Trong thời đại kỹ thuật số hiện nay, bảo vệ dữ liệu cá nhân đã trở thành một vấn đề cấp bách với sự gia tăng các cuộc tấn công mạng và các hình thức xâm phạm quyền riêng tư. Nghị định 13/2023/NĐ-CP ra đời không chỉ đặt ra các yêu cầu nghiêm ngặt về việc thu thập, xử lý và lưu trữ dữ liệu cá nhân mà còn quy định rõ trách nhiệm của các bên liên quan trong việc thông báo vi phạm dữ liệu cá nhân. Việc thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân không chỉ là một nghĩa vụ pháp lý mà còn là một hành động thể hiện trách nhiệm và minh bạch của tổ chức, doanh nghiệp, cho phép các bên liên quan chủ động thực hiện các biện pháp giảm thiểu thiệt hại, bảo vệ quyền lợi và duy trì niềm tin. Bài viết này, DPVN sẽ đi sâu vào các trường hợp cần thông báo vi phạm theo Nghị định 13/2023/NĐ-CP, nhấn mạnh tầm quan trọng của việc tuân thủ quy định này đối với sự phát triển bền vững của tổ chức, doanh nghiệp.
Thực trạng vi phạm quy định về bảo vệ dữ liệu cá nhân tại Việt Nam
Tình trạng rò rỉ dữ liệu cá nhân vẫn còn phổ biến
Mặc dù đã có nhiều cảnh báo và quy định nghiêm ngặt, nhưng tình trạng rò rỉ dữ liệu cá nhân vẫn xảy ra khá phổ biến tại Việt Nam.
Theo ông Nguyễn Xuân Nam, trong 10 vụ lộ lọt dữ liệu lớn tại Việt Nam được hệ thống của Viettel Cyber Security ghi nhận quý I/2023, có 1 vụ rao bán khoảng 300GB dữ liệu mã nguồn và dữ liệu khách hàng của một đơn vị làm công nghệ; 2 vụ rao bán, chia sẻ thông tin của nhiều đại học lớn tại Việt Nam với dữ liệu bị rò rỉ là khoảng 500MB cơ sở dữ liệu; 2 vụ rao bán dữ liệu mã nguồn của một số đơn vị truyền thông, bán lẻ với khoảng 3,5 triệu bản ghi; 1 vụ lộ lọt mã nguồn hệ thống và dữ liệu khách hàng của đơn vị hoạt động trong lĩnh vực năng lượng; và 4 vụ lộ lọt thông tin cá nhân khác, với khoảng 15GB mã nguồn cùng xấp xỉ 4 triệu bản ghi.
Tham khảo nguồn: https://mic.gov.vn/
Nhiều doanh nghiệp chưa tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân
Các doanh nghiệp tại Việt Nam chưa tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân. Điều này cho thấy mức độ nhận thức và tuân thủ các quy định pháp luật trong lĩnh vực này của các doanh nghiệp còn nhiều hạn chế.
Việc thông báo vi phạm dữ liệu cá nhân chưa được thực hiện một cách triệt để
Mặc dù đã có quy định về việc thông báo vi phạm dữ liệu cá nhân, nhưng trên thực tế, nhiều trường hợp vi phạm vẫn chưa được thông báo kịp thời và đầy đủ. Điều này không chỉ vi phạm pháp luật mà còn gây ra sự thiếu minh bạch và làm giảm lòng tin của người dân đối với các tổ chức, doanh nghiệp.
Các trường hợp cần phải thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Theo Điều 8, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, có 5 trường hợp bị nghiệm cấm và cần phải thông báo vi phạm về bảo vệ dữ liệu cá nhân đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân
Hành vi thu thập, xử lý, sử dụng, lưu trữ, chia sẻ, công bố hoặc thực hiện bất kỳ hành vi nào khác đối với dữ liệu cá nhân mà không tuân thủ các nguyên tắc, quy trình và quy định về bảo vệ dữ liệu cá nhân được quy định trong Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan.
