Nghị định 13 về bảo vệ dữ liệu cá nhân (sau đây gọi tắt là “Nghị định 13“) chính là bước tiến quan trọng của Việt Nam trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân trong kỷ nguyên số.
Có hiệu lực từ ngày 1/7/2023, Nghị định 13 thiết lập một khung pháp lý toàn diện, đặt ra các nguyên tắc, quy định rõ ràng về quyền và nghĩa vụ của các bên liên quan trong hoạt động thu thập, xử lý và sử dụng dữ liệu cá nhân, từ đó tăng cường sự minh bạch và trách nhiệm giải trình, góp phần xây dựng một môi trường số an toàn và đáng tin cậy hơn.
TỔNG QUAN NGHỊ ĐỊNH 13 VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Quá trình hình thành của Nghị định 13 về bảo vệ dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là thành quả của một quá trình xây dựng công phu và tỉ mỉ, trải qua 4 năm với sự tham gia đóng góp của đông đảo các bên liên quan. Chính phủ đã hai lần ban hành Nghị quyết thông qua dự thảo Nghị định, một lần xin ý kiến Ủy ban Thường vụ Quốc hội. Ngoài ra, Chính phủ còn tổ chức hội thảo quốc tế về bảo vệ dữ liệu cá nhân với sự tham gia của hơn 300 tổ chức trong và ngoài nước, tiếp nhận 30 tham luận đóng góp ý kiến.
Sau quá trình nghiên cứu, hoàn thiện kỹ lưỡng, Chính phủ đã chính thức ban hành Nghị định 13 ngày 17/4/2023, bao gồm 4 chương và 44 điều về điều chỉnh toàn diện các vấn đề liên quan đến bảo vệ dữ liệu cá nhân.
Nghị định này không chỉ áp dụng cho các cá nhân, tổ chức Việt Nam mà còn cả các tổ chức nước ngoài hoạt động tại Việt Nam, Điều này thể hiện sự quyết tâm của Chính phủ trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân trong thời đại số.
Tính cấp thiết của Nghị định 13 về bảo vệ dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ra đời như một tất yếu khách quan, đáp ứng yêu cầu cấp thiết trong bối cảnh hiện nay.
- Thứ nhất, Nghị định 13 thể chế hóa các quy định của Hiến pháp và pháp luật về quyền bảo vệ quyền cá nhân, quyền con người, quyền công dân, an ninh mạng, thể hiện sự nhất quán và đồng bộ trong hệ thống pháp luật Việt Nam.
- Thứ hai, Nghị định 13 là cơ sở pháp lý để thực hiện chủ trương, chính sách của Đảng và Nhà nước về nhiệm vụ bảo vệ dữ liệu cá nhân, đồng thời hài hòa với thông lệ và quy định quốc tế, khẳng định cam kết của Việt Nam trong việc bảo vệ quyền con người và hội nhập quốc tế.
- Thứ ba, Nghị định 13 tạo ra nền tảng pháp lý vững chắc cho sự phát triển kinh tế – xã hội, đặc biệt là trong lĩnh vực kinh doanh liên quan đến dữ liệu cá nhân, thúc đẩy chuyển đổi số và đổi mới sáng tạo.
- Thứ tư, Nghị định 13 giải quyết những vấn đề cấp bách hiện nay như tình trạng dữ liệu cá nhân bị mua bán, mất mát, công khai trái phép trên không gian mạng, đồng thời bổ sung các quy định xử lý các hành vi vi phạm pháp luật liên quan đến dữ liệu cá nhân.
- Cuối cùng, Nghị định 13 góp phần nâng cao nhận thức bảo vệ dữ liệu cá nhân và ý thức của các tổ chức, cá nhân trong việc tiến hành xử lý dữ liệu cá nhân, xây dựng một môi trường số an toàn, lành mạnh và tôn trọng quyền riêng tư của mỗi người.
Với những ý nghĩa và tác động tích cực trên, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là một bước tiến quan trọng, khẳng định quyết tâm của Chính phủ trong việc bảo vệ quyền và lợi ích hợp pháp của người dân trong thời đại số.
Mục đích của Nghị định 13 về bảo vệ dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được ban hành với mục đích thiết thực và cấp bách, nhằm giải quyết những thách thức đặt ra trong bối cảnh dữ liệu cá nhân ngày càng trở nên quan trọng và dễ bị xâm phạm.
- Thứ nhất, Nghị định 13 đặt mục tiêu đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, một quyền cơ bản của mỗi công dân, được Hiến pháp và pháp luật công nhận và bảo vệ.
- Thứ hai, Nghị định 13 hướng tới ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, bảo vệ quyền và lợi ích hợp pháp của cá nhân, tổ chức, góp phần xây dựng một môi trường số an toàn và lành mạnh.
- Thứ ba, Nghị định 13 đề cao việc nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân trong quá trình tiến hành thu thập dữ liệu, xử lý và sử dụng dữ liệu cá nhân, đảm bảo tính minh bạch, trung thực và tuân thủ pháp luật.
