Thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân

Thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân 2024

Trong bối cảnh công nghệ số ngày càng phát triển, hoạt động xử lý dữ liệu cá nhân đã trở thành một phần không thể thiếu trong hoạt động của các tổ chức, cá nhân. Tuy nhiên, nếu không được thực hiện đúng quy định pháp luật, hoạt động này tiềm ẩn rất nhiều rủi ro pháp lý, từ xử phạt hành chính đến trách nhiệm hình sự. Việc thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân là biện pháp quan trọng nhằm đảm bảo an toàn thông tin và bảo vệ quyền lợi của các chủ thể dữ liệu cá nhân. DPVN sẽ cùng bạn đi sâu vào phân tích các quy định pháp luật liên quan đến vấn đề này, từ đó giúp bạn hiểu rõ hơn về quyền và nghĩa vụ của mình trong việc xử lý dữ liệu cá nhân.

Cơ sở pháp lý về thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Chính phủ

Nghị định 13/2023/NĐ-CP là văn bản pháp lý quan trọng nhất hiện nay về bảo vệ dữ liệu cá nhân tại Việt Nam. Về vấn đề thanh tra, kiểm tra, Nghị định đề cập đến những nội dung sau:

  • Khoản 6 Điều 5: Quy định rõ một trong những nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân là “Thanh tra, kiểm tra việc thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân; giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.”
  • Khoản 7 Điều 32: Cụ thể hóa thẩm quyền thanh tra, kiểm tra thuộc về Bộ Công an, thể hiện qua trách nhiệm “Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định của pháp luật.”

Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng

Dự thảo Nghị định xử phạt không những nhắc lại thẩm quyền thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền mà còn quy định rõ các hành vi cản trở, không chấp hành hoạt động thanh tra, kiểm tra, cụ thể như sau:

  • Điều 48: Mở rộng phạm vi thanh tra, kiểm tra, không chỉ cơ quan nhà nước mà còn bao gồm những người có thẩm quyền xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng quy định tại các điều 42, 43, 44, 45, 46, 47, 48 của Dự thảo Nghị định.
  • Điểm đ khoản 1 Điều 34: Xử phạt hành vi không có hệ thống máy chủ đặt tại Việt Nam gây cản trở hoạt động thanh tra, kiểm tra của cơ quan nhà nước.
  • Điểm b khoản 1 Điều 38: Xử phạt hành vi không chấp hành, cản trở, làm mất tác dụng các biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách thực hiện.
  • Điểm đ khoản 1 Điều 41: Xử phạt hành vi không chấp hành yêu cầu kiểm tra chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

Như vậy, có thể thấy, cả Nghị định 13/2023/NĐ-CP và Dự thảo Nghị định đều nhấn mạnh vai trò của thanh tra, kiểm tra trong việc đảm bảo tuân thủ pháp luật về bảo vệ dữ liệu cá nhân. Dự thảo Nghị định còn đưa ra các quy định cụ thể hơn, nhằm tăng cường tính hiệu quả của hoạt động thanh tra, kiểm tra cũng như đảm bảo quyền lực của cơ quan chức năng trong việc xử lý các hành vi vi phạm.

Cơ sở pháp lý thanh tra kiểm tra về bảo vệ dữ liệu cá nhân
Cơ sở pháp lý thanh tra kiểm tra về bảo vệ dữ liệu cá nhân

Đối tượng thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP không quy định cụ thể về đối tượng thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân. Tuy nhiên, căn cứ Điều 5 và Điều 32 của Nghị định, có thể suy ra các đối tượng sau có khả năng bị thanh tra, kiểm tra:

