Nghị định số 13/2023/NĐ-CP, nghị định về bảo vệ dữ liệu cá nhân
Vào ngày 17 tháng 4, Chính phủ Việt Nam đã công bố nghị định bảo vệ dữ liệu cá nhân (gọi tắt là “Nghị định”). Các quy định về Nghị định này sẽ sớm có hiệu lực vào ngày 1 tháng 7 năm 2023, do đó trước thời điểm này tất cả các doanh nghiệp nên phân tích, đánh giá sự bất cập giữa các biện pháp bảo vệ thông tin cá nhân hiện tại với những quy định mới tại Nghị định.
Một vài nội dung quan trọng được quy định trong Nghị định sẽ bao gồm:
-
Các định nghĩa/ khái niệm mới trong nghị định bảo vệ dữ liệu cá nhân:
“Dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bên xử lý dữ liệu cá nhân” và “bên kiểm soát dữ liệu cá nhân”
-
Nguyên tắc bảo vệ dữ liệu cá nhân:
Dữ liệu cá nhân cần được xử lý theo các nguyên tắc tuân thủ pháp luật, minh bạch, có mục đích, giới hạn phạm vi thu thập dữ liệu, chính xác, toàn vẹn, bảo mật và tính chịu trách nhiệm;
-
Thông báo xử lý dữ liệu cá nhân:
Chủ thể dữ liệu phải được thông báo về loại dữ liệu được thu thập, mục đích của việc thu thập, xử lý dữ liệu và các tổ chức có quyền truy cập vào dữ liệu (bên cạnh các thông tin khác);
-
Sự đồng ý của chủ thể dữ liệu:
Sự đồng ý của chủ thể dữ liệu là yêu cầu bắt buộc khi tiến hành xử lý dữ liệu cá nhân. Sự đồng ý này phải được thể hiện rõ ràng (im lặng không được xem là đồng ý) và có thể là đồng ý một phần hoặc đồng ý với điều kiện kèm theo. Chủ thể dữ liệu có quyền truy cập về kiểm tra dữ liệu cá nhân. Nếu chủ thể dữ liệu rút lại sự đồng ý thì dữ liệu cá nhân có liên quan của chủ thể phải được xóa đi trong vòng 72 giờ.
-
Quyền yêu cầu bồi thường thiệt hại:
Chủ thể có quyền yêu cầu bồi thường thiệt hại khi xảy ra vi phạm quy định tại Nghị định gây thiệt hại đến quyền được bảo vệ của họ. Nghị định cũng quy định rõ rằng việt thu thập, chuyển giao, hoặc mua, bán dữ liệu mà không có sự đồng ý của chủ thể là vi phạm pháp luật.
-
Thông báo vi phạm:
Trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân hoặc vi phạm khác được quy định tại Nghị định, Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân có nghĩa vụ phải thông báo cho Bộ Công an để thông báo hành vi vi phạm (bao gồm cả các biện pháp cần thực hiện để giảm thiểu tác hại) theo biểu mẫu được ban hành kèm theo Nghị định.
-
Đánh giá tác động:
Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân, tổ chức, xử lý dữ liệu phải chuẩn bị Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hồ sơ này phải được chuẩn bị theo biểu mẫu được ban hành kèm theo Nghị định này, bao gồm thông tin của Bên kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Việc đánh giá tác động do Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thẩm định. Hồ sơ đánh giá tác động cần được điều chỉnh/ cập nhật cho phù hợp trong trường hợp có bất kỳ thay đổi nào đối với dữ liệu cá nhân mà các tổ chức xử lý.
-
Chuyển dữ liệu cá nhân ra nước ngoài:
Để chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, Nghị định yêu cầu cần phải có Hồ sơ đánh giá tác động liên quan, bao gồm mô tả lý do, mục đích chuyển dữ liệu ra nước ngoài và sự đồng ý của chủ thể dữ liệu liên quan. Hồ sơ đánh giá tác động cũng phải bao gồm thỏa thuận bằng văn bản về việc chuyển dữ liệu với tổ chức nhận dữ liệu ở nước ngoài. Hồ sơ đánh giá tác động phải luôn có sẵn tại tổ chức chuyển dữ liệu để phục vụ hoạt động kiểm tra. Một bản chính hồ sơ phải được gửi đến Bộ Công an trong vòng 60 ngày kể từ ngày xử lý dữ liệu cá nhân. Nghị định cũng ban hành biểu mẫu cần thiết để chuẩn bị hồ sơ đánh giá tác động này. Các tổ chức chuyển dữ liệu cũng phải cập nhật hồ sơ đánh giá tác động trong trường hợp có thay đổi (và gửi bản cập nhật cho Bộ Công an). Bộ Công an có quyền kiểm tra việc chuyển dữ liệu ra nước ngoài và có thể ra quyết định ngừng việc chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp không tuân thủ quy định tại Nghị định.
-
Biện pháp bảo vệ:
-
Chế tài
-
Xử phạt vi phạm hành chính do không chấp hành quy định của Nghị định.
-
Xử lý hình sự đối với một số hành vi xâm phạm quyền riêng tư.
-
Đình chỉ một số hoạt động nhất định, ví dụ như quyết định ngừng chuyển dữ liệu ra nước ngoài.
Theo PwC Việt Nam (pwc.com)