QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN – DOANH NGHIỆP CẦN BIẾT
Hiện nay, dữ liệu cá nhân đang dần trở thành nguồn tài nguyên quan trọng trong nền kinh tế số. Việc khai thác, sử dụng nguồn tài nguyên này đặt ra vấn đề về cân bằng lợi ích với trách nhiệm bảo vệ quyền và lợi ích của cá nhân được dữ liệu phản ánh. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”), điều chỉnh vấn đề khai thác, quản lý và bảo vệ dữ liệu cá nhân. Nghị định này có hiệu lực từ ngày 01/7/2023, đặt ra một số yêu cầu đòi hỏi các tổ chức có liên quan, trong đó có các doanh nghiệp cần tuân thủ nhằm đảm bảo dữ liệu cá nhân không bị xâm phạm, làm thiệt hại tới quyền và lợi ích hợp pháp của chủ thể dữ liệu.
1. Khái niệm và phân loại dữ liệu cá nhân
Căn cứ Điều 2 Nghị định 13/2023/NĐ-CP: Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
(i) Dữ liệu cá nhân cơ bản bao gồm:
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
(ii) Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
2. Các chủ thể tham gia vào chuỗi xử lý dữ liệu cá nhân
Theo Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP, xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Trong chuỗi xử lý đó, pháp luật phân định rõ vai trò của các chủ thể tham gia nhằm xác định phạm vi quyền và nghĩa vụ của từng bên. Cụ thể, theo Khoản 10, 11, 12 Điều 2 Nghị định 13, có ba nhóm chủ thể chính tham gia vào chuỗi xử lý dữ liệu cá nhân gồm:
(i) Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
Bên Xử lý không có quyền quyết định về mục đích hoặc phương tiện xử lý mà chỉ thi hành các hoạt động kỹ thuật cụ thể theo sự chỉ đạo. Doanh nghiệp khi ký hợp đồng thuê ngoài các dịch vụ liên quan đến dữ liệu cá nhân như lưu trữ đám mây, phần mềm nhân sự, … sẽ thường xuyên làm việc với Bên Xử lý.
Ví dụ: Công ty A (Bên kiểm soát) thuê Công ty B cung cấp dịch vụ lưu trữ dữ liệu khách hàng trên máy chủ tại trung tâm dữ liệu của Công ty B. Công ty B không có quyền sử dụng dữ liệu vào mục đích riêng mà chỉ lưu trữ và bảo mật dữ liệu theo đúng hợp đồng. Khi đó, Công ty B là Bên Xử lý dữ liệu cá nhân.
(ii) Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
Đây thường là doanh nghiệp chủ động thu thập, xử lý thông tin cá nhân khách hàng, người lao động để phục vụ vận hành nội bộ, hoạt động kinh doanh hoặc dịch vụ. Đây là chủ thể chịu trách nhiệm chính về tính hợp pháp, minh bạch, an toàn của quá trình xử lý.
Ví dụ: Công ty thương mại điện tử X thiết kế website bán hàng và thu thập dữ liệu khách hàng (họ tên, địa chỉ, số điện thoại, lịch sử mua hàng) để cá nhân hóa trải nghiệm và gửi email tiếp thị. Công ty X cũng sử dụng hệ thống nội bộ để xử lý đơn hàng, xuất hóa đơn,… Không thuê bên thứ ba nào. Trong trường hợp này, Công ty X là Bên kiểm soát và xử lý dữ liệu cá nhân.
(iii) Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Đây có thể là các đơn vị đối tác, nhà cung cấp, công ty liên kết, hoặc tổ chức nhà nước được tiếp cận dữ liệu trong phạm vi pháp luật cho phép.
Ví dụ: Công ty Y (công ty bảo hiểm) chia sẻ thông tin khách hàng với ngân hàng Z để giới thiệu sản phẩm thẻ tín dụng có sự đồng ý của khách hàng trong hợp đồng đăng ký bảo hiểm. Trong trường hợp đó, ngân hàng Z là bên thứ ba có quyền tiếp nhận và xử lý dữ liệu trong phạm vi được đồng ý.
