Bảo vệ dữ liệu cá nhân tại Việt Nam

Bảo vệ dữ liệu cá nhân là vấn đề mà các doanh nghiệp đang rất quan tâm hiện nay, nhất là khi Nghị định 13/2023/NĐ-CP vừa ra đời và có hiệu lực kể từ ngày 01/07/2023. Với các quy định mới, Doanh nghiệp sẽ phải gánh chịu nhiều nghĩa vụ mới và đặt mình vào trạng thái có thể chịu rủi ro về mặt tuân thủ pháp luật khi văn bản mới này có hiệu lực. Tác giả xin giới thiệu một số nội dung cơ bản về vấn đề này trong bài viết dưới đây.

Bảo vệ dữ liệu cá nhân là gì?

Bảo vệ dữ liệu cá nhân (“DLCN”) là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN theo quy định của pháp luật.

Bên cạnh khái niệm bảo vệ DLCN, còn có một khái niệm khác thường được nhắc đến, là khái niệm “bảo hộ thông tin”. Bảo hộ thông tin là các biện pháp mà pháp luật quy định và được cơ quan Nhà nước có thẩm quyền áp dụng để chống lại mọi sự xâm phạm và giữ cho các thông tin cá nhân được nguyên vẹn hoặc không bị thu thập, lưu trữ, khai thác, sử dụng theo cách thức làm ảnh hướng tới quyền và lợi ích hợp pháp của chủ sở hữu thông tin.

Bảo vệ dữ liệu cá nhân với bảo hộ thông tin có sự khác nhau về cách thức tiếp cận. Một bên là chủ thể dữ liệu tự mình thực hiện các biện pháp bảo vệ, và bên khác là cơ quan Nhà nước có thẩm quyền thực hiện chức năng quản lý Nhà nước của mình.

Trong giới hạn bài viết này, tác giả chỉ đề cập tới vấn đề bảo vệ DLCN theo quy định tại Nghị định 13/2023/NĐ-CP.

Vậy dữ liệu cá nhân là gì? Theo giải thích tại Điều 1 của Nghị định này thì “DLCN là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”.

Dữ liệu cá nhân bao gồm DLCN cơ bản và DLCN nhạy cảm;

Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể.

Vậy ai là chủ thể dữ liệu cá nhân?

Trong bảo hộ dữ liệu cá nhân, thì chủ thể dữ liệu là vấn đề rất quan trọng. Theo quy định tại Nghị định 13, thì “Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân”. Giải thích đơn giản hơn, chủ thể dữ liệu là một con người cụ thể được xác định thông qua các thông tin hoặc kết hợp tác thông tin. Ví dụ: thông qua ngày tháng năm sinh, địa chỉ quê quán, nơi thường trú, số căn cước công dân … thì có thể xác định được một người cụ thể là Anh Nguyễn Thúc Nam.

Chủ thể dữ liệu cá nhân có quyền gì?

Nếu bạn đang quan tâm tới việc bạn sẽ có quyền gì trong việc bảo vệ thông tin cá nhân của mình, thì hay nghiên cứu kỹ các quy định sau đây:

Chủ thể dữ liệu có 11 quyền cơ bản bao gồm:

Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý DLCN của mình, trừ trường hợp luật có quy định khác.

Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý DLCN của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.

Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa DLCN của mình, trừ trường hợp luật có quy định khác.

Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.

Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa DLCN của mình, trừ trường hợp luật có quy định khác.

Quyền hạn chế xử lý dữ liệu: Chủ thể dữ liệu được yêu cầu hạn chế xử lý DLCN của mình, trừ trường hợp luật có quy định khác; Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ DLCN mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.

Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN cung cấp cho bản thân DLCN của mình, trừ trường hợp luật có quy định khác.

Quyền phản đối xử lý dữ liệu: Chủ thể dữ liệu được phản đối Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN xử lý DLCN của mình nhằm ngăn chặn hoặc hạn chế tiết lộ DLCN hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.

Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ DLCN của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Các chủ thể nào trong quan hệ bảo vệ dữ liệu cá nhân?

Có nhiều chủ thể trong quan hệ này, tuy nhiên, tác giả lưu ý cần quan tâm tới một số chủ thể như sau:

Chủ thể thứ nhất: Chủ thể dữ liệu như đã nêu trên đây. Ví dụ: Người lao động trong doanh nghiệp là chủ thể dữ liệu đối với các thông tin cá nhân mà mình đã cung cấp cho Doanh nghiệp trong quá trình ứng tuyển, tuyển dụng và làm việc.

Chủ thể thứ hai là bên kiểm soát dữ liệu. Bên Kiểm soát DLCN là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Ví dụ: Doanh nghiệp là bên kiểm soát dữ liệu khi quyết định lưu trữ hồ sơ tuyển dụng và hồ sơ đánh giá quá trình làm việc của người lao động vào hồ sơ giấy và scan để lưu trữ trên phần mềm.

Chủ thể thứ ba là bên xử lý dữ liệu. Bên Xử lý DLCN là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.

Chủ thể thứ hai và chủ thể thứ ba có thể là những tổ chức, cá nhân độc lập hoặc là một.

