Quyền được lãng quên là gì? Việt Nam có quyền được lãng quên không?
Chúng ta có quyền được “quên” đi quá khứ của mình trên mạng không? Quyền được lãng quên, hay còn gọi là quyền được xóa bỏ thông tin cá nhân, đang là một vấn đề được nhiều quốc gia quan tâm. (1) Quyền được lãng quên là gì? Quyền được lãng quên là một khái niệm pháp lý cho phép cá nhân yêu cầu xóa bỏ hoặc không công khai thông tin cá nhân của họ trên internet, đặc biệt là thông tin có thể gây tổn hại đến danh tiếng hoặc quyền riêng tư của họ. Theo đó, khái niệm này được biết đến và phát triển mạnh mẽ từ phán quyết của Tòa án Công lý châu Âu (CJEU) vào năm 2014, trong đó xác định rằng cá nhân có quyền yêu cầu các công cụ tìm kiếm xóa bỏ các liên kết đến thông tin cá nhân của họ nếu thông tin đó không còn phù hợp, không chính xác hoặc không cần thiết. Quyền này thường áp dụng trong các trường hợp như thông tin cá nhân đã lỗi thời, thông tin gây tổn hại đến danh tiếng hoặc thông tin mà cá nhân không muốn công khai. Ví dụ, một cá nhân phát hiện rằng thông tin về họ trên một trang web là sai lệch, chẳng hạn như thông tin về quá trình học tập hoặc công việc. Họ có thể yêu cầu xóa bỏ thông tin này để bảo vệ danh tiếng của mình. Hoặc, một người từng bị kết án nhưng đã hoàn lương và muốn bắt đầu lại cuộc sống. Họ có thể yêu cầu xóa bỏ các liên kết đến tin tức về vụ án cũ của mình trên các công cụ tìm kiếm, vì thông tin này không còn phản ánh đúng tình trạng hiện tại của họ. Tuy nhiên, việc áp dụng quyền được lãng quên tương đối phức tạp, cá nhân cần phải gửi yêu cầu đến các công cụ tìm kiếm hoặc trang web chứa thông tin, kèm theo lý do cụ thể về việc tại sao thông tin đó nên bị xóa và các minh chứng trong trường hợp cần thiết. Ngoài ra, quyền được lãng quên không phải là tuyệt đối; các tổ chức và công ty có thể từ chối yêu cầu nếu thông tin đó có giá trị công cộng, liên quan đến lợi ích xã hội hoặc quyền tự do ngôn luận. Dù vậy, quyền được lãng quên cũng đã phản ánh sự cần thiết phải cân bằng giữa quyền riêng tư cá nhân và quyền tự do thông tin trong kỷ nguyên số. Do đó, nhiều quốc gia đang xem xét hoặc đã ban hành các quy định pháp lý liên quan đến quyền được lãng quên, trong đó có GDPR (Quy định chung về bảo vệ dữ liệu) của Liên minh châu Âu. (2) Việt nam có quyền được lãng quên không? Hiện nay, nước ta chưa có quy định về “quyền được lãng quên”, tuy nhiên, Bộ Công an đang Dự thảo Luật Bảo vệ dữ liệu cá nhân, trong đó có đề xuất về quyền được xóa dữ liệu. Cụ thể, tại Điều 9 Dự thảo Luật Bảo vệ dữ liệu cá nhân, Bộ Công an đề xuất chủ thể của dữ liệu có 11 quyền sau đây: 1- Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 2- Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 3- Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được thu thập, trừ trường hợp luật có quy định khác. 4- Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. 5- Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 6- Quyền hạn chế xử lý dữ liệu - Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu hoặc dữ liệu không thể hạn chế xử lý dữ liệu do quy định của luật; - Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. 7- Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 8- Quyền phản đối xử lý dữ liệu - Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị; - Phản đối của chủ thể dữ liệu vô hiệu khi luật đã có quy định khác; - Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. 9- Quyền khiếu nại, tố cáo Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan. 10- Quyền yêu cầu bồi thường thiệt hại Chủ thể có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. 11- Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự 2015, luật khác có liên quan, theo quy định tại Luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự 2015. Có thể thấy, việc đề xuất ra các quyền như quyền được biết, quyền đồng ý, quyền rút lại đồng ý và đặc biệt là quyền xóa dữ liệu là những bước đi đầu tiên của Việt Nam trong công cuộc bảo vệ dữ liệu cá nhân trên không gian mạng. Nhìn chung, mặc dù Việt Nam chưa có quyền được lãng quên chính thức, nhưng những bước đi đang được thực hiện của nước ta cho thấy nhà nước đang có một hướng đi tích cực trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân. Hiện nay, Bộ Công an đang tổ chức lấy ý kiến, đóng góp của các cơ quan, tổ chức, cá nhân trong và ngoài nước về Dự thảo Luật Bảo vệ dữ liệu cá nhân. >>> Xem Dự thảo Luật Bảo vệ dữ liệu cá nhân tại đây https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx
Thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân
Bộ Công an hiện đang dự thảo Luật Bảo vệ dữ liệu cá nhân, dự kiến thời gian trình Quốc hội cho ý kiến vào Kỳ họp thứ 8, Quốc hội khóa XV. Trong đó có đề xuất thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân. Xem toàn văn dự thảo Luật Bảo vệ dữ liệu cá nhân: https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx Thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân Theo khoản 4 Điều 2 dự thảo Luật Bảo vệ dữ liệu cá nhân quy định dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm: - Quan điểm chính trị, quan điểm tôn giáo; - Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; - Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc, - Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; - Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; - Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; - Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; - Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; - Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất; - Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; - Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. Như vậy, dự thảo Luật Bảo vệ dữ liệu cá nhân đã đề xuất thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân và khi bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân. Đề xuất quy định về bảo vệ dữ liệu cá nhân nhạy cảm Theo đó, bên cạnh quy định về dữ liệu cá nhân nhạy cảm thì Bộ Công an cũng đề xuất các quy định để bảo vệ các dữ liệu cá nhân nhạy cảm này, cụ thể tại Điều 49 dự thảo Luật Bảo vệ dữ liệu cá nhân như sau: - Áp dụng các biện pháp sau đây: + Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: ++ Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; ++ Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; ++ Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; ++ Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; ++ Các biện pháp khác theo quy định của pháp luật. + Các biện pháp bảo vệ dữ liệu cá nhân cơ bản, bao gồm: ++ Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Luật này. ++ Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. ++ Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân. - Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. - Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. - Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Luật này. - Đánh giá tín nhiệm về bảo vệ dữ liệu cá nhân. Như vậy, nếu dự thảo được thông qua thì sẽ có các biện pháp để bảo vệ dữ liệu cá nhân nhạy cảm như trên. Xem toàn văn dự thảo Luật Bảo vệ dữ liệu cá nhân: https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx Xem thêm: Đã có Dự thảo Luật Bảo vệ dữ liệu cá nhân
Sự đồng ý của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân được quy định như thế nào?
