Sau khoảng 04 năm xây dựng, vào ngày 17/04/2023 Chính phủ đã chính thức ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Có thể nói Nghị định này là văn bản pháp luật đầu tiên tại Việt Nam quy định một cách cụ thể, toàn diện và đầy đủ về bảo vệ dữ liệu cá nhân.
Sau đây là một số điểm nổi bật của Nghị định 13 mà doanh nghiệp cần phải lưu tâm.
1. Đối tượng áp dụng:
Nghị định 13 quy định về phạm vi áp dụng và đối tượng điều chỉnh rất rộng. Bao gồm Cơ quan, tổ chức, cá nhân Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Như vậy không chỉ 100% Doanh nghiệp tại Việt Nam phải tuân thủ mà tổ chức, công ty tại nước ngoài nếu có xử lý dữ liệu cá nhân của công dân Việt Nam thì đều phải tuân thủ nghị định này.
2. Đưa ra nhiều định nghĩa mới:
Nghị định 13 là văn bản pháp luật đầu tiên đưa ra những định nghĩa như:
– Dữ liệu cá nhân: Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
– Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm: Dữ liệu cá nhân nào được xem là dữ liệu cá nhân cơ bản hay dữ liệu cá nhân nhạy cảm đều được liệt kê rất chi tiết tai Điều 2.3 và Điều 2.4 của nghị định.
– Chủ thể dữ liệu: là cá nhân được dữ liệu cá nhân phản ánh.
– Xử lý dữ liệu cá nhân: là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. (Doanh nghiệp thu thập, lưu trữ, quản lý hồ sơ của nhân viên chính là việc xử lý dữ liệu cá nhân).
3. Các nguyên tắc bảo vệ dữ liệu cá nhân:
Nghị định 13 đặt ra một loạt các nguyên tắc bảo vệ dữ liệu cá nhân buộc các chủ thể có liên quan phải tuân thủ: (1) tính hợp pháp, (2) tính công khai minh bạch, (3) tính đúng mục đích, (4) tính giới hạn phù hợp với phạm vi xử lý dữ liệu, cấm mua bán dữ liệu cá nhân dưới mọi hình thức trừ trường hợp pháp luật có quy định khác, (5) tính chính xác, (6) tính toàn vẹn và bảo mật của dữ liệu, (7) tính giới hạn thời gian lưu trữ và (8) trách nhiệm tuân thủ và giải trình.
Với mỗi hoạt động xử lý dữ liệu cá nhân, Doanh nghiệp ngành gỗ đều phải tuân thủ tất cả các nguyên tắc này.
4. Quyền của chủ thể dữ liệu được đặt lên hàng đầu:
Nghị định 13 rõ ràng nhấn mạnh vào quyền của chủ thể dữ liệu, trao cho chủ thể dữ liệu tới 11 quyền giúp bảo vệ quyền lợi hợp pháp của chủ thể dữ liệu một cách tối đa. Đáng chú ý phải kể đến là “quyền đồng ý”, “quyền rút lại sự đồng ý”, “quyền phản đối xử lý dữ liệu”. Doanh nghiệp nếu vi phạm hoặc cản trở chủ thể dữ liệu thực hiện 11 quyền này sẽ có thể bị xử phạt.
5. Thông báo xử lý dữ liệu cá nhân:
Nghị định quy định rằng Doanh nghiệp muốn xử lý dữ liệu cá nhân của chủ thể nào thì phải thông báo đến chủ thể đó rằng dữ liệu cá nhân của họ sẽ được xử lý. Thông báo phải bao gồm các nội dung: Mục đích xử lý dữ liệu (như để quản lý lao động, cung cấp dịch vụ đến khách hàng, chăm sóc khách hàng,..), loại dữ liệu cá nhân được xử lý (họ tên, số điện thoại,…..), cách thức xử lý và thông tin về các tổ chức, cá nhân có liên quan tới mục đích xử lý.
6. Sự đồng ý của chủ thể dữ liệu là điều kiện tiên quyết khi xử lý dữ liệu cá nhân:
Ngoài việc thông báo thì doanh nghiệp muốn xử lý dữ liệu cá nhân của chủ thể dữ liệu (như người lao động, khách hàng,….) thì đều phải được sự đồng ý của các chủ thể này (trừ một số trường hợp rất đặc biệt được ghi nhận tại Điều 17 của Nghị định). Đặc biệt để “sự đồng ý” được xem là hợp pháp và có hiệu lực thì phải đáp ứng rất nhiều điều kiện khá nghiêm ngặt được đưa ra tại Điều 11 của Nghị định. Hơn nữa không như trước đây, hiện nay Nghị định 13 quy định “Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý”. Nếu sự đồng ý không hợp pháp thì được hiểu rằng Doanh nghiệp xử lý dữ liệu cá nhân mà không được sự đồng ý của chủ thể dữ liệu.
