Dữ liệu cá nhân là gì? Quy định về dữ liệu cá nhân 2024

Cụ thể hơn theo Khoản 3, Điều 2, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy định dữ liệu cá nhân cơ bản bao gồm:

a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.

Ví dụ về dữ liệu cá nhân cơ bản:

• Ký hiệu: Mã số nhân viên, mã số sinh viên, mã khách hàng.
• Chữ viết: Họ và tên, địa chỉ, địa chỉ email.
• Chữ số: Số điện thoại, số chứng minh nhân dân/căn cước công dân, số tài khoản ngân hàng.
• Hình ảnh: Ảnh chân dung, ảnh chụp màn hình hoạt động trên mạng xã hội.
• Âm thanh: Bản ghi âm cuộc gọi, tin nhắn thoại.

Chi tiết hơn tại Khoản 4, Điều 2, Nghị định 13 quy định dữ liệu cá nhân nhạy cảm bao gồm:

a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Ví dụ về dữ liệu cá nhân nhạy cảm:

• Quan điểm chính trị: Đảng viên, thành viên tổ chức chính trị.
• Quan điểm tôn giáo: Tín đồ của một tôn giáo cụ thể.
• Đặc điểm nhận dạng sinh trắc học: Dấu vân tay, hình ảnh khuôn mặt, mẫu giọng nói.
• Dữ liệu di truyền: Kết quả xét nghiệm DNA.
• Tình trạng sức khỏe: Hồ sơ bệnh án, kết quả xét nghiệm y tế.
• Đời sống tình dục: Thông tin về xu hướng tính dục.
• Dữ liệu về tội phạm: Tiền án tiền sự.
• Dữ liệu khách hàng của tổ chức tín dụng: Số dư tài khoản, lịch sử giao dịch.
• Dữ liệu về vị trí: Lịch sử vị trí từ ứng dụng di động.

• Sự đồng ý của chủ thể dữ liệu (Điều 11): Việc thu thập dữ liệu cá nhân phải được thực hiện trên cơ sở sự đồng ý của chủ thể dữ liệu. Sự đồng ý này phải rõ ràng, cụ thể, tự nguyện và chủ thể dữ liệu phải được thông báo đầy đủ về mục đích, phạm vi thu thập và các bên liên quan đến việc xử lý dữ liệu cá nhân của họ.
• Thông báo xử lý dữ liệu cá nhân (Điều 13): Trước khi thu thập dữ liệu cá nhân, tổ chức, cá nhân phải thông báo cho chủ thể dữ liệu về mục đích, phạm vi, phương pháp thu thập và xử lý dữ liệu cá nhân, cũng như các quyền của chủ thể dữ liệu liên quan đến dữ liệu cá nhân của họ.
• Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý (Điều 17): Có một số trường hợp ngoại lệ mà việc thu thập dữ liệu cá nhân có thể được thực hiện mà không cần sự đồng ý của chủ thể dữ liệu, chẳng hạn như trong trường hợp khẩn cấp để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc người khác, hoặc khi việc thu thập được thực hiện bởi cơ quan nhà nước có thẩm quyền vì lý do an ninh quốc gia hoặc trật tự công cộng.
• Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng (Điều 18): Cơ quan, tổ chức có thẩm quyền được phép thu thập dữ liệu cá nhân từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo đảm an ninh, trật tự, an toàn xã hội mà không cần sự đồng ý của chủ thể dữ liệu. Tuy nhiên, họ phải thông báo để chủ thể dữ liệu biết rằng họ đang bị ghi hình hoặc ghi âm.
• Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân (Điều 22): Nghiêm cấm việc thu thập, chuyển giao, mua, bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.

