Chỉ định nhân sự bảo vệ dữ liệu cá nhân nhạy cảm – trách nhiệm mới của doanh nghiệp
Các trách nhiệm của doanh nghiệp, tổ chức liên quan đến bảo vệ dữ liệu cá nhân dự kiến sẽ đổi mới hoàn toàn kể từ ngày có hiệu lực của Nghị định số 13/2023/NĐ-CP (“Nghị định”). Một trong số đó là nghĩa vụ chỉ định bộ phận và nhân sự quản lý dữ liệu cá nhân (“DLCN”). Bài viết mang đến một số nội dung quan trọng về chỉ định bộ phận/nhân sự bảo vệ DLCN – Data Protection Officer (sau đây gọi tắt là “DPO”) mà mọi doanh nghiệp cần lưu ý để thực hiện kể từ ngày 01/07/2023:
Dữ liệu cá nhân là gì?
Dữ liệu cá nhân là thông tin gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
DLCN cơ bản là các thông tin như họ tên, giới tính, số giấy tờ pháp lý cá nhân,…và các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không phải là DLCN nhạy cảm.
DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm tình trạng sức khỏe, dữ liệu về vị trí, thông tin về đặc điểm sinh học riêng của cá nhân, thông tin liên quan đến tài khoản ngân hàng, giao dịch tiền gửi, tín dụng…vv. Như vậy, phạm vi dữ liệu nhạy cảm theo Nghị định 13 là rất rộng.
Chỉ định bộ phận/nhân sự bảo vệ dữ liệu cá nhân là gì?
Là một trong các biện pháp được áp dụng nhằm bảo vệ dữ liệu cá nhân nhạy cảm. Theo đó, bộ phận/nhân sự được chỉ định bởi doanh nghiệp, tổ chức để thực hiện các hoạt động phòng ngừa, phát hiện, ngăn chặn và xử lý các hành vi xâm phạm DLCN nói chung và DLCN nhạy cảm nói riêng. Mặc dù vậy, Nghị định chưa chỉ rõ doanh nghiệp trong trường hợp nào cần có bộ phận chuyên trách, doanh nghiệp nào chỉ cần có cá nhân phụ trách.
Trường hợp nào phải chỉ định bộ phận/nhân sự bảo vệ dữ liệu cá nhân?
Bên Kiểm soát[1], Bên Kiểm soát và xử lý dữ liệu cá nhân[2] , Bên Xử lý dữ liệu cá nhân[3] và Bên Thứ ba[4] khi thực hiện kiểm soát và/hoặc xử lý DLCN nhạy cảm buộc phải bố trí bộ phận, cá nhân phụ trách. Với phạm vi dữ liệu cá nhân nhạy cảm và hoạt động xử lý dữ liệu cá nhân được quy định tại Nghị định, rất nhiều doanh nghiệp, tổ chức ở Việt Nam sẽ phải thực hiện nghĩa vụ này như ngân hàng, cơ sở y tế, các doanh nghiệp, tổ chức mà có thu thập các dữ liệu nhạy cảm của người lao động, khách hàng…vv
Khi nào doanh nghiệp phải chỉ định bộ phận/nhân sự bảo vệ dữ liệu cá nhân?
Ngay từ khi bắt đầu và trong suốt quá trình xử lý DLCN nhạy cảm, doanh nghiệp, tổ chức phải thực hiện các biện pháp bảo vệ DLCN, trong đó có trách nhiệm chỉ định DPO. Tức là, việc chỉ định DPO sẽ bắt buộc phải tiến hành kể từ ngày 01/07/2023 đối với các tổ chức, doanh nghiệp đang có hoạt động kiểm soát/xử lý dữ liệu.
Tuy nhiên, đối với doanh nghiệp thuộc nhóm siêu nhỏ, nhỏ và vừa hoặc doanh nghiệp khởi nghiệp (trừ doanh nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân) được quyền lựa chọn miễn trách nhiệm này trong 02 năm đầu kể từ khi thành lập doanh nghiệp.
Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì không cần thiết phải chỉ định DPO; thay vào đó, cá nhân đó sẽ thực hiện trách nhiệm này.
Trách nhiệm của bộ phận/nhân sự bảo vệ dữ liệu cá nhân là gì?
