp và giới hạn: Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
- Tính chính xác: Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
- Tính bảo mật: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý.
- Thời gian lưu trữ: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
- Trách nhiệm giải trình: Bên kiểm soát dữ liệu và bên kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu và chứng minh sự tuân thủ của mình.
Các biện pháp bảo vệ dữ liệu cá nhân cơ bản
Theo Điều 27, Nghị định 13/2023/NĐ-CP quy định các biện pháp bảo vệ dữ liệu cá nhân cơ bản bao gồm:
- Biện pháp quản lý:
- Xây dựng và ban hành các quy định nội bộ về bảo vệ dữ liệu cá nhân, nêu rõ các hoạt động cần thực hiện theo quy định của Nghị định.
- Áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề hoạt động.
- Biện pháp kỹ thuật:
- Kiểm tra an ninh mạng đối với hệ thống, phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân.
- Xóa không thể khôi phục hoặc hủy các thiết bị chứa dữ liệu cá nhân trước khi xử lý.
- Các biện pháp khác: Áp dụng các biện pháp bảo vệ theo khoản 2 Điều 26 của Nghị định 13 (bao gồm các biện pháp quản lý, kỹ thuật, biện pháp của cơ quan quản lý nhà nước, biện pháp điều tra, tố tụng, và các biện pháp khác theo quy định pháp luật).
Trách nhiệm của các bên liên quan trong việc bảo vệ dữ liệu cá nhân cơ bản
Nghị định 13/2023/NĐ-CP không chỉ đưa ra các nguyên tắc và biện pháp bảo vệ dữ liệu cá nhân mà còn phân định rõ ràng trách nhiệm của các bên liên quan trong quá trình xử lý dữ liệu cá nhân cơ bản. Điều này nhằm đảm bảo sự phối hợp chặt chẽ và hiệu quả giữa các bên để bảo vệ quyền lợi của chủ thể dữ liệu.
Trách nhiệm của các bên kiểm soát dữ liệu cá nhân cơ bản
Bên kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Theo Nghị định 13 về bảo vệ dữ liệu cá nhân, bên kiểm soát dữ liệu có các trách nhiệm chính sau:
- Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân: Bên kiểm soát dữ liệu có quyền quyết định vì sao cần thu thập dữ liệu cá nhân (ví dụ: để cung cấp dịch vụ, tiếp thị,…) và cách thức thu thập, xử lý dữ liệu đó (ví dụ: thông qua biểu mẫu trực tuyến, ứng dụng di động,…).
- Chịu trách nhiệm chính trong việc thực hiện các biện pháp bảo vệ dữ liệu cá nhân cơ bản: Bên kiểm soát dữ liệu phải áp dụng các biện pháp kỹ thuật và tổ chức để đảm bảo tính bảo mật, an toàn và chính xác của dữ liệu cá nhân, đồng thời ngăn chặn các hành vi xâm phạm dữ liệu trái phép.
- Đảm bảo tuân thủ các nguyên tắc xử lý dữ liệu cá nhân và có khả năng chứng minh sự tuân thủ đó: Bên kiểm soát dữ liệu phải đảm bảo mọi hoạt động xử lý dữ liệu cá nhân tuân thủ 8 nguyên tắc bảo vệ dữ liệu cá nhân theo Điều 3 của Nghị định 13, đồng thời phải có khả năng cung cấp bằng chứng chứng minh sự tuân thủ này khi được yêu cầu.
Trách nhiệm của các bên xử lý dữ liệu cá nhân cơ bản
Bên xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu cá nhân, thông qua một hợp đồng hoặc thỏa thuận.
- Thực hiện việc xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu cá nhân, thông qua hợp đồng hoặc thỏa thuận: Bên xử lý dữ liệu chỉ được xử lý dữ liệu cá nhân theo chỉ đạo và mục đích của bên kiểm soát dữ liệu, trong phạm vi được thỏa thuận trong hợp đồng hoặc thỏa thuận giữa hai bên.
- Áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu và các quy định pháp luật: Bên xử lý dữ liệu phải thực hiện các biện pháp bảo vệ dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu và các quy định pháp luật hiện hành, đảm bảo tính bảo mật, an toàn và chính xác của dữ liệu trong quá trình xử lý.
- Chịu trách nhiệm trước bên kiểm soát dữ liệu và chủ thể dữ liệu về các thiệt hại do quá trình xử lý gây ra: Nếu trong quá trình xử lý dữ liệu cá nhân, bên xử lý dữ liệu gây ra thiệt hại cho chủ thể dữ liệu hoặc vi phạm các thỏa thuận với bên kiểm soát dữ liệu, họ sẽ phải chịu trách nhiệm về những thiệt hại đó.
Trách nhiệm của chủ thể dữ liệu cá nhân cơ bản
Chủ thể dữ liệu là cá nhân mà dữ liệu cá nhân phản ánh.
- Cá nhân là chủ thể của dữ liệu cá nhân: Mỗi cá nhân đều có quyền kiểm soát thông tin cá nhân của mình.
- Có các quyền liên quan đến dữ liệu cá nhân của mình, bao gồm quyền được biết, quyền truy cập, quyền chỉnh sửa, quyền xóa, v.v…: Chủ thể dữ liệu có quyền được thông báo về việc xử lý dữ liệu cá nhân, truy cập và chỉnh sửa dữ liệu của mình, yêu cầu xóa dữ liệu trong một số trường hợp nhất định, và các quyền khác theo quy định của pháp luật.
- Có trách nhiệm tự bảo vệ dữ liệu cá nhân của mình và hợp tác với các bên kiểm soát, xử lý dữ liệu để đảm bảo dữ liệu cá nhân được bảo vệ: Chủ thể dữ liệu cũng có trách nhiệm bảo vệ thông tin cá nhân của mình, ví dụ như không chia sẻ thông tin nhạy cảm với người lạ hoặc trên các nền tảng không an toàn, và hợp tác với các bên kiểm soát, xử lý dữ liệu để đảm bảo dữ liệu cá nhân được bảo vệ một cách tốt nhất.
Tìm hiểu chi tiết hơn về quyền của chủ thể dữ liệu cá nhân theo Nghị định 13
Trách nhiệm của cơ quan nhà nước có thẩm quyền
Thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân: Các cơ quan nhà nước có thẩm quyền, như Bộ Công an, Bộ Thông tin và Truyền thông, có trách nhiệm xây dựng và thực thi các chính sách, quy định về bảo vệ dữ liệu cá nhân, cũng như giám sát việc tuân thủ các quy định này.
Hướng dẫn, kiểm tra, giám sát việc thực hiện các quy định về bảo vệ dữ liệu cá nhân: Các cơ quan này có quyền hướng dẫn các tổ chức, cá nhân về cách thức thực hiện các quy định về bảo vệ dữ liệu cá nhân, kiểm tra việc tuân thủ và xử lý các vi phạm.
Xử lý các vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật: Khi phát hiện các hành vi vi phạm về bảo vệ dữ liệu cá nhân, các cơ quan này có quyền xử lý theo quy định của pháp luật, bao gồm cả việc áp dụng các biện pháp xử phạt hành chính hoặc truy cứu trách nhiệm hình sự nếu cần thiết.
Việc bảo vệ dữ liệu cá nhân cơ bản đòi hỏi sự phối hợp và trách nhiệm của tất cả các bên liên quan. Mỗi bên đều có vai trò và trách nhiệm riêng trong việc đảm bảo rằng dữ liệu cá nhân được thu thập, sử dụng và bảo vệ một cách hợp pháp, minh bạch và an toàn. Sự phối hợp chặt chẽ giữa các bên sẽ góp phần xây dựng một môi trường dữ liệu lành mạnh và bảo vệ quyền riêng tư của các cá nhân trong xã hội số.