Ví dụ: Thu thập dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu, sử dụng dữ liệu cá nhân cho mục đích khác với mục đích đã được thông báo, không đảm bảo an toàn dữ liệu cá nhân dẫn đến rò rỉ thông tin,…
Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam
Hành vi sử dụng dữ liệu cá nhân để tạo ra, lan truyền thông tin sai lệch, xuyên tạc, kích động bạo lực, gây rối trật tự công cộng, hoặc bất kỳ hành vi nào khác nhằm chống phá Nhà nước.
Ví dụ: Sử dụng dữ liệu cá nhân để tạo tài khoản giả mạo, phát tán thông tin sai lệch về chính sách của Nhà nước, kêu gọi biểu tình, bạo loạn,…
Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác
Hành vi sử dụng dữ liệu cá nhân để tạo ra hoặc lan truyền thông tin gây hoang mang dư luận, đe dọa an ninh quốc gia, xâm phạm quyền riêng tư, gây thiệt hại về tài sản, uy tín của tổ chức, cá nhân khác.
Ví dụ: Sử dụng dữ liệu cá nhân để tống tiền, đe dọa, quấy rối, tung tin đồn thất thiệt,…
Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền
Hành vi Ngăn cản, cản trở hoặc gây khó khăn cho hoạt động kiểm tra, giám sát, xử lý vi phạm về bảo vệ dữ liệu cá nhân của các cơ quan nhà nước có thẩm quyền.
Ví dụ: Không cung cấp thông tin, tài liệu theo yêu cầu của cơ quan chức năng, che giấu hoặc tiêu hủy chứng cứ vi phạm,…
Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật
Hành vi Sử dụng các hoạt động liên quan đến bảo vệ dữ liệu cá nhân như một vỏ bọc để thực hiện các hành vi vi phạm pháp luật khác.
Ví dụ: Giả danh nhân viên bảo vệ dữ liệu cá nhân để lừa đảo, chiếm đoạt tài sản, thu thập thông tin cá nhân trái phép,…
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân là một văn bản chính thức có hiệu lực pháp lý được lập ra khi phát hiện có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.
Ai cần phải thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân?
Theo Khoản 1, 2, Điều 23, Nghị định 13/2023/NĐ-CP, khi phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 72 giờ. Nếu thông báo trễ hơn thời hạn này, cần nêu rõ lý do.
Ngoài ra Bên xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
Thông tin chung thủ tục thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Không quá 10 ngày làm việc (trừ các ngày nghỉ lễ, tết theo quy định)
Đối tượng cần thực hiện thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân là Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân. Ngoài ra Bên xử lý dữ liệu cá nhân cần phải thông báo cho Bên Kiểm soát dữ liệu cá nhân nhanh nhất có thể khi thấy có dấu hiệu vi phạm quy định về bảo vệ dữ liệu cá nhân. Trong đó bao gồm:
- Công dân Việt Nam từ đủ 18 tuổi trở lên.
- Người nước ngoài từ đủ 18 tuổi trở lên nhập cảnh vào Việt Nam.
- Cơ quan, tổ chức Việt Nam.
- Cơ quan, tổ chức nước ngoài tại Việt Nam.
- Cơ quan, tổ chức Việt Nam hoạt động tại nước ngoài.
- Cơ quan, tổ chức nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Có 03 hình thức nộp thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: Trực tuyến; Trực tiếp; Dịch vụ bưu chính công ích.
- Nộp trực tuyến: Truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) – baovedlcn.gov.vn
- Nộp trực tiếp: Tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05)
- Nộp qua đường bưu chính: Tiếp nhận hồ sơ qua dịch vụ bưu chính công ích theo quy định tại Quyết định số 45/2016/NĐ-CP ngày 19/10/2016 của Thủ tướng Chính phủ về việc tiếp nhận hồ sơ, trả kết quả giải quyết thủ tục hành chính qua dịch vụ bưu chính công ích.