Xử lý dữ liệu cá nhân là gì?

Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới DLCN, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy DLCN hoặc các hành động khác có liên quan.

Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý DLCN của công dân Việt Nam, bao gồm:

  1. Tổ chức, doanh nghiệp, cá nhân chuyển DLCN của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
  2. Xử lý DLCN của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

Các biện pháp bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là những hoạt động phức tạp, đòi hỏi có sự kết hợp giữa nhiều yếu tố và phương pháp khác nhau. Trước hết, phải khẳng định rằng, các biện pháp bảo vệ DLCN không phải là hành động diễn ra trong một thời gian ngắn hay tại một thời điểm, mà là một quá trình lâu dài, xuyên suốt. Tính lâu dài và xuyên suốt này dẫn tới yêu cầu phải có một bộ phận hoặc cán bộ chuyên trách về xử lý DLCN. Đối với doanh nghiệp lớn, có thể xây dựng một bộ phận riêng hoặc một bộ phận trong phòng kiểm soát tuân thủ hoặc phòng pháp chế.

Doanh nghiệp là một trong các chủ thể quan trọng và gánh chịu nhiều nghĩa vụ nhất liên quan đến vấn đề bảo vệ thông tin cá nhân, bởi các mối quan hệ đa chiều và sự tham gia vào nhiều mối quan hệ với các tổ chức, cá nhân khác nhau. Do đó, để đảm bảo hiệu quả của công ty tác kiểm soát tuân thủ nội bộ, doanh nghiệp cần trang bị cho mình những biện pháp bảo vệ DLCN một cách nhất quán, đồng bộ và hiệu quả.

Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện.

Cụ thể của biện pháp này, bao gồm 02 nhóm nội dung gồm: (i) xây dựng bộ phận hoặc cá nhân phụ trách vấn đề bảo vệ DLCN. Bộ phận/ cá nhân này cần là người có trình độ hiểu biết, có năng lực và kinh nghiệm trong vấn đề bảo vệ DLCN, đã trải qua các lớp tập huấn nghiệp vụ về bảo vệ DLCN; (ii) xây dựng hệ thống chính sách, quy chế về bảo vệ DLCN.

Hệ thống chính sách, quy chế về bảo vệ dữ liệu cá nhân bao gồm:

Quy chế bảo mật thông tin;

Quy chế bảo mật thông tin là văn bản áp dụng nội bộ, quy định các nội dung liên quan đến thu thập dữ liệu, cam kết về cung cấp và chuyển giao quyền lưu trữ, xử lý DLCN cho doanh nghiệp, các trường hợp vi phạm và xử lý vi phạm ….

Mục đích của quy chế này, không chỉ để quy định cụ thể các vấn đề về xử lý DLCN mà còn là công cụ để phòng ngừa và ngăn chặn nguy cơ doanh nghiệp bị coi là vi phạm quy định pháp luật về bảo vệ DLCN; bảo vệ quyền riêng tư cá nhân, bảo vệ tài sản vô hình của doanh nghiệp.

Kèm theo văn bản là các biểu mẫu nội bộ (như: mẫu chấp thuận xử lý DLCN, mẫu chuyển giao quyền xử lý DLCN …).

Chính sách bảo vệ dữ liệu cá nhân.

Chính sách bảo vệ dữ liệu cá nhân là văn bản tuyên cáo của doanh nghiệp đối với thị trường, khách hàng, đối tác, bạn hàng về vấn đề bảo vệ DLCN. Bạn có thể tham khảo Chính sách của Viettel về chính sách bảo vệ DLCN tại đây: https://viettelmoney.vn/wp-content/uploads/2023/07/BVDLCN.pdf

Nếu quy chế bảo mật thông tin là văn bản có tính chất nội bộ, thì chính sách bảo vệ DLCN có thể có phạm vi áp dụng rộng rãi hơn ra bên ngoài phạm vi của doanh nghiệp. Đây là một tài liệu hết sức quan trọng, có giá trị như một bản thoả thuận hay hợp đồng giữa doanh nghiệp và các chủ thể DLCN bên ngoài doanh nghiệp trong việc xác lập cơ sở pháp lý về vấn đề thu thập, lưu trữ, xử lý, chuyển dữ liệu.

Theo kinh nghiệm mà các Luật sư tư vấn của chúng tôi đã cọ xát nhiều năm qua hàng nghìn trường hợp, thì trong bối cảnh pháp luật không thể đưa ra quy định chi tiết và đầy đủ, thì doanh nghiệp cần chủ động xây dưngj hệ thống chính sách bảo vệ DLCN này để tạo hành lang pháp lý cho việc kiểm soát tuân thủ một cách hiệu quả nhất, né tránh các rủi ro về pháp lý và rủi ro về tài chính.

Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện

Các biện pháp này thể hiện ở việc doanh nghiệp chủ động xây dựng các hệ thống kỹ thuật, như phần mềm, tường lửa, các biện pháp chống sao chép, biện pháp kiểm soát việc thu thập và xử lý dữ liệu trong nội bộ doanh nghiệp và trên các nền tảng trực tiếp.