Hiện nay, việc bảo vệ dữ liệu cá nhân đang là đề tài nóng được nhiều dư luận quan tâm. Để có thể xử lý được dữ liệu của cá nhân thì cần phải có sự đồng ý của chủ thể dữ liệu. Vậy pháp luật quy định về sự đồng ý của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân như thế nào? Chủ thể dữ liệu là gì? Sự đồng ý của chủ thể dữ liệu là gì Căn cứ theo quy định tại khoản 6 và khoản 8 Điều 2 Nghị định 13/2023/NĐ-CP có định nghĩa như sau: - Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. - Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. Sự đồng ý của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân được quy định như thế nào? Căn cứ theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP có quy định về sự đồng ý của chủ thể dữ liệu như sau: - Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. - Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: + Loại dữ liệu cá nhân được xử lý; + Mục đích xử lý dữ liệu cá nhân; + Tổ chức, cá nhân được xử lý dữ liệu cá nhân; + Các quyền, nghĩa vụ của chủ thể dữ liệu. - Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. -. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. -. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. - Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. - Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. - Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. - Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. - Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. - Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP, trừ trường hợp luật có quy định khác. Chủ thể dữ liệu có quyền và nghĩa vụ gì? Căn cứ theo Điều 9, Điều 10 Nghị định 13/2023/NĐ-CP quy định về quyền và nghĩa vụ của chủ thể dữ liệu như sau: Quyền của chủ thể dữ liệu: - Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP - Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. - Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền hạn chế xử lý dữ liệu + Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; + Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. - Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền phản đối xử lý dữ liệu + Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; + Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. - Quyền khiếu nại, tố cáo, khởi kiện Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật. - Quyền yêu cầu bồi thường thiệt hại Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. - Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự. Nghĩa vụ của chủ thể dữ liệu: - Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình. - Tôn trọng, bảo vệ dữ liệu cá nhân của người khác. - Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân. - Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. - Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Như vậy, chủ thể dữ liệu sẽ có quyền và nghĩa vụ theo quy định nêu trên.
Tăng cường công tác bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP
Ngày 22/8/2023 Bộ Công an có ban hành Công văn 2916/BCA-A05 năm 2023 về việc tăng cường công tác bảo vệ dữ liệu cá nhân. Cụ thể, vẫn còn xảy ra tình trạng lộ, mất, chuyển giao trái phép dữ liệu cá nhân; vẫn còn diễn ra tình trạng chuyển giao trái phép, mua bán dữ liệu cá nhân, Bộ Công an yêu cầu tăng cường công tác bảo vệ dữ liệu cá nhân: (1) Các nội dung bảo vệ dữ liệu cá nhân cần quan tâm Ngày 17/4/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, quy định đầy đủ các vấn đề liên quan tới bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. - Nghị định đã xác lập quyền, nghĩa vụ của chủ thể dữ liệu. - Quy định về quy trình, cách thức áp dụng các biện pháp bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. - Xác định cơ quan chuyên trách bảo vệ dữ liệu cá nhân. - Lực lượng bảo vệ dữ liệu cá nhân. - Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. - Thủ tục hành chính về bảo vệ dữ liệu cá nhân. Trên đây là những quy định quan trọng, thiết thực để hạn chế tình trạng chuyển giao trái phép, mua bán dữ liệu cá nhân tràn lan như hiện nay. (2) Thực trạng triển khai Nghị định 13/2023/NĐ-CP từ ngày 01/7/2023 đến nay Tuy nhiên, kể từ khi Nghị định có hiệu lực (01/7/2023) đến nay, công tác triển khai Nghị định chưa được quan tâm đúng mức; nhiều tổ chức, cơ quan, doanh nghiệp nhà nước chưa triển khai các nhiệm vụ được quy định trong Nghị định 13/2023/NĐ-CP, để xảy ra tình trạng lộ, mất, chuyển giao trái phép dữ liệu cá nhân; vẫn còn diễn ra tình trạng chuyển giao trái phép, mua bán dữ liệu cá nhân. (3) 06 nhiệm vụ tăng cường công tác bảo vệ dữ liệu cá nhân Căn cứ chức năng, nhiệm vụ được giao, Bộ Công an đề nghị các bộ, ngành, cơ quan ngang bộ, cơ quan thuộc Chính phủ; UBND các tỉnh, thành phố trực thuộc Trung ương; các tổ chức chính trị, xã hội ở Trung ương; các tổ chức, doanh nghiệp nhà nước thuộc Trung ương khẩn trương triển khai một số nội dung sau đây: - Nghiên cứu, tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân qua nhiều hình thức khác nhau, trong đó chú trọng tổ chức phổ biến, quán triệt tới toàn bộ cán bộ, công nhân viên về quyền và nghĩa vụ, xác định trách nhiệm cần triển khai thực hiện, bảo đảm về tiến độ thời gian theo quy định của pháp luật. - Chỉ đạo các đơn vị có hoạt động thu thập, xử lý dữ liệu cá nhân tiến hành rà soát tổng thể, phân loại dữ liệu cá nhân đã thu thập, đang xử lý, từ đó xác định trách nhiệm bảo vệ tương ứng với từng loại dữ liệu cá nhân theo quy định của Nghị định 13/2023/NĐ-CP . - Rà soát, đánh giá quy trình thu thập, xử lý dữ liệu cá nhân, đề xuất ban hành các biện pháp quản lý phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của cơ quan, đơn vị mình; xử lý nghiêm các hành vi chuyển giao dữ liệu cá nhân trái phép, mua bán dữ liệu cá nhân nếu phát hiện. - Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nếu cơ quan, tổ chức, cá nhân xử lý dữ liệu cá nhân nhạy cảm và trao đổi 01 bản chính văn bản nêu trên về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. - Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân trong trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ-CP. - Lập hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo 03 hình thức: trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an hoặc theo đường bưu chính sau 60 ngày kể từ ngày xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân ra nước ngoài. Trong năm 2023 và các năm tiếp theo, Công an các đơn vị, địa phương sẽ tăng cường triển khai đấu tranh với hoạt động chuyển giao trái phép, mua bán dữ liệu cá nhân, xử lý nghiêm các hành vi vi phạm theo quy định của pháp luật. Xem thêm Công văn 2916/BCA-A05 năm 2023 ban hành ngày 22/8/2023.