- Thứ tư, Nghị định 13 không chỉ là một văn bản pháp luật hiện hành, mà còn là tiền đề quan trọng cho việc xây dựng Luật Bảo vệ dữ liệu cá nhân trong tương lai. Thông qua việc thực thi Nghị định 13, các cơ quan chức năng sẽ có cơ hội đánh giá, rút kinh nghiệm và hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân, phù hợp với xu thế phát triển của thế giới.
NỘI DUNG NGHỊ ĐỊNH 13 VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Phạm vi điều chỉnh của Nghị định 13 về Bảo vệ dữ liệu cá nhân
Nghị định 13 quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan đến hoạt động xử lý dữ liệu cá nhân
Đối tượng áp dụng của Nghị định 13 về bảo vệ dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có phạm vi áp dụng rất rộng, bao gồm cả các tổ chức, cá nhân trong và ngoài nước có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Lưu ý: Nghị định 13 cũng áp dụng đối với các trường hợp xử lý dữ liệu cá nhân của công dân Việt Nam được thực hiện ở nước ngoài, nếu hoạt động xử lý đó có liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho người dùng tại Việt Nam hoặc giám sát hành vi của họ.
Khái niệm về dữ liệu cá nhân theo Nghị định 13
Nghị định 13/2023/NĐ-CP định nghĩa rõ ràng về dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, hình ảnh, âm thanh hoặc tương tự, có thể liên kết trực tiếp hoặc gián tiếp với một cá nhân cụ thể. Dữ liệu cá nhân được chia thành hai loại chính: Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân cơ bản: Bao gồm các thông tin định danh như họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, số chứng minh thư, tình trạng hôn nhân, thông tin gia đình, tài khoản số, lịch sử hoạt động trực tuyến và các thông tin khác không thuộc loại nhạy cảm.
- Dữ liệu cá nhân nhạy cảm: Là những thông tin gắn với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng nghiêm trọng đến quyền và lợi ích của cá nhân. Loại dữ liệu này bao gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, thông tin di truyền, sinh trắc học, đời sống tình dục, dữ liệu tội phạm, thông tin khách hàng tài chính, dữ liệu vị trí và các thông tin khác được pháp luật quy định là đặc thù và cần bảo mật đặc biệt.
Việc phân loại dữ liệu cá nhân thành cơ bản và nhạy cảm giúp xác định mức độ bảo vệ cần thiết cho từng loại thông tin, đồng thời tạo ra một khung pháp lý chặt chẽ để quản lý và xử lý dữ liệu cá nhân một cách an toàn và hiệu quả.
Quyền của chủ thể dữ liệu cá nhân
Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, “Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh”. Điều này có nghĩa là:
- Chủ thể dữ liệu là một cá nhân cụ thể, có thật, tồn tại trong đời sống.
- Dữ liệu cá nhân là bất kỳ thông tin nào có thể liên kết trực tiếp hoặc gián tiếp đến cá nhân đó, bao gồm thông tin định danh (họ tên, ngày sinh, số CMND…), thông tin liên lạc (địa chỉ, số điện thoại…), thông tin về đặc điểm (giới tính, tình trạng sức khỏe…), thông tin về hoạt động (lịch sử giao dịch, dữ liệu duyệt web…)
- Phản ánh ở đây có nghĩa là dữ liệu cá nhân đó chứa đựng, thể hiện, hoặc liên quan đến các đặc điểm, hành vi hoặc các yếu tố khác của cá nhân đó.
Nghị định 13 về bảo vệ dữ liệu cá nhân trao cho chủ thể dữ liệu tổng cộng 11 quyền cụ thể, nhằm đảm bảo quyền kiểm soát và bảo vệ thông tin cá nhân của mình bao gồm:
- Quyền được biết: Chủ thể dữ liệu có quyền được thông báo về việc thu thập, xử lý và sử dụng dữ liệu cá nhân của mình, bao gồm mục đích, phạm vi, phương pháp xử lý và các bên liên quan.
- Quyền đồng ý: Chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Quyền truy cập: Chủ thể dữ liệu có quyền truy cập vào dữ liệu cá nhân của mình, yêu cầu bên kiểm soát cung cấp bản sao dữ liệu hoặc thông tin về việc xử lý dữ liệu.
- Quyền rút lại sự đồng ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý đã cho phép xử lý dữ liệu cá nhân thu thập từ hoạt động xử lý dữ liệu của mình bất kỳ lúc nào.
- Quyền xóa dữ liệu: Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu không còn cần thiết cho mục đích xử lý hoặc khi chủ thể dữ liệu rút lại sự đồng ý.
- Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát hạn chế xử lý dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu không chính xác hoặc khi việc xử lý là bất hợp pháp.
- Quyền cung cấp dữ liệu: Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát cung cấp dữ liệu cá nhân của mình cho một bên kiểm soát khác theo định dạng có cấu trúc, thông dụng và có thể đọc được bằng máy tính.
- Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu cá nhân của mình vì những lý do liên quan đến tình huống cụ thể của mình.
- Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện khi quyền lợi của mình bị xâm phạm do việc xử lý dữ liệu cá nhân không tuân thủ quy định của pháp luật.
- Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại nếu bị thiệt hại do việc xử lý dữ liệu cá nhân không đúng quy định.
- Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
Các quyền này nhằm đảm bảo chủ thể dữ liệu có quyền kiểm soát và quyết định đối với dữ liệu cá nhân của mình, đồng thời giúp họ bảo vệ quyền riêng tư và tránh những rủi ro tiềm ẩn từ việc sử dụng dữ liệu cá nhân không đúng mục đích.
Các bên tham gia quá trình hoạt động xử lý dữ liệu cá nhân
Bên kiểm soát dữ liệu cá nhân
Bên Kiểm Soát dữ liệu cá nhân là tổ chức hoặc cá nhân quyết định mục đích, phương tiện và hình thức xử lý dữ liệu cá nhân (Ví dụ: Thu thập dữ liệu để làm gì? Thu thập bằng cách nào?). Nói cách khác, họ là người “cầm trịch” việc sử dụng thông tin của bạn.
Bên Kiểm soát dữ liệu cá nhân có vai trò, trách nhiệm quan trọng trong việc bảo vệ dữ liệu cá nhân của bạn. Họ phải đảm bảo rằng dữ liệu của bạn được thu thập, sử dụng và chia sẻ một cách hợp pháp, an toàn và minh bạch.
- Đảm bảo an toàn, bảo mật: Bên Kiểm Soát phải thiết lập các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân của bạn khỏi bị rò rỉ, đánh cắp hoặc sử dụng sai mục đích. Họ cũng phải thường xuyên cập nhật các biện pháp này để đối phó với các mối đe dọa mới.
- Ghi lại và lưu trữ nhật ký: Mọi hoạt động xử lý dữ liệu (thu thập, sử dụng, chia sẻ…) đều phải được ghi lại và lưu trữ để phục vụ cho việc kiểm tra, giám sát và giải quyết tranh chấp nếu có.
- Thông báo vi phạm: Nếu xảy ra sự cố rò rỉ hoặc mất mát dữ liệu, Bên Kiểm Soát phải thông báo cho cơ quan chức năng và những người bị ảnh hưởng trong thời gian sớm nhất.
- Lựa chọn Bên Xử Lý uy tín: Nếu Bên Kiểm Soát thuê một bên thứ ba (Bên Xử Lý) để xử lý dữ liệu thay mình, họ phải đảm bảo rằng bên đó cũng có đủ năng lực và biện pháp bảo vệ dữ liệu.
- Bảo đảm quyền của chủ thể dữ liệu: Bên Kiểm Soát phải tôn trọng các quyền của bạn đối với dữ liệu cá nhân, bao gồm quyền được biết, quyền được truy cập, quyền được yêu cầu chỉnh sửa dữ liệu, yêu cầu xóa dữ liệu cá nhân,…
- Chịu trách nhiệm về thiệt hại: Nếu việc xử lý dữ liệu cá nhân của bạn gây ra thiệt hại, Bên Kiểm Soát sẽ phải chịu trách nhiệm bồi thường.
- Phối hợp với cơ quan chức năng: Bên Kiểm Soát phải hợp tác với Bộ Công an và các cơ quan có thẩm quyền khác trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin khi được yêu cầu để điều tra các hành vi vi phạm pháp luật.
Bên xử lý dữ liệu cá nhân
Bên Xử Lý dữ liệu cá nhân là tổ chức hoặc cá nhân được Bên Kiểm Soát thuê để xử lý dữ liệu thay mặt họ. Việc thuê này phải được thể hiện rõ ràng qua một hợp đồng hoặc thỏa thuận giữa hai bên.
Bên Xử Lý dữ liệu cá nhân là một mắt xích quan trọng trong chuỗi xử lý dữ liệu. Họ phải tuân thủ nghiêm ngặt các quy định của pháp luật và hợp đồng để đảm bảo dữ liệu cá nhân được bảo vệ một cách tốt nhất.
- Chỉ tiếp nhận dữ liệu khi có hợp đồng: Bên Xử Lý dữ liệu không được tự ý thu thập hoặc nhận dữ liệu cá nhân. Họ chỉ được phép làm việc với dữ liệu khi đã ký kết hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
- Tuân thủ hợp đồng: Mọi hoạt động xử lý dữ liệu của Bên Xử Lý dữ liệu phải tuân thủ đúng các điều khoản đã thỏa thuận trong hợp đồng với Bên Kiểm Soát. Họ không được tự ý thay đổi mục đích hoặc phương tiện xử lý.
