Quyền được biết của chủ thể dữ liệu cá nhân theo Nghị định 13

Nhận thức được tầm quan trọng của việc dữ liệu cá nhân đã trở thành một loại tài sản giá trị, đồng thời là đối tượng cần được bảo vệ, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã được ban hành, trong đó quy định rõ về quyền được biết của chủ thể dữ liệu cá nhân. Hãy cùng DPVN tìm hiểu chi tiết hơn để nắm rõ thông tin về quyền được biết.

Quyền được biết là một trong những quyền cơ bản của chủ thể dữ liệu cá nhân, được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP. Theo đó, chủ thể dữ liệu cá nhân có quyền được biết về các thông tin liên quan đến việc xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

Cụ thể, chủ thể dữ liệu cá nhân có quyền được biết về:

• Mục đích xử lý dữ liệu cá nhân: Chủ thể dữ liệu cá nhân có quyền được biết dữ liệu cá nhân của mình đang được xử lý cho mục đích gì. Ví dụ: để cung cấp dịch vụ, để tiếp thị, để nghiên cứu thị trường, v.v.
• Phạm vi xử lý dữ liệu cá nhân: Chủ thể dữ liệu cá nhân có quyền được biết những dữ liệu cá nhân nào của mình đang được xử lý. Ví dụ: họ tên, số điện thoại, địa chỉ email, v.v.
• Thời gian lưu trữ dữ liệu cá nhân: Chủ thể dữ liệu cá nhân có quyền được biết dữ liệu cá nhân của mình sẽ được lưu trữ trong bao lâu.
• Bên thứ ba nhận dữ liệu cá nhân: Chủ thể dữ liệu cá nhân có quyền được biết những bên thứ ba nào sẽ được cung cấp dữ liệu cá nhân của mình.

Ví dụ:

• Khi một khách hàng đăng ký sử dụng dịch vụ của một doanh nghiệp, khách hàng có quyền được biết doanh nghiệp sẽ thu thập những thông tin cá nhân nào của mình, mục đích thu thập thông tin đó là gì, thông tin sẽ được lưu trữ trong bao lâu và liệu có được chia sẻ cho bên thứ ba hay không.
• Khi một người lao động ký kết hợp đồng lao động với một công ty, người lao động có quyền được biết công ty sẽ thu thập và xử lý những thông tin cá nhân nào của mình, mục đích sử dụng thông tin đó là gì, và ai sẽ có quyền truy cập vào thông tin đó.

Quyền được biết là một quyền quan trọng của chủ thể dữ liệu cá nhân, giúp họ kiểm soát được việc xử lý dữ liệu cá nhân của mình và đảm bảo rằng dữ liệu cá nhân của họ được sử dụng một cách hợp pháp và minh bạch. Doanh nghiệp cần tôn trọng và đảm bảo quyền được biết của chủ thể dữ liệu cá nhân bằng cách cung cấp thông tin đầy đủ, chính xác và kịp thời về hoạt động xử lý dữ liệu cá nhân của mình.

Nghị định 13/2023/NĐ-CP quy định rõ doanh nghiệp có trách nhiệm đảm bảo quyền được biết của chủ thể dữ liệu cá nhân thông qua các quy định sau:

1. Thông báo cho chủ thể dữ liệu cá nhân về hoạt động xử lý dữ liệu cá nhân của họ theo Điều 13 Nghị định 13/2023/NĐ-CP

Điều 13 Nghị định 13/2023/NĐ-CP quy định về nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân. Theo đó, trước khi tiến hành xử lý dữ liệu cá nhân, doanh nghiệp cần phải thông báo cho chủ thể dữ liệu cá nhân biết về:

