Dữ liệu cá nhân trong kỷ nguyên số đóng vai trò vô cùng quan trọng nhưng không phải ai cũng hiểu rõ về khái niệm, giá trị và cách bảo vệ chúng. Với việc Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực, việc hiểu rõ về quyền và trách nhiệm liên quan đến dữ liệu cá nhân càng trở nên cấp thiết. DPVN sẽ cung cấp cái nhìn toàn diện về dữ liệu cá nhân, từ định nghĩa, phân loại đến cách thu thập, sử dụng, lưu trữ và bảo vệ, cùng với các quyền của cá nhân và trách nhiệm của tổ chức.
Quy định chung về dữ liệu cá nhân theo Nghị định 13
Dữ liệu cá nhân là gì?
Tại Khoản 1, Điều 2, Nghị định 13/2023/NĐ-CP có quy định rõ ràng: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”
Ví dụ về dữ liệu cá nhân cơ bản:
- Ký hiệu: Mã số nhân viên, mã số sinh viên, mã khách hàng.
- Chữ viết: Họ và tên, địa chỉ, địa chỉ email.
- Chữ số: Số điện thoại, số chứng minh nhân dân/căn cước công dân, số tài khoản ngân hàng.
- Hình ảnh: Ảnh chân dung, ảnh chụp màn hình hoạt động trên mạng xã hội.
- Âm thanh: Bản ghi âm cuộc gọi, tin nhắn thoại.
Ví dụ về dữ liệu cá nhân nhạy cảm:
- Quan điểm chính trị: Đảng viên, thành viên tổ chức chính trị.
- Quan điểm tôn giáo: Tín đồ của một tôn giáo cụ thể.
- Đặc điểm nhận dạng sinh trắc học: Dấu vân tay, hình ảnh khuôn mặt, mẫu giọng nói.
- Dữ liệu di truyền: Kết quả xét nghiệm DNA.
- Tình trạng sức khỏe: Hồ sơ bệnh án, kết quả xét nghiệm y tế.
- Đời sống tình dục: Thông tin về xu hướng tính dục.
- Dữ liệu về tội phạm: Tiền án tiền sự.
- Dữ liệu khách hàng của tổ chức tín dụng: Số dư tài khoản, lịch sử giao dịch.
- Dữ liệu về vị trí: Lịch sử vị trí từ ứng dụng di động.
Lưu ý: Các ví dụ trên chỉ mang tính chất minh họa. Định nghĩa về dữ liệu cá nhân rất rộng và có thể bao gồm nhiều loại thông tin khác nhau, tùy thuộc vào từng trường hợp cụ thể.
Dữ liệu cá nhân gồm những thông tin nào?
Theo Khoản 1, Điều 2 Nghị định 13, dữ liệu cá nhân bao gồm 2 loại là dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Sau đây, hãy cùng DPVN làm rõ hơn về 2 loại dữ liệu cá nhân này.
Loại dữ liệu cá nhân cơ bản
Cụ thể hơn theo Khoản 3, Điều 2, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy định dữ liệu cá nhân cơ bản bao gồm:
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
Ví dụ về dữ liệu cá nhân cơ bản:
- Ký hiệu: Mã số nhân viên, mã số sinh viên, mã khách hàng.
- Chữ viết: Họ và tên, địa chỉ, địa chỉ email.
- Chữ số: Số điện thoại, số chứng minh nhân dân/căn cước công dân, số tài khoản ngân hàng.
- Hình ảnh: Ảnh chân dung, ảnh chụp màn hình hoạt động trên mạng xã hội.
- Âm thanh: Bản ghi âm cuộc gọi, tin nhắn thoại.
Loại dữ liệu cá nhân nhạy cảm
Chi tiết hơn tại Khoản 4, Điều 2, Nghị định 13 quy định dữ liệu cá nhân nhạy cảm bao gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Ví dụ về dữ liệu cá nhân nhạy cảm:
- Quan điểm chính trị: Đảng viên, thành viên tổ chức chính trị.
- Quan điểm tôn giáo: Tín đồ của một tôn giáo cụ thể.