- Bảo vệ dữ liệu: Bên Xử Lý dữ liệu phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân là theo quy định của pháp luật, tương tự như Bên Kiểm Soát dữ liệu cá nhân. Điều này bao gồm cả việc bảo mật hệ thống, mã hóa dữ liệu, kiểm soát truy cập,…
- Chịu trách nhiệm về thiệt hại: Nếu việc xử lý dữ liệu cá nhân gây ra thiệt hại cho chủ thể dữ liệu, Bên Xử Lý cũng phải chịu trách nhiệm bồi thường, cùng với Bên Kiểm Soát.
- Phối hợp với cơ quan chức năng: Tương tự như Bên Kiểm Soát, Bên Xử Lý cũng phải hợp tác với Bộ Công an và các cơ quan có thẩm quyền khác trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin khi được yêu cầu để điều tra các hành vi vi phạm pháp luật.
Bên kiểm soát và xử lý dữ liệu cá nhân
Bên Kiểm Soát và Xử Lý phải tuân thủ và thực hiện đầy đủ trách nhiệm của cả hai bên Bên Kiểm Soát lẫn Bên Xử Lý dữ liệu, bao gồm:
- Đảm bảo an toàn và bảo mật dữ liệu cá nhân.
- Ghi lại và lưu trữ nhật ký xử lý dữ liệu.
- Thông báo vi phạm quy định bảo vệ dữ liệu cá nhân cho cơ quan chức năng và người bị ảnh hưởng.
- Bảo đảm các quyền của chủ thể dữ liệu.
- Chịu trách nhiệm về thiệt hại do xử lý dữ liệu cá nhân gây ra.
- Phối hợp với Bộ Công an và các cơ quan có thẩm quyền khác trong việc bảo vệ dữ liệu cá nhân.
Nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân thiết lập một hệ thống nguyên tắc chặt chẽ nhằm đảm bảo quyền lợi và sự an toàn cho dữ liệu cá nhân của mỗi người. Hệ thống bao gồm 8 nguyên tắc chính: Nguyên tắc hợp pháp; Nguyên tắc minh bạch; Nguyên tắc mục đích; Nguyên tắc hạn chế; Nguyên tắc chính xác; Nguyên tắc an ninh; Nguyên tắc giới hạn thời gian; Nguyên tắc giải trình.
- Nguyên tắc hợp pháp: Dữ liệu cá nhân được xử lý cần phải tuân thủ đúng quy định của pháp luật, đảm bảo tính chính đáng và minh bạch.
- Nguyên tắc minh bạch: Đòi hỏi chủ thể dữ liệu được biết về hoạt động thu thập, xử lý và sử dụng dữ liệu của mình một cách rõ ràng, minh bạch.
- Nguyên tắc mục đích: Quy định dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được đăng ký và công bố, tránh việc lạm dụng thông tin.
- Nguyên tắc hạn chế: Nhấn mạnh việc thu thập dữ liệu cá nhân phải phù hợp, giới hạn trong phạm vi cần thiết và tuyệt đối không được mua bán dữ liệu cá nhân trái phép.
- Nguyên tắc chính xác: Đảm bảo dữ liệu cá nhân luôn được cập nhật, chính xác và đáng tin cậy.
- Nguyên tắc an ninh: Yêu cầu các biện pháp bảo vệ dữ liệu cá nhân được áp dụng triệt để và bảo mật nghiêm ngặt phải được áp dụng trong quá trình xử lý dữ liệu cá nhân.
- Nguyên tắc giới hạn thời gian: Quy định dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian cần thiết cho mục đích xử lý, tránh tình trạng lưu trữ vô thời hạn gây nguy cơ rò rỉ thông tin.
- Nguyên tắc giải trình: Đặt trách nhiệm lên các bên kiểm soát và xử lý dữ liệu cá nhân trong việc chứng minh sự tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân.
Tất cả các nguyên tắc này tạo thành một hệ thống đồng bộ, chặt chẽ, góp phần quan trọng vào việc bảo vệ quyền riêng tư và dữ liệu cá nhân của mỗi người dân, đồng thời tạo dựng một môi trường số an toàn và lành mạnh.
Đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài
Đánh giá tác động xử lý dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP không nêu định nghĩa về đánh giá tác động xử lý dữ liệu cá nhân. Tuy nhiên theo phân tích các nội dung trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của DPVN, ta có thể định nghĩa:
“Đánh giá tác động xử lý dữ liệu cá nhân là một quy trình nhằm xác định và giảm thiểu rủi ro liên quan đến việc xử lý dữ liệu cá nhân. Theo Nghị định 13/2023/NĐ-CP, đây là một thủ tục bắt buộc đối với các bên kiểm soát và xử lý dữ liệu cá nhân trong một số trường hợp nhất định.”
Việc thực hiện đánh giá tác động xử lý dữ liệu cá nhân không chỉ giúp các tổ chức tuân thủ quy định của pháp luật mà còn giúp bảo vệ quyền lợi của chủ thể dữ liệu cá nhân, nâng cao uy tín và hình ảnh của tổ chức.