7. Chuyển dữ liệu cá nhân ra nước ngoài:
Doanh nghiệp nếu có hoạt động chuyển dữ liệu của công dân Việt Nam ra nước ngoài đều phải lập hồ sơ báo cáo đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và làm hồ sơ báo cáo đến Bộ Công an trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Trong hồ sơ ngoài các biểu mẫu phải kê khai theo quy định thì Doanh nghiệp buộc phải nộp kèm theo Hợp đồng hoặc thỏa thuận giao, nhận dữ liệu cá nhân với chủ thể nhận dữ liệu cá nhân bên nước ngoài. Đồng thời hồ sơ báo cáo này phải luôn được lưu trữ tại trụ sở Doanh nghiệp để phục vụ cho hoạt động thanh, kiểm tra của Bộ Công an.
8. Đánh giá tác động của việc xử lý dữ liệu:
Nghị định 13 yêu cầu Doanh nghiệp phải lập hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (nếu Doanh nghiệp có chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài). Hồ sơ này được lập và lưu trữ tại Doanh nghiệp 01 bộ, đồng thời phải nộp 01 bộ cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Bộ công an. Thời hạn để lập và nộp hồ sơ đến Bộ công an được quy định là trong vòng 60 ngày kể từ ngày bắt đầu thực hiện hoạt động xử lý dữ liệu cá nhân. Đây là một điểm mà các Doanh nghiệp cần đặc biệt lưu tâm.
9. Các biện pháp bảo vệ dữ liệu cá nhân bắt buộc phải áp dụng tại doanh nghiệp:
Điều 26 Nghị định 13 quy định điện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Trong đó Doanh nghiệp phải áp dụng đồng thời cả hai biện pháp là biện pháp quản lý và biện pháp kỹ thuật. Biện pháp quản lý chính là các quy trình, quy chế nội bộ quy định về việc bảo vệ dữ liệu cá nhân do Doanh nghiệp tự ban hành. Biện pháp kỹ thuật có thể kể đến như hệ thống tưởng lửa, hệ thống bảo mật thông tin của Doanh nghiệp.
10. Thông báo khi xảy ra vi phạm:
Trong vòng 72 giờ kể từ thời điểm phát hiện hành vi vi phạm về bảo vệ dữ liệu cá nhân thì Doanh nghiệp phải thực hiện ngay thủ tục thông báo vi phạm đến Bộ Công An. Đồng thời Doanh nghiệp cũng phải áp dụng, thực hiện các biện pháp tốt nhất để giảm thiểu tác động, thiệt hại của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân gây ra.
11. Mức xử phạt có thể phải gánh chịu:
Như đã trình bày, 100% Doanh nghiệp tại Việt Nam đều phải tuân thủ Nghị định 13. Trường hợp không tuân thủ sẽ phải chịu những chế tài rất nặng có thể kể đến như: Xử phạt vi phạm hành chính do không chấp hành quy định của Nghị định; Xử lý hình sự đối với một số hành vi xâm phạm quyền riêng tư; Đình chỉ một số hoạt động nhất định, ví dụ như quyết định ngừng chuyển dữ liệu ra nước ngoài.
Hiện nay Quy định xử phạt liên quan đến dữ liệu cá nhân chưa được ban hành chính thức. Tuy nhiên Bộ Công An đã xây dựng và dự thảo nghị định xử phạt lần thứ 3. Vì vậy trong thời gian sớm sắp tới Nghị định xử phạt sẽ được ban hành và dự báo nội dung Nghị định sẽ không thay đổi so với bản dự thảo lần 3.
Theo đó, mức phạt tiền thấp nhất từ 10.000.000 VND đến 20.000.000 VND, cao nhất có thể lên đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam của Doanh nghiệp.
Mức xử phạt bổ sung cũng là một điểm đáng lưu tâm khi Doanh nghiệp có thể bị tước quyền sử dụng giấy phép hoạt động, giấy phép kinh doanh nghành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng hoặc từ 01 tháng đến 24 tháng.
Kết luận: Nghị định 13/2023/NĐ-CP không chỉ là một bước tiến quan trọng mà còn là minh chứng cho sự cam kết của Việt Nam trong việc bảo vệ dữ liệu cá nhân và tuân thủ các tiêu chuẩn quốc tế về bảo vệ dữ liệu. Đây là một cơ sở vững chắc để xây dựng một môi trường kinh doanh công bằng, minh bạch và an toàn trong thời đại số ngày nay.
Nếu bạn cần tìm hiểu, trao đổi thêm về nội dung bài viết hoặc mong muốn sử dụng dịch vụ tư vấn tuân thủ Nghị định 13 của Luật Thiên Thanh có thể trực tiếp liên hệ theo SĐT/Zalo: 0332.672.789.
Hà Nội : Phòng 302, tầng 3, 142 Lê Duẩn, phường Khâm Thiên, quận Đống Đa, Hà Nội
Hồ Chí Minh: Phòng 6.16 RiverGate Residence, số 151 – 155 đường Bến Vân Đồn, Phường 6, Quận 4, TP. HCM
Facebook: https://www.facebook.com/luatsuthuongmai
Hotline: 0332.672.789
Email: contact@luatthienthanh.vn
