Dữ liệu cá nhân là gì ? Bao gồm những thông tin nào ?

Dữ liệu cá nhân bao gồm những thông tin gì ? Từ ngày 1/17/2023 Nghị định 13/2023/NĐ-CP của chính phủ ban hành về dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu của các cơ quan, tổ chức chính thức có hiệu lực cần phải lưu ý những gì sẽ được công ty luật Intecovietnam tổng hợp trong bài viết này.

Dữ liệu cá nhân là gì ?

Dữ liệu cá nhân căn cứ theo khoản 1 điều 2 của nghị định 13/2023/NĐ-CP  được xác định như sau:

Dữ liệu cá nhân là thông tin nhận dạng dưới dạng ký hiệu, hình ảnh, chữ số, âm thanh hoặc các dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm các dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân bao gồm những thông tin nào ?

Căn cứ vào Nghị định 13/2023/NĐ-CP  đã xác định dữ liệu cá nhân gồm có:

Dữ liệu cơ bản

Dữ liệu nhạy cảm

Dữ liệu cá nhân nhạy cảm hay thông tin cá nhân nhạy cảm là dữ liệu cá nhân được gắn liền với quyền riêng tư của cá nhân đó. Khi mà quyền riêng tư cá nhân bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích của cá nhân đó bao gồm:

Các chủ thể dữ liệu chính

Có nhiều chủ thể trong quan hệ này, tuy nhiên, tác giả lưu ý cần quan tâm tới một số chủ thể như sau:

• Chủ thể thứ nhất: Chủ thể dữ liệu như đã nêu trên đây. Ví dụ: Người lao động trong doanh nghiệp là chủ thể dữ liệu đối với các thông tin cá nhân mà mình đã cung cấp cho Doanh nghiệp trong quá trình ứng tuyển, tuyển dụng và làm việc.
• Chủ thể thứ hai là bên kiểm soát dữ liệu. Bên Kiểm soát DLCN là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Ví dụ: Doanh nghiệp là bên kiểm soát dữ liệu khi quyết định lưu trữ hồ sơ tuyển dụng và hồ sơ đánh giá quá trình làm việc của người lao động vào hồ sơ giấy và scan để lưu trữ trên phần mềm.
• Chủ thể thứ ba là bên xử lý dữ liệu. Bên Xử lý DLCN là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.

Chủ thể thứ hai và chủ thể thứ ba có thể là những tổ chức, cá nhân độc lập hoặc là một.

Ai là chủ thể dữ liệu?

Trong bảo hộ dữ liệu cá nhân, thì chủ thể dữ liệu là vấn đề rất quan trọng. Theo quy định tại Nghị định 13, thì chủ thể dữ liệu là một con người cụ thể được xác định thông qua các thông tin hoặc kết hợp tác thông tin. Ví dụ: thông qua ngày tháng năm sinh, địa chỉ quê quán, nơi thường trú, số căn cước công dân … thì có thể xác định được một người cụ thể là Anh Nguyễn Thúc Nam.

Chủ thể dữ liệu có quyền gì?

Nếu bạn đang quan tâm tới việc bạn sẽ có quyền gì trong việc bảo vệ thông tin cá nhân của mình, thì hay nghiên cứu kỹ các quy định sau đây:

Chủ thể dữ liệu có 11 quyền cơ bản bao gồm:

• Quyền được biết: Cá nhân được biết về hoạt động xử lý DLCN của mình, trừ trường hợp luật có quy định khác.
• Quyền đồng ý: Cá nhân được đồng ý hoặc không đồng ý cho phép xử lý DLCN của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.
• Quyền truy cập: Cá nhân được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa DLCN của mình, trừ trường hợp luật có quy định khác.
• Quyền rút lại sự đồng ý: Cá nhân dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
• Quyền xóa dữ liệu: Cá nhân có quyền được xóa hoặc yêu cầu xóa DLCN của mình, trừ trường hợp luật có quy định khác.
• Quyền hạn chế xử lý dữ liệu: Quyền được yêu cầu hạn chế xử lý DLCN của mình, trừ trường hợp luật có quy định khác; Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ DLCN mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
• Quyền cung cấp dữ liệu: Quyền được yêu cầu Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN cung cấp cho bản thân DLCN của mình, trừ trường hợp luật có quy định khác.
• Quyền phản đối xử lý dữ liệu: Chủ thể  được phản đối Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN xử lý DLCN của mình nhằm ngăn chặn hoặc hạn chế tiết lộ DLCN hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
• Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể  có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
• Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ DLCN của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
• Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Nghị định dữ liệu cá nhân trong kinh doanh

Trong nghị định 13/2023/NĐ-CP đã nêu rõ về bảo vệ dữ liệu cá nhân trong kinh doanh các dịch vụ tiếp thị, quảng cáo, giới thiệu sản phẩm theo đó: Các tổ chức, cá nhân kinh doanh dịch vụ tiếp thị quảng cáo giới thiệu sản phẩm chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh tiếp thị giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu.

Việc xử lý các dữ liệu cá nhân của khách hàng cần phải có sự đồng ý của khách hàng trên cơ sở khách hàng được biết rõ nội dung, hình thức, phương thức, tần xuất giới thiệu sản phẩm. Các tổ chức, cá nhân kinh doanh có trách nhiệm chứng minh việc sử dụng dữ liệu khách hàng để giới thiệu sản phẩm đúng với quy định khoản 1 và 2.

Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân sẽ cung cấp các thông tin về chủ trương, đường lối và chính sách của Đảng, Pháp luật nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền và phổ biến các chính sách pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin và tình hình bảo vệ dữ liệu cá nhân tiếp nhận các thông tin và hồ sơ dữ liệu về hoạt động bảo vệ dữ liệu cá nhân trên không gian mạng; cung cấp các kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức, cá nhân có liên quan.

Ngoài ra, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân sẽ tiếp nhận các thông báo vi phạm quy định về dữ liệu cá nhân và cảnh báo, phối hợp cảnh báo nguy cơ với các hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; Thực hiện các hoạt động bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

Xử lý dữ liệu cá nhân là gì?

Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới DLCN, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy DLCN hoặc các hành động khác có liên quan.

Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý DLCN của công dân Việt Nam, bao gồm:

1. Tổ chức, doanh nghiệp, cá nhân chuyển DLCN của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
2. Xử lý DLCN của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

Các nghĩa vụ chính của Doanh nghiệp về dữ liệu cá nhân

Là chủ thể chính của nền kinh tế, doanh nghiệp chịu sự tác động lớn từ Nghị định 13/2023 liên quan đến các trách nhiệm và nghĩa vụ liên quan đến bảo vệ dữ liệu cá nhân. Chúng tôi xin nêu tóm lược một số nghĩa vụ cơ bản như sau:

Nghĩa vụ thứ nhất

Lập hồ sơ đánh giá tác động xử lý DLCN (DPIA). Theo quy định tại Điều 24, Nghị định 13/2023/NĐ-CP “Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN lập và lưu giữ Hồ sơ đánh giá tác động xử lý DLCN của mình kể từ thời điểm bắt đầu xử lý DLCN”.

Quy định này có thể hiểu rằng, mỗi doanh nghiệp cần xây dựng ít nhất một hồ sơ đánh giá tác động xử lý DLCN áp dụng cho riêng doanh nghiệp; và phải lưu trữ, bảo quản, thường xuyên cập nhật theo tình hình. Hồ sơ đánh giá tác động xử lý DLCN phải được lập kể từ thời điểm bắt đầu xử lý DLCN.

Doanh nghiệp có thể phân công bộ phận hoặc người phụ trách để thực hiện việc lập Hồ sơ đánh giá tác động xử lý DLCN hoặc sử dụng dịch vụ thuê ngoài của một đơn vị có năng lực, kinh nghiệm.

Theo quy định tại Điều 24, Nghị định 13 thì “3. Hồ sơ đánh giá tác động xử lý DLCN ….. được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN hoặc Bên Xử lý DLCN. 4. Hồ sơ đánh giá tác động xử lý DLCN phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN”.

Nghĩa vụ thứ hai

Lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi hồ sơ xin ý kiến tới A05 (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong trường hợp chuyển dữ liệu ra nước ngoài.

Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý DLCN của công dân Việt Nam, bao gồm: (a) Tổ chức, doanh nghiệp, cá nhân chuyển DLCN của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; (b) Xử lý DLCN của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

Trên đây là một số nội dung chính của Nghị định 13/2023/NĐ-CP về bảo vệ DLCN. Công ty Luật TNHH Inteco sẽ tiếp tục có các bài viết bình luận và phân tích sâu hơn, chi tiết hơn về các nội dung của Nghị định này để quý khách hàng có thêm thông tin.

Các hành vi bị nghiêm cấm về dữ liệu cá nhân

Căn cứ vào điều 8 nghị định 13/2023/NĐ-CP về hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân bao gồm:

• Xử lý dữ liệu của cá nhân trái với các quy định của pháp luật về bảo vệ dữ liệu cá nhân.
• Xử lý dữ liệu cá nhân nhằm tạo ra thông tin để chống phá Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam
• Xử lý dữ liệu cá nhân để tạo ra các thông tin gây ảnh hưởng tới an ninh quốc gia và trật tự an toàn xã hội, quyền và lợi ích hợp pháp của các cá nhân hay tổ chức. Gây cản trở các hoạt động bảo vệ dữ liệu cá nhân của các cơ quan có thẩm quyền.
• Lợi dụng các hoạt động bảo vệ dữ liệu cá nhân để thực hiện các hành vi vi phạm pháp luật
• Điều 17 có quy định các trường hợp xử lý dữ liệu cá nhân mà không cần đến sự đồng ý của chủ thể như sau: Trong các trường hợp khẩn cấp, cần phải xử lý ngay dữ liệu cá nhân có liên quan nhằm bảo vệ tính mạng, sức khỏa của chủ thể dữ liệu hoặc người liên quan. Bên kiểm soát dư liệu cá nhân và bên xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này…

Các dịch vụ bảo vệ dữ liệu cá nhân tại Intecovietnam:

• Dịch vụ đào tạo nội bộ;
• Dịch vụ tư vấn về bảo mật thông tin và bảo vệ dữ liệu CN;
• Rà soát, thẩm định và tư vấn hoàn thiện hệ thống bảo vệ DLCN trong nội bộ doanh nghiệp;
• Xây dựng và đào tạo, chuyển giao quy trình bảo vệ DLCN trong nội bộ doanh nghiệp;
• Soạn thảo quy chế bảo mật thông tin và bảo vệ DLCN;
• Soạn thảo chính sách bảo vệ dữ liệu;
• Soạn thảo hồ sơ đánh giá tác động xử lý DLCN (DPIA);
• Soạn thảo và trình nộp A05 hồ sơ đánh giá tác động xử lý DLCN;

Nếu doanh nghiệp cần sự hỗ trợ của Luật sư tư vấn chuyên sâu trong vấn đề bảo vệ dữ liệu cá nhân, vui lòng liên hệ trực tiếp với chúng tôi theo số điện thoại: 0968183786.