Nhìn chung, trách nhiệm của bộ phận này là nhằm bảo vệ dữ liệu cá nhân khỏi các hành vi xâm phạm; bao gồm việc thực hiện các hoạt động phòng ngừa, ngăn chặn và giải quyết các vụ việc vi phạm quy định pháp luật về dữ liệu cá nhân; đầu mối liên lạc với cơ quan nhà nước. Mặc dù vậy, Nghị định chưa có quy định hướng dẫn chi tiết hơn về các hoạt động mà DPO cần tiến hành để thực hiện được trách nhiệm bảo vệ DLCN, do đó, cần thêm các hướng dẫn chi tiết từ cơ quan nhà nước trong thời gian tới.
Tham khảo Quy định chung về bảo vệ dữ liệu cá nhân của EU (GDPR) thì một số trách nhiệm mà DPO có thể sẽ phải tiến hành như tư vấn cho chủ thể kiểm soát/xử lý về nghĩa vụ bảo vệ dữ liệu; giám sát việc tuân thủ quy định của pháp luật về bảo vệ DLCN; đưa ra lời khuyên khi được yêu cầu liên quan đến đánh giá tác động xử lý dữ liệu; hợp tác với cơ quan nhà nước trong hoạt động bảo vệ DLCN.[5]
Có cần phải cung cấp thông tin của bộ phận/nhân sự bảo vệ dữ liệu cá nhân cho cơ quan nhà nước không?
Có.
Doanh nghiệp sẽ phải trao đổi thông tin về DPO với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân – tức Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an. Đây là nội dung bắt buộc của Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động khi chuyển dữ liệu cá nhân ra nước ngoài.
Trường hợp chủ thể kiểm soát/xử lý dữ liệu cá nhân là cá nhân thì thông tin của cá nhân thực hiện cũng phải được trao đổi với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Rủi ro nếu không tuân thủ quy định về chỉ định bộ phận/nhân sự xử lý dữ liệu cá nhân là gì?
Nghị định quy định rằng cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ DLCN tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự. Theo đó, việc không tiến hành chỉ định DPO là hành vi vi phạm quy định về bảo vệ DLCN nên sẽ phải chịu trách nhiệm pháp lý. Hiện tại chưa có quy định cụ thể, nhưng theo tinh thần của các Dự thảo trước đây thì mức xử phạt có thể sẽ là rất lớn, tác động trực tiếp và đáng kể đến kết quả kinh doanh của doanh nghiệp.
Do đó, việc chỉ định bộ phận phụ trách, nhân sự bảo vệ dữ liệu cá nhân cần được tiến hành kể từ ngày 01/07/2023 để tránh các rủi ro pháp lý có thể xảy ra./.
PrivacyCompliance cung cấp các giải pháp đảm bảo tuân thủ dữ liệu cá nhân, DPO, đánh giá tác động xử lý dữ liệu cá nhân, xây dựng hồ sơ đánh giá tác động, hồ sơ chuyển dữ liệu cá nhân ra nước ngoài.
PrivacyCompliance
#Nghidinh13 #dulieucanhan #DPO #dulieunhaycam
[1] Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
[2] Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
[3] Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
[4] Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
[5] GDPR, Điều 39.
Bảo mật thông tin trong khám, chữa bệnh tại Việt Nam
Bảo mật thông tin trong khám, chữa bệnh tại Việt Nam Bảo mật thông tin trong hoạt động khám chữa bệnh là một vấn đề vô cùng quan trọng. Việc rò rỉ thông tin của bệnh nhân sẽ gây ảnh hưởng tiêu cực đến tâm lý người bệnh và khiến họ phải gánh chịu nhiều […]
Learn more
Bảo vệ thông tin người dùng trong mua sắm trực tuyến
Bảo vệ thông tin người dùng trong mua sắm trực tuyến Sự phát triển nhanh chóng của các nền tảng mua sắm trực tuyến, cùng với ảnh hưởng dây chuyền từ sự xuất hiện của đại dịch COVID-19 khiến cho hoạt động mua sắm truyền thông đang dần bị thay thế bởi loại hình mua […]
Learn more
Trách nhiệm hình sự về xâm phạm quyền riêng tư
Trách nhiệm hình sự về xâm phạm quyền riêng tư Quyền riêng tư là một trong những quyền pháp định quan trọng được ghi nhận trong Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam năm 2013. Do đó, hành vi xâm phạm quyền riêng tư là hành vi vi phạm pháp luật […]
Learn more