  • Cơ quan, tổ chức, cá nhân Việt Nam: Tất cả các cơ quan, tổ chức, cá nhân Việt Nam đều thuộc phạm vi điều chỉnh của Nghị định và có thể bị thanh tra, kiểm tra nếu có dấu hiệu vi phạm các quy định về bảo vệ dữ liệu cá nhân.
  • Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam: Các doanh nghiệp nước ngoài hoạt động tại Việt Nam cũng phải tuân thủ Nghị định này và có thể bị thanh tra, kiểm tra về hoạt động xử lý dữ liệu cá nhân của mình.
  • Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài: Các doanh nghiệp Việt Nam hoạt động tại nước ngoài nếu có xử lý dữ liệu cá nhân của công dân Việt Nam thì vẫn phải tuân thủ Nghị định và có thể bị kiểm tra khi có dấu hiệu vi phạm.
  • Cơ quan, tổ chức, cá nhân nước ngoài có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam: Các doanh nghiệp nước ngoài không hoạt động trực tiếp tại Việt Nam nhưng có tham gia vào quá trình xử lý dữ liệu cá nhân tại Việt Nam (ví dụ: cung cấp dịch vụ lưu trữ dữ liệu) cũng có thể bị kiểm tra nếu có vi phạm.
  • Ngoài ra, một số trường hợp có khả năng bị thanh tra, kiểm tra cao hơn bao gồm:
    • Doanh nghiệp hoạt động trong các lĩnh vực thu thập, xử lý và lưu trữ dữ liệu cá nhân: Ví dụ như công nghệ thông tin, tài chính, ngân hàng, bảo hiểm, y tế, giáo dục, thương mại điện tử, viễn thông,…
    • Các doanh nghiệp có quy mô lớn, có lượng dữ liệu cá nhân lớn hoặc nhạy cảm: Doanh nghiệp lớn thường thu thập và xử lý một lượng lớn dữ liệu cá nhân, do đó nguy cơ vi phạm cũng cao hơn.
    • Doanh nghiệp đã từng vi phạm quy định về bảo vệ dữ liệu cá nhân: Các doanh nghiệp này sẽ bị giám sát chặt chẽ hơn và có thể bị kiểm tra định kỳ để đảm bảo tuân thủ.
doi tuong thanh tra kiem tra ve bao ve du lieu ca nhan
Đối tượng thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân

Nội dung thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân

Theo Nghị định 13/2023/NĐ-CP không có quy định cụ thể về nội dung thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân. Theo phân tích của DPVN, nội dung thanh tra, kiểm tra có thể bao gồm:

Kiểm tra việc thu thập dữ liệu cá nhân
  • Tính minh bạch: Doanh nghiệp có thông báo rõ ràng cho chủ thể dữ liệu về mục đích, phạm vi thu thập và xử lý dữ liệu cá nhân hay không (Điều 13). Việc thông báo này phải được thực hiện trước khi thu thập dữ liệu và phải được thể hiện ở định dạng có thể in, sao chép (Điều 11, Điều 13).
  • Sự đồng ý của chủ thể dữ liệu: Doanh nghiệp có thu thập được sự đồng ý của chủ thể dữ liệu trước khi xử lý dữ liệu cá nhân hay không. Sự đồng ý này phải rõ ràng, cụ thể và tự nguyện (Điều 11).
Kiểm tra việc xử lý và lưu trữ dữ liệu cá nhân
  • Tính bảo mật: Hệ thống lưu trữ dữ liệu cá nhân của doanh nghiệp có đảm bảo an toàn, không bị truy cập trái phép hay không (Điều 3).
  • Biện pháp bảo vệ: Doanh nghiệp có áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân, như mã hóa, phân quyền truy cập, sao lưu dữ liệu,… hay không (Điều 26).
  • Tuân thủ nguyên tắc bảo vệ dữ liệu cá nhân: Doanh nghiệp có xử lý dữ liệu cá nhân đúng mục đích, phạm vi, thời gian lưu trữ đã được đăng ký, công bố hay không (Điều 3).
Kiểm tra việc chia sẻ và tiết lộ dữ liệu cá nhân
  • Tính hợp pháp: Việc doanh nghiệp chia sẻ, tiết lộ dữ liệu cá nhân cho bên thứ ba, đối tác có đúng quy định của pháp luật và các thỏa thuận đã ký kết hay không (Điều 14).
  • Sự đồng ý: Trường hợp cần thiết, doanh nghiệp có xin phép chủ thể dữ liệu trước khi chia sẻ, tiết lộ dữ liệu cá nhân hay không (Điều 14).
Kiểm tra trách nhiệm của doanh nghiệp
  • Người phụ trách: Doanh nghiệp có chỉ định người phụ trách bảo vệ dữ liệu cá nhân và thông báo cho cơ quan chuyên trách hay không (Điều 28).
  • Đào tạo nhân viên: Doanh nghiệp có tổ chức đào tạo nhân viên về bảo vệ dữ liệu cá nhân hay không (Điều 30).
  • Quy trình xử lý sự cố: Doanh nghiệp có xây dựng quy trình xử lý sự cố liên quan đến dữ liệu cá nhân (như lộ lọt, mất mát dữ liệu) và thông báo cho cơ quan chức năng khi xảy ra sự cố hay không (Điều 23).