Việc phân định rạch ròi các chủ thể liên quan giúp doanh nghiệp hiểu rõ mình đang ở vị trí nào trong chuỗi xử lý dữ liệu để xác lập đúng vai trò pháp lý, ký kết đúng loại hợp đồng, và thực hiện đúng nghĩa vụ báo cáo, bảo mật, xin ý kiến theo Nghị định 13. Nếu doanh nghiệp đồng thời đóng nhiều vai trò, cần nhận diện rõ từng hoạt động để có chính sách riêng biệt cho từng giai đoạn xử lý dữ liệu cá nhân.
3. Vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân
Theo khoản 13 Điều 2 Nghị định 13/2023/NĐ-CP: Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.
Việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể dữ liệu ngoại trừ một số trường hợp được pháp luật quy định như xử lý dữ liệu cá nhân vì mục đích hoặc yêu cầu của cơ quan nhà nước có thẩm quyền, trong trường hợp khẩn cấp, phục vụ cho hoạt động của cơ quan nhà nước được quy định theo pháp luật. Tùy vào mục đích xử lý dữ liệu, dữ liệu sẽ có thời gian lưu trữ phù hợp.
Trên thực tế, để tuân thủ nghiêm túc Nghị định 13, bước đầu tiên và bắt buộc đối với doanh nghiệp là phải xác định rõ vai trò của mình trong quá trình xử lý dữ liệu. Trong phần lớn các trường hợp, doanh nghiệp vừa quyết định mục đích và phương tiện xử lý, vừa trực tiếp thực hiện các thao tác xử lý trên hệ thống nội bộ hoặc qua nhân sự, nên thường sẽ đóng vai trò kép là bên kiểm soát và xử lý dữ liệu cá nhân. Việc nhận diện đúng vai trò pháp lý này sẽ giúp doanh nghiệp xác lập đầy đủ nghĩa vụ liên quan đến việc thông báo, xin ý kiến, lập hồ sơ đánh giá tác động, và đảm bảo quyền của chủ thể dữ liệu.
Ví dụ: Công ty A ký hợp đồng lao động với người lao động và yêu cầu cung cấp các thông tin như họ tên, ngày sinh, số CMND/CCCD, địa chỉ, bằng cấp, tình trạng hôn nhân… Các thông tin này được Công ty A lưu trữ trên hệ thống phần mềm quản lý nhân sự do chính công ty xây dựng và vận hành. Trong trường hợp này, Công ty A là bên quyết định mục đích xử lý (phục vụ quản trị nhân sự, trả lương, đóng bảo hiểm,…), đồng thời cũng là bên lựa chọn phương tiện và trực tiếp thực hiện hoạt động thu thập, lưu trữ các dữ liệu đó. Như vậy, Công ty A đồng thời là bên kiểm soát và xử lý dữ liệu cá nhân theo định nghĩa tại Nghị định 13. Việc xác định đúng vai trò này là cơ sở để Công ty A tiến hành các bước tiếp theo, như: thông báo cho người lao động về việc xử lý dữ liệu, xin sự đồng ý hợp pháp, ban hành quy trình bảo vệ dữ liệu nội bộ và lập hồ sơ đánh giá tác động nếu cần thiết.
Ngoài ra, nếu doanh nghiệp có sử dụng bên thứ ba như công ty phần mềm, nhà cung cấp dịch vụ lưu trữ dữ liệu,… để xử lý thay các dữ liệu này, thì cần xác lập rõ ràng mối quan hệ với bên thứ ba đó bằng hợp đồng xử lý dữ liệu cá nhân, kèm theo các điều khoản về bảo mật, quyền và nghĩa vụ tương ứng.
Tóm lại, việc xác định đúng vai trò pháp lý của doanh nghiệp trong chuỗi xử lý dữ liệu không chỉ là nền tảng cho việc tuân thủ pháp luật, mà còn ảnh hưởng trực tiếp đến kế hoạch triển khai hệ thống thu thập, lưu trữ, bảo mật và khai thác dữ liệu cá nhân một cách hợp lệ, minh bạch và bền vững trong dài hạn.
