1. Phạm vi điều chỉnh, đối tượng áp dụng
Nghị định 13/2023/NĐ-CP điều chỉnh các vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan và được áp dụng đối với: Cơ quan, tổ chức, cá nhân Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Như vậy, Nghị định 13/2023/NĐ-CP được áp dụng đối mọi cá nhân, tổ chức trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, bao gồm cả việc xử lý dữ liệu cá nhân là công dân Việt Nam được thực hiện bên ngoài lãnh thổ Việt Nam.
2. Dữ liệu cá nhân và bảo vệ dữ liệu cá nhân
Theo quy định tại khoản 1 Điều 2 của Nghị định 13/2023/NĐ-CP, Dữ liệu cá nhân được định nghĩa là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm hai loại là: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); Thông tin về tài khoản số của cá nhân; Dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu các nhân nhạy cảm.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: Quan điểm chính trị, quan điểm tôn giáo; Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác; Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Đối với dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm đều được Nghị định 13/2023/NĐ-CP bảo vệ thông qua các cơ chế về xử lý dữ liệu cá nhân; Hoạt động bảo vệ dữ liệu cá nhân (Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ) và Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân.
Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Một vấn đề quan trọng trong hoạt động xử lý dữ liệu cá nhân và bảo vệ dữ liệu cá nhân đó là việc xác định vai trò của các bên trong xử lý dữ liệu cá nhân; bao gồm: Bên Kiểm soát dữ liệu; Bên Xử lý dữ liệu cá nhân; Bên Kiểm soát và xử lý dữ liệu cá nhân; Bên thứ ba.
Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân, cần hết sức lưu ý trong việc “Thông báo xử lý dữ liệu cá nhân” cho chủ thể dữ liệu theo đúng quy định trước khi tiến hành hoạt động xử lý dữ liệu cá nhân. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân và phải có các nội dung sau: Mục đích xử lý; Loại dữ liệu cá nhân được sử dụng (có liên quan tới mục đích xử lý); Cách thức xử lý; Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
Sau khi đã thông báo cho chủ thể dữ liệu về hoạt động xử lý dữ liệu cá nhân, việc xác định sự đồng ý của chủ thể dữ liệu được thực hiện theo nguyên tắc sau: (1) Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác; (2) Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung trong thông báo xử lý dữ liệu cá nhân; (3) Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này; (4) Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra; (5) Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được; (6) Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý; (7) Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo; (8) Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm; (9) Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản; (10) Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân; (11) Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định, trừ trường hợp luật có quy định khác.
3. Chế tài đối với các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Các hành vi bị nghiêm cấm khi thực hiện hoạt động xử lý dữ liệu các nhân bao gồm: Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác; Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Điều 4 Nghị định 13/2023/NĐ-CP, tùy theo mức độ vi phạm mà cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
4. Đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài
Theo Điều 24 Nghị định 13/2023/NĐ-CP, kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân, các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an; đồng thời gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Theo đó: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cần thực hiện việc lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân; Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.
Trong trường hợp thực hiện việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; thông báo bằng văn bản cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) sau khi việc chuyển dữ liệu diễn ra thành công. Đồng thời, lưu trữ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài để đảm bảo luôn có sẵn phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Quý Khách hàng nếu cần tư vấn, giải đáp chi tiết hơn cũng như cách thức tiếp cận dịch vụ này, vui lòng liên hệ trực tiếp với Phó giám đốc phụ trách kinh doanh: Luật sư Nguyễn Đức Trọng qua hotline: 0912.35.65.75, gọi điện đến Tổng đài tư vấn pháp luật miễn phí: 1900 6575 hoặc gửi yêu cầu dịch vụ qua email: lienheluathongbang@gmail.com.
Chúc Quý Khách hàng cùng gia đình mạnh khỏe, an lạc và thành công!
Trân trọng!
Công ty Luật Hồng Bàng./.