Việc thanh tra, kiểm tra nhằm đảm bảo rằng doanh nghiệp tuân thủ các quy định về bảo vệ dữ liệu cá nhân, từ đó bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu.

Nội dung thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân
Nội dung thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân

Quy trình thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân

Kế hoạch thanh tra, kiểm tra

Nghị định 13/2023/NĐ-CP không quy định cụ thể về kế hoạch thanh tra, kiểm tra bảo vệ dữ liệu cá nhân. Tuy nhiên, căn cứ theo khoản 6 Điều 5 của Nghị định, thẩm quyền thanh tra, kiểm tra thuộc về cơ quan quản lý nhà nước về bảo vệ dữ liệu cá nhân. Theo Điều 29 của Nghị định, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) là cơ quan chuyên trách về bảo vệ dữ liệu cá nhân. Do đó, có thể suy luận rằng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao là cơ quan có thẩm quyền lập kế hoạch thanh tra, kiểm tra.

Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng cũng không quy định cụ thể về nội dung kế hoạch thanh tra, kiểm tra. Tuy nhiên, căn cứ vào các quy định về thanh tra, kiểm tra trong các lĩnh vực khác, có thể suy luận rằng kế hoạch thanh tra, kiểm tra bảo vệ dữ liệu cá nhân cần bao gồm các nội dung sau:

  • Mục đích, phạm vi thanh tra, kiểm tra;
  • Thời gian tiến hành thanh tra, kiểm tra;
  • Đối tượng được thanh tra, kiểm tra;
  • Thành phần đoàn thanh tra, kiểm tra;
  • Nội dung thanh tra, kiểm tra;
  • Phương pháp thanh tra, kiểm tra;

Tiến hành thanh tra, kiểm tra

Dự thảo Nghị định quy định người có thẩm quyền xử phạt vi phạm hành chính có thẩm quyền tiến hành thanh tra, kiểm tra (Điều 48). Cụ thể hơn, theo Điều 42, 43, 44, 45, 46 và 47, những người có thẩm quyền này bao gồm:

  • Trưởng Công an cấp huyện, Trưởng phòng nghiệp vụ thuộc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao; Trưởng phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Trưởng phòng An ninh chính trị nội bộ; Trưởng phòng Cảnh sát điều tra tội phạm về trật tự xã hội thuộc Công an cấp tỉnh.
  • Giám đốc Công an cấp tỉnh
  • Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao
  • Chủ tịch Ủy ban Nhân dân cấp huyện, cấp tỉnh
  • Chánh Thanh tra Sở Thông tin và Truyền thông; Trưởng đoàn thanh tra chuyên ngành của Sở Thông tin và Truyền thông
  • Chánh Thanh tra Bộ Thông tin và Truyền thông, Cục trưởng Cục Viễn thông, Cục trưởng Cục Phát thanh, truyền hình và thông tin điện tử, Cục trưởng Cục Tần số vô tuyến điện
  • Chánh Thanh tra Quốc phòng
    Người có thẩm quyền xử phạt vi phạm hành chính thuộc Ban Cơ yếu Chính phủ
  • Chánh Thanh tra Văn hóa, Thể thao và Du lịch
  • Chánh Thanh tra Bộ Lao động – Thương binh và Xã hội