• Mục đích xử lý dữ liệu cá nhân: Doanh nghiệp cần nêu rõ mục đích thu thập và xử lý dữ liệu cá nhân, ví dụ như để quản lý nhân sự, chăm sóc khách hàng, tiếp thị sản phẩm/dịch vụ (nếu có sự đồng ý của khách hàng).
• Loại dữ liệu cá nhân được thu thập: Doanh nghiệp cần liệt kê cụ thể các loại dữ liệu cá nhân mà doanh nghiệp sẽ thu thập và xử lý (ví dụ: họ tên, số điện thoại, địa chỉ email, thông tin giao dịch, v.v.).
• Cách thức xử lý: Doanh nghiệp cần nêu rõ cách thức xử lý dữ liệu cá nhân, bao gồm các hoạt động như thu thập, lưu trữ, sử dụng, chia sẻ, v.v.
• Thông tin về các bên thứ ba nhận dữ liệu cá nhân: Nếu doanh nghiệp có chia sẻ dữ liệu cá nhân của chủ thể với bên thứ ba, doanh nghiệp cần phải thông báo cho chủ thể biết về các bên thứ ba đó.
• Hậu quả, thiệt hại không mong muốn có khả năng xảy ra: Doanh nghiệp cần thông báo cho chủ thể dữ liệu về những rủi ro có thể xảy ra đối với dữ liệu cá nhân của họ, chẳng hạn như việc dữ liệu cá nhân có thể bị rò rỉ, đánh cắp, hoặc sử dụng sai mục đích.
• Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu: Doanh nghiệp cần thông báo cho chủ thể dữ liệu về thời gian bắt đầu và thời gian kết thúc xử lý dữ liệu cá nhân của họ.

Việc thông báo này phải được thực hiện một cách rõ ràng, dễ hiểu và dễ tiếp cận đối với chủ thể dữ liệu cá nhân. Doanh nghiệp có thể thông báo bằng nhiều hình thức khác nhau, chẳng hạn như thông qua văn bản, email, hoặc trên website của doanh nghiệp.

2. Cung cấp thông tin về hoạt động xử lý dữ liệu cá nhân khi được chủ thể dữ liệu cá nhân yêu cầu theo Điều 14 Nghị định 13/2023/NĐ-CP

Điều 14 Nghị định 13/2023/NĐ-CP quy định về quyền được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cá nhân, không đề cập đến các vấn đề như mục đích xử lý, phạm vi xử lý, thời gian lưu trữ hay thông tin về các bên thứ ba nhận dữ liệu cá nhân.

Theo đó, khi chủ thể dữ liệu cá nhân yêu cầu, bên kiểm soát dữ liệu cá nhân có trách nhiệm cung cấp cho họ bản sao dữ liệu cá nhân của mình. Việc cung cấp này phải được thực hiện trong vòng 72 giờ sau khi có yêu cầu, trừ trường hợp pháp luật có quy định khác.

Lưu ý: Doanh nghiệp cần đặc biệt chú ý tới khoản 4 Điều 13 quy định về các trường hợp không cần thực hiện thông báo cho chủ thể dữ liệu, cụ thể bao gồm các trường hợp:

• Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội.
• Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác.
• Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.

Doanh nghiệp có thể tham khảo Mẫu số 01, 02 tại Phụ lục của Nghị định 13/2023/NĐ-CP để xây dựng Phiếu yêu cầu cung cấp dữ liệu cá nhân.

Trách nhiệm của doanh nghiệp trong việc đảm bảo quyền được biết của chủ thể dữ liệu cá nhân được quy định tại Điều 13 (Thông báo xử lý dữ liệu cá nhân) của Nghị định 13/2023/NĐ-CP. Theo đó, doanh nghiệp cần phải thông báo cho chủ thể dữ liệu cá nhân biết về các thông tin liên quan đến việc xử lý dữ liệu cá nhân của họ, bao gồm mục đích xử lý, loại dữ liệu cá nhân được thu thập, phương thức xử lý, thời gian lưu trữ, các bên thứ ba được cung cấp dữ liệu cá nhân, v.v.

3. Giải thích các thuật ngữ chuyên ngành liên quan đến bảo vệ dữ liệu cá nhân cho chủ thể dữ liệu cá nhân một cách dễ hiểu

Trong quá trình thông báo hoặc cung cấp thông tin về hoạt động xử lý dữ liệu cá nhân cho chủ thể dữ liệu cá nhân, doanh nghiệp cần sử dụng ngôn ngữ đơn giản, dễ hiểu, tránh sử dụng các thuật ngữ chuyên ngành mà chủ thể dữ liệu cá nhân có thể không hiểu được. Nếu bắt buộc phải sử dụng thuật ngữ chuyên ngành, doanh nghiệp cần giải thích rõ ràng ý nghĩa của các thuật ngữ đó.

Ví dụ: Thay vì nói “chúng tôi sẽ tiến hành bí danh hóa dữ liệu cá nhân của bạn”, doanh nghiệp có thể nói “chúng tôi sẽ thay thế các thông tin cá nhân của bạn bằng các mã số để bảo vệ thông tin của bạn”.