Dấu hiệu nhận biết dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng
Ngân hàng và tổ chức tín dụng là một trong những lĩnh vực lưu trữ số lượng lớn dữ liệu cá nhân của khách hàng và một số thông tin khác, đặc biệt là phải bảo vệ dữ liệu cá nhân nhạy cảm. Vậy làm thế nào để nhận biết dữ liệu cá nhân nhạy cảm? 1. Dữ liệu cá nhân nhạy cảm bao gồm dữ liệu gì? Căn cứ khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP quy định dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: - Quan điểm chính trị, quan điểm tôn giáo; - Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; - Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; - Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; - Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; - Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; - Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; - Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; - Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; - Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. Trên đây là 10 dữ liệu cá nhân nhạy cảm mà tổ chức tín dụng, ngân hàng cần phải hiểu rõ và có trách nhiệm bảo vệ các dữ liệu cá nhân nhạy cảm. 2. Ngân hàng bảo vệ dữ liệu cá nhân nhạy cảm theo nguyên tắc nào? Tổ chức tín dụng, ngân hàng căn cứ theo Điều 3 Nghị định 13/2023/NĐ-CP quy định nguyên tắc bảo vệ dữ liệu cá nhân như sau: - Dữ liệu cá nhân được xử lý theo quy định của pháp luật. - Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. - Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. - Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. - Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. - Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. - Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó. 3. Trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm của tổ chức tín dụng Căn cứ Điều 28 Nghị định 13/2023/NĐ-CP quy định trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm của tổ chức, cá nhân như sau: (1) Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định 13/2023/NĐ-CP. - Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: + Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; + Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; + Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; + Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; + Các biện pháp khác theo quy định của pháp luật. - Bảo vệ dữ liệu cá nhân cơ bản: + Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định 13/2023/NĐ-CP. + Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định Nghị định 13/2023/NĐ-CP. + Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. + Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. (2) Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. (3) Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định 13/2023/NĐ-CP. 4. Các hành vi bị nghiêm cấm mà tổ chức tín dụng không được thực hiện Căn cứ Điều 8 Nghị định 13/2023/NĐ-CP quy định các hành vi bị nghiêm cấm như sau: - Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. - Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. - Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. - Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. - Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật. Như vậy, tổ chức tín dụng, ngân hàng nhận biết dữ liệu cá nhân nhạy cảm cần bảo vệ theo quy định pháp luật bao gồm 10 dữ liệu cá nhân được xem là nhạy cảm như trên.
Công việc doanh nghiệp cần làm để thực hiện quy định về bảo vệ dữ liệu cá nhân
Nhà nước đã ban hành chính sách bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP, ghi nhận quyền, nghĩa vụ của cá nhân cũng như doanh nghiệp trong hoạt động bảo vệ dữ liệu cá nhân. Như vậy, doanh nghiệp cần làm gì để thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP? Doanh nghiệp cần làm gì để thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP? Để thực hiện theo Nghị định 13/2023/NĐ-CP, doanh nghiệp nên xem xét thực hiện các công việc sau: 1. Rà soát, bổ sung, điều chỉnh các tài liệu, các thỏa thuận, hợp đồng có yêu cầu khách hàng, người lao động cung cấp thông tin, dữ liệu để phù hợp với yêu cầu Nghị định 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân, trong đó lưu ý về sự đồng ý của chủ thể dữ liệu tại Điều 11 Nghị định 13/2023/NĐ-CP, thông báo cho chủ thể dữ liệu biết về việc xử lý về dữ liệu cá nhân nhạy cảm Điều 12 Nghị định 13/2023/NĐ-CP. Lưu ý: Doanh nghiệp không cần phải có sự đồng ý của chủ thể dữ liệu khi xử lý dữ liệu cá nhân khi thuộc các trường hợp Điều 17 Nghị định 13/2023/NĐ-CP, cụ thể: - Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này. - Việc công khai dữ liệu cá nhân theo quy định của luật. - Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. - Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật. - Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. 2. Chỉ định bộ phận, nhân sự bảo vệ dữ liệu dữ liệu cá nhân nhạy cảm Nếu doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm thì phải thực hiện chỉ định bộ, nhân sự phụ trách việc bảo vệ dữ liệu cá nhân nhạy cảm này. Ngoài việc chỉ định bộ phận, nhân sự, công ty cần cung cấp, trao đổi thông tin về bộ phận, cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (tức Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an) theo Khoản 2 Điều 28, 29 Nghị định 13/2023/NĐ-CP. 3. Xem xét lại cơ chế xử lý khi khách hàng thực hiện rút lại quyền đồng ý hoặc yêu cầu xóa dữ liệu hoặc các quyền khác tại Điều 9, 15, 16 Nghị định 13/2023/NĐ-CP 4. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân tại doanh nghiệp Đây là công việc phải thực hiện theo quy định tại Khoản 2 Điều 27 và Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP. Doanh nghiệp cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân (dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm), trong đó quy định nêu rõ những việc doanh nghiệp cần thực hiện theo quy định Nghị định 13/2023/NĐ-CP. 5. Đánh giá tác động xử lý dữ liệu cá nhân và gửi thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao theo Điều 24 Nghị định 13/2023/NĐ-CP 6. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân Điều 23 Nghị định 13/2023/NĐ-CP. Hi vọng thông tin trên hữu ích đối với bạn!
Chuyển dữ liệu cá nhân sang nước ngoài cần đảm bảo quy định nào?
Hiện tại công ty tôi có sử dụng hệ thống của một doanh nghiệp nước ngoài để lưu trữ các thông tin như nhân sự của các đại lý (tên, mã nhân viên, sđt, ...), thông tin của đối tác cung cấp dịch vụ, thông tin cá nhân của khách hàng,... Server được đặt tại nước ngoài. Vậy khi tôi chuyển dữ liệu cá nhân trên sang nước ngoài thì cần đảm bảo gì? Và công ty tôi cần thực hiện gì khi sắp tới Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực? 1. Chuyển dữ liệu cá nhân sang nước ngoài bao gồm những công việc nào? Tại Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP quy định như sau: Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: - Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; - Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý. => Theo đó, chuyển dữ liệu cá nhân sang nước ngoài là việc tổ chức, doanh nghiệp, cá nhân sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam sang nước ngoài để xử lý thông qua các hệ thống tự động với với mục đích đã được chủ thể dữ liệu đồng ý. 2. Quy định khi chuyển dữ liệu cá nhân ra nước ngoài Căn cứ theo Điều 25 Nghị định 13/2023/NĐ-CP quy định: Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Bên chuyển dữ liệu sẽ gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 Phụ lục tại Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Bên chuyển dữ sẽ thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. Khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao), Anh cần phải cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu số 05 Phụ lục tại Nghị định 13/2023/NĐ-CP. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. => Theo đó, khi chuyển dữ liệu cá nhân ra nước ngoài thì cần phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại Nghị định 13/2023/NĐ-CP. 3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài Tại Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài gồm: - Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; - Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; - Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; - Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; - Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; - Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; - Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. - Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân. Như vậy, quy định pháp luật không hạn chế việc chuyển dữ liệu của cá nhân ra ngoài lãnh thổ Việt Nam. Tuy nhiên, khi xử lý dữ liệu cá nhân của nhân viên, khách hàng, cần phải có sự đồng ý cho phép của họ và thực hiện các công việc về liên quan đến Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài quy định. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bắt đầu có hiệu lực từ 01/7/2023.