- Đặc điểm nhận dạng sinh trắc học: Dấu vân tay, hình ảnh khuôn mặt, mẫu giọng nói.
- Dữ liệu di truyền: Kết quả xét nghiệm DNA.
- Tình trạng sức khỏe: Hồ sơ bệnh án, kết quả xét nghiệm y tế.
- Đời sống tình dục: Thông tin về xu hướng tính dục.
- Dữ liệu về tội phạm: Tiền án tiền sự.
- Dữ liệu khách hàng của tổ chức tín dụng: Số dư tài khoản, lịch sử giao dịch.
- Dữ liệu về vị trí: Lịch sử vị trí từ ứng dụng di động.
Quy định về các hoạt động xử lý dữ liệu cá nhân
Quy định về thu thập dữ liệu cá nhân
- Sự đồng ý của chủ thể dữ liệu (Điều 11): Việc thu thập dữ liệu cá nhân phải được thực hiện trên cơ sở sự đồng ý của chủ thể dữ liệu. Sự đồng ý này phải rõ ràng, cụ thể, tự nguyện và chủ thể dữ liệu phải được thông báo đầy đủ về mục đích, phạm vi thu thập và các bên liên quan đến việc xử lý dữ liệu cá nhân của họ.
- Thông báo xử lý dữ liệu cá nhân (Điều 13): Trước khi thu thập dữ liệu cá nhân, tổ chức, cá nhân phải thông báo cho chủ thể dữ liệu về mục đích, phạm vi, phương pháp thu thập và xử lý dữ liệu cá nhân, cũng như các quyền của chủ thể dữ liệu liên quan đến dữ liệu cá nhân của họ.
- Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý (Điều 17): Có một số trường hợp ngoại lệ mà việc thu thập dữ liệu cá nhân có thể được thực hiện mà không cần sự đồng ý của chủ thể dữ liệu, chẳng hạn như trong trường hợp khẩn cấp để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc người khác, hoặc khi việc thu thập được thực hiện bởi cơ quan nhà nước có thẩm quyền vì lý do an ninh quốc gia hoặc trật tự công cộng.
- Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng (Điều 18): Cơ quan, tổ chức có thẩm quyền được phép thu thập dữ liệu cá nhân từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo đảm an ninh, trật tự, an toàn xã hội mà không cần sự đồng ý của chủ thể dữ liệu. Tuy nhiên, họ phải thông báo để chủ thể dữ liệu biết rằng họ đang bị ghi hình hoặc ghi âm.
- Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân (Điều 22): Nghiêm cấm việc thu thập, chuyển giao, mua, bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác.
Quy định về sử dụng dữ liệu cá nhân
- Điều 3 - Nguyên tắc bảo vệ dữ liệu cá nhân:
- Khoản 3: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được đăng ký, công bố.
- Khoản 4: Dữ liệu cá nhân thu thập phải phù hợp, giới hạn trong phạm vi, mục đích cần xử lý và không được mua bán trái phép.
- Khoản 5: Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
- Khoản 6: Dữ liệu cá nhân được bảo vệ, bảo mật trong quá trình xử lý.
- Khoản 7: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý.
- Điều 11 - Sự đồng ý của chủ thể dữ liệu:
- Bên kiểm soát dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu trước khi xử lý, trừ trường hợp luật có quy định khác.
- Sự đồng ý phải rõ ràng, cụ thể, tự nguyện và chủ thể dữ liệu phải biết rõ các nội dung liên quan đến việc xử lý dữ liệu cá nhân của mình.
- Điều 14 - Cung cấp dữ liệu cá nhân:
- Chủ thể dữ liệu được yêu cầu bên kiểm soát dữ liệu cá nhân cung cấp dữ liệu cá nhân của mình.
- Bên kiểm soát dữ liệu cá nhân được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu.
- Điều 15 - Chỉnh sửa dữ liệu cá nhân:
- Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình.
- Bên kiểm soát dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể đồng ý.
- Điều 16 - Lưu trữ, xóa, hủy dữ liệu cá nhân:
- Chủ thể dữ liệu được yêu cầu bên kiểm soát dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định.