Quyền hạn của đoàn thanh tra, kiểm tra bao gồm:

  • Yêu cầu tổ chức, cá nhân được thanh tra, kiểm tra cung cấp hồ sơ, tài liệu, thông tin liên quan đến hoạt động xử lý dữ liệu cá nhân.
  • Kiểm tra tại chỗ hệ thống cơ sở vật chất, kỹ thuật, công nghệ thông tin của tổ chức, cá nhân được thanh tra, kiểm tra.
  • Yêu cầu tổ chức, cá nhân được thanh tra, kiểm tra giải trình về các vấn đề liên quan đến hoạt động xử lý dữ liệu cá nhân.

Kết luận thanh tra, kiểm tra

Nghị định 13/2023/NĐ-CP và Dự thảo Nghị định không quy định cụ thể về hình thức, nội dung và thời hạn thông báo kết luận thanh tra, kiểm tra. Tuy nhiên, có thể suy luận rằng kết luận thanh tra, kiểm tra sẽ được lập thành văn bản và thông báo cho tổ chức, cá nhân được thanh tra, kiểm tra theo quy định của pháp luật về thanh tra, kiểm tra.

Nội dung kết luận thanh tra, kiểm tra có thể bao gồm các nội dung:

  • Tình hình chấp hành pháp luật về bảo vệ dữ liệu cá nhân của tổ chức, cá nhân được thanh tra, kiểm tra.
  • Các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân (nếu có).
  • Các biện pháp xử lý, khắc phục hậu quả đối với các hành vi vi phạm (nếu có).
  • Các kiến nghị, đề xuất nhằm hoàn thiện hoạt động bảo vệ dữ liệu cá nhân của tổ chức, cá nhân được thanh tra, kiểm tra.

Lưu ý: Các quy định về thanh tra, kiểm tra bảo vệ dữ liệu cá nhân trong Nghị định 13/2023/NĐ-CP và Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng còn sơ sài và chưa đầy đủ. Do đó, trong quá trình thực hiện, các cơ quan chức năng cần phải ban hành các văn bản hướng dẫn chi tiết để đảm bảo tính thống nhất và hiệu quả của hoạt động thanh tra, kiểm tra.

Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP không quy định cụ thể quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân mà quy định chung là tùy theo tính chất và mức độ vi phạm, các cá nhân, tổ chức vi phạm có thể bị xử lý theo hình thức kỷ luật, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự (Điều 4). Tuy nhiên, căn cứ Điều 23 của Nghị định 13, có thể suy ra một số nội dung cơ bản của quy trình xử lý vi phạm như sau:

  • Phát hiện vi phạm: Bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân hoặc bất kỳ cá nhân, tổ chức nào khác phát hiện hành vi vi phạm đều có thể thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Cục An ninh mạng) thuộc Bộ Công an.
  • Thông báo vi phạm: Bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thông báo cho Cục ANM trong vòng 72 giờ kể từ khi phát hiện vi phạm (Điều 23).
  • Xác minh vi phạm: Cục ANM sẽ tiến hành xác minh thông tin vi phạm.
  • Xử lý vi phạm: Tùy theo tính chất và mức độ vi phạm, Cục ANM hoặc cơ quan có thẩm quyền khác sẽ tiến hành xử lý theo quy định của pháp luật.
  • Khiếu nại: Cá nhân, tổ chức bị xử lý có quyền khiếu nại theo quy định của pháp luật (Điều 9).