4. Xây dựng quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu cá nhân về quyền được biết

Doanh nghiệp cần xây dựng quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu cá nhân về quyền được biết. Quy trình này cần đảm bảo tính kịp thời, hiệu quả và minh bạch.

Ví dụ về quy trình tiếp nhận và xử lý yêu cầu:

• Bước 1. Tiếp nhận yêu cầu: Tiếp nhận yêu cầu của chủ thể dữ liệu cá nhân qua các kênh liên lạc như email, điện thoại, hoặc trực tiếp tại văn phòng công ty.
• Bước 2. Xác minh danh tính: Xác minh danh tính của chủ thể dữ liệu cá nhân để đảm bảo rằng họ là người có quyền yêu cầu cung cấp thông tin.
• Bước 3. Xử lý yêu cầu: Cung cấp thông tin cho chủ thể dữ liệu cá nhân theo yêu cầu của họ trong thời gian quy định.
• Bước 4. Lưu trữ hồ sơ: Lưu trữ hồ sơ về yêu cầu và quá trình xử lý yêu cầu của chủ thể dữ liệu cá nhân.

Lưu ý: Đây chỉ là một ví dụ về quy trình tiếp nhận và xử lý yêu cầu. Doanh nghiệp cần xây dựng quy trình phù hợp với quy mô và đặc thù hoạt động của mình.

Việc đảm bảo quyền được biết của chủ thể dữ liệu cá nhân mang lại nhiều lợi ích cho cả doanh nghiệp và chủ thể dữ liệu cá nhân, cụ thể như sau:

1. Tăng cường sự minh bạch và tin cậy giữa doanh nghiệp và khách hàng, đối tác

Khi doanh nghiệp minh bạch về hoạt động xử lý dữ liệu cá nhân, khách hàng và đối tác sẽ cảm thấy yên tâm hơn khi cung cấp thông tin cho doanh nghiệp.

Điều này giúp xây dựng mối quan hệ hợp tác lâu dài và bền vững dựa trên sự tin tưởng lẫn nhau.

Ví dụ: Một doanh nghiệp thương mại điện tử công khai và giải thích rõ ràng về cách thức thu thập, sử dụng và bảo vệ thông tin cá nhân của khách hàng sẽ tạo được niềm tin và thu hút khách hàng quay lại sử dụng dịch vụ.

2. Giúp doanh nghiệp phát hiện và ngăn chặn các hành vi xâm phạm dữ liệu cá nhân

Khi chủ thể dữ liệu cá nhân được biết về hoạt động xử lý dữ liệu cá nhân của mình, họ có thể dễ dàng phát hiện ra các hành vi xâm phạm và thông báo cho doanh nghiệp để có biện pháp xử lý kịp thời.

Ví dụ: Nếu một khách hàng phát hiện thông tin cá nhân của mình bị sử dụng sai mục đích, họ có thể báo cáo với doanh nghiệp để doanh nghiệp có biện pháp khắc phục và ngăn chặn kịp thời.

3. Nâng cao uy tín và hình ảnh của doanh nghiệp

Việc đảm bảo quyền được biết của chủ thể dữ liệu cá nhân thể hiện sự tôn trọng và trách nhiệm của doanh nghiệp đối với khách hàng và đối tác.

Điều này giúp doanh nghiệp xây dựng được hình ảnh tích cực trong mắt khách hàng và đối tác, từ đó nâng cao uy tín và thương hiệu của mình.

Ví dụ: Một doanh nghiệp có chính sách bảo vệ dữ liệu cá nhân rõ ràng và minh bạch, đồng thời luôn sẵn sàng cung cấp thông tin cho khách hàng về hoạt động xử lý dữ liệu cá nhân sẽ được đánh giá cao về sự chuyên nghiệp và uy tín.

Trong quá trình rà soát, triển khai dịch vụ tư vấn tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân cho các doanh nghiệp, DPVN nhận thấy rằng, thực trạng về việc thực hiện quyền được biết của chủ thể dữ liệu cá nhân tại các doanh nghiệp Việt Nam còn nhiều khó khăn.