- Bên kiểm soát dữ liệu cá nhân phải lưu trữ và xóa, hủy dữ liệu cá nhân theo quy định.
- Điều 17 - Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu: Trong một số trường hợp như khẩn cấp, công khai theo quy định pháp luật, thực hiện nghĩa vụ theo hợp đồng, phục vụ hoạt động cơ quan nhà nước... thì việc xử lý dữ liệu cá nhân có thể không cần sự đồng ý của chủ thể dữ liệu.
- Điều 21 - Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo: Chỉ được sử dụng dữ liệu cá nhân của khách hàng để tiếp thị, quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
- Điều 22 - Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân: Nghiêm cấm thu thập, chuyển giao, mua, bán dữ liệu cá nhân trái phép.
- Điều 24 - Đánh giá tác động xử lý dữ liệu cá nhân: Bên kiểm soát dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
- Điều 25 - Chuyển dữ liệu cá nhân ra nước ngoài: Dữ liệu cá nhân của công dân Việt Nam chỉ được chuyển ra nước ngoài trong trường hợp tuân thủ quy định của Nghị định 13.
- Điều 38 - Trách nhiệm của bên kiểm soát dữ liệu cá nhân:
- Thực hiện các biện pháp bảo vệ dữ liệu cá nhân.
- Bảo đảm các quyền của chủ thể dữ liệu.
- Điều 39 - Trách nhiệm của bên xử lý dữ liệu cá nhân: Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu cá nhân.
Các quy định này nhằm đảm bảo rằng việc sử dụng dữ liệu cá nhân được thực hiện một cách hợp pháp, minh bạch và tôn trọng quyền riêng tư của các cá nhân.
Quy định về lưu trữ dữ liệu cá nhân
- Khoản 7, Điều 3 - Nguyên tắc bảo vệ dữ liệu cá nhân: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
- Điều 16 - Lưu trữ, xóa, hủy dữ liệu cá nhân:
- Khoản 6: Các bên (kiểm soát, xử lý, kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba) phải lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định pháp luật.
- Khoản 7: Các bên phải xóa không thể khôi phục dữ liệu cá nhân trong các trường hợp sau:
- Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý mà chủ thể dữ liệu đã đồng ý.
- Việc lưu trữ dữ liệu cá nhân không còn cần thiết cho hoạt động của các bên.
- Các bên bị giải thể, không còn hoạt động, tuyên bố phá sản hoặc chấm dứt hoạt động kinh doanh.
- Điều 24 - Đánh giá tác động xử lý dữ liệu cá nhân: Khoản 1, 2 quy định Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên kiểm soát và bên xử lý dữ liệu cá nhân phải bao gồm ``thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có)``.
- Điều 25 - Chuyển dữ liệu cá nhân ra nước ngoài: Điểm đ, Khoản 2 quy định Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải bao gồm ``Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng``.
Tóm lại, việc lưu trữ dữ liệu cá nhân phải tuân thủ các nguyên tắc:
- Hợp pháp, minh bạch và có mục đích rõ ràng.
- Phù hợp và giới hạn trong phạm vi cần thiết.
- Chính xác và được cập nhật.
- Được bảo mật và bảo vệ.
- Không được lưu trữ quá thời gian cần thiết.
Các quyền đối với dữ liệu cá nhân theo Nghị định 13
Theo Nghị định 13, chủ thể dữ liệu cá nhân có một số quyền đối với dữ liệu cá nhân của mình, bao gồm các quyền như: Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xoá dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ.
Cụ thể các quyền đó như sau:
- Quyền được biết: Được biết về hoạt động xử lý dữ liệu cá nhân của mình.
- Quyền đồng ý: Được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân.
- Quyền truy cập: Được truy cập, xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.
- Quyền rút lại sự đồng ý: Được rút lại sự đồng ý đã cho phép xử lý dữ liệu cá nhân.
- Quyền xóa dữ liệu: Được yêu cầu xóa dữ liệu cá nhân của mình.
- Quyền hạn chế xử lý dữ liệu: Được yêu cầu hạn chế xử lý dữ liệu cá nhân.
- Quyền cung cấp dữ liệu: Được yêu cầu cung cấp bản sao dữ liệu cá nhân.