• Điều 3 - Nguyên tắc bảo vệ dữ liệu cá nhân:
  • Khoản 3: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được đăng ký, công bố.
  • Khoản 4: Dữ liệu cá nhân thu thập phải phù hợp, giới hạn trong phạm vi, mục đích cần xử lý và không được mua bán trái phép.
  • Khoản 5: Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
  • Khoản 6: Dữ liệu cá nhân được bảo vệ, bảo mật trong quá trình xử lý.
  • Khoản 7: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý.
• Điều 11 - Sự đồng ý của chủ thể dữ liệu:
  • Bên kiểm soát dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu trước khi xử lý, trừ trường hợp luật có quy định khác.
  • Sự đồng ý phải rõ ràng, cụ thể, tự nguyện và chủ thể dữ liệu phải biết rõ các nội dung liên quan đến việc xử lý dữ liệu cá nhân của mình.
• Điều 14 - Cung cấp dữ liệu cá nhân:
  • Chủ thể dữ liệu được yêu cầu bên kiểm soát dữ liệu cá nhân cung cấp dữ liệu cá nhân của mình.
  • Bên kiểm soát dữ liệu cá nhân được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu.
• Điều 15 - Chỉnh sửa dữ liệu cá nhân:
  • Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình.
  • Bên kiểm soát dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể đồng ý.
• Điều 16 - Lưu trữ, xóa, hủy dữ liệu cá nhân:
  • Chủ thể dữ liệu được yêu cầu bên kiểm soát dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định.
  • Bên kiểm soát dữ liệu cá nhân phải lưu trữ và xóa, hủy dữ liệu cá nhân theo quy định.
• Điều 17 - Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu: Trong một số trường hợp như khẩn cấp, công khai theo quy định pháp luật, thực hiện nghĩa vụ theo hợp đồng, phục vụ hoạt động cơ quan nhà nước... thì việc xử lý dữ liệu cá nhân có thể không cần sự đồng ý của chủ thể dữ liệu.
• Điều 21 - Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo: Chỉ được sử dụng dữ liệu cá nhân của khách hàng để tiếp thị, quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
• Điều 22 - Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân: Nghiêm cấm thu thập, chuyển giao, mua, bán dữ liệu cá nhân trái phép.
• Điều 24 - Đánh giá tác động xử lý dữ liệu cá nhân: Bên kiểm soát dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Điều 25 - Chuyển dữ liệu cá nhân ra nước ngoài: Dữ liệu cá nhân của công dân Việt Nam chỉ được chuyển ra nước ngoài trong trường hợp tuân thủ quy định của Nghị định 13.
• Điều 38 - Trách nhiệm của bên kiểm soát dữ liệu cá nhân:
  • Thực hiện các biện pháp bảo vệ dữ liệu cá nhân.
  • Bảo đảm các quyền của chủ thể dữ liệu.
• Điều 39 - Trách nhiệm của bên xử lý dữ liệu cá nhân: Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu cá nhân.

Các quy định này nhằm đảm bảo rằng việc sử dụng dữ liệu cá nhân được thực hiện một cách hợp pháp, minh bạch và tôn trọng quyền riêng tư của các cá nhân.

• Khoản 7, Điều 3 - Nguyên tắc bảo vệ dữ liệu cá nhân: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
• Điều 16 - Lưu trữ, xóa, hủy dữ liệu cá nhân:
  • Khoản 6: Các bên (kiểm soát, xử lý, kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba) phải lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định pháp luật.
  • Khoản 7: Các bên phải xóa không thể khôi phục dữ liệu cá nhân trong các trường hợp sau:
    • Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý mà chủ thể dữ liệu đã đồng ý.
    • Việc lưu trữ dữ liệu cá nhân không còn cần thiết cho hoạt động của các bên.
    • Các bên bị giải thể, không còn hoạt động, tuyên bố phá sản hoặc chấm dứt hoạt động kinh doanh.
• Điều 24 - Đánh giá tác động xử lý dữ liệu cá nhân: Khoản 1, 2 quy định Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên kiểm soát và bên xử lý dữ liệu cá nhân phải bao gồm ``thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có)``.
• Điều 25 - Chuyển dữ liệu cá nhân ra nước ngoài: Điểm đ, Khoản 2 quy định Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải bao gồm ``Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng``.

Tóm lại, việc lưu trữ dữ liệu cá nhân phải tuân thủ các nguyên tắc:

• Hợp pháp, minh bạch và có mục đích rõ ràng.
• Phù hợp và giới hạn trong phạm vi cần thiết.
• Chính xác và được cập nhật.
• Được bảo mật và bảo vệ.
• Không được lưu trữ quá thời gian cần thiết.