Mặc dù Nghị định 13/2023/NĐ-CP đã có hiệu lực từ 01/07/2023, nhưng trên thực tế, nhiều doanh nghiệp vẫn chưa thực hiện đầy đủ quyền được biết của chủ thể dữ liệu cá nhân. Theo tình hình thực tế DPVN nắm bắt được, các doanh nghiệp thường không thông báo đầy đủ hoặc không thông báo cho chủ thể dữ liệu cá nhân về mục đích xử lý, phạm vi, phương thức xử lý và thời gian lưu trữ dữ liệu cá nhân. Khi chủ thể dữ liệu cá nhân yêu cầu cung cấp thông tin về hoạt động xử lý dữ liệu cá nhân của mình, doanh nghiệp thường không phản hồi hoặc phản hồi chậm trễ.

Vậy nguyên nhân của thực trạng trên là do đâu?

Nhiều doanh nghiệp chưa nhận thức đầy đủ về tầm quan trọng của quyền được biết của chủ thể dữ liệu cá nhân. Họ cho rằng việc này không quan trọng hoặc không ảnh hưởng đến hoạt động kinh doanh của mình.

Việc thực hiện quyền được biết của chủ thể dữ liệu cá nhân đòi hỏi doanh nghiệp phải đầu tư thời gian, công sức và chi phí. Nhiều doanh nghiệp, đặc biệt là các doanh nghiệp nhỏ và vừa, không có đủ nguồn lực để thực hiện việc này.

Nhiều doanh nghiệp chưa xây dựng quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu cá nhân về quyền được biết. Điều này dẫn đến việc doanh nghiệp không biết cách xử lý các yêu cầu này một cách kịp thời và hiệu quả.

Giải pháp DPVN đưa ra để hỗ trợ khách hàng cải thiện thực trạng trên bao gồm:

• Doanh nghiệp cần nâng cao nhận thức về tầm quan trọng của quyền được biết của chủ thể dữ liệu cá nhân. Doanh nghiệp cần hiểu rằng việc đảm bảo quyền này không chỉ là yêu cầu của pháp luật mà còn là một cách để xây dựng niềm tin với khách hàng và đối tác.
• Doanh nghiệp cần xây dựng quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu cá nhân về quyền được biết. Quy trình này cần rõ ràng, minh bạch và dễ thực hiện.
• Doanh nghiệp cần đào tạo nhân viên về quyền được biết của chủ thể dữ liệu cá nhân và cách thức thực hiện quy trình tiếp nhận và xử lý yêu cầu.
• Doanh nghiệp có thể sử dụng các công cụ hỗ trợ để quản lý và xử lý yêu cầu của chủ thể dữ liệu cá nhân về quyền được biết.

Trung tâm DPVN khuyến nghị các doanh nghiệp cần chủ động thực hiện các giải pháp trên để đảm bảo quyền được biết của chủ thể dữ liệu cá nhân, góp phần xây dựng môi trường kinh doanh minh bạch và đáng tin cậy.

Quyền được biết của chủ thể dữ liệu cá nhân là một trong những quyền quan trọng nhất của chủ thể dữ liệu cá nhân, được quy định rõ trong Nghị định 13/2023/NĐ-CP. Việc đảm bảo quyền này không chỉ là yêu cầu pháp lý mà còn mang lại nhiều lợi ích cho doanh nghiệp, giúp doanh nghiệp minh bạch hóa hoạt động xử lý dữ liệu cá nhân, tạo dựng niềm tin với khách hàng và đối tác, từ đó nâng cao uy tín và thương hiệu.

Tuy nhiên, trên thực tế, việc thực hiện quyền được biết của chủ thể dữ liệu cá nhân tại các doanh nghiệp Việt Nam vẫn còn nhiều khó khăn do thiếu nhận thức, thiếu nguồn lực và thiếu quy trình. Do đó, doanh nghiệp cần chủ động tìm hiểu và thực hiện đúng quy định của pháp luật về quyền được biết của chủ thể dữ liệu cá nhân.

DPVN với đội ngũ luật sư và chuyên viên pháp lý dày dặn kinh nghiệm và am hiểu chuyên sâu về luật pháp Việt Nam và quốc tế liên quan đến dữ liệu cá nhân, cam kết mang đến cho khách hàng những giải pháp pháp lý hiệu quả và tối ưu nhất, hỗ trợ doanh nghiệp tuân thủ đầy đủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân.