Chuyển giao dữ liệu xuyên biên giới – để “dòng chảy” dữ liệu được liên tục

Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (“Nghị định”) cuối cùng cùng đã được ban hành với nhiều quy định hoàn toàn mới được thiết kế để bảo vệ dữ liệu cá nhân kiểm soát “dòng chảy” dữ liệu cá nhân, cũng như đặt ra các nghĩa vụ mà mọi doanh nghiệp phải tuân thủ. Trong đó, một vấn đề mà các doanh nghiệp đang đặc biệt quan tâm chính là quy định về kiểm soát chuyển giao dữ liệu cá nhân xuyên biên giới. Dưới đây là tổng quan những quy định mà doanh nghiệp cần tuân thủ kể từ ngày 01/07/2023 sắp tới:

Dữ liệu cá nhân, xử lý dữ liệu cá nhân là gì?

Dữ liệu cá nhân là thông tin gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Một số ví dụ về dữ liệu cá nhân bao gồm: họ tên, ngày sinh, quốc tịch, số điện thoại, hình ảnh, nơi ở,…vv. Dữ liệu cá nhân bao gồm dữ liệu cơ bản và nhạy cảm. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân có thể kể đến như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

Chuyển giao dữ liệu xuyên biên giới là gì?

Nghị định quy định chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam (không áp dụng đối với dữ liệu cá nhân của người nước ngoài) tới một địa điểm nằm ngoài lãnh thổ Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:

a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;

(VD: Công ty A thu thập dữ liệu về tên tuổi, số điện thoại, email, địa chỉ của người dùng và gửi những thông tin này qua mạng internet đến công ty B ở nước ngoài để công ty B thực hiện xử lý dữ liệu và gửi lại số liệu thống kê cho công ty A sử dụng)

b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

(VD: Công ty A không có trụ sở ở Việt Nam, vận hành một trang web trên mạng internet thu thập dữ liệu của công dân Việt Nam trực tiếp qua trang web và xử lý dữ liệu bằng máy chủ đặt tại nước ngoài)

Chuyển dữ liệu cá nhân ra nước ngoài có phải tuân theo quy trình thủ tục nào không?

Có.

Mọi cá nhân, tổ chức, khi chuyển dữ liệu cá nhân ra nước ngoài phải thực hiện các thủ tục sau:

a) Lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Hồ sơ chuyển dữ liệu) và nộp lên Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05);

b) Thực hiện chuyển giao dữ liệu cá nhân ra nước ngoài;

c) Thực hiện bổ sung theo yêu cầu của A05 nếu hồ sơ chưa đầy đủ;

d) Sau khi chuyển dữ liệu, gửi thông báo lên A05 về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức cá nhân phụ trách bằng văn bản;

e) Thực hiện cập nhật, bổ sung Hồ sơ chuyển dữ liệu khi có sự thay đổi về nội dung hồ sơ đã gửi cho A05.

Hồ sơ chuyển dữ liệu ngoài bao gồm những nội dung nào?

Hồ sơ chuyển dữ liệu  bao gồm những nội dung sau:

a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;

b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;

c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;

d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;

đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;

g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;

h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

Cơ quan nhà nước có kiểm tra việc thực hiện quy định về chuyển dữ liệu ra nước ngoài không?

Có.

Căn cứ theo tình hình cụ thể, Bộ Công an sẽ quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm. Tuy nhiên, việc kiểm tra bất thường có thể được thực hiện trong trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt.

Rủi ro khi không thực hiện quy định về chuyển giao dữ liệu ra nước ngoài là gì?

Rủi ro đầu tiên khi không thực hiện các quy định trên về chuyển dữ liệu ra nước ngoài là bên chuyển dữ liệu ra nước ngoài sẽ phải ngừng chuyển dữ liệu ra nước ngoài, làm gián đoạn hoạt động của doanh nghiệp.

Nghị định cũng quy định tùy từng mức độ vi phạm mà doanh nghiệp có thể bị xử lý ở nhiều mức độ khác nhau từ hành chính đến hình sự. Dự kiến, Chính phủ Việt Nam sẽ sớm ban hành quy định chi tiết về các chế tài cụ thể cho từng hành vi vi phạm. Theo tinh thần của các bản dự thảo trước đây thì các chế tài hành chính có thể sẽ rất nghiêm ngặt và ảnh hưởng lớn đến tài chính của doanh nghiệp.[1]

PrivacyCompliance

#Nghidinh13 #dulieucanhan #quabiengioi #hoso #baomat #danhgiatacdong

[1] Theo các dự thảo trước đây, mức phạt cao nhất có thể lên đến 5% doanh thu của doanh nghiệp/tổ chức bị vi phạm.