Dữ liệu cá nhân. Quy định các biện pháp bảo vệ dữ liệu cá nhân
Các quy định của pháp luật Việt Nam bảo vệ dữ liệu cá nhân được tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác. Dữ liệu cá nhân cơ bản là gì? Theo khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân cơ bản bao gồm: - Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); - Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; - Giới tính; - Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; - Quốc tịch; - Hình ảnh của cá nhân; - Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; - Tình trạng hôn nhân; - Thông tin về mối quan hệ gia đình (cha mẹ, con cái); - Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; - Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP. Hành vi bị nghiêm cấm Chính phủ cũng đã ban hành một số hành vi bị nghiêm cấm trong Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân, cụ thể: (1)Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. (2) Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. (3) Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. (4) Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. (5) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật. Biện pháp bảo vệ dữ liệu cá nhân Nghị định 13/2023/NĐ-CP nêu rõ, biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp bảo vệ dữ liệu cá nhân bao gồm: Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; các biện pháp khác theo quy định của pháp luật. Bảo vệ dữ liệu cá nhân cơ bản là áp dụng các biện pháp bảo vệ dữ liệu cá nhân nêu trên; xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này; khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân; kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân nhạy cảm là áp dụng các biện pháp bảo vệ dữ liệu cá nhân, bảo vệ dữ liệu cá nhân cơ bản nêu trên; chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu, bên thứ ba là cá nhân thì cần trao đổi thông tin của cá nhân thực hiện; thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ một số trường hợp quy định. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân Theo Nghị định 13/2023/NĐ-CP, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ liệu cá nhân. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Nghị định 13/2023/NĐ-CP này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.
Đã có Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân áp dụng từ 01/7/2023
Chính phủ ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Ngày 17/4/2023, Phó Thủ tướng Trần Lưu Quang vừa thay mặt Thủ tướng Chính phủ ký quyết định ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Theo đó, Nghị định 13/2023/NĐ-CP quy định chặt chẽ về các biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân, cụ thể như sau: Xem và tải Nghị định 13/2023/NĐ-CP https://cdn.thuvienphapluat.vn/uploads/danluatfile/2023/04/18/nghi-dinh-13-2023-nd-cp-bao-ve-du-lieu-ca-nhan.pdf Dữ liệu cá nhân được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản gồm họ và tên, ngày tháng năm sinh, giới tính, nơi sinh, quốc tịch, hình ảnh cá nhân, số điện thoại, số CMND, số tài khoản, số định danh cá nhân, biển số xe, mã số thuế,... (1) Biện pháp bảo vệ dữ liệu cá nhân Theo Nghị định 13/2023/NĐ-CP quy định các biện pháp bảo vệ dữ liệu cá nhân bao gồm: - Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; - Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; - Biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; - Biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; - Các biện pháp khác theo quy định của pháp luật. Xem bài viết liên quan: Hướng dẫn tra cứu thông tin cá nhân khi Sổ hộ khẩu giấy bị khai tử (2) Những hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân Chính phủ cũng đã ban hành một số hành vi bị nghiêm cấm trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Các hành vi này bao gồm việc xử lý dữ liệu cá nhân trái quy định pháp luật, xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. Ngoài ra, hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác cũng bị nghiêm cấm. Đáng chú ý tại Nghị định, việc xử lý dữ liệu cá nhân phải thông báo và nhận được sự đồng ý của chủ thể dữ liệu. Chủ thể dữ liệu cũng được yêu cầu bên kiểm soát dữ liệu cung cấp cho bản thân hoặc chỉnh sửa, xóa dữ liệu cá nhân của mình. (3) Quyền sử dụng dữ liệu cá nhân của chủ thể Cơ quan nhà nước có quyền sử dụng dữ liệu cá nhân trong trường hợp khẩn cấp Trong trường hợp khẩn cấp, để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác, và các trường hợp khẩn cấp về an ninh, quốc phòng, dịch bệnh, thảm họa,... bên kiểm soát dữ liệu và cơ quan nhà nước có thẩm quyền có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Cơ quan, tổ chức có thẩm quyền cũng được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động này tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Đối với trẻ em Với dữ liệu cá nhân của trẻ em, việc xử lý các dữ liệu này phải có sự đồng ý của trẻ em trong trường hợp trẻ từ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ, trừ một số trường hợp đặc biệt. Đối với hoạt động tiếp thị, quảng cáo Tổ chức, cá nhân chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình khi có sự đồng ý của chủ thể dữ liệu. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh tiếp thị, giới thiệu sản phẩm phải được sự đồng ý của khách hàng, trên cơ sở biết rõ nội dung, phương thức, tần suất giới thiệu sản phẩm. Nghị định cũng quy định rõ, tổ chức, cá nhân liên quan tới xử lý dữ liệu phải áp dụng các biện pháp bảo vệ để ngăn chặn tình trạng thu thập dữ liệu trái phép từ hệ thống, dịch vụ của mình. Việc thiết lập các phần mềm, biện pháp kỹ thuật hoặc tổ chức thu thập, chuyển giao, mua, bán dữ liệu cá nhân khi không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Xem bài viết liên quan: Bán thông tin cá nhân khách hàng là vi phạm pháp luật Cơ quan chuyên trách bảo vệ dữ liệu cá nhân Theo NNghị định 13/2023/NĐ-CP, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ liệu cá nhân. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; Đồng thời, tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.' Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Ngoài ra, Nghị định 13/2023 cũng quy định rõ điều kiện, quyền và nghĩa vụ của chủ thể dữ liệu, cùng với đó là trách nhiệm của các cơ quan, chủ thể, cá nhân trong việc bảo vệ dữ liệu cá nhân. Xem chi tiết tại Nghị định 13/2023/NĐ-CP có hiệu lực thi hành từ ngày 01/7/2023. Xem và tải Nghị định 13/2023/NĐ-CP https://cdn.thuvienphapluat.vn/uploads/danluatfile/2023/04/18/nghi-dinh-13-2023-nd-cp-bao-ve-du-lieu-ca-nhan.pdf Xem bài viết liên quan: Hướng dẫn tra cứu thông tin cá nhân khi Sổ hộ khẩu giấy bị khai tử
Quyền được lãng quên là gì? Việt Nam có quyền được lãng quên không?
Chúng ta có quyền được “quên” đi quá khứ của mình trên mạng không? Quyền được lãng quên, hay còn gọi là quyền được xóa bỏ thông tin cá nhân, đang là một vấn đề được nhiều quốc gia quan tâm. (1) Quyền được lãng quên là gì? Quyền được lãng quên là một khái niệm pháp lý cho phép cá nhân yêu cầu xóa bỏ hoặc không công khai thông tin cá nhân của họ trên internet, đặc biệt là thông tin có thể gây tổn hại đến danh tiếng hoặc quyền riêng tư của họ. Theo đó, khái niệm này được biết đến và phát triển mạnh mẽ từ phán quyết của Tòa án Công lý châu Âu (CJEU) vào năm 2014, trong đó xác định rằng cá nhân có quyền yêu cầu các công cụ tìm kiếm xóa bỏ các liên kết đến thông tin cá nhân của họ nếu thông tin đó không còn phù hợp, không chính xác hoặc không cần thiết. Quyền này thường áp dụng trong các trường hợp như thông tin cá nhân đã lỗi thời, thông tin gây tổn hại đến danh tiếng hoặc thông tin mà cá nhân không muốn công khai. Ví dụ, một cá nhân phát hiện rằng thông tin về họ trên một trang web là sai lệch, chẳng hạn như thông tin về quá trình học tập hoặc công việc. Họ có thể yêu cầu xóa bỏ thông tin này để bảo vệ danh tiếng của mình. Hoặc, một người từng bị kết án nhưng đã hoàn lương và muốn bắt đầu lại cuộc sống. Họ có thể yêu cầu xóa bỏ các liên kết đến tin tức về vụ án cũ của mình trên các công cụ tìm kiếm, vì thông tin này không còn phản ánh đúng tình trạng hiện tại của họ. Tuy nhiên, việc áp dụng quyền được lãng quên tương đối phức tạp, cá nhân cần phải gửi yêu cầu đến các công cụ tìm kiếm hoặc trang web chứa thông tin, kèm theo lý do cụ thể về việc tại sao thông tin đó nên bị xóa và các minh chứng trong trường hợp cần thiết. Ngoài ra, quyền được lãng quên không phải là tuyệt đối; các tổ chức và công ty có thể từ chối yêu cầu nếu thông tin đó có giá trị công cộng, liên quan đến lợi ích xã hội hoặc quyền tự do ngôn luận. Dù vậy, quyền được lãng quên cũng đã phản ánh sự cần thiết phải cân bằng giữa quyền riêng tư cá nhân và quyền tự do thông tin trong kỷ nguyên số. Do đó, nhiều quốc gia đang xem xét hoặc đã ban hành các quy định pháp lý liên quan đến quyền được lãng quên, trong đó có GDPR (Quy định chung về bảo vệ dữ liệu) của Liên minh châu Âu. (2) Việt nam có quyền được lãng quên không? Hiện nay, nước ta chưa có quy định về “quyền được lãng quên”, tuy nhiên, Bộ Công an đang Dự thảo Luật Bảo vệ dữ liệu cá nhân, trong đó có đề xuất về quyền được xóa dữ liệu. Cụ thể, tại Điều 9 Dự thảo Luật Bảo vệ dữ liệu cá nhân, Bộ Công an đề xuất chủ thể của dữ liệu có 11 quyền sau đây: 1- Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 2- Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 3- Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được thu thập, trừ trường hợp luật có quy định khác. 4- Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. 5- Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 6- Quyền hạn chế xử lý dữ liệu - Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu hoặc dữ liệu không thể hạn chế xử lý dữ liệu do quy định của luật; - Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. 7- Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 8- Quyền phản đối xử lý dữ liệu - Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị; - Phản đối của chủ thể dữ liệu vô hiệu khi luật đã có quy định khác; - Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của Chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. 9- Quyền khiếu nại, tố cáo Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan. 10- Quyền yêu cầu bồi thường thiệt hại Chủ thể có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. 11- Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự 2015, luật khác có liên quan, theo quy định tại Luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự 2015. Có thể thấy, việc đề xuất ra các quyền như quyền được biết, quyền đồng ý, quyền rút lại đồng ý và đặc biệt là quyền xóa dữ liệu là những bước đi đầu tiên của Việt Nam trong công cuộc bảo vệ dữ liệu cá nhân trên không gian mạng. Nhìn chung, mặc dù Việt Nam chưa có quyền được lãng quên chính thức, nhưng những bước đi đang được thực hiện của nước ta cho thấy nhà nước đang có một hướng đi tích cực trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân. Hiện nay, Bộ Công an đang tổ chức lấy ý kiến, đóng góp của các cơ quan, tổ chức, cá nhân trong và ngoài nước về Dự thảo Luật Bảo vệ dữ liệu cá nhân. >>> Xem Dự thảo Luật Bảo vệ dữ liệu cá nhân tại đây https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx
Thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân
Bộ Công an hiện đang dự thảo Luật Bảo vệ dữ liệu cá nhân, dự kiến thời gian trình Quốc hội cho ý kiến vào Kỳ họp thứ 8, Quốc hội khóa XV. Trong đó có đề xuất thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân. Xem toàn văn dự thảo Luật Bảo vệ dữ liệu cá nhân: https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx Thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân Theo khoản 4 Điều 2 dự thảo Luật Bảo vệ dữ liệu cá nhân quy định dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm: - Quan điểm chính trị, quan điểm tôn giáo; - Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; - Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc, - Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; - Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; - Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; - Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; - Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; - Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất; - Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; - Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. Như vậy, dự thảo Luật Bảo vệ dữ liệu cá nhân đã đề xuất thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân và khi bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân. Đề xuất quy định về bảo vệ dữ liệu cá nhân nhạy cảm Theo đó, bên cạnh quy định về dữ liệu cá nhân nhạy cảm thì Bộ Công an cũng đề xuất các quy định để bảo vệ các dữ liệu cá nhân nhạy cảm này, cụ thể tại Điều 49 dự thảo Luật Bảo vệ dữ liệu cá nhân như sau: - Áp dụng các biện pháp sau đây: + Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: ++ Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; ++ Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; ++ Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; ++ Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; ++ Các biện pháp khác theo quy định của pháp luật. + Các biện pháp bảo vệ dữ liệu cá nhân cơ bản, bao gồm: ++ Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Luật này. ++ Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. ++ Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân. - Chỉ định Tổ chức bảo vệ dữ liệu cá nhân, Chuyên gia bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. - Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. - Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Luật này. - Đánh giá tín nhiệm về bảo vệ dữ liệu cá nhân. Như vậy, nếu dự thảo được thông qua thì sẽ có các biện pháp để bảo vệ dữ liệu cá nhân nhạy cảm như trên. Xem toàn văn dự thảo Luật Bảo vệ dữ liệu cá nhân: https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx Xem thêm: Đã có Dự thảo Luật Bảo vệ dữ liệu cá nhân
Sự đồng ý của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân được quy định như thế nào?
Hiện nay, việc bảo vệ dữ liệu cá nhân đang là đề tài nóng được nhiều dư luận quan tâm. Để có thể xử lý được dữ liệu của cá nhân thì cần phải có sự đồng ý của chủ thể dữ liệu. Vậy pháp luật quy định về sự đồng ý của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân như thế nào? Chủ thể dữ liệu là gì? Sự đồng ý của chủ thể dữ liệu là gì Căn cứ theo quy định tại khoản 6 và khoản 8 Điều 2 Nghị định 13/2023/NĐ-CP có định nghĩa như sau: - Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. - Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. Sự đồng ý của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân được quy định như thế nào? Căn cứ theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP có quy định về sự đồng ý của chủ thể dữ liệu như sau: - Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. - Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: + Loại dữ liệu cá nhân được xử lý; + Mục đích xử lý dữ liệu cá nhân; + Tổ chức, cá nhân được xử lý dữ liệu cá nhân; + Các quyền, nghĩa vụ của chủ thể dữ liệu. - Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. -. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. -. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. - Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. - Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. - Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. - Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. - Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. - Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP, trừ trường hợp luật có quy định khác. Chủ thể dữ liệu có quyền và nghĩa vụ gì? Căn cứ theo Điều 9, Điều 10 Nghị định 13/2023/NĐ-CP quy định về quyền và nghĩa vụ của chủ thể dữ liệu như sau: Quyền của chủ thể dữ liệu: - Quyền được biết Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền đồng ý Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP - Quyền truy cập Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền rút lại sự đồng ý Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. - Quyền xóa dữ liệu Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền hạn chế xử lý dữ liệu + Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác; + Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác. - Quyền cung cấp dữ liệu Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Quyền phản đối xử lý dữ liệu + Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác; + Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. - Quyền khiếu nại, tố cáo, khởi kiện Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật. - Quyền yêu cầu bồi thường thiệt hại Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác. - Quyền tự bảo vệ Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự. Nghĩa vụ của chủ thể dữ liệu: - Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình. - Tôn trọng, bảo vệ dữ liệu cá nhân của người khác. - Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân. - Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. - Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Như vậy, chủ thể dữ liệu sẽ có quyền và nghĩa vụ theo quy định nêu trên.
Tăng cường công tác bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP
Ngày 22/8/2023 Bộ Công an có ban hành Công văn 2916/BCA-A05 năm 2023 về việc tăng cường công tác bảo vệ dữ liệu cá nhân. Cụ thể, vẫn còn xảy ra tình trạng lộ, mất, chuyển giao trái phép dữ liệu cá nhân; vẫn còn diễn ra tình trạng chuyển giao trái phép, mua bán dữ liệu cá nhân, Bộ Công an yêu cầu tăng cường công tác bảo vệ dữ liệu cá nhân: (1) Các nội dung bảo vệ dữ liệu cá nhân cần quan tâm Ngày 17/4/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, quy định đầy đủ các vấn đề liên quan tới bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. - Nghị định đã xác lập quyền, nghĩa vụ của chủ thể dữ liệu. - Quy định về quy trình, cách thức áp dụng các biện pháp bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. - Xác định cơ quan chuyên trách bảo vệ dữ liệu cá nhân. - Lực lượng bảo vệ dữ liệu cá nhân. - Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. - Thủ tục hành chính về bảo vệ dữ liệu cá nhân. Trên đây là những quy định quan trọng, thiết thực để hạn chế tình trạng chuyển giao trái phép, mua bán dữ liệu cá nhân tràn lan như hiện nay. (2) Thực trạng triển khai Nghị định 13/2023/NĐ-CP từ ngày 01/7/2023 đến nay Tuy nhiên, kể từ khi Nghị định có hiệu lực (01/7/2023) đến nay, công tác triển khai Nghị định chưa được quan tâm đúng mức; nhiều tổ chức, cơ quan, doanh nghiệp nhà nước chưa triển khai các nhiệm vụ được quy định trong Nghị định 13/2023/NĐ-CP, để xảy ra tình trạng lộ, mất, chuyển giao trái phép dữ liệu cá nhân; vẫn còn diễn ra tình trạng chuyển giao trái phép, mua bán dữ liệu cá nhân. (3) 06 nhiệm vụ tăng cường công tác bảo vệ dữ liệu cá nhân Căn cứ chức năng, nhiệm vụ được giao, Bộ Công an đề nghị các bộ, ngành, cơ quan ngang bộ, cơ quan thuộc Chính phủ; UBND các tỉnh, thành phố trực thuộc Trung ương; các tổ chức chính trị, xã hội ở Trung ương; các tổ chức, doanh nghiệp nhà nước thuộc Trung ương khẩn trương triển khai một số nội dung sau đây: - Nghiên cứu, tổ chức triển khai và thực hiện nghiêm các quy định về bảo vệ dữ liệu cá nhân qua nhiều hình thức khác nhau, trong đó chú trọng tổ chức phổ biến, quán triệt tới toàn bộ cán bộ, công nhân viên về quyền và nghĩa vụ, xác định trách nhiệm cần triển khai thực hiện, bảo đảm về tiến độ thời gian theo quy định của pháp luật. - Chỉ đạo các đơn vị có hoạt động thu thập, xử lý dữ liệu cá nhân tiến hành rà soát tổng thể, phân loại dữ liệu cá nhân đã thu thập, đang xử lý, từ đó xác định trách nhiệm bảo vệ tương ứng với từng loại dữ liệu cá nhân theo quy định của Nghị định 13/2023/NĐ-CP . - Rà soát, đánh giá quy trình thu thập, xử lý dữ liệu cá nhân, đề xuất ban hành các biện pháp quản lý phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của cơ quan, đơn vị mình; xử lý nghiêm các hành vi chuyển giao dữ liệu cá nhân trái phép, mua bán dữ liệu cá nhân nếu phát hiện. - Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nếu cơ quan, tổ chức, cá nhân xử lý dữ liệu cá nhân nhạy cảm và trao đổi 01 bản chính văn bản nêu trên về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. - Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân trong trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ-CP. - Lập hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và gửi Cơ quan chuyên trách bảo vệ dữ liệu cá nhân theo 03 hình thức: trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an hoặc theo đường bưu chính sau 60 ngày kể từ ngày xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân ra nước ngoài. Trong năm 2023 và các năm tiếp theo, Công an các đơn vị, địa phương sẽ tăng cường triển khai đấu tranh với hoạt động chuyển giao trái phép, mua bán dữ liệu cá nhân, xử lý nghiêm các hành vi vi phạm theo quy định của pháp luật. Xem thêm Công văn 2916/BCA-A05 năm 2023 ban hành ngày 22/8/2023.
Dấu hiệu nhận biết dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng
Ngân hàng và tổ chức tín dụng là một trong những lĩnh vực lưu trữ số lượng lớn dữ liệu cá nhân của khách hàng và một số thông tin khác, đặc biệt là phải bảo vệ dữ liệu cá nhân nhạy cảm. Vậy làm thế nào để nhận biết dữ liệu cá nhân nhạy cảm? 1. Dữ liệu cá nhân nhạy cảm bao gồm dữ liệu gì? Căn cứ khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP quy định dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: - Quan điểm chính trị, quan điểm tôn giáo; - Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; - Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc; - Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; - Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân; - Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; - Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; - Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán; - Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; - Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết. Trên đây là 10 dữ liệu cá nhân nhạy cảm mà tổ chức tín dụng, ngân hàng cần phải hiểu rõ và có trách nhiệm bảo vệ các dữ liệu cá nhân nhạy cảm. 2. Ngân hàng bảo vệ dữ liệu cá nhân nhạy cảm theo nguyên tắc nào? Tổ chức tín dụng, ngân hàng căn cứ theo Điều 3 Nghị định 13/2023/NĐ-CP quy định nguyên tắc bảo vệ dữ liệu cá nhân như sau: - Dữ liệu cá nhân được xử lý theo quy định của pháp luật. - Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. - Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. - Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. - Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. - Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. - Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. - Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó. 3. Trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm của tổ chức tín dụng Căn cứ Điều 28 Nghị định 13/2023/NĐ-CP quy định trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm của tổ chức, cá nhân như sau: (1) Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định 13/2023/NĐ-CP. - Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm: + Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; + Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; + Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; + Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; + Các biện pháp khác theo quy định của pháp luật. - Bảo vệ dữ liệu cá nhân cơ bản: + Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định 13/2023/NĐ-CP. + Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định Nghị định 13/2023/NĐ-CP. + Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. + Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. (2) Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện. (3) Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định 13/2023/NĐ-CP. 4. Các hành vi bị nghiêm cấm mà tổ chức tín dụng không được thực hiện Căn cứ Điều 8 Nghị định 13/2023/NĐ-CP quy định các hành vi bị nghiêm cấm như sau: - Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. - Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. - Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. - Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. - Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật. Như vậy, tổ chức tín dụng, ngân hàng nhận biết dữ liệu cá nhân nhạy cảm cần bảo vệ theo quy định pháp luật bao gồm 10 dữ liệu cá nhân được xem là nhạy cảm như trên.
Công việc doanh nghiệp cần làm để thực hiện quy định về bảo vệ dữ liệu cá nhân
Nhà nước đã ban hành chính sách bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP, ghi nhận quyền, nghĩa vụ của cá nhân cũng như doanh nghiệp trong hoạt động bảo vệ dữ liệu cá nhân. Như vậy, doanh nghiệp cần làm gì để thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP? Doanh nghiệp cần làm gì để thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP? Để thực hiện theo Nghị định 13/2023/NĐ-CP, doanh nghiệp nên xem xét thực hiện các công việc sau: 1. Rà soát, bổ sung, điều chỉnh các tài liệu, các thỏa thuận, hợp đồng có yêu cầu khách hàng, người lao động cung cấp thông tin, dữ liệu để phù hợp với yêu cầu Nghị định 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân, trong đó lưu ý về sự đồng ý của chủ thể dữ liệu tại Điều 11 Nghị định 13/2023/NĐ-CP, thông báo cho chủ thể dữ liệu biết về việc xử lý về dữ liệu cá nhân nhạy cảm Điều 12 Nghị định 13/2023/NĐ-CP. Lưu ý: Doanh nghiệp không cần phải có sự đồng ý của chủ thể dữ liệu khi xử lý dữ liệu cá nhân khi thuộc các trường hợp Điều 17 Nghị định 13/2023/NĐ-CP, cụ thể: - Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này. - Việc công khai dữ liệu cá nhân theo quy định của luật. - Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. - Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật. - Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. 2. Chỉ định bộ phận, nhân sự bảo vệ dữ liệu dữ liệu cá nhân nhạy cảm Nếu doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm thì phải thực hiện chỉ định bộ, nhân sự phụ trách việc bảo vệ dữ liệu cá nhân nhạy cảm này. Ngoài việc chỉ định bộ phận, nhân sự, công ty cần cung cấp, trao đổi thông tin về bộ phận, cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (tức Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an) theo Khoản 2 Điều 28, 29 Nghị định 13/2023/NĐ-CP. 3. Xem xét lại cơ chế xử lý khi khách hàng thực hiện rút lại quyền đồng ý hoặc yêu cầu xóa dữ liệu hoặc các quyền khác tại Điều 9, 15, 16 Nghị định 13/2023/NĐ-CP 4. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân tại doanh nghiệp Đây là công việc phải thực hiện theo quy định tại Khoản 2 Điều 27 và Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP. Doanh nghiệp cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân (dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm), trong đó quy định nêu rõ những việc doanh nghiệp cần thực hiện theo quy định Nghị định 13/2023/NĐ-CP. 5. Đánh giá tác động xử lý dữ liệu cá nhân và gửi thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao theo Điều 24 Nghị định 13/2023/NĐ-CP 6. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân Điều 23 Nghị định 13/2023/NĐ-CP. Hi vọng thông tin trên hữu ích đối với bạn!
Chuyển dữ liệu cá nhân sang nước ngoài cần đảm bảo quy định nào?
Hiện tại công ty tôi có sử dụng hệ thống của một doanh nghiệp nước ngoài để lưu trữ các thông tin như nhân sự của các đại lý (tên, mã nhân viên, sđt, ...), thông tin của đối tác cung cấp dịch vụ, thông tin cá nhân của khách hàng,... Server được đặt tại nước ngoài. Vậy khi tôi chuyển dữ liệu cá nhân trên sang nước ngoài thì cần đảm bảo gì? Và công ty tôi cần thực hiện gì khi sắp tới Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực? 1. Chuyển dữ liệu cá nhân sang nước ngoài bao gồm những công việc nào? Tại Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP quy định như sau: Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: - Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; - Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý. => Theo đó, chuyển dữ liệu cá nhân sang nước ngoài là việc tổ chức, doanh nghiệp, cá nhân sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam sang nước ngoài để xử lý thông qua các hệ thống tự động với với mục đích đã được chủ thể dữ liệu đồng ý. 2. Quy định khi chuyển dữ liệu cá nhân ra nước ngoài Căn cứ theo Điều 25 Nghị định 13/2023/NĐ-CP quy định: Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Bên chuyển dữ liệu sẽ gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 Phụ lục tại Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Bên chuyển dữ sẽ thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định. Khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao), Anh cần phải cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu số 05 Phụ lục tại Nghị định 13/2023/NĐ-CP. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu. Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam. => Theo đó, khi chuyển dữ liệu cá nhân ra nước ngoài thì cần phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại Nghị định 13/2023/NĐ-CP. 3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài Tại Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài gồm: - Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam; - Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam; - Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài; - Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài; - Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng; - Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó; - Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. - Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân. Như vậy, quy định pháp luật không hạn chế việc chuyển dữ liệu của cá nhân ra ngoài lãnh thổ Việt Nam. Tuy nhiên, khi xử lý dữ liệu cá nhân của nhân viên, khách hàng, cần phải có sự đồng ý cho phép của họ và thực hiện các công việc về liên quan đến Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài quy định. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bắt đầu có hiệu lực từ 01/7/2023.
Dữ liệu cá nhân. Quy định các biện pháp bảo vệ dữ liệu cá nhân
Các quy định của pháp luật Việt Nam bảo vệ dữ liệu cá nhân được tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác. Dữ liệu cá nhân cơ bản là gì? Theo khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân cơ bản bao gồm: - Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); - Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; - Giới tính; - Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; - Quốc tịch; - Hình ảnh của cá nhân; - Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; - Tình trạng hôn nhân; - Thông tin về mối quan hệ gia đình (cha mẹ, con cái); - Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; - Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP. Hành vi bị nghiêm cấm Chính phủ cũng đã ban hành một số hành vi bị nghiêm cấm trong Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân, cụ thể: (1)Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. (2) Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. (3) Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. (4) Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. (5) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật. Biện pháp bảo vệ dữ liệu cá nhân Nghị định 13/2023/NĐ-CP nêu rõ, biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp bảo vệ dữ liệu cá nhân bao gồm: Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; các biện pháp khác theo quy định của pháp luật. Bảo vệ dữ liệu cá nhân cơ bản là áp dụng các biện pháp bảo vệ dữ liệu cá nhân nêu trên; xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này; khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân; kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân nhạy cảm là áp dụng các biện pháp bảo vệ dữ liệu cá nhân, bảo vệ dữ liệu cá nhân cơ bản nêu trên; chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu, bên thứ ba là cá nhân thì cần trao đổi thông tin của cá nhân thực hiện; thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ một số trường hợp quy định. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân Theo Nghị định 13/2023/NĐ-CP, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ liệu cá nhân. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Nghị định 13/2023/NĐ-CP này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023.
Đã có Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân áp dụng từ 01/7/2023
Chính phủ ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Ngày 17/4/2023, Phó Thủ tướng Trần Lưu Quang vừa thay mặt Thủ tướng Chính phủ ký quyết định ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Theo đó, Nghị định 13/2023/NĐ-CP quy định chặt chẽ về các biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân, cụ thể như sau: Xem và tải Nghị định 13/2023/NĐ-CP https://cdn.thuvienphapluat.vn/uploads/danluatfile/2023/04/18/nghi-dinh-13-2023-nd-cp-bao-ve-du-lieu-ca-nhan.pdf Dữ liệu cá nhân được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản gồm họ và tên, ngày tháng năm sinh, giới tính, nơi sinh, quốc tịch, hình ảnh cá nhân, số điện thoại, số CMND, số tài khoản, số định danh cá nhân, biển số xe, mã số thuế,... (1) Biện pháp bảo vệ dữ liệu cá nhân Theo Nghị định 13/2023/NĐ-CP quy định các biện pháp bảo vệ dữ liệu cá nhân bao gồm: - Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; - Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; - Biện pháp do cơ quan quản lý Nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan; - Biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; - Các biện pháp khác theo quy định của pháp luật. Xem bài viết liên quan: Hướng dẫn tra cứu thông tin cá nhân khi Sổ hộ khẩu giấy bị khai tử (2) Những hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân Chính phủ cũng đã ban hành một số hành vi bị nghiêm cấm trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Các hành vi này bao gồm việc xử lý dữ liệu cá nhân trái quy định pháp luật, xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. Ngoài ra, hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác cũng bị nghiêm cấm. Đáng chú ý tại Nghị định, việc xử lý dữ liệu cá nhân phải thông báo và nhận được sự đồng ý của chủ thể dữ liệu. Chủ thể dữ liệu cũng được yêu cầu bên kiểm soát dữ liệu cung cấp cho bản thân hoặc chỉnh sửa, xóa dữ liệu cá nhân của mình. (3) Quyền sử dụng dữ liệu cá nhân của chủ thể Cơ quan nhà nước có quyền sử dụng dữ liệu cá nhân trong trường hợp khẩn cấp Trong trường hợp khẩn cấp, để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác, và các trường hợp khẩn cấp về an ninh, quốc phòng, dịch bệnh, thảm họa,... bên kiểm soát dữ liệu và cơ quan nhà nước có thẩm quyền có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Cơ quan, tổ chức có thẩm quyền cũng được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động này tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Đối với trẻ em Với dữ liệu cá nhân của trẻ em, việc xử lý các dữ liệu này phải có sự đồng ý của trẻ em trong trường hợp trẻ từ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ, trừ một số trường hợp đặc biệt. Đối với hoạt động tiếp thị, quảng cáo Tổ chức, cá nhân chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình khi có sự đồng ý của chủ thể dữ liệu. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh tiếp thị, giới thiệu sản phẩm phải được sự đồng ý của khách hàng, trên cơ sở biết rõ nội dung, phương thức, tần suất giới thiệu sản phẩm. Nghị định cũng quy định rõ, tổ chức, cá nhân liên quan tới xử lý dữ liệu phải áp dụng các biện pháp bảo vệ để ngăn chặn tình trạng thu thập dữ liệu trái phép từ hệ thống, dịch vụ của mình. Việc thiết lập các phần mềm, biện pháp kỹ thuật hoặc tổ chức thu thập, chuyển giao, mua, bán dữ liệu cá nhân khi không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Xem bài viết liên quan: Bán thông tin cá nhân khách hàng là vi phạm pháp luật Cơ quan chuyên trách bảo vệ dữ liệu cá nhân Theo NNghị định 13/2023/NĐ-CP, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), có trách nhiệm giúp Bộ Công an thực hiện quản lý Nhà nước về bảo vệ dữ liệu cá nhân. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; Đồng thời, tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.' Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Ngoài ra, Nghị định 13/2023 cũng quy định rõ điều kiện, quyền và nghĩa vụ của chủ thể dữ liệu, cùng với đó là trách nhiệm của các cơ quan, chủ thể, cá nhân trong việc bảo vệ dữ liệu cá nhân. Xem chi tiết tại Nghị định 13/2023/NĐ-CP có hiệu lực thi hành từ ngày 01/7/2023. Xem và tải Nghị định 13/2023/NĐ-CP https://cdn.thuvienphapluat.vn/uploads/danluatfile/2023/04/18/nghi-dinh-13-2023-nd-cp-bao-ve-du-lieu-ca-nhan.pdf Xem bài viết liên quan: Hướng dẫn tra cứu thông tin cá nhân khi Sổ hộ khẩu giấy bị khai tử