Bảo vệ quyền riêng tư và dữ liệu cá nhân

I. LỜI MỞ ĐẦU

Ngày 17/4/2023, Chính phủ Việt Nam ban hành Nghị định về Bảo vệ dữ liệu cá nhân là Nghị định số 13/2023/NĐ-CP và có hiệu lực vào ngày 1 tháng 7 năm 2023. Nghị định 13/2023/NĐ-CP sẽ tập trung nâng cao những "Lỗ Hổng" của hệ thống bảo vệ thông tin hiện tại, đồng thời là tạo nên các định nghĩa mới và xác định những nguyên tắc trong việc bảo vệ thông tin cá nhân. Vì vậy các doanh nghiệp – Khách hàng – Người dùng cần nên phân tích, đánh giá sự bất cập giữa các biện pháp bảo vệ thông tin cá nhân hiện tại với những quy định mới tại Nghị định này. Từ đó có nâng cao khả năng bảo vệ hệ thống tin dữ liệu cá nhân, song song đó có thể lựa chọn được những dịch vụ nâng cao hệ thống bảo mật dữ liệu cá nhân một cách tối ưu và phù hợp với Pháp luật Việt Nam ở thời điểm hiện tại.

II. NỘI DUNG QUAN TRỌNG CỦA NGHỊ ĐỊNH:

Như đã đề cấp ở trên, Nghị định 13/2023/NĐ-CP đã tạo nên một "Định khung" cho việc kiểm soát dữ liệu cá nhân, là hàng rào cần có trong hệ thống bảo vệ dữ liệu mới được dựa vào Pháp luật Việt Nam. Sau đây là một số nội dung quan trọng của Nghị định:

Các định nghĩa/khái niệm mới: “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bên xử lý dữ liệu cá nhân” và “bên kiểm soát dữ liệu cá nhân”;

Nguyên tắc bảo vệ dữ liệu cá nhân – Khi xử lý dữ liệu cá nhân, phải tuân thủ các nguyên tắc về tính hợp pháp, minh bạch, mục đích, thu thập dữ liệu có giới hạn, độ chính xác, tính toàn vẹn, tính bảo mật và phải chịu trách nhiệm;

Thông báo xử lý dữ liệu cá nhân – Người đã đăng ký/ Chủ thể phải được thông báo về loại dữ liệu cá nhân được thu thập, mục đích thu thập, xử lý dữ liệu và các tổ chức có quyền truy cập vào dữ liệu;

Sự đồng ý của chủ thể dữ liệu - Việc xử lý dữ liệu cá nhân cần có sự đồng ý của chủ thể dữ liệu. Sự đồng ý phải được thể hiện rõ ràng (im lặng không được coi là đồng ý) và có thể là một phần hoặc có điều kiện. Chủ thể dữ liệu có quyền truy cập và kiểm tra dữ liệu cá nhân. Nếu chủ thể dữ liệu rút lại sự đồng ý, dữ liệu cá nhân có liên quan của chủ thể phải bị xóa trong vòng 72 giờ;

Quyền yêu cầu bồi thường thiệt hại – Nếu chủ thể vi phạm các quy định của Quy chế này và gây thiệt hại đến quyền bảo vệ thông tin cá nhân thì có quyền yêu cầu bồi thường thiệt hại. Nghị định cũng quy định rõ ràng rằng việc thu thập, chuyển giao hoặc mua bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể là vi phạm pháp luật;

Thông báo vi phạm – Trong thời hạn 72 giờ kể từ ngày xảy ra hành vi vi phạm việc bảo vệ thông tin cá nhân hoặc các hành vi trái pháp luật khác quy định tại Lệnh này, người kiểm soát thông tin cá nhân và người kiểm soát, xử lý thông tin cá nhân có nghĩa vụ thông báo cho Bộ Công an về hành vi vi phạm pháp luật (bao gồm cả việc áp dụng các biện pháp xử lý) và thực hiện các biện pháp tối đa có thể để giảm thiểu tác hại) được ban hành theo Đạo luật;

Đánh giá tác động – Trong vòng 60 ngày kể từ ngày xử lý dữ liệu cá nhân, tổ chức xử lý dữ liệu phải chuẩn bị "Tài liệu đánh giá tác động xử lý dữ liệu cá nhân". Hồ sơ phải được lập theo mẫu ban hành tại Nghị định này và bao gồm thông tin về người kiểm soát dữ liệu cá nhân và về người kiểm soát, xử lý dữ liệu cá nhân. Việc đánh giá tác động do Bộ Công an (Cục an ninh mạng và tội phạm công nghệ cao) thực hiện. Nếu có bất kỳ thay đổi nào đối với dữ liệu cá nhân do tổ chức xử lý thì hồ sơ đánh giá tác động phải được điều chỉnh/cập nhật tương ứng;