Theo Điều 24 Nghị định 13/2023/NĐ-CP quy định về việc đánh giá tác động xử lý dữ liệu cá nhân, cụ thể như sau:
- Lập và lưu giữ hồ sơ đánh giá: Các bên kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động từ khi bắt đầu xử lý dữ liệu.
- Nội dung hồ sơ:
- Bên kiểm soát dữ liệu cá nhân cần cung cấp thông tin về bên kiểm soát, mục đích xử lý, loại dữ liệu cá nhân được sử dụng, bên nhận dữ liệu (kể cả tổ chức nước ngoài), trường hợp chuyển dữ liệu ra nước ngoài, thời gian xử lý và xóa dữ liệu, biện pháp bảo vệ và đánh giá mức độ ảnh hưởng.
- Bên xử lý dữ liệu cá nhân cần cung cấp thông tin về bên xử lý, mô tả hoạt động và loại dữ liệu xử lý, thời gian xử lý và xóa dữ liệu, trường hợp chuyển dữ liệu ra nước ngoài, mô tả biện pháp bảo vệ và đánh giá hậu quả.
- Hình thức hồ sơ: Hồ sơ phải được lập thành văn bản có giá trị pháp lý.
- Gửi hồ sơ cho Bộ Công an: Trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu, một bản chính của hồ sơ phải được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an).
- Hoàn thiện hồ sơ (nếu cần): Cục An ninh mạng có thể yêu cầu các bên hoàn thiện hồ sơ nếu chưa đầy đủ.
- Cập nhật hồ sơ: Các bên cần cập nhật và bổ sung hồ sơ khi có thay đổi về nội dung đã gửi cho Cục An ninh mạng.
Tìm hiểu thêm về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để hiểu rõ định nghĩa trên hơn.
Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Cũng giống như Đánh giá tác động xử lý dữ liệu cá nhân, khái niệm Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài không được định nghĩa trong Nghị định 13/2023/NĐ-CP. Tuy nhiên, dựa theo Điều 25 của Nghị định 13/2023/NĐ-CP, ta có thể định nghĩa như sau:
“Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một quy trình đánh giá nhằm xác định và giảm thiểu rủi ro liên quan đến việc chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi lãnh thổ Việt Nam. Quy trình này được quy định tại Điều 25 của Nghị định 13/2023/NĐ-CP.”
Việc thực hiện đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một yêu cầu bắt buộc đối với các tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân ra nước ngoài. Quy trình này nhằm đảm bảo rằng dữ liệu cá nhân của công dân Việt Nam được bảo vệ một cách đầy đủ và hiệu quả, ngay cả khi được chuyển ra khỏi lãnh thổ Việt Nam.
Hãy cùng DPVN tìm hiểu chi tiết hơn về Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài để hiểu rõ định nghĩa trên hơn.
Theo Điều 25 Nghị định 13/2023/NĐ-CP quy định về việc chuyển dữ liệu cá nhân ra nước ngoài, cụ thể như sau:
- Điều kiện chuyển dữ liệu: Dữ liệu cá nhân chỉ được chuyển ra nước ngoài khi bên chuyển dữ liệu đã lập hồ sơ đánh giá tác động và thực hiện các thủ tục theo quy định.
- Nội dung hồ sơ đánh giá tác động:
- Thông tin liên lạc của bên chuyển và bên nhận dữ liệu cá nhân ra nước ngoài.
- Thông tin người phụ trách việc chuyển và nhận dữ liệu cá nhân ra nước ngoài.
- Mô tả mục đích xử lý dữ liệu sau khi chuyển.
- Loại dữ liệu được chuyển.
- Mô tả việc tuân thủ quy định bảo vệ dữ liệu và các biện pháp bảo vệ.
- Đánh giá mức độ ảnh hưởng và các biện pháp giảm thiểu rủi ro.
- Sự đồng ý của chủ thể dữ liệu.
- Văn bản ràng buộc trách nhiệm giữa các bên.
- Lưu trữ và nộp hồ sơ:
- Hồ sơ phải luôn sẵn sàng để phục vụ kiểm tra của Bộ Công an.
Một bản chính phải được gửi đến Cục An ninh mạng trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu. - Bên chuyển dữ liệu phải thông báo cho Cục An ninh mạng về việc chuyển dữ liệu và thông tin liên lạc của người phụ trách bảo vệ dữ liệu cá nhân sau khi chuyển thành công.
- Hồ sơ phải luôn sẵn sàng để phục vụ kiểm tra của Bộ Công an.
- Hoàn thiện hồ sơ: Cục An ninh mạng có thể yêu cầu bên chuyển dữ liệu hoàn thiện hồ sơ nếu chưa đầy đủ. Bên chuyển dữ liệu có 10 ngày để hoàn thiện hồ sơ.
- Thanh tra, kiểm tra: Bộ Công an sẽ thanh kiểm tra việc chuyển dữ liệu cá nhân ra nước ngoài 1 lần/năm, trừ trường hợp phát hiện vi phạm hoặc sự cố.
- Ngừng chuyển dữ liệu: Bộ Công an có quyền yêu cầu ngừng chuyển dữ liệu trong các trường hợp sau:
- Phát hiện dữ liệu được sử dụng vào hoạt động vi phạm an ninh quốc gia.
- Bên chuyển dữ liệu không chấp hành quy định về hoàn thiện hồ sơ.
- Để xảy ra sự cố lộ, mất dữ liệu cá nhân.
Các hình thức xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân
Nghị định 13 quy định các hình thức xử phạt đối với các tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm:
- Xử lý kỷ luật;
- Xử phạt vi phạm hành chính;
- Xử lý hình sự theo quy định.
Trách nhiệm của cơ quan quản lý nhà nước về bảo vệ dữ liệu cá nhân
Các cơ quan quản lý nhà nước có vai trò quan trọng trong việc bảo vệ dữ liệu cá nhân tại Việt Nam. chịu trách nhiệm xây dựng, triển khai và giám sát việc thực hiện các quy định về bảo vệ dữ liệu cá nhân, đồng thời xử lý các vi phạm và hợp tác với nhau để đảm bảo an toàn thông tin cho người dân.
Vai trò của Bộ Công An
Bộ Công an giữ vai trò trung tâm trong việc quản lý nhà nước về bảo vệ dữ liệu cá nhân, giúp Chính phủ thống nhất thực hiện các hoạt động liên quan.
- Hướng dẫn và triển khai: Bộ Công an chịu trách nhiệm hướng dẫn, triển khai các hoạt động bảo vệ dữ liệu cá nhân, bảo vệ quyền lợi của chủ thể dữ liệu, đồng thời đề xuất các tiêu chuẩn và khuyến nghị áp dụng.
- Xây dựng và quản lý Cổng thông tin: Bộ Công an sẽ xây dựng và quản lý Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để cung cấp thông tin, hướng dẫn và hỗ trợ cho các bên liên quan.
- Đánh giá và giám sát: Bộ Công an sẽ đánh giá kết quả công tác bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức, cá nhân liên quan và tiếp nhận hồ sơ, biểu mẫu, thông tin về bảo vệ dữ liệu cá nhân.
- Thúc đẩy nghiên cứu và hợp tác quốc tế: Bộ Công an sẽ thúc đẩy các biện pháp và nghiên cứu để đổi mới trong lĩnh vực bảo vệ dữ liệu cá nhân, đồng thời triển khai hợp tác quốc tế về vấn đề này.
- Thanh tra, kiểm tra và xử lý vi phạm: Bộ Công an có quyền thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo và xử lý các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
Vai trò của Bộ Thông tin và Truyền thông
Bộ Thông tin và Truyền thông chịu trách nhiệm chỉ đạo các cơ quan truyền thông, báo chí, tổ chức và doanh nghiệp thuộc lĩnh vực quản lý thực hiện bảo vệ dữ liệu cá nhân.
- Xây dựng biện pháp bảo vệ: Bộ sẽ xây dựng, hướng dẫn và triển khai các biện pháp bảo vệ dữ liệu cá nhân, đảm bảo an toàn thông tin mạng cho dữ liệu cá nhân trong các hoạt động thông tin và truyền thông.
- Phối hợp với Bộ Công an: Bộ Thông tin và Truyền thông sẽ phối hợp với Bộ Công an trong việc thanh tra, kiểm tra và xử lý các vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Vai trò của Bộ Quốc phòng
Bộ Quốc phòng chịu trách nhiệm quản lý, thanh tra, kiểm tra, giám sát và xử lý vi phạm các quy định bảo vệ dữ liệu cá nhân đối với các cơ quan, tổ chức, cá nhân thuộc phạm vi quản lý của Bộ.
Vai trò của Bộ Khoa học và Công nghệ
- Phối hợp xây dựng tiêu chuẩn: Bộ Khoa học và Công nghệ sẽ phối hợp với Bộ Công an trong việc xây dựng các tiêu chuẩn bảo vệ dữ liệu cá nhân và khuyến nghị áp dụng.
- Nghiên cứu và trao đổi: Bộ sẽ nghiên cứu và trao đổi với Bộ Công an về các biện pháp bảo vệ dữ liệu cá nhân để cập nhật với sự phát triển của khoa học và công nghệ.
Vai trò của các Bộ, Cơ quan ngang Bộ, Cơ quan thuộc Chính phủ và UBND các tỉnh, thành phố
- Quản lý nhà nước: Các cơ quan này thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân trong các ngành, lĩnh vực thuộc thẩm quyền quản lý của mình.
- Triển khai quy định: Họ chịu trách nhiệm triển khai các quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.
- Bố trí kinh phí: Các cơ quan này phải bố trí kinh phí để thực hiện các hoạt động bảo vệ dữ liệu cá nhân.