Tổ chức, cá nhân gửi trong thời gian 72 giờ, kể từ thời điểm xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân. Nếu nộp chậm hơn 72 giờ, cần nêu rõ lý do.
Tuy nhiên, tại thời điểm hiện tại các tổ chức, cá nhân chỉ có thể nộp thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trực tiếp tại Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05)
Không có.
Thông báo kết quả trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi văn bản theo địa chỉ của tổ chức, cá nhân gửi hồ sơ.
Tuy nhiên, tại thời điểm hiện tại, các tổ chức, cá nhân nhận kết quả trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Nội dung Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân bao gồm những gì?
Theo Khoản 3, Điều 23, Nghị định 13/2023/NĐ-CP, nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân bao gồm 04 nội dung: Mô tả tính chất của việc vi phạm; Chi tiết liên lạc bên chịu trách nhiệm bảo vệ dữ liệu cá nhân; Mô tả các hậu quả, thiệt hại; Mô tả các biện pháp giải quyết.
Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan.
Cụ thể bao gồm:
- Thời gian: Thời điểm xảy ra vi phạm (ngày, giờ).
- Địa điểm: Nơi xảy ra vi phạm (cụ thể hoặc ước tính).
- Hành vi: Mô tả chi tiết hành vi vi phạm (ví dụ: tấn công mạng, mất thiết bị lưu trữ, lỗi hệ thống,…).
- Tổ chức, cá nhân liên quan: Bên chịu trách nhiệm chính cho vi phạm, các bên liên quan khác (nếu có).
- Loại dữ liệu cá nhân bị ảnh hưởng: Loại thông tin bị lộ (ví dụ: họ tên, số điện thoại, địa chỉ, thông tin tài chính,…).
- Số lượng dữ liệu liên quan: Ước tính số lượng bản ghi dữ liệu bị ảnh hưởng.
Ví dụ: Vào lúc 14h30 ngày 20/05/2024, hệ thống máy chủ của Công ty ABC bị tấn công mạng, dẫn đến việc rò rỉ thông tin cá nhân của khoảng 5.000 khách hàng, bao gồm họ tên, số điện thoại và địa chỉ email.
Cung cấp chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân.
Ví dụ: Ông Nguyễn Văn A – Trưởng phòng An ninh Thông tin; Số điện thoại: 0912345678; Email: nguyenvana@gmail.com
Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân: Đánh giá và liệt kê các hậu quả có thể xảy ra đối với chủ thể dữ liệu cá nhân do vi phạm, bao gồm cả thiệt hại về vật chất và tinh thần.
Ví dụ: Khách hàng có thể bị lừa đảo, chiếm đoạt tài sản; Khách hàng có thể bị quấy rối, làm phiền; Uy tín của công ty bị ảnh hưởng.
Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
Liệt kê các biện pháp đã và đang được thực hiện để khắc phục hậu quả của vi phạm, ngăn chặn vi phạm tương tự và hỗ trợ các chủ thể dữ liệu bị ảnh hưởng.
Ví dụ:
- Vá lỗ hổng bảo mật hệ thống.
- Thông báo cho khách hàng về vụ việc và hướng dẫn cách bảo vệ thông tin.
- Cung cấp dịch vụ hỗ trợ miễn phí cho khách hàng bị ảnh hưởng (ví dụ: tư vấn pháp lý, hỗ trợ thay đổi thông tin cá nhân).
- Hợp tác với cơ quan chức năng để điều tra và xử lý vụ việc.
Trình tự thực hiện thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân như thế nào?
Trình tự thực hiện thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân gồm 4 bước:
Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) để tải xuống biểu mẫu ban hành kèm theo Nghị định 13/2023/NĐ-CP:
- Dành cho tổ chức: Mẫu số 03a
- Dành cho cá nhân: Mẫu số 03b
- Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) và khai theo mẫu số 03a (dành cho tổ chức) hoặc khai theo mẫu số 03b (dành cho cá nhân) ban hành kèm theo Nghị định số 13/2023/NĐ-CP.
- Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân được quy định tại đây
- Tổ chức, cá nhân gửi thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi văn bản đã khai báo thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
- Thành phần hồ sơ bao gồm: 01 bộ Mẫu 03a (Đối với tổ chức); 01 bộ Mẫu 03b (Đối với cá nhân).
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an trao đổi kết quả tiếp nhận nội dung liên quan tới thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
Thời gian tiếp nhận thông báo: Thực hiện 24h/ngày, tất cả các ngày trong tuần.
Những lưu ý khi thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Trong trường hợp không thể thu thập đầy đủ thông tin về vi phạm ngay lập tức (ví dụ: vụ việc phức tạp, cần thời gian điều tra), bên kiểm soát dữ liệu cá nhân có thể thông báo cho cơ quan chức năng theo từng đợt. Tuy nhiên, cần thông báo những thông tin cơ bản về vi phạm trong vòng 72 giờ và bổ sung thông tin chi tiết sau khi có kết quả điều tra.
Ví dụ: Một công ty phát hiện hệ thống của mình bị tấn công mạng, nhưng chưa xác định được chính xác loại dữ liệu bị ảnh hưởng và số lượng người dùng bị ảnh hưởng. Trong trường hợp này, công ty có thể thông báo ngay cho Cục An ninh mạng về việc xảy ra tấn công mạng và thông tin sơ bộ về vụ việc. Sau khi điều tra kỹ lưỡng, công ty sẽ bổ sung thông tin chi tiết về loại dữ liệu bị ảnh hưởng, số lượng người dùng bị ảnh hưởng và các biện pháp đã được thực hiện để khắc phục hậu quả.
Bên kiểm soát dữ liệu cá nhân (hoặc bên kiểm soát và xử lý dữ liệu cá nhân) có trách nhiệm lập biên bản xác nhận về việc xảy ra vi phạm. Biên bản này cần ghi rõ các thông tin liên quan đến vụ vi phạm, bao gồm thời gian, địa điểm, hành vi vi phạm, hậu quả và các biện pháp đã được thực hiện. Sau đó, bên vi phạm cần phối hợp với Cục An ninh mạng để điều tra, làm rõ vụ việc và xử lý theo quy định của pháp luật.
Ví dụ: Một ngân hàng phát hiện nhân viên của mình đã sao chép trái phép dữ liệu khách hàng. Ngân hàng sẽ lập biên bản ghi nhận sự việc, sa thải nhân viên vi phạm và phối hợp với Cục An ninh mạng để điều tra, xử lý vụ việc theo quy định của pháp luật.
Bảo vệ dữ liệu cá nhân là một yếu tố quan trọng trong việc đảm bảo quyền riêng tư và an toàn thông tin của mỗi cá nhân. Nghị định 13/2023/NĐ-CP đã đặt ra những yêu cầu cụ thể đối với các doanh nghiệp trong việc bảo vệ dữ liệu cá nhân của khách hàng và người lao động. Tuy nhiên, việc tuân thủ các quy định này không phải là một điều dễ dàng. Doanh nghiệp cần có sự hiểu biết đầy đủ về quy định của pháp luật, đồng thời cần có sự đầu tư về nguồn lực, công nghệ và quy trình để đảm bảo việc bảo vệ dữ liệu cá nhân được thực hiện một cách hiệu quả.
DPVN với đội ngũ luật sư và chuyên viên pháp lý giàu kinh nghiệm, chuyên môn sâu về luật bảo vệ dữ liệu cá nhân, cam kết đồng hành cùng doanh nghiệp trong việc xây dựng và triển khai các biện pháp bảo vệ dữ liệu cá nhân toàn diện, hiệu quả và phù hợp với quy định của pháp luật.