- Quyền phản đối xử lý dữ liệu: Được phản đối việc xử lý dữ liệu cá nhân cho mục đích quảng cáo, tiếp thị.
- Quyền khiếu nại, tố cáo, khởi kiện: Được khiếu nại, tố cáo hoặc khởi kiện theo quy định pháp luật.
- Quyền yêu cầu bồi thường thiệt hại: Được yêu cầu bồi thường thiệt hại khi có vi phạm về bảo vệ dữ liệu cá nhân.
- Quyền tự bảo vệ: Được tự bảo vệ hoặc yêu cầu cơ quan có thẩm quyền bảo vệ quyền lợi.
Lưu ý: Các quyền trên có thể bị hạn chế trong một số trường hợp theo quy định của pháp luật. Để tìm hiểu chi tiết hơn, Quý khách hàng có thể tìm hiểu về các quyền của chủ thể dữ liệu cá nhân
Các biện pháp bảo vệ dữ liệu cá nhân trong doanh nghiệp
Nghị định 13/2023/NĐ-CP quy định các biện pháp bảo vệ dữ liệu cá nhân trong doanh nghiệp như sau:
Các biện pháp bảo vệ chung theo Điều 26 tại Nghị định này:
- Áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
- Bao gồm biện pháp quản lý, kỹ thuật, biện pháp của cơ quan quản lý nhà nước, biện pháp điều tra, tố tụng và các biện pháp khác theo quy định pháp luật.
Biện pháp bảo vệ dữ liệu cá nhân cơ bản theo Điều 27:
- Áp dụng các biện pháp bảo vệ chung ở trên.
- Xây dựng và ban hành quy định nội bộ về bảo vệ dữ liệu cá nhân.
- Khuyến khích áp dụng tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực hoạt động.
- Kiểm tra an ninh mạng đối với hệ thống, phương tiện, thiết bị xử lý dữ liệu cá nhân.
Biện pháp bảo vệ dữ liệu cá nhân nhạy cảm theo Điều 28:
- Áp dụng các biện pháp bảo vệ chung và bảo vệ dữ liệu cá nhân cơ bản.
- Chỉ định bộ phận, nhân sự chuyên trách bảo vệ dữ liệu cá nhân và trao đổi thông tin với cơ quan chuyên trách.
- Thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân nhạy cảm (trừ một số trường hợp ngoại lệ).
Tìm hiểu thêm về các biện pháp bảo vệ dữ liệu cá nhân trong doanh nghiệp
Trách nhiệm của tổ chức đối với dữ liệu cá nhân
Trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân theo Điều 38:
- Thực hiện các biện pháp tổ chức, kỹ thuật và bảo mật để chứng minh hoạt động xử lý dữ liệu tuân thủ pháp luật.
- Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
- Thông báo vi phạm dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền.
- Lựa chọn bên xử lý dữ liệu cá nhân phù hợp và có biện pháp bảo vệ phù hợp.
- Bảo đảm các quyền của chủ thể dữ liệu.
- Chịu trách nhiệm trước chủ thể dữ liệu về thiệt hại do xử lý dữ liệu cá nhân gây ra.
- Phối hợp với cơ quan nhà nước trong việc bảo vệ dữ liệu cá nhân.
Các biện pháp bảo vệ dữ liệu cá nhân trong doanh nghiệp bao gồm cả biện pháp kỹ thuật và biện pháp quản lý, nhằm đảm bảo tính bảo mật, an toàn và tuân thủ pháp luật trong quá trình xử lý dữ liệu cá nhân
Dữ liệu cá nhân là một tài sản có giá trị đối với cả cá nhân và tổ chức. Tuy nhiên, dữ liệu này cũng có khả năng gây hại nếu không được thu thập, sử dụng và bảo vệ một cách có trách nhiệm. Do đó, khi hiểu rõ về dữ liệu cá nhân, cá nhân và tổ chức có thể sử dụng dữ liệu này trong quá trình hoạt đông và vẫn đảm bảo việc tuân thủ nguyên tắc bảo vệ quyền riêng tư và tính bảo mật của dữ liệu cá nhân.