4. Trách nhiệm thực thi quy định về bảo vệ và xử lý dữ liệu cá nhân của người lao động và khách hàng
Trong bối cảnh dữ liệu cá nhân trở thành tài sản chiến lược, việc doanh nghiệp tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu không chỉ là nghĩa vụ pháp lý, mà còn là điều kiện để giữ vững uy tín thương hiệu và tránh các rủi ro pháp lý nghiêm trọng. Theo Nghị định 13/2023/NĐ-CP, doanh nghiệp có trách nhiệm tổ chức các hoạt động xử lý dữ liệu cá nhân một cách hợp pháp, minh bạch, có sự đồng ý của chủ thể dữ liệu, và đảm bảo an toàn thông tin trong suốt quá trình xử lý. Dưới đây là những việc thiết yếu doanh nghiệp cần thực hiện:
Thứ nhất, hoàn thiện việc thu thập và xử lý thông tin của người lao động và khách hàng
Căn cứ theo Khoản 3, khoản Điều 11 Nghị định 13: “Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.”; “Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.”
Do đó, Doanh nghiệp cần rà soát toàn bộ tài liệu có liên quan đến việc thu thập dữ liệu cá nhân như: mẫu đơn tuyển dụng, hợp đồng thử việc, hợp đồng lao động, phụ lục hợp đồng, hợp đồng và hồ sơ với khách hàng. Trong đó, cần bổ sung các điều khoản thể hiện sự đồng ý rõ ràng, tự nguyện của chủ thể dữ liệu đối với việc thu thập và xử lý thông tin, đặc biệt là các dữ liệu cá nhân nhạy cảm như thông tin về sức khỏe, tiền án tiền sự, dữ liệu sinh trắc học hoặc thông tin tài khoản ngân hàng….theo quy định.
Cần lưu ý rằng, nếu thuộc trừ các trường hợp thuộc Điều 17 Nghị định 13/2023/NĐ-CP thì được xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu, cụ thể:
– Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
– Việc công khai dữ liệu cá nhân theo quy định của luật.
– Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
– Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
– Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Thứ hai, xây dựng và ban hành các quy chế nội bộ về bảo vệ dữ liệu cá nhân
Việc ban hành quy chế nội bộ về bảo vệ dữ liệu cá nhân là một biện pháp quản trị có ý nghĩa quan trọng trong việc đảm bảo doanh nghiệp tuân thủ đúng và đầy đủ quy định của Nghị định 13/2023/NĐ-CP. Theo đó, quy chế cần được xây dựng một cách hệ thống, phù hợp với tình hình thực tế của từng doanh nghiệp, bao gồm các nội dung cốt lõi như:
– Xác định trách nhiệm cụ thể của từng phòng ban và cá nhân trong việc thu thập, lưu trữ, sử dụng, chuyển giao dữ liệu cá nhân;
– Nguyên tắc chia sẻ dữ liệu trong nội bộ và với bên thứ ba (ví dụ: chỉ chia sẻ dữ liệu theo nguyên tắc “cần biết” hoặc theo ủy quyền bằng văn bản);
– Các biện pháp kỹ thuật được áp dụng để bảo vệ dữ liệu (như mã hóa, giới hạn truy cập, phân quyền hệ thống);
– Quy trình xử lý rò rỉ dữ liệu, xử lý khiếu nại từ chủ thể dữ liệu, và cơ chế khắc phục, thông báo cho cơ quan có thẩm quyền;
– Trách nhiệm báo cáo và phản hồi của từng bộ phận khi có vi phạm hoặc sự cố phát sinh.
Bên cạnh đó, để tăng tính hiệu lực pháp lý, quy chế bảo vệ dữ liệu cá nhân nên được tích hợp vào nội quy lao động. Điều này giúp doanh nghiệp có thể sử dụng quy chế làm căn cứ để xử lý kỷ luật đối với người lao động vi phạm nghĩa vụ bảo mật.
