Chính thức ban hành Nghị định về Bảo vệ dữ liệu cá nhân

Ngày 17/04/2023 vừa qua, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định”) và sẽ chính thức có hiệu lực vào ngày 01/07/2023. Đây là văn bản quy phạm pháp luật đầu tiên điều chỉnh trực tiếp vấn đề về dữ liệu cá nhân tại Việt Nam, dự kiến sẽ mang đến những tác động to lớn đến không chỉ chủ thể dữ liệu mà còn đối với các doanh nghiệp đã, đang và sẽ tiến hành hoạt động xử lý dữ liệu cá nhân. Theo đó, Nghị định có một số điểm đáng lưu ý như sau:

Phạm vi áp dụng rộng, bao gồm nhiều nhóm đối tượng

Các quy định về bảo vệ dữ liệu cá nhân theo Nghị định sẽ được áp dụng cho không chỉ tổ chức, cá nhân trong nước hoặc tổ chức, cá nhân nước ngoài hoạt động tại Việt Nam còn áp dụng cho cả hoạt động của tổ chức, cá nhân Việt Nam tại nước ngoài hoặc các chủ thể trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam, dù không hoạt động tại Việt Nam.

Thống nhất định nghĩa về dữ liệu cá nhân

Nghị định đã xây dựng định nghĩa về “dữ liệu cá nhân” nhằm áp dụng trong quá trình điều chỉnh các hoạt động có liên quan, tránh được việc chồng chéo, rời rạc về khi một trường thông tin được định nghĩa trong nhiều văn bản khác nhau như trước đây.

Cụ thể, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Quy định về dữ liệu cá nhân nhạy cảm

Nghị định làm rõ các loại dữ liệu được coi là nhạy cảm, làm cơ sở để thực hiện các biện pháp bảo vệ nhóm dữ liệu này tốt hơn trước sự tấn công của tội phạm thông tin, bao gồm các thông tin về quan điểm chính trị, tôn giáo; tình trạng sức khỏe, đời tư; đặc điểm di truyền, đặc điểm sinh học; đời sống tình dục, xu hướng tình dục; dữ liệu về tội phạm, hành vi phạm tội;…

Trao quyền và xác định nghĩa vụ của chủ thể dữ liệu

Các quyền của chủ thể dữ liệu được quy định rõ ràng, với phạm vi khá rộng, nhằm hỗ trợ hoạt động tự bảo vệ dữ liệu cá nhân của người dân. Theo đó, chủ thể dữ liệu có các quyền sau: 1. Quyền được biết; 2. Quyền đồng ý; 3. Quyền truy cập; 4. Quyền rút lại sự đồng ý; 5. Quyền xóa dữ liệu; 6. Quyền hạn chế xử lý dữ liệu; 7. Quyền cung cấp dữ liệu; 8. Quyền phản đối xử lý dữ liệu; 9. Quyền khiếu nại, tố cáo, khởi kiện; 10. Quyền yêu cầu bồi thường thiệt hại; 11. Quyền tự bảo vệ.

Đi kèm với quyền, Nghị định cũng đặt ra một số nghĩa vụ yêu cầu chủ thể dữ liệu phải tuân thủ, như nghĩa vụ tự bảo vệ dữ liệu cá nhân (vừa là quyền vừa là nghĩa vụ); nghĩa vụ tôn trọng, bảo vệ dữ liệu của chủ thể khác; nghĩa vụ cung cấp đầy đủ, chính xác thông tin khi đồng ý cho phép xử lý dữ liệu cá nhân;…

Trách nhiệm của Bên xử lý dữ liệu cá nhân

Nhằm đảm bảo an toàn dữ liệu, Nghị định quy định một loạt các trách nhiệm mà chủ thể xử lý dữ liệu cá nhân phải thực hiện trong các hoạt động có liên quan đến lĩnh vực này, ví dụ như yêu cầu về sự đồng ý của chủ thể dữ liệu, đặc biệt là trong các trường hợp ghi âm, ghi hình tại nơi công cộng hoặc đối với dữ liệu của người đã chết/mất tích; trách nhiệm thông báo trước khi tiến hành xử lý; lưu trữ, chỉnh sửa hoặc xóa dữ liệu cá nhân; quản lý hoạt động chuyển dữ liệu ra nước ngoài.

Ngoài ra, Nghị định cũng cho phép hoạt động xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu trong một số trường hợp, như nhằm mục đích bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác; trong các tình trạng khẩn cấp vì an ninh quốc gia hoặc thảm họa lớn;…

Biện pháp bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Nghị định yêu cầu Bên xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.

Cụ thể, các biện pháp cơ bản được Nghị định đặt ra bao gồm: 1. Biện pháp quản lý và biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; 2. Biện pháp quản lý của cơ quan nhà nước; 3. Biện pháp điều tra, tố tụng; 4. Các biện pháp khác theo quy định của pháp luật. Ngoài ra, đối với từng loại dữ liệu (cơ bản hoặc nhạy cảm), còn được áp dụng một số biện pháp bảo vệ chuyên biệt khác.

Có thể thấy, hàng lang pháp lý mà Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân xây dựng dự kiến sẽ thay đổi hoàn toàn cách tiếp cận và thực hiện hoạt động xử lý dữ liệu của các doanh nghiệp (Bên xử lý dữ liệu) trong tương lai. Do đó, việc chuẩn bị cho cuộc “cách mạng” về dữ liệu này là hết sức cần thiết.

PrivacyCompliance