- Ban hành danh mục dữ liệu mở: Họ có trách nhiệm ban hành danh mục dữ liệu mở phù hợp với quy định bảo vệ dữ liệu cá nhân.
Quy định về các biện pháp và điều kiện đảm bảo bảo vệ dữ liệu cá nhân
Tại Mục 4 của Nghị định 13/2023/NĐ-CP quy định về các biện pháp và điều kiện đảm bảo bảo vệ dữ liệu cá nhân, bao gồm:
- Điều 26: Biện pháp bảo vệ dữ liệu cá nhân phải được áp dụng ngay từ đầu và trong suốt quá trình xử lý dữ liệu. Các biện pháp này bao gồm biện pháp quản lý, kỹ thuật, biện pháp của cơ quan nhà nước và các biện pháp khác theo quy định pháp luật.
- Điều 27: Bảo vệ dữ liệu cá nhân cơ bản yêu cầu áp dụng các biện pháp nêu trên, xây dựng quy định nội bộ, khuyến khích áp dụng tiêu chuẩn bảo vệ dữ liệu và kiểm tra an ninh mạng trước khi xử lý hoặc hủy dữ liệu.
- Điều 28: Bảo vệ dữ liệu cá nhân nhạy cảm yêu cầu các biện pháp bảo vệ cao hơn, bao gồm việc chỉ định bộ phận và nhân sự chuyên trách, thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu nhạy cảm (trừ một số trường hợp ngoại lệ).
- Điều 29: Quy định về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an) và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- Điều 30: Điều kiện đảm bảo hoạt động bảo vệ dữ liệu cá nhân, bao gồm lực lượng chuyên trách, tuyên truyền nâng cao nhận thức và đảm bảo cơ sở vật chất.
- Điều 31: Kinh phí bảo vệ dữ liệu cá nhân bao gồm ngân sách nhà nước (đối với cơ quan nhà nước) và nguồn kinh phí tự bố trí của tổ chức, doanh nghiệp.
Việc thiết lập một hệ thống các biện pháp, điều kiện và nguồn lực để đảm bảo việc bảo vệ dữ liệu cá nhân được thực hiện một cách toàn diện và hiệu quả.
HƯỚNG DẪN THỰC HIỆN NGHỊ ĐỊNH 13/2023/NĐ-CP
Hiện nay, nhà nước chưa có hướng dẫn chính thức cho doanh nghiệp về thực hiện Nghị định 13, tuy nhiên DPVN đã hỗ trợ, tư vấn cho các doanh nghiệp tuân thủ quy định bảo vệ dữ liệu cá nhân thông qua 7 công việc chính:
- Thu thập sự đồng ý của chủ thể dữ liệu;
- Xây dựng quy chế, quy trình nội bộ về bảo vệ dữ liệu cá nhân;
- Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân;
- Xây dựng thoả thuận giữa các bên kiểm soát, xử lý dữ liệu cá nhân;
- Xây dựng tài liệu hướng dẫn nội bộ về bảo vệ dữ liệu cá nhân;
- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
- Chuẩn bị hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
Xây dựng quy chế, quy trình nội bộ
- Phù hợp với tình hình thực tế: Doanh nghiệp cần xây dựng quy chế, quy trình nội bộ phù hợp với loại hình hoạt động, sản phẩm, dịch vụ của mình để đảm bảo việc bảo vệ dữ liệu cá nhân được thực hiện một cách hiệu quả.
- Phối hợp giữa các phòng ban: Việc bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của một bộ phận mà cần sự phối hợp chặt chẽ giữa các phòng ban liên quan để đảm bảo tính toàn diện và hiệu quả.
- Biện pháp kỹ thuật: Doanh nghiệp cần áp dụng các biện pháp kỹ thuật phù hợp như mã hóa dữ liệu, kiểm soát truy cập, tường lửa, v.v. để bảo vệ dữ liệu cá nhân khỏi các nguy cơ xâm nhập trái phép.
Thành lập bộ phận chuyên trách
- Người đứng đầu: Doanh nghiệp cần chỉ định một người đứng đầu bộ phận bảo vệ dữ liệu cá nhân có đủ năng lực và kinh nghiệm để đảm bảo việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
- Nhiệm vụ: Bộ phận chuyên trách sẽ chịu trách nhiệm xây dựng, triển khai và giám sát các chính sách, quy trình bảo vệ dữ liệu cá nhân, đồng thời xử lý các vấn đề liên quan đến vi phạm dữ liệu cá nhân.
Xây dựng thỏa thuận với bên xử lý dữ liệu
- Cân nhắc các yếu tố: Doanh nghiệp cần xem xét các yếu tố như trình độ kỹ thuật, chi phí, tính chất, phạm vi, mục đích xử lý dữ liệu, khả năng xảy ra vi phạm để xây dựng thỏa thuận phù hợp với bên xử lý dữ liệu.
- Đảm bảo tuân thủ: Thỏa thuận phải đảm bảo rằng bên xử lý dữ liệu sẽ thực hiện các biện pháp bảo vệ dữ liệu cá nhân theo đúng quy định của pháp luật và hợp đồng.