Chuyển dữ liệu cá nhân ra nước ngoài: Để chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, Nghị định yêu cầu các tài liệu đánh giá tác động liên quan, bao gồm mô tả lý do và mục đích chuyển dữ liệu ra nước ngoài cũng như sự đồng ý của các chủ thể dữ liệu liên quan. Hồ sơ đánh giá tác động còn phải có văn bản thỏa thuận chuyển giao dữ liệu với tổ chức nhận dữ liệu ở nước ngoài. Các tổ chức truyền dữ liệu phải luôn cung cấp hồ sơ đánh giá tác động để phục vụ hoạt động kiểm tra. Hồ sơ gốc phải được gửi về Bộ Công An trong vòng 60 ngày kể từ ngày xử lý dữ liệu cá nhân. Nghị định cũng ban hành các biểu mẫu cần thiết cho việc lập hồ sơ đánh giá tác động. Các đơn vị truyền dữ liệu cũng phải cập nhật hồ sơ đánh giá tác động khi có thay đổi (và gửi thông tin cập nhật về Bộ Công an). Bộ Công an có quyền kiểm tra việc xuất dữ liệu ra nước ngoài và có thể quyết định ngừng xuất dữ liệu cá nhân nếu không tuân thủ các quy định của lệnh này;

Biện pháp bảo vệ – Mỗi tổ chức phải xây dựng – ban hành các quy trình nội bộ để bảo vệ dữ liệu cá nhân theo quy định. Ngoài ra còn có các yêu cầu liên quan đến hệ thống an ninh mạng và khả năng xóa dữ liệu cá nhân trong vòng 72 giờ. Quy định này cũng cung cấp sự bảo vệ nâng cao trong việc xử lý dữ liệu nhạy cảm và dữ liệu của trẻ em.

Chế tài – Việc không tuân thủ các quy định tại Nghị định này có thể dẫn đến các chế tài sau:

• Xử phạt vi phạm hành chính do không chấp hành quy định của Nghị định.
• Xử lý hình sự đối với các hành vi xâm phạm quyền riêng tư.
• Đình chỉ một số hoạt động nhất định, chẳng hạn như quyết định ngừng chuyển dữ liệu ra nước ngoài hoặc khai thác thông tin dữ liệu cá nhân.

III. ĐỐI TƯỢNG ÁP DỤNG CỦA NGHỊ ĐỊNH:

Theo khoản 2 Điều 1 Nghị định 13/2023/NĐ-CP thì Nghị định này áp dụng đối với 4 nhóm đối tượng, gồm có:

1. Cơ quan, tổ chức, cá nhân Việt Nam;

2. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

3. Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;

4. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

IV. DỊCH VỤ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ QUYỀN RIÊNG TƯ

Để có thể cung cấp đến quý Doanh nghiệp – Khách hàng – Người dùng (Sau đây gọi tắt là "Khách Hàng") chất lượng dịch vụ về bảo vệ dữ liệu cá nhân và quyền riêng tư tốt nhất, chúng tôi thiết kế một quy trình phù hợp với Pháp luật Việt nam, đảm bảo được các quyền lợi của Khách Hàng, tương thích với yêu cầu và từng ngành nghề khác nhau nhưng với một mức kinh phí phù hợp. Quy trình của chúng tôi gồm 6 bước như sau:

Bước 1: Xác định rủi ro tìm ẩn trong phạm vi dữ liệu: – Xác định quy mô và phạm vi rủi ro trong từng loại dữ liệu cá nhân, liên kết đến các phạm vi pháp lý;

Bước 2: Đánh giá mức độ hiện trạng của hệ thống bảo vệ dữ liệu: – Đánh giá các yêu tố về pháp lý liên quan đối với các dữ liệu cá nhân ở hiện trạng và cải tiến thêm các yếu tố pháp lý, mở rộng qui mô phát triển ở tương lai;

Bước 3: Xây dựng mô hình và thiết kế quy trình: – Thiết lập, đào tạo và xác lập các cơ chế quản trị, vận hành, sửa chữa và kiểm tra. Nâng cao sự nhịp nhàng của từng bộ phận vận hành cho quy trình;

Bước 4: Triển khai Mô hình – Quy trình đã xây dựng và chuyển đổi: - Thông qua từng bộ phận và ngành nghề/Lĩnh vực của Khách hàng, từ đó triển khai quá trình phù hợp với các yêu cầu thực tiễn

Bước 5: Duy trì và vận hành mô hình – Quy Trình: Kích hoạt quy trình (có thể chạy thử đến lần thứ 3) đảm bảo sự phối hợp của các bộ phận, từ đó duy trì các hoạt động đã triển khai trong mô hình đã xây dựng.

Bước 6: Tầm soát và sửa chữa những lỗ hỏng trong quá trình vận hành: Kiểm tra và sửa chữa những lỗ hỏng đã phát hiện và tìm ẩn trong quá trình hoạt động của Mô hình bảo vệ dữ liệu cá nhân.

V. Kết luận:

Chính phủ Việt Nam ban hành Nghị định 13/2023/NĐ-CP nhằm khắc phục các tình trạng đang bất cập, thiếu xót trong quá trình bảo vệ, xử lý dữ liệu cá nhân và Quyền riêng tư, đây cũng là dịp mà các Khách hàng có thể đánh giá mức độ rủi ro mà từ pháp lý mang đến về việc bảo vệ dữ liệu cá nhân và Quyền riêng tư. Từ đó chúng tôi cũng muốn giới thiệu đến quý Khách Hàng, dịch vụ bảo vệ dữ liệu cá nhân và Quyền riêng tư mà chúng tôi đã thiết kế dựa trên từng tệp Khách Hàng, từng lĩnh vực, phù hợp với pháp luật Việt Nam với sự tối ưu về kinh phí. Hi vọng sẽ là chỗ dựa vững chắc về mặt tinh thần, pháp lý và đồng  "lá chắn" bảo vệ Khách Hàng qua những rủi ro ảnh hướng đến thông tin cá nhân và Quyền riêng tư.

Xin cám ơn./.