Đã có Dự thảo Luật Bảo vệ dữ liệu cá nhân

Bộ Công an đã công khai và lấy ý kiến về Dự thảo Luật bảo vệ dữ liệu cá nhân.

Dự thảo Luật Bảo vệ dữ liệu cá nhân đã đề xuất quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Đồng thời, dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến áp dụng đối với:

– Cơ quan, tổ chức, cá nhân Việt Nam;

– Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

– Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;

– Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam;

– Cơ quan, tổ chức, cá nhân thu thập, xử lý dữ liệu cá nhân của người nước ngoài trên phạm vi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam.

Sau đây là đơn cử một số quy định cụ thể được đề xuất tại dự thảo Luật Bảo vệ dữ liệu cá nhân như sau:

(1) Quy định bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng

– Các công ty tài chính, ngân hàng, tín dụng:

+ Không được mua, bán thông tin tín dụng hoặc chuyển giao trái phép thông tin tín dụng giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;

+ Không được gửi, truyền bản rõ dữ liệu về tài chính, tín dụng của chủ thể dữ liệu giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;

+ Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn bảo mật về thanh toán, tín dụng theo quy định của pháp luật;

+ Không được sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu;

+ Kết quả đánh giá thông tin tín dụng của chủ thể dữ liệu chỉ được dưới dạng Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng, tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng;

+ Xác định và tuyên bố rõ ràng về các khâu đoạn cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân;

+ Phải thông báo cho chủ thể dữ liệu về các sự cố và việc mất các thông tin về tài khoản tài chính.

– Các tổ chức kinh doanh dịch vụ thông tin tín dụng, ngân hàng, bảo hiểm, tài chính, trung gian thanh toán không được cung cấp, chuyển giao trái phép dữ liệu cá nhân cho nhau và với các tổ chức doanh nghiệp khác, trừ trường hợp được luật cho phép.

– Chỉ được cung cấp thông tin tín dụng, sản phẩm thông tin tín dụng của chủ thể dữ liệu cho các tổ chức, cá nhân là các tổ chức tài chính, ngân hàng, tín dụng khi có quy định của luật.

– Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đầu mối yêu cầu cung cấp thông tin tín dụng phục vụ điều tra, xử lý hành vi vi phạm pháp luật theo quy định.

(2) Thêm quy định về Chuyên gia bảo vệ dữ liệu cá nhân

– Chuyên gia bảo vệ dữ liệu cá nhân, gồm:

+ Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý;

+ Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ;

+ Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.

– Điều kiện cấp Giấy chứng nhận đối với chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ và pháp lý:

+ Có văn bằng trình độ cao đẳng trở lên về bảo mật, an toàn thông tin, an ninh mạng;

+ Có văn bằng trình độ cao đẳng trở lên về pháp luật;

+ Đã hoàn thành khóa học Chứng nhận đủ điều kiện năng lực pháp lý và công nghệ về bảo vệ dữ liệu cá nhân.

– Điều kiện cấp Giấy chứng nhận đối với cá nhân bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý:

+ Có văn bằng trình độ cao đẳng trở lên về pháp luật;

+ Đã hoàn thành khóa học chứng nhận đủ điều kiện về năng lực pháp lý bảo vệ dữ liệu cá nhân.

– Điều kiện cấp Giấy chứng nhận đối với cá nhân bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ:

+ Có văn bằng trình độ cao đẳng trở lên  về bảo mật, an toàn thông tin, an ninh mạng;

+ Đã hoàn thành khóa học chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân.

– Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp, nhưng không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.

PrivacyCompliance tự hào với đội ngũ chuyên gia đã đạt được nhiều chứng chỉ quốc tế được công nhận như CIPM, CIPP/E, CISA, CISM, CRISC®, Chứng chỉ ISO27001, v.v. Với kiến thức và năng lực đã được kiểm chứng, PrivacyCompliance tự tin có thể cung cấp các giải pháp chuyên sâu và toàn diện về tuân thủ và bảo vệ dữ liệu cá nhân.