Soạn thảo các tài liệu khác
- Hợp đồng mẫu: Doanh nghiệp cần chuẩn bị các mẫu hợp đồng liên quan đến xử lý dữ liệu cá nhân để đảm bảo các bên liên quan hiểu rõ quyền và nghĩa vụ của mình.
- Tài liệu hướng dẫn nội bộ: Cần có tài liệu hướng dẫn nội bộ chi tiết về quy trình thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân để nhân viên nắm rõ và thực hiện đúng.
- Doanh nghiệp cần chuẩn bị, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (bắt buộc) và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (nếu có hoạt động chuyển dữ liệu ra nước ngoài) để phục vụ công tác thanh tra, kiểm tra về việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân của Bộ Công an. Đồng thời, nộp 01 bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đến Bộ Công an.
So sánh Nghị định 13 về bảo vệ dữ liệu cá nhân với các quy định khác
Trước khi Nghị định 13 được ban hành, đã có nhiều quy định liên quan đến bảo vệ dữ liệu cá nhân, bao gồm Luật An ninh mạng, Luật Bảo vệ quyền lợi người tiêu dùng, Luật Công nghệ thông tin. Tuy nhiên, Nghị định 13 đã điều chỉnh và bổ sung một số quy định mới nhằm tăng cường và đảm bảo cho hoạt động bảo vệ dữ liệu cá nhân, bao gồm:
- Điều chỉnh lại quyền của cá nhân liên quan đến dữ liệu cá nhân: Nghị định 13 đã quy định rõ các quyền của cá nhân liên quan đến dữ liệu cá nhân và tăng cường sự minh bạch, công bằng trong việc thu thập và xử lý dữ liệu cá nhân.
- Tăng cường trách nhiệm của các đối tượng áp dụng: Nghị định 13 yêu cầu các tổ chức, cá nhân thu thập và xử lý dữ liệu cá nhân phải thực hiện các biện pháp bảo mật dữ liệu và có trách nhiệm báo cáo vi phạm theo quy định của pháp luật.
- Xử phạt nghiêm khắc hơn: Nghị định 13 quy định các hình thức xử phạt nghiêm khắc hơn đối với các tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân.
Ảnh hưởng của Nghị định 13 về bảo vệ dữ liệu cá nhân đối với doanh nghiệp
Nghị định 13 có ảnh hưởng lớn đến hoạt động kinh doanh của các doanh nghiệp, bao gồm:
- Yêu cầu các doanh nghiệp phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân, đảm bảo tính hợp pháp và an toàn của dữ liệu.
- Các doanh nghiệp phải đảm bảo tính minh bạch và công bằng trong việc thu thập, xử dữ liệu cá nhân của chủ thể dữ liệu là người lao động, khách hàng,…
- Các doanh nghiệp phải đảm bảo thu thập và xử lý dữ liệu cá nhân đúng mục đích.
- Các doanh nghiệp phải có chính sách bảo mật dữ liệu và đào tạo cho nhân viên về việc bảo mật dữ liệu.
- Các doanh nghiệp phải chuẩn bị sẵn sàng cho việc báo cáo vi phạm và xử lý các trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân.
Những lưu ý khi áp dụng Nghị định 13 về bảo vệ dữ liệu cá nhân
Để đảm bảo tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13, các doanh nghiệp cần lưu ý:
- Thực hiện các biện pháp bảo mật dữ liệu cá nhân như yêu cầu của Nghị định 13.
- Cập nhật và kiểm tra tính chính xác của dữ liệu cá nhân đang sở hữu.
- Đảm bảo tính minh bạch và công bằng trong việc thu thập, sử dụng dữ liệu cá nhân của khách hàng.
- Đào tạo cho nhân viên về việc bảo mật dữ liệu cá nhân và chuẩn bị sẵn sàng cho việc báo cáo vi phạm và xử lý các trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân.
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là một bước tiến quan trọng trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân của người dân. Bảo vệ dữ liệu cá nhân là hoạt động cần thiết để phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan theo quy định của pháp luật. Quy định rõ các quyền và trách nhiệm của cá nhân liên quan đến dữ liệu cá nhân, cũng như yêu cầu các tổ chức, cá nhân thu thập và xử lý dữ liệu phải tuân thủ nghiêm ngặt các biện pháp bảo mật thông tin. Điều này sẽ góp phần tăng cường sự minh bạch, công bằng và an toàn trong việc thu thập và xử lý dữ liệu cá nhân.
Tuy nhiên, để áp dụng hiệu quả Nghị định 13, các doanh nghiệp cần lưu ý và thực hiện đầy đủ các quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật. Trên đây là những phân tích chuyên sâu của DPVN về Nghị định 13. Mọi thắc mắc cần được giải đáp, hãy liên với chúng tôi qua Hotline 0982976486 để được tư vấn.