Theo Điều 4 Nghị định 13/2023/NĐ-CP, tùy theo mức độ vi phạm, cá nhân và tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân có thể bị xử lý kỷ luật nội bộ, xử phạt vi phạm hành chính hoặc thậm chí bị truy cứu trách nhiệm hình sự nếu hành vi gây hậu quả nghiêm trọng. Do đó, việc thiết lập quy chế nội bộ không chỉ là sự chuẩn bị cần thiết, mà còn là một công cụ pháp lý bảo vệ doanh nghiệp khỏi rủi ro pháp lý và tổn thất về uy tín, tài chính.
Thứ ba, thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân
Theo Điều 28 Nghị định 13/2023/NĐ-CP, các doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm cần chỉ định bộ phận chuyên trách hoặc người phụ trách bảo vệ dữ liệu, có nhiệm vụ giám sát quá trình xử lý, làm đầu mối làm việc với cơ quan nhà nước, và phản hồi yêu cầu từ chủ thể dữ liệu.
Thứ tư, lập hồ sơ đánh giá tác động khi xử lý dữ liệu cá nhân và khi chuyển ra nước ngoài
Theo Điều 24 và Điều 25 Nghị định 13/2023/NĐ-CP, một trong những nghĩa vụ quan trọng mà doanh nghiệp cần thực hiện trong quá trình xử lý dữ liệu cá nhân là lập hồ sơ đánh giá tác động xử lý dữ liệu và, trong trường hợp có yếu tố nước ngoài, lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Đây là yêu cầu bắt buộc nhằm đảm bảo tính minh bạch, phòng ngừa rủi ro và tạo cơ chế kiểm tra giám sát của cơ quan quản lý nhà nước. Theo đó, mọi doanh nghiệp có ít nhất một hoạt động xử lý dữ liệu cá nhân, dù đơn giản như thu thập thông tin liên hệ khách hàng hay phức tạp như đánh giá hành vi tiêu dùng qua phần mềm AI, đều phải lập, lưu trữ và nộp hồ sơ đánh giá tác động.
Hồ sơ đánh giá tác động phải được lưu giữ thường xuyên tại doanh nghiệp, để phục vụ cho hoạt động kiểm tra, thanh tra bất kỳ lúc nào của Bộ Công an. Nếu có thay đổi về mục đích xử lý, đối tượng nhận dữ liệu, loại dữ liệu thu thập… doanh nghiệp có nghĩa vụ lập và gửi hồ sơ thay đổi nội dung đánh giá tác động
Tóm lại, việc lập và cập nhật hồ sơ đánh giá tác động là thủ tục pháp lý bắt buộc đối với doanh nghiệp có hoạt động xử lý hoặc chuyển dữ liệu cá nhân.
5. Thủ tục hành chính về bảo vệ dữ liệu cá nhân
(i) Đánh giá tác động xử lý dữ liệu cá nhân
Căn cứ Điều 24 Nghị định 13/2023/NĐ-CP, kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Đồng thời, doanh nghiệp còn phải gửi 01 bản chính hồ sơ tới Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – Bộ Công an theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Lưu ý: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải mẫu số 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP và gửi thông báo thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
(ii) Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Theo khoản 6 Điều 24 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.
Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 05 ban hành kèm theo Nghị định 13/2023/NĐ-CP và gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
(iii) Thủ tục lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Theo khoản 13 Điều 2 Nghị định 13/2023/NĐ-CP: Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
Theo Điều 25 Nghị định13/2023/NĐ-CP, Bên chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và ggửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân, cũng như luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:
a) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
b) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
c) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
d) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
đ) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
e) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
g) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
h) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
(iv) Thủ tục thay đổi nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Theo khoản 6 Điều 24 Nghị định 13/2023/NĐ-CP: Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 05 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Tổ chức, cá nhân gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả thay đổi nội dung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
(v) Thủ tục thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Theo Điều 23 Nghị định 13/2023/NĐ-CP, trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
a) Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
b) Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
c) Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
d) Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
Trường hợp không thể thông báo đầy đủ các nội dung nêu trên, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
Ngoài ra, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:
a) Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
c) Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
d) Trường hợp khác theo quy định của pháp luật.
