Đánh giá cá nhân bảo vệ

Sự phát triển nhanh chóng của công nghệ và mạng internet bên cạnh việc đem đến sự thuận tiện trong việc tìm kiếm, tiếp cận thông tin còn kéo theo những tác động tiêu cực liên quan đến bảo mật và an toàn thông tin, đặc biệt là đối với thông tin cá nhân. Để tạo hành lang pháp lý cho việc việc bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân một cách hiệu quả, ngày 17/4/2023, Chính phủ ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân [“Nghị định 13”]. Với các nội dung quy định pháp luật được đặt ra tại Nghị định 13, các doanh nghiệp cần lưu ý chấp hành và tuân thủ các nội dung về bảo vệ dữ liệu cá nhân, cụ thể như sau:

1. Doanh nghiệp phải xác định vai trò của mình trong quá trình xử lý dữ liệu cá nhân tại doanh nghiệp

Nghị định 13 quy định xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

Với việc định nghĩa khá rộng như trên, hầu hết các doanh nghiệp đều đang là một chủ thể trong quá trình xử lý dữ liệu cá nhân. Và tùy thuộc vào phạm vi tiếp cận, xử lý dữ liệu cá nhân mà các doanh nghiệp sẽ có vai trò tương ứng. Cụ thể:

- Bên Kiểm soát dữ liệu cá nhân [“Bên KS DLCN”]: bằng việc tiếp nhận các dữ liệu cá nhân như thông tin khách hàng, đối tác, nhân sự thì đa số doanh nghiệp hiện nay được xác định là Bên KS DLCN.

- Bên Xử lý dữ liệu cá nhân [“Bên XL DLCN”]: là bên thứ ba thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu. Chủ thể này thường sẽ là các bên thiết lập trang web cho doanh nghiệp hoặc các bên tư vấn nhân sự, dịch vụ kế toán...

- Bên Kiểm soát và xử lý dữ liệu cá nhân [“Bên KS&XL DLCN”]: là các doanh nghiệp tự thực hiện toàn bộ quy trình xử lý dữ liệu cá nhân.

Theo đó, doanh nghiệp cần xác định cụ thể vai trò của mình, ban hành các chính sách nội bộ hoặc thành lập các bộ phận chuyên trách để tuân thủ các quy định về phạm vi trách nhiệm và chủ động hơn trong quá trình xử lý dữ liệu cá nhân.

2. Doanh nghiệp phải thực hiện phân loại dữ liệu cá nhân

Trên cơ sở đánh giá về hệ quả và sự ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân khi bị xâm phạm dữ liệu cá nhân, Nghị định 13 đã phân chia dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó:

- Dữ liệu cá nhân cơ bản theo quy định tại khoản 3 Điều 2 Nghị định 13 bao gồm: họ tên, ngày sinh/ngày chết hoặc mất tích, giới tính, nơi sinh, nơi cư trú…

- Dữ liệu cá nhân nhạy cảm theo quy định tại khoản 4 Điều 2 Nghị định 13 bao gồm: quan điểm chính trị, tôn giáo; tình trạng sức khỏe; chủng tộc, dân tộc…

Theo Nghị định 13, liên quan đến bảo vệ dữ liệu cá nhân nhạy cảm, bên cạnh việc áp dụng các biện pháp bảo vệ như đối với dữ liệu cá nhân cơ bản [ví dụ xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân; kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân…] thì các doanh nghiệp cần thực hiện các biện pháp bảo vệ bổ sung như chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân, trao đổi thông tin về bộ phận và cá nhân này với Cơ quan chuyên trách…

Do đó, việc phân loại chính xác dữ liệu cá nhân có thể giúp doanh nghiệp áp dụng các biện pháp bảo vệ phù hợp đối với từng loại dữ liệu theo quy định của pháp luật.

3. Doanh nghiệp phải xây dựng và tuân thủ quy trình xử lý dữ liệu cá nhân

Như phân tích tại mục 1 thì hầu hết các doanh nghiệp đều đang là một chủ thể trong quá trình xử lý dữ liệu cá nhân. Do đó, doanh nghiệp cần lưu ý một số nội dung sau đây nhằm tuân thủ các quy định của pháp luật hiện hành.

- Bên KS DLCN, Bên KS&XL DLCN phải thu thập sự đồng ý của chủ thể dữ liệu. Sự đồng ý này được công nhận hiệu lực chỉ khi đảm bảo tuân thủ các điều kiện luật định.

- Bên KS DLCN, Bên KS&XL DLCN phải thông báo cho chủ thể dữ liệu dưới một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân, trừ trường hợp chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ hoặc được xử lý bởi cơ quan nhà nước có thẩm quyền.

- Trường hợp nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên KS DLCN, Bên KS&XL DLCN phải thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý, sau đó Bên KS DLCN, Bên XL DLCN, Bên KS&XL DLCN, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.

- Các bên lưu trữ dữ liệu thực hiện xóa dữ liệu trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.

4. Doanh nghiệp tiến hành các thủ tục cần thiết khi phát hiện vi phạm quy định về bảo vệ dữ liệu

Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên KS DLCN, Bên KS&XL DLCN phải:

- Thông báo cho Bộ Công an [Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao] chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.

- Lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an [Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao] xử lý hành vi vi phạm.

5. Doanh nghiệp thực hiện báo cáo đánh giá tác động xử lý dữ liệu cá nhân

- Bên KS DLCN, Bên XL DLCN hoặc Bên KS&XL DLCN lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân với một số nội dung nổi bật như [i] Mục đích xử lý dữ liệu cá nhân; [ii] Các loại dữ liệu cá nhân được xử lý; [iii] Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân [nếu có]; [iv] Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; [v] Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;…

- Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.

- 01 bản chính theo mẫu số 04 tại Phụ lục của Nghị định 13 phải được gửi đến Bộ Công an [Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao] trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

6. Yêu cầu khi doanh nghiệp chuyển dữ liệu cá nhân ra nước ngoài

- Bên chuyển dữ liệu cá nhân ra nước ngoài phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài bao gồm các nội dung sau:

+ Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;

+ Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;

+ Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;

+ Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;

+ Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

+ Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;

+ Sự đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;

+ Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

- Bên chuyển dữ liệu ra nước ngoài tiến hành:

[i] gửi 01 bản chính hồ sơ tới Bộ Công an [Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao] theo mẫu quy định trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

[ii] gửi thông báo đến Bộ Công an [Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao] thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.

------

Nghị định 13 là một bước tiến quan trọng trong việc tăng cường bảo vệ dữ liệu tại Việt Nam. Với việc có hiệu lực từ ngày 01/7/2023, ngay lúc này các doanh nghiệp cần nhanh chóng rà soát các chính sách nội bộ và thực tiễn quản lý quyền riêng tư của mình để có những điều chỉnh, bổ sung phù hợp với các yêu cầu mới của pháp luật. Tuy nhiên, các nội dung trong Nghị định 13 có phạm vi khá rộng, nhiều thủ tục có yêu cầu phức tạp. Điều này có thể gây nên một số khó khăn trong quá trình doanh nghiệp tiếp cận cũng như gây tốn kém, mất nhiều thời gian nếu không được tiếp cận đúng hướng.

Để nhận được sự hỗ trợ pháp lý trong việc tuân thủ các quy định tại Nghị định 13, Quý doanh nghiệp có thể liên hệ với chúng tôi theo thông tin bên dưới.