Nghị định 13 về bảo vệ dữ liệu cá nhân (Tên đầy đủ là “Nghị định 13/2023/NĐ-CP”) được Chính phủ thông qua vào ngày 17/04/2023 và chính thức có hiệu lực từ ngày 01/07/2023. Đây là văn bản pháp lý có vai trò quan trọng trong việc đảm bảo quyền riêng tư và bảo vệ dữ liệu cá nhân của người dân trong lãnh thổ Việt Nam. Với sự ra đời của Nghị định 13/2023/NĐ-CP đã tạo ra một khung pháp lý chặt chẽ và rõ ràng không chỉ bảo vệ dữ liệu cá nhân, đảm bảo quyền riêng tư của người dân mà còn thúc đẩy sự phát triển bền vững của công nghệ và kinh tế số. Trong nội dung bài viết dưới đây, Luật Thành Đô sẽ cung cấp đến bạn đọc những nội dung chính của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
Nghị định 13/2023 bao gồm 44 điều được chia thành 4 chương với các nội dung chính nổi bật như sau:
1. Phạm vi điều chỉnh, đối tượng áp dụng
– Nghị định 13/2023/NĐ-CP điều chỉnh các vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
– Nghị định này áp dụng đối với:
+ Cơ quan, tổ chức, cá nhân Việt Nam;
+ Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
+ Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
+ Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Như vậy, Nghị định 13 áp dụng đối mọi cá nhân, tổ chức trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, bao gồm cả việc xử lý dữ liệu cá nhân là công dân Việt Nam được thực hiện bên ngoài lãnh thổ Việt Nam.
2. Dữ liệu cá nhân và bảo vệ dữ liệu cá nhân
Theo quy định tại khoản 1 điều 2 của Nghị định 13 “Dữ liệu cá nhân” được định nghĩa là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm hai loại là: (1) Dữ liệu cá nhân cơ bản và (2) Dữ liệu cá nhân nhạy cảm.
– Dữ liệu cá nhân cơ bản bao gồm:
+ Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
+ Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
+ Giới tính;
+ Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
+ Quốc tịch;
+ Hình ảnh của cá nhân;
+ Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
+ Tình trạng hôn nhân;
+ Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
+ Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
+ Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu các nhân nhạy cảm.
– Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
+ Quan điểm chính trị, quan điểm tôn giáo;
+ Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
+ Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
+ Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
+ Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
+ Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
+ Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
+ Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
+ Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
+ Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Đối với dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm đều được Nghị định 13 bảo vệ thông qua các cơ chế về xử lý dữ liệu cá nhân; hoạt động bảo vệ dữ liệu cá nhân (Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ) và xử lý vi phạm quy định bảo vệ dữ liệu cá nhân.
Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Một vấn đề quan trọng trong hoạt động xử lý dữ liệu cá nhân và bảo vệ dữ liệu cá nhân đó là việc xác định vai trò của các bên trong xử lý dữ liệu cá nhân; bao gồm: Bên Kiểm soát dữ liệu; Bên Xử lý dữ liệu cá nhân; Bên Kiểm soát và xử lý dữ liệu cá nhân; Bên thứ ba.
– Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
– Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
– Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
– Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân, cần hết sức lưu ý trong việc “Thông báo xử lý dữ liệu cá nhân” cho chủ thể dữ liệu theo đúng quy định trước khi tiến hành hoạt động xử lý dữ liệu cá nhân. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân và phải có các nội dung sau: Mục đích xử lý; Loại dữ liệu cá nhân được sử dụng (có liên quan tới mục đích xử lý); Cách thức xử lý; Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
Sau khi đã thông báo cho chủ thể dữ liệu về hoạt động xử lý dữ liệu cá nhân, việc xác định sự đồng ý của chủ thể dữ liệu được thực hiện theo nguyên tắc sau:
(1) Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
(2) Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung trong thông báo xử lý dữ liệu cá nhân.
(3) Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
(4) Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
(5). Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
(6) Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
(7) Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
(8) Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
(9) Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
(10) Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
(11) Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định, trừ trường hợp luật có quy định khác.
3. Chế tài đối với các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Các hành vi bị nghiêm cấm khi thực hiện hoạt động xử lý dữ liệu các nhân bao gồm:
– Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
– Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
– Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
– Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
– Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Tùy theo mức độ vi phạm mà cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định (Điều 4 Nghị định 13/2023/NĐ-CP).
4. Đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài
Căn cứ quy định tại điều 24 Nghị định 13, kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân, các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an; đồng thời gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Theo đó:
– Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cần thực hiện việc lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
– Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.
Trong trường hợp thực hiện việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ chuyển thông tin người lao động là công dân Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; thông báo bằng văn bản cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) sau khi việc chuyển dữ liệu diễn ra thành công. Đồng thời, lưu trữ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài để đảm bảo luôn có sẵn phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
5. Doanh nghiệp cần làm gì để tuân thủ nghị định 13?
Theo quy định tại các điều 38, 39, 40 và 41 Nghị định 13, để tránh bị xử phạt, xử lý hình sự về hành vi vi phạm các thủ tục hành chính về bảo vệ dữ liệu cá nhân, doanh nghiệp cần làm gì để tuân thủ quy định về bảo vệ dữ liệu cá nhân? Để trả lời cho câu hỏi trên, doanh nghiệp cần thực hiện nghiêm túc các hoạt động sau:
– Doanh nghiệp cần nhanh chóng phân công/bổ nhiệm cá nhân và bộ phận bảo vệ dữ liệu cá nhân. Trừ trường hợp doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. Sau khi hết thời hạn 02 năm này, doanh nghiệp cần tuân thủ nghiêm ngặt việc chỉ chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân.
– Rà soát lại hệ thống xử lý dữ liệu cá nhân là người lao động của công ty, khách hàng, đối tác của doanh nghiệp và thu thập những dữ liệu cá nhân này đúng theo quy định của pháp luật.
– Xây dựng hoặc bổ sung vào Nội quy lao động các quy định về việc cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân dưới mọi hình thức để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp xảy ra vi phạm.
– Rà soát và bổ sung các điều khoản về phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động. Đồng thời phải thể hiện rõ sự đồng ý của người lao động bằng văn bản.
– Rà soát và bổ sung các điều khoản quy định về không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân vào các Hợp đồng dịch vụ, hợp đồng kinh tế (nếu có).
– Lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp mình theo đúng quy định của pháp luật kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
– Lập và lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp có thực hiện hoạt động chuyển dữ liệu cá nhân ra nước ngoài; Thông báo với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
Bài viết khác cùng chủ đề có thể tham khảo tại đây
Trên đây là toàn bộ nội dung giới thiệu về những nội dung chính của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân mà Luật Thành Đô gửi đến Quý bạn đọc. Trường hợp có bất kỳ vướng mắc nào có liên quan hoặc cần hỗ trợ tư vấn thực hiện hoạt động đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài, xin vui lòng liên hệ với Luật Thành Đô để được tư vấn miễn phí.