6. Xử lý vi phạm và chế tài liên quan
Theo Nghị định tại Điều 4 Nghị định 13/2023/NĐ-CP, hành vi vi phạm về bảo vệ dữ liệu cá nhân sẽ có 03 hình thức xử lý như sau:
– Xử lý kỷ luật
– Xử phạt vi phạm hành chính
– Xử lý hình sự
Theo đó, tùy theo tính chất và mức độ vi phạm mà tổ chức, cá nhân thực hiện hành vi vi phạm về dữ liệu cá nhân sẽ có hình thức xử lý tương ứng. Doanh nghiệp có thể tham khảo một số hành vi xử phạt tại các văn bản pháp luật có liên quan như:
(i) Chế tài hành chính
Việc xử phạt hành chính là một trong những cơ chế quan trọng nhằm đảm bảo tính răn đe và nâng cao ý thức tuân thủ pháp luật của doanh nghiệp và tổ chức có hoạt động xử lý dữ liệu cá nhân. Dù hiện tại chưa có Nghị định riêng chuyên điều chỉnh việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, nhưng Nghị định 13/2023/NĐ-CP đã đề cập chế tài tại Mục 2 Chương II, đồng thời Chính phủ cũng đang hoàn thiện dự thảo Nghị định xử phạt hành chính trong lĩnh vực an ninh mạng, trong đó bao gồm cả nội dung xử phạt vi phạm về dữ liệu cá nhân.
Theo dự thảo “Nghị định xử phạt hành chính trong lĩnh vực an ninh mạng và Mục 2 Chương 2 của Nghị định 13/2023/NĐ-CP” quy định việc xử phạt hành chính đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, cụ thể:
Mức phạt tiền từ 120.000.000 đến 200.000.000 đồng nếu gây thiệt hại tùy mức độ có thể bị phạt gấp 2 lần hoặc 3 lần mức phạt ở trên hoặc 5% tổng doanh thu tại Việt Nam.
Và bị áp dụng biện pháp xử phạt bổ sung như:
(i) Ngừng cung cấp dịch vụ;
(ii) Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;
(iii) Tước quyền sử dụng các giấy phép liên quan tới xử lý dữ liệu cá nhân;
(iv) Ngừng hoạt động xử lý dữ liệu cá nhân;
(v) Áp dụng các biện pháp để không thực hiện được hoạt động xử lý dữ liệu cá nhân.
Bị áp dụng biện pháp khắc phục hậu quả:
(i) Công khai xin lỗi trên các phương tiện thông tin đại chúng;
(ii) Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).
Thời hiệu xử phạt vi phạm hành chính là 01 năm cho nên nếu Dự thảo Nghị định được thông qua và ngày phát hiện vi phạm vẫn trong thời hạn 01 năm, tổ chức vi phạm cũng có khả năng bị xử phạt.
Ngoài ra, hiện tại pháp luật cũng đã có một số quy định về xử phạt hành chính trong các văn bản chuyên ngành có liên quan như:
Khoản 3 điều 85 Nghị định 15/2020/NĐ-CP quy định xử phạt hành chính trong lĩnh vực bưu chính viễn thông:
“Điều 85. Vi phạm quy định về cập nhật, sửa đổi và hủy bỏ thông tin cá nhân
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi không thông báo cho chủ thể thông tin cá nhân sau khi hủy bỏ thông tin cá nhân đã lưu trữ hoặc chưa thực hiện được biện pháp phù hợp để bảo vệ thông tin cá nhân do yếu tố kỹ thuật.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không cập nhật, sửa đổi, hủy bỏ thông tin cá nhân đã lưu trữ theo yêu cầu của chủ thể thông tin cá nhân hoặc không cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của họ;
b) Không hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân.”
Điểm a khoản 5 Điều 63 Nghị định số 98/2020/NĐ-CP được sửa đổi, bổ sung bởi Điểm a Khoản 34 Điều 3 Nghị định 17/2022/NĐ-CP:
“Điều 63. Hành vi vi phạm về thông tin và giao dịch trên website thương mại điện tử hoặc ứng dụng di động
1. Phạt tiền từ 1.000.000 đồng đến 5.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Không có cơ chế để khách hàng đọc và bày tỏ sự đồng ý riêng với các điều kiện giao dịch chung trước khi gửi đề nghị giao kết hợp đồng sử dụng chức năng đặt hàng trực tuyến trên website thương mại điện tử hoặc ứng dụng di động.
…”
(ii) Chế tài hình sự
Trong những trường hợp vi phạm nghiêm trọng, cá nhân vi phạm rất có thể sẽ bị truy cứu trách nhiệm hình sự theo quy định của Bộ luật Hình sự 2015. Một số tội danh liên quan đến việc xâm hại dữ liệu cá nhân được nêu rõ bao gồm:
– Tội xâm phạm bí mật thư tín, điện tín (Điều 159) đề cập đến hành vi chiếm đoạt và phát tán thông tin cá nhân một cách trái phép.
– Tội đưa hoặc sử dụng trái phép thông tin trên mạng (Điều 288) có nghĩa là các hoạt động bán mua hay trao đổi dữ liệu cá nhân một cách bất hợp pháp.
– Tội sử dụng công nghệ để chiếm đoạt tài sản (Điều 290) được áp dụng trong các tình huống thường gặp như lừa đảo tài chính thông qua việc đánh cắp thông tin cá nhân.
– Tội lợi dụng quyền tự do dân chủ để xâm phạm quyền lợi cá nhân (Điều 331) xảy ra khi hành vi xâm phạm dữ liệu cá nhân tạo ra hậu quả nghiêm trọng cho quyền lợi của người khác.
Theo quy định, tùy thuộc vào đặc điểm cũng như mức độ nghiêm trọng của hành vi vi phạm liên quan đến dữ liệu cá nhân, các tổ chức hoặc cá nhân thực hiện những hành động này sẽ bị xử lý theo hình thức tương ứng phù hợp với tình huống cụ thể.
KHUYẾN NGHỊ CỦA LUẬT 3S:
[1] Đây là Bài viết khái quát chung về vấn đề pháp lý mà quý Khách hàng, độc giả của Luật 3S đang quan tâm, không phải ý kiến pháp lý nhằm giải quyết trực tiếp các vấn đề pháp lý của từng Khách hàng. Do đó, bài viết này không xác lập quan hệ Khách hàng – Luật sư, và không hình thành các nghĩa vụ pháp lý của chúng tôi với quý Khách hàng.
[2] Nội dung bài viết được xây dựng dựa trên cơ sở pháp lý là các quy định pháp luật có hiệu lực ngay tại thời điểm công bố thông tin, đồng thời bài viết có thể sử dụng những kiến thức hoặc ý kiến của các chuyên gia được trích dẫn từ nguồn đáng tin cậy (nếu có). Tuy nhiên, lưu ý về hiệu lực văn bản pháp luật được trích dẫn trong bài viết có thể đã thay đổi hoặc hết hiệu lực tại thời điểm hiện tại mà mọi người đọc được bài viết này. Do đó, cần kiểm tra tính hiệu lực của văn bản pháp luật trước khi áp dụng để giải quyết các vấn đề pháp lý của mình hoặc liên hệ Luật 3S để được tư vấn giải đáp.
[3] Để được Luật sư, chuyên gia tại Luật 3S hỗ trợ tư vấn chi tiết, chuyên sâu, giải quyết cho từng trường hợp vướng mắc pháp lý cụ thể, quý Khách hàng vui lòng liên hệ Luật 3S theo thông tin sau: Hotline: 0363.38.34.38 (Zalo/Viber/Call/SMS) hoặc Email: info.luat3s@gmail.com
[4] Dịch vụ pháp lý tại Luật 3S:
Tư vấn Luật | Dịch vụ pháp lý | Luật sư Riêng | Luật sư Gia đình | Luật sư Doanh nghiệp | Tranh tụng | Thành lập Công ty | Giấy phép kinh doanh | Kế toán Thuế | Bảo hiểm | Hợp đồng | Phòng pháp chế, nhân sự thuê ngoài | Đầu tư | Tài chính | Dịch vụ pháp lý khác …
