Thông tin pháp luật

Thủ tục pháp lý đảm bảo tuân thủ quy định mới về bảo vệ dữ liệu cá nhân

Nhằm bảo vệ dữ liệu cá nhân, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP ngày 17/04/2023, có hiệu lực kể từ ngày 01/07/2023 (“Nghị Định 13”). Đây được xem là văn bản pháp luật trọng yếu tính đến thời điểm hiện nay để điều chỉnh việc bảo vệ dữ liệu cá nhân.

Dưới đây là một vài tổng hợp cơ bản liên quan đến trách nhiệm của doanh nghiệp khi tham gia vào quá trình xử lý dữ liệu cá nhân theo Nghị Định 13.

1. Nội hàm dữ liệu cá nhân

a. Khái niệm

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

b. Phân loại dữ liệu

  • Dữ liệu cá nhân cơ bản: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu cá nhân nhạy cảm.
  • Dữ liệu cá nhân nhạy cảm: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

2. Hoạt động xử lý dữ liệu cá nhân

a. Khái niệm

Là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

b. Hình thức

Tự động bằng phương tiện điện tử hoặc hình thức thủ công không phải tự động.

3. Các chủ thể tham gia quá trình xử lý dữ liệu cá nhân

a. Bên Kiểm soát dữ liệu cá nhân

Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

b. Bên Xử lý dữ liệu cá nhân

Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.

c. Bên Kiểm soát và xử lý dữ liệu cá nhân

Là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

d. Bên thứ ba

Là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.

Như vậy, các doanh nghiệp, mặc dù không phải là doanh nghiệp trực tiếp hoạt động dịch vụ xử lý dữ liệu nhưng vẫn tham gia vào một hoặc nhiều hoạt động xử lý dữ liệu cá nhân của các chủ thể dữ liệu (như người lao động, khách hàng cá nhân hay cổ đông, người quản lý doanh nghiệp,…).Tuỳ vào phạm vi tham gia vào quá trình xử lý dữ liệu cá nhân của mình, mỗi doanh nghiệp được xác định là một hoặc nhiều chủ thể tham gia xử lý dữ liệu cá nhân.

4. Các hoạt động cần phải thực hiện khi tham gia vào quy trình xử lý dữ liệu cá nhân

a. Tìm kiếm sự đồng ý của chủ thể dữ liệu

  • Điều kiện có hiệu lực của sự đồng ý: chủ thể dữ liệu tự nguyện và biết rõ (i) loại dữ liệu cá nhân được xử lý; (ii) mục đích xử lý dữ liệu cá nhân; (iii) tổ chức, cá nhân được xử lý dữ liệu cá nhân; và (iv) các quyền, nghĩa vụ của chủ thể dữ liệu.
  • Hình thức đồng ý: được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được sự đồng ý.
  • Nguyên tắc cơ bản:
  • Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
  • Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
  • Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
  • Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

b. Thông báo xử lý dữ liệu cá nhân

  • Thời điểm thực hiện: một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
  • Nội dung thông báo: mục đích xử lý; loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; cách thức xử lý; thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; hậu quả, thiệt hại không mong muốn có khả năng xảy ra; thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
  • Hình thức: thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

c. Lập, gửi và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

  • Thời điểm lập và lưu trữ hồ sơ: kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
  • Đối tượng lập, gửi và lưu trữ hồ sơ: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
  • Nội dung hồ sơ: được phân loại theo từng chủ thể tham gia vào quá trình xử lý dữ liệu, cụ thể:
  • Đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, nội dung hồ sơ gồm: thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; mục đích xử lý dữ liệu cá nhân; các loại dữ liệu cá nhân được xử lý; tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam; trường hợp chuyển dữ liệu cá nhân ra nước ngoài; thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có); mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
  • Đối với Bên Xử lý dữ liệu cá nhân, nội dung hồ sơ gồm: thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân; họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân; mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân; thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có); trường hợp chuyển dữ liệu cá nhân ra nước ngoài; mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
  • Gửi hồ sơ cho cơ quan quản lý: đối tượng lập hồ sơ phải gửi 01 bản chính hồ sơ cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân; phải luôn lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để phục vụ cho hoạt động kiểm tra, dánh giá của Bộ Công an.

d. Lập, gửi và lưu trữ hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài

  • Điều kiện lập hồ sơ: có thực hiện chuyển dữ liệu cá nhân ra nước ngoài.
  • Đối tượng lập, gửi và lưu trữ hồ sơ: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên thứ ba.
  • Nội dung hồ sơ gồm: thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị Định 13, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; sự đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh; có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
  • Gửi hồ sơ cho cơ quan quản lý: đối tượng lập hồ sơ phải gửi 01 bản chính hồ sơ cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân; phải luôn lưu trữ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài để phục vụ cho hoạt động kiểm tra, đánh giá của Bộ Công an.

Như vậy, khi doanh nghiệp xử lý dữ liệu cá nhân cần lưu ý thực hiện đúng quy định tại Nghị Định 13 để tránh nguy cơ bị áp dụng các chế tài hành chính, dân sự và hình sự khi vi phạm.

LS Trần Thị Ngân

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Lê Xuân Hậu

Trong đội ngũ Luật sư tư vấn cao cấp của S.I.M, Luật sư Lê Xuân Hậu nổi bật với kiến thức đa lĩnh vực và tư duy sắc bén trong lĩnh vực tài chính - ngân hàng và xây dựng.

Luật sư Hậu từng tham gia điều hành hoạt động của tổ chức hành nghề Luật sư, cùng với nhiều năm kinh nghiệm tư vấn pháp luật cho các doanh nghiệp, Luật sư Hậu không chỉ là người có kiến thức chuyên sâu mà còn là người có cái nhìn tổng quan về hoạt động kinh doanh của các doanh nghiệp. Chính điều này giúp Luật sư Hậu có những giải pháp pháp lý tối ưu, giảm thiểu rủi ro và tối đa hóa lợi ích cho Doanh nghiệp.

Vương Xuân Kiên

Luật sư Vương Xuân Kiên là Luật sư sáng lập của S.I.M. Với nhiều năm kinh nghiệm tham gia tố tụng trong lĩnh vực dân sự, kinh doanh thương mại, hôn nhân gia đình, hành chính và hình sự, Luật sư Kiên có cái nhìn đa chiều, kịp thời đưa ra những nhận định pháp lý và hướng giải quyết phù hợp nhằm bảo vệ tốt nhất quyền lợi của khách hàng.

Trước khi theo đuổi sự nghiệp làm Luật sư, Luật sư Kiên đã có nhiều năm làm việc ở vị trí cấp quản lý của các công ty bất động sản, công ty đầu tư… Sự hiểu biết sâu rộng về nghiệp vụ chuyên môn cùng với kinh nghiệm thực tế trong quản lý doanh nghiệp đã giúp Luật sư Kiên thấu hiểu về tầm quan trọng của việc tạo ra môi trường pháp lý an toàn và ổn định cho doanh nghiệp. Luật sư Kiên luôn hướng đến việc cung cấp những giải pháp pháp lý đúng đắn, đồng thời giúp doanh nghiệp giảm thiểu rủi ro pháp lý và tối ưu hóa hiệu suất hoạt động.

Luật sư Kiên không chỉ dừng lại ở việc hỗ trợ khách hàng trong tư vấn pháp luật mà còn tham gia chia sẻ kiến thức và kinh nghiệm. Hiện nay, Luật sư Kiên đang tham gia giảng dạy các khóa đào tạo về pháp lý như: Chuyên viên Pháp chế, Kỹ năng soạn thảo văn bản hành chính, Kỹ năng soạn thảo Hợp đồng, Pháp luật lao động trong quản lý nhân sự, Các rủi ro thường gặp trong giao dịch bất động sản …

Trần Xuân Hiển

Luật sư Trần Xuân Hiển giữ vai trò Luật sư tư vấn trong đội ngũ Luật sư của S.I.M.

Luật sư Hiển từng có nhiều năm làm việc trong môi trường doanh nghiệp với vị trí Trưởng phòng pháp chế. Chính điều này đã giúp Luật sư Hiển hiểu rõ về cách thức hoạt động và những rủi ro mà doanh nghiệp phải đối mặt khi hoạt động kinh doanh, từ đó đưa ra những giải pháp pháp lý kịp thời, phù hợp và mang lại hiệu quả cao nhất cho doanh nghiệp.

Hoàng Thị Ngà

Trước khi trở thành Luật sư thì Luật sư Hoàng Thị Ngà đã có khoảng thời gian làm Kiểm sát viên. Trải qua thời gian đó, Luật sư Ngà tích lũy được những kinh nghiệm quý báu trong lĩnh vực tố tụng, điều này đã trở thành một lợi thế lớn cho Luật sư Ngà khi chuyển sang làm tư vấn pháp luật.

Luật sư Ngà đã phát huy năng lực trong nhiều lĩnh vực pháp luật, bao gồm dân sự, kinh doanh thương mại, hình sự và nhiều lĩnh vực khác. Sự am hiểu về quy trình tố tụng và quy định pháp luật cùng với kỹ năng phân tích, tư vấn đã giúp Luật sư Ngà giải quyết các vấn đề pháp lý một cách chuyên nghiệp và hiệu quả.