Biện pháp này đặc biệt quan trọng đối với các doanh nghiệp vận hành trang thông tin điện tử, trang thương mại điện tử hoặc các phần mềm trong quá trình giao dịch với khách hàng, đối tác …

Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện

Trong trường hợp chủ thể dữ liệu cá nhân hoặc cơ quan có thẩm quyền chủ động thực hiện các biện pháp kiểm tra hành động xâm phạm quyền, hành động vi phạm pháp luật về xử lý DLCN, các cơ quan có thẩm quyền đó sẽ thực hiện các biện pháp xử lý, như điều tra, xác minh, xử phạt hành chính hoặc truy tố.

Chủ thể dữ liệu có thể tự mình điều tra, xác minh và thu thập chứng cứ để tố giác hành vi vi phạm tới cơ quan Nhà nước có thẩm quyền, khởi kiện ra toà án nhân dân có thẩm quyền để đề nghị xử lý hành vi xâm phạm.

Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;

Đây là các biện pháp của cơ quan Nhà nước có thẩm quyền khi phát hiện hoặc nhận được tin báo về hành vi vi phạm liên quan đến bảo vệ DLCN.

Trong giai đoạn này, đặc biệt nhấn mạnh vai trò của các Luật sư tranh tụng, bởi các kinh nghiệm làm việc với cơ quan điều tra, Toà án hình sự tại các buổi hỏi cung, nghiệp vụ điều tra và phiên toà hình sự.

Các biện pháp khác theo quy định của pháp luật

Các biện pháp theo quy định của pháp luật chuyên ngành

Các nghĩa vụ chính của Doanh nghiệp đối với vấn đề bảo vệ dữ liệu cá nhân là gì?

Là chủ thể chính của nền kinh tế, doanh nghiệp chịu sự tác động lớn từ Nghị định 13/2023 liên quan đến các trách nhiệm và nghĩa vụ liên quan đến bảo vệ DLCN. Chúng tôi xin nêu tóm lược một số nghĩa vụ cơ bản như sau:

Nghĩa vụ thứ nhất, lập hồ sơ đánh giá tác động xử lý DLCN (DPIA). Theo quy định tại Điều 24, Nghị định 13/2023/NĐ-CP “Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN lập và lưu giữ Hồ sơ đánh giá tác động xử lý DLCN của mình kể từ thời điểm bắt đầu xử lý DLCN”.

Quy định này có thể hiểu rằng, mỗi doanh nghiệp cần xây dựng ít nhất một hồ sơ đánh giá tác động xử lý DLCN áp dụng cho riêng doanh nghiệp; và phải lưu trữ, bảo quản, thường xuyên cập nhật theo tình hình. Hồ sơ đánh giá tác động xử lý DLCN phải được lập kể từ thời điểm bắt đầu xử lý DLCN.

Doanh nghiệp có thể phân công bộ phận hoặc người phụ trách để thực hiện việc lập Hồ sơ đánh giá tác động xử lý DLCN hoặc sử dụng dịch vụ thuê ngoài của một đơn vị có năng lực, kinh nghiệm.

Theo quy định tại Điều 24, Nghị định 13 thì “3. Hồ sơ đánh giá tác động xử lý DLCN ….. được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN hoặc Bên Xử lý DLCN. 4. Hồ sơ đánh giá tác động xử lý DLCN phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN”.

Nghĩa vụ thứ hai, lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi hồ sơ xin ý kiến tới A05 (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong trường hợp chuyển dữ liệu ra nước ngoài.

Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý DLCN của công dân Việt Nam, bao gồm: (a) Tổ chức, doanh nghiệp, cá nhân chuyển DLCN của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; (b) Xử lý DLCN của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

Trên đây là một số nội dung chính của Nghị định 13/2023/NĐ-CP về bảo vệ DLCN. Công ty Luật TNHH Inteco sẽ tiếp tục có các bài viết bình luận và phân tích sâu hơn, chi tiết hơn về các nội dung của Nghị định này để quý khách hàng có thêm thông tin.

Các dịch vụ chủ yếu của chúng tôi trong lĩnh vực bảo vệ dữ liệu cá nhân:

  • Dịch vụ đào tạo nội bộ;
  • Dịch vụ tư vấn về bảo mật thông tin và bảo vệ dữ liệu CN;
  • Rà soát, thẩm định và tư vấn hoàn thiện hệ thống bảo vệ DLCN trong nội bộ doanh nghiệp;
  • Xây dựng và đào tạo, chuyển giao quy trình bảo vệ DLCN trong nội bộ doanh nghiệp;
  • Soạn thảo quy chế bảo mật thông tin và bảo vệ DLCN;
  • Soạn thảo chính sách bảo vệ dữ liệu;
  • Soạn thảo hồ sơ đánh giá tác động xử lý DLCN (DPIA);
  • Soạn thảo và trình nộp A05 hồ sơ đánh giá tác động xử lý DLCN;

Nếu doanh nghiệp cần sự hỗ trợ của Luật sư tư vấn chuyên sâu trong vấn đề bảo vệ DLCN, vui lòng liên hệ trực tiếp với chúng tôi theo số điện thoại: 0968183786.