Các hình thức xử lý vi phạm có thể bao gồm:

  • Xử lý kỷ luật: Áp dụng đối với cán bộ, công chức, viên chức vi phạm trong quá trình thực hiện công vụ.
  • Xử phạt vi phạm hành chính: Áp dụng đối với các hành vi vi phạm không đủ yếu tố cấu thành tội phạm. Các mức phạt có thể là cảnh cáo, phạt tiền, tịch thu tang vật,…
  • Truy cứu trách nhiệm hình sự: Áp dụng đối với các hành vi vi phạm nghiêm trọng, đủ yếu tố cấu thành tội phạm.

Lưu ý: Nghị định 13 không quy định cụ thể về quy trình và hình thức xử lý vi phạm. Quy trình và hình thức xử lý vi phạm sẽ được thực hiện theo quy định của pháp luật hiện hành.

Nghĩa vụ và quyền của doanh nghiệp trong quá trình thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP không quy định cụ thể về quyền và nghĩa vụ của doanh nghiệp khi bị thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân. Tuy nhiên, căn cứ vào các quy định của Nghị định, có thể suy luận một số quyền và nghĩa vụ sau đây:

  • Nghĩa vụ của doanh nghiệp trong quá trình thanh tra và kiểm tra (Theo Điều 38 Nghị định 13):
    • Hợp tác đầy đủ với đoàn thanh tra, kiểm tra: Doanh nghiệp có nghĩa vụ tạo điều kiện thuận lợi cho đoàn thanh tra, kiểm tra thực hiện nhiệm vụ, bao gồm cung cấp không gian làm việc, tạo điều kiện tiếp cận hồ sơ, tài liệu, hệ thống công nghệ thông tin liên quan đến việc xử lý dữ liệu cá nhân.
    • Cung cấp đầy đủ thông tin, tài liệu liên quan: Doanh nghiệp phải cung cấp trung thực, đầy đủ và chính xác các thông tin, tài liệu liên quan đến hoạt động xử lý dữ liệu cá nhân theo yêu cầu của đoàn thanh tra, kiểm tra.
    • Khắc phục hậu quả nếu có vi phạm: Nếu bị phát hiện vi phạm, doanh nghiệp có nghĩa vụ khắc phục hậu quả, sửa chữa sai phạm và thực hiện các biện pháp khắc phục theo yêu cầu của cơ quan chức năng.
  • Quyền của doanh nghiệp trong quá trình thanh tra và kiểm tra: Khiếu nại nếu không đồng ý với kết quả thanh tra, kiểm tra: Doanh nghiệp có quyền khiếu nại nếu cho rằng kết quả thanh tra, kiểm tra là không chính xác hoặc không khách quan. Việc khiếu nại phải được thực hiện theo quy định của pháp luật (Điều 9).

Lưu ý: Các quyền và nghĩa vụ trên DPVN phân tích và suy luận từ các quy định của Nghị định 13/2023/NĐ-CP và các quy định pháp luật có liên quan. Doanh nghiệp cần tìm hiểu kỹ các quy định này để đảm bảo quyền lợi của mình trong quá trình thanh tra, kiểm tra.

Hoạt động thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân đóng vai trò then chốt trong việc đảm bảo các tổ chức, doanh nghiệp tuân thủ các quy định của pháp luật, từ đó bảo vệ quyền lợi của người dân. Để nâng cao hiệu quả của công tác này, cần có sự phối hợp chặt chẽ giữa các cơ quan chức năng, đồng thời tăng cường ứng dụng công nghệ thông tin trong quá trình thanh tra, kiểm tra.

Về phía doanh nghiệp, việc chủ động tìm hiểu và áp dụng các biện pháp bảo vệ dữ liệu cá nhân không chỉ giúp tránh các rủi ro pháp lý mà còn nâng cao uy tín và niềm tin của khách hàng, đối tác. Doanh nghiệp cần xây dựng quy trình quản lý dữ liệu cá nhân chặt chẽ, đào tạo nâng cao nhận thức cho nhân viên về tầm quan trọng của việc bảo vệ dữ liệu cá nhân, đồng thời thường xuyên rà soát và cập nhật các biện pháp bảo vệ dữ liệu để phù hợp với tình hình thực tế.

Liên hệ với DPVN để được tư vấn miễn phí