Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân để đáp ứng yêu cầu bảo vệ dữ liệu trong bối cảnh toàn cầu hóa thông tin. Nghị định được xây dựng trên cơ sở kinh nghiệm từ Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu và có những thay đổi đáng kể đáp ứng bối cảnh thực tiễn khai thác dữ liệu tại Việt Nam.
Tải Nghị định 13/2023/NĐ-CP tại đây
Những thông tin cơ bản về Nghị định 13/2023/NĐ-CP do Chính phủ ban hành quy định về bảo vệ dữ liệu cá nhân bao gồm:
| Ngày ban hành | 17/04/2023 |
| Ngày có hiệu lực | 01/07/2023 |
Nghị định 13/2023/NĐ-CP bao gồm 4 Chương 44 Điều, ghi nhận một cách toàn diện các quyền lợi cơ bản của cá nhân là chủ thể dữ liệu và đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam. Ngoài ra, Nghị định cũng quy định về chức năng và thẩm quyền của cơ quan chuyên trách bảo vệ dữ liệu cá nhân ở Việt Nam.
Các quy định của Nghị định 13/2023/NĐ-CP áp dụng cho mọi cá nhân, tổ chức, cả trong nước và nước ngoài có liên quan đến việc xử lý những dữ liệu cá nhân tại Việt Nam và cả bên ngoài Việt Nam.
Quy định tại Nghị định 13/2023/NĐ-CP đặt ra nghĩa vụ cho các doanh nghiệp trong việc kiểm tra lại các chính sách nội bộ và thực tiễn quản lý quyền riêng tư của doanh nghiệp để xác định khoảng cách chênh lệch và điều chỉnh theo yêu cầu của Nghị định 13/2023/NĐ-CP đồng thời đưa ra các kế hoạch hành động tương ứng.
Theo Khoản 3, Điều 3 của Nghị định 13/2023/NĐ-CP dữ liệu cá nhân cơ bản bao gồm các thông tin sau:
Khoản 4, Điều 3 Nghị định quy định, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
Căn cứ Điều 8, Nghị định 13/2023/NĐ-CP thì hành vi bị nghiêm cấm gồm:
Căn cứ tại điều 4 Nghị định 13/2023/NĐ-CP thì mọi vi phạm đối với quy định bảo vệ dữ liệu cá nhân, tùy theo mức độ, có thể bị xử phạt vi phạm hành chính và nghiêm trọng hơn thì có thể sẽ bị xử lý hình sự theo quy định pháp luật. Nghị định cũng đã có quy định việc mua, bán dữ liệu cá nhân là hành vi trái phép và bị nghiêm cấm dưới mọi hình thức.
Điều 17 Nghị định 13/2023/NĐ-CP đã quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu như sau:
Nghị định 13/2023/NĐ-CP quy định xử lý dữ liệu cá nhân bao gồm việc thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân đều phải được sự đồng ý của chủ thể dữ liệu, trừ trường hợp luật có quy định khác. Cần lưu ý sự đồng ý này chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau đây:
Theo Điều 24 Nghị định 13/2023/NĐ-CP, các doanh nghiệp và các bên có liên quan phải thực hiện nghĩa vụ lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, rà soát, thanh tra của Bộ Công an ngay từ khi bắt đầu xử lý dữ liệu.
Trong trường hợp chuyển những dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (thường đối với những tập đoàn xuyên quốc gia, đa quốc gia), thì doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, thanh tra của Bộ Công an.
Ngoài ra, doanh nghiệp cũng còn phải gửi một bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo mẫu số 06 tại Phụ lục của Nghị định 13/ 2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (Điều 25).
Theo quy định của Nghị định 13/2023/NĐ-CP thì các cơ quan có nhiệm vụ bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về việc bảo vệ dữ liệu cá nhân.
Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cũng đóng góp vai trò quan trọng trong việc tuyên truyền phổ biến pháp luật, cập nhật và tiếp nhận thông tin.
Trước bối cảnh hiện nay, nhiều người trở thành nạn nhân của hành vi lừa đảo trực tuyến, nhiều dữ liệu cá nhân bị công khai trái phép, mua bán một cách công khai, các đối tượng lừa đảo xây dựng các kịch bản tinh vi như nhắn tin lừa đảo con bị tai nạn đưa tiền để chạy chữa hoặc lừa đảo có người dung tài khoản ngân hàng để vay tiền,… nhằm chiếm đoạt tiền trái phép thì việc ban hành nghị định riêng về bảo vệ dữ liệu cá nhân là rất cần thiết và quan trọng. Nghị định 13/2023/NĐ-CP đã giúp tạo ra một hành lang pháp lý để các cơ quan quản lý nhà nước có thể rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân với các cơ quan, tổ chức.
Để tuân thủ đầy đủ các quy định tại Nghị định 13/2023/NĐ-CP, thì quy định tại điều 11 và điều 13 về việc thông báo và xác nhận đồng ý của chủ thể dữ liệu khi bên xử lý dữ liệu thực hiện bất kỳ hoạt động xử lý dữ liệu nào thì dường như không khả thi và khó có thể thực hiện được.
Ví dụ tổ chức tín dụng thì các sản phẩm của tổ chức tín dụng phải được thực hiện theo nhiều quy trình, mỗi quy trình thì gồm rất nhiều bước khác nhau và hầu hết phải liên quan đến việc thu thập, đánh giá, cung cấp dữ liệu trên các tập khách hàng có số lượng rất lớn thì việc việc yêu cầu tất cả các hoạt động đều cần phải có sự đồng ý của chủ thể dữ liệu trong các quy trình xử lý và phải thông báo cho chủ thể dữ liệu cá nhân gây ra nhiều khó khăn cho các tổ chức cá nhân trong lĩnh vực tín dụng. Bên cạnh đó các tổ chức tín dụng sẽ phải tính toán để dành nguồn tài chính và nhân lực lớn để có thể rà soát, điều chỉnh hệ thống để vận hành được trên thực tế và có thể khiến cho tiến độ cung cấp dịch vụ của tổ chức tín dụng đến khách hàng bị kéo dài hơn do phải tăng thêm các bước vận hành.
Một số điều khoản trong Nghị định 13/2023/NĐ-CP được diễn đạt còn chưa cụ thể và mang tính định tính. Thêm vào đó việc diễn giải để thực hiện các điều khoản này gặp một số khó khăn, trong thời gian quá ngắn (trước 1/7/2023) thì việc kiểm tra và điều chỉnh trong nội bộ các tổ chức để đáp ứng quy định của Nghị định 13/2023/NĐ-CP là chưa khả thi và rất khó thực hiện.
Quý khách hàng có nhu cầu tư vấn pháp luật dân sự, các vấn đề liên quan đến Luật An ninh quốc gia và Luật An ninh mạng xin vui lòng liên hệ Công ty luật Việt An để được hỗ trợ tốt nhất.
