Dữ liệu & công nghệ

LUẬT VỀ BẢO VỆ DỮ LIỆU TẠI VIỆT NAM

Đăng vào bởi LawAdmin

Dữ liệu cá nhân là nguồn tài sản giá trị của thời đại số hóa, “gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.” Các dịch vụ trực tuyến như thương mại điện tử, ngân hàng số và y tế điện tử thu thập và xử lý một lượng lớn dữ liệu cá nhân. Nếu không được xử lý và bảo vệ đúng cách, dữ liệu cá nhân có thể bị lạm dụng, dẫn đến hành vi xâm phạm dữ liệu cá nhân và các tội phạm về an ninh.

Để hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân, Việt Nam đang trong giai đoạn nước rút để ban hành các văn bản luật và nghị định hướng dẫn thống nhất về bảo vệ dữ liệu cá nhân. Hiện nay, Nghị định 13/2023/NĐ-CP do Chính phủ ban hành ngày 17/4/2023 về bảo vệ dữ liệu cá nhân (“Nghị định 13”) là văn bản quy phạm pháp luật quan trọng quy định chi tiết về việc thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân nhằm đảm bảo quyền riêng tư và an toàn thông tin cá nhân trong thời đại số. Nghị định 13 đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam.

Doanh nghiệp cần phải làm gì để hạn chế rủi ro pháp lý

khi có hoạt động xử lý dữ liệu cá nhân?

  1. Nghị định 13 quy định hoạt động xử lý dữ liệu cá nhân rất rộng, “là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.”
  2. Nguyên tắc bảo vệ dữ liệu cá nhân:
    a. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
    b. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình.
    c. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
    d. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.
    e. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
    f. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
    g. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
  3. Từ các nguyên tắc trên, trước khi doanh nghiệp xử lý dữ liệu cá nhân, doanh nghiệp phải có được sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp ngoại lệ nhất định. “Sự đồng ý” ở đây phải là sự thể hiện rõ ràng, tự nguyện và khẳng định về việc chủ thể dữ liệu cho phép xử lý dữ liệu cá nhân của mình. Cụ thể, sự đồng ý phải được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện điều này. Do đó, doanh nghiệp có hoạt động xử lý dữ liệu cá nhân phải soạn thảo Thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân, bao gồm các nội dung chủ yếu như sau:
    a. Loại dữ liệu cá nhân được xử lý;
    b. Mục đích xử lý dữ liệu cá nhân;
    c. Cách thức xử lý;
    d. Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu; và
    e. Các quyền của chủ thể dữ liệu.
    Thông báo này đồng thời để chủ thể dữ liệu ký tên xác nhận và đồng ý đối với hoạt động xử lý dữ liệu cá nhân của doanh nghiệp.
  4. Nghị định 13 yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu và bên kiểm soát và xử lý dữ liệu phải lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ này phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05)). Ngoài ra, bản chính Hồ sơ phải được gửi đến A05 trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Hồ sơ phải được cập nhật, bổ sung khi có thay đổi về nội dung hồ sơ đã gửi cho A05.
  5. Đối với doanh nghiệp có hoạt động chuyển dữ liệu ra nước ngoài thì lập và lưu trữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các nghĩa vụ tương tự Mục 4 nêu trên.
  6. Các bên xử lý dữ liệu cá nhân nhạy cảm phải chỉ định Bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với A05.

Mặc dù hiện nay chưa có quy định cụ thể về xử phạt vi phạm hành chính trong trường hợp doanh nghiệp không tuân thủ Nghị định 13, tuy nhiên trong bối cảnh hiện nay cơ quan nhà nước Việt Nam với sự giám sát, thanh kiểm tra chặt chẽ và đang có Dự thảo Luật Bảo vệ dữ liệu cá nhân (dự kiến có hiệu lực từ ngày 01/01/2026), doanh nghiệp cần phải ưu tiên và tuân thủ nghiêm ngặt quy định của Nghị định 13.

______________________

Nếu bạn có bất kỳ câu hỏi nào, hãy liên hệ với chúng tôi để được tư vấn.

𝟏𝟗𝟖𝟗 𝐋𝐀𝐖

Website: 1989law.vn

Hotline: (+84) 945.45.45.11

Địa chỉ: Số 207C Nguyễn Xí, Phường 26, Quận Bình Thạnh, Thành phố Hồ Chí Minh, Việt Nam

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *