Ngày 17/04/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân với mục tiêu đáp ứng yêu cầu bảo vệ quyền đối với dữ liệu cá nhân (DLCN), ngăn chặn các hành vi xâm phạm, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức. Trong đó, Nghị định 13 đã ghi nhận khái niệm về "dữ liệu cá nhân" một cách toàn diện với các quyền lợi cơ bản của Chủ thể dữ liệu, các trách nhiệm của doanh nghiệp xử lý, kiểm soát dữ liệu. Bên cạnh đó, một số quy định về chức năng và thẩm quyền của cơ quan chuyên trách bảo vệ DLCN, hoạt động chuyển DLCN ra nước ngoài, điều kiện bảo đảm bảo vệ DLCN... cũng được quy định tại văn bản này.
Luật sư Phùng Quang Cường, Văn phòng Luật sư Nguyễn Hưng Quang và cộng sự sẽ nêu một số điểm nổi bật cần lưu ý trong Nghị định này:
Nghe âm thanh tại đây:
Văn phòng Luật sư Nguyễn Hưng Quang và cộng sự.
Nhà B23, Khu Biệt thự Trung Hoà – Nhân Chính, quận Thanh Xuân, Hà Nội.
Điện thoại: (84)02435376939. Fax: (84)02435376941
Website:www.nhquang.com
Thứ nhất, DLCN được phân loại thành 02 nhóm: "dữ liệu cá nhân cơ bản" và "dữ liệu cá nhân nhạy cảm", cụ thể:
- DLCN cơ bản bao gồm những thông tin như: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Giới tính; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định danh cá nhân;...
- DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, gồm các thông tin như quan điểm chính trị, quan điểm tôn giáo, thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc,...
Thứ hai, về quyền của Chủ thể dữ liệu được quy định là tập hợp nhiều quyền tự do cá nhân đối với dữ liệu, bao gồm 11 quyền: Quyền được biết, Quyền đồng ý, Quyền truy cập, Quyền rút lại sự đồng ý, Quyền xóa dữ liệu, Quyền hạn chế xử lý dữ liệu, Quyền khiếu nại, tố cáo, khởi kiện, Quyền cung cấp dữ liệu, Quyền phản đối xử lý dữ liệu, Quyền yêu cầu bồi thường thiệt hại, Quyền tự bảo vệ. Khi tổ chức, cá nhân khác muốn sử dụng DLCN thì phải sự đồng ý của họ, tuy nhiên văn bản này cũng quy định một số trường hợp xử lý DLCN không cần sự đồng ý của Chủ thể dữ liệu như sau:
- Trường hợp khẩn cấp, cần xử lý ngay DLCN có liên quan để bảo vệ tính mạng, sức khỏe của Chủ thể dữ liệu hoặc người khác (cần lưu ý rằng Bên Kiểm soát DLCN, Bên Xử lý DLCN, Bên Kiểm soát và xử lý DLCN, Bên thứ ba có trách nhiệm chứng minh được mức độ khẩn cấp trong trường hợp này);
- Trường hợp công khai DLCN theo quy định của luật;
- Trường hợp xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật;
- Trường hợp thực hiện nghĩa vụ theo hợp đồng của Chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật;
- Trường hợp phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành; Trường hợp xử lý DLCN thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng.
Thứ ba, quy định trách nhiệm của Bên Kiểm soát DLCN, Bên Xử lý DLCN, Bên Kiểm soát và xử lý dữ liệu trong quá trình kiểm soát và xử lý DLCN. Theo đó, Nghị định quy định cụ thể về trách nhiệm của các Bên kiểm soát dữ liệu, Bên xử lý dữ liệu, và cả Bên thứ ba có liên quan để đảm bảo bảo vệ DLCN trong quá trình xử lý DLCN.
Thứ tư, quy định về việc chuyển DLCN ra nước ngoài. Theo Nghị định 13, chuyển DLCN ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển DLCN của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ Việt Nam để xử lý DLCN của công dân Việt Nam, bao gồm:
(i) Tổ chức, doanh nghiệp, cá nhân chuyển DLCN của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được Chủ thể dữ liệu đồng ý;
(ii) Xử lý DLCN của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ Việt Nam của Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN phù hợp với mục đích đã được Chủ thể dữ liệu đồng ý.
Lưu ý rằng, Bên chuyển dữ liệu ra nước ngoài (bao gồm Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN, Bên thứ ba) trong trường hợp muốn chuyển DLCN của công dân Việt Nam ra nước ngoài phải lập hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài (với thành phần hồ sơ được quy định cụ thể tại Nghị định).
Thứ năm, quy định về biện pháp bảo vệ DLCN. Theo đó, để tránh việc thu thập, chuyển giao, mua, bán trái phép DLCN, tổ chức, cá nhân có liên quan tới xử lý DLCN phải áp dụng các biện pháp bảo vệ DLCN để ngăn chặn tình trạng thu thập DLCN trái phép từ hệ thống, trang thiết bị dịch vụ của mình. Bên cạnh đó, biện pháp bảo vệ DLCN phải được mô tả cụ thể trong hồ sơ đánh giá tác động xử lý DLCN, hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài khi gửi cho Bộ Công an để phê duyệt; đồng thời phải được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý DLCN.