Quay lại danh sách tin tứcNGHỊ ĐỊNH SỐ 13/2023/NĐ-CP VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Tin tức
Ngày 17 tháng 4 năm 2023, Chính phủ đã chính thức ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (“Nghị định 13”). Có hiệu lực kể từ ngày 01 tháng 07 năm 2023, Nghị định 13 được ảnh hưởng từ Bộ quy định chung về bảo vệ dữ liệu Châu Âu (GDPR) và lần đầu tiên hệ thống hóa các quy định về bảo vệ dữ liệu tại một văn bản thống nhất. Sự ra đời của Nghị định 13 sau nhiều năm thảo luận đã gây chú ý tới các doanh nghiệp có liên quan đến xử lý dữ liệu cá nhân ở Việt Nam, đặc biệt là ngành bảo hiểm.
Một số nội dung đáng chú ý của Nghị định 13 như sau:
1. Phạm vi điều chỉnh:
Nghị định 13 đưa ra phạm vi điều chỉnh có thể áp dụng cho cả tổ chức, cá nhân ở Việt Nam và nước ngoài. Cụ thể, Nghị định 13 sẽ áp dụng với: (i) Cơ quan, tổ chức tại Việt Nam; (ii) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; và (iii) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan tới hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
2. Phân loại dữ liệu cá nhân: Dữ liệu cá nhân được phân ra 2 loại như sau:
Dữ liệu cá nhân cơ bản: Là các thông tin gắn liền hoặc giúp xác định một người cụ thể, bao gồm:
- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Giới tính;
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
- Quốc tịch;
- Hình ảnh của cá nhân;
- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
- ...
Dữ liệu cá nhân nhạy cảm: Là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm:
- Quan điểm chính trị, quan điểm tôn giáo;
- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
- Thông tin khách hàng của tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán,...
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
- ...
Bảo vệ dữ liệu cá nhân nhạy cảm: Nghị định 13 cũng thể hiện rằng dữ liệu cá nhân nhạy cảm sẽ được bảo vệ chặt chẽ so với dữ liệu cá nhân cơ bản. Khi xử lý dữ liệu cá nhân nhạy cảm, bên xử lý dữ liệu cần lưu ý một số điểm sau:
‐ Chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
‐ Doanh nghiệp phải chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (“Cục An ninh mạng”).
3. Một số biện pháp bảo vệ dữ liệu cá nhân:
Nhìn chung, Nghị định 13 đưa ra yêu cầu các bên tham gia và/hoặc có liên quan tới quá trình xử lý dữ liệu cá nhân phải áp dụng các biện pháp cần thiết và phù hợp với quy định pháp luật để bảo vệ dữ liệu cá nhân. Trong đó, Nghị định này có nêu một số biện pháp cụ thể mang tính bắt buộc như sau:
‐ Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13.
‐ Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
4. Sự đồng ý của chủ thể dữ liệu:
Trừ một số ngoại lệ, việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu.
a. Nội dung: Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
‐ Loại dữ liệu cá nhân được xử lý;
‐ Mục đích xử lý dữ liệu cá nhân;
‐ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
‐ Các quyền, nghĩa vụ của chủ thể dữ liệu.
b. Hình thức của sự đồng ý:
Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Các hình thức này phải được thể hiện ở định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu sẽ không được coi là sự đồng ý.
c. Trường hợp ngoại lệ theo Nghị định 13:
‐ Trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
‐ Việc công khai dữ liệu cá nhân theo quy định của luật;
‐ Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật;
‐ Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật;
‐ Việc cơ quan, tổ chức có thẩm quyền ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật;
‐ Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
5. Thông báo vi phạm:
Nghị định 13 đưa ra cơ chế cho các bên thông báo về việc vi phạm quy định bảo vệ dữ liệu cá nhân để cơ quan nhà nước có thể kiểm soát chặt chẽ hơn. Theo đó:
a. Bên kiểm soát/bên kiểm soát và xử lý dữ liệu cá nhân phát hiện hành vi vi phạm quy định bảo vệ dữ liệu cá nhân thì phải thông báo cho Cục An ninh mạng về hành vi vi phạm chậm nhất 72 giờ sau khi xảy ra vi phạm; nếu thông báo chậm thì phải nêu rõ lý do thông báo chậm.
b. Tổ chức, cá nhân phải thông báo cho Cục An ninh mạng khi phát hiện ra các trường hợp sau:
‐ Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
‐ Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
‐ Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
‐ Trường hợp khác theo quy định của pháp luật.
6. Đánh giá tác động xử lý dữ liệu cá nhân:
Nghị định 13 cũng đã quy định thêm nghĩa vụ lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho Bên kiểm soát dữ liệu và Bên xử lý dữ liệu. Hồ sơ này cũng phải được gửi cho Cục An ninh mạng trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân và phải luôn được lưu giữ.
7. Chuyển dữ liệu cá nhân ra nước ngoài:
Nghị định 13 cho phép việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài nếu bên chuyển dữ liệu thực hiện lập, lưu trữ và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như đã đề cập tại Mục 6. Bộ Công an sẽ thực hiện kiểm tra việc chuyển dữ liệu cá nhân ra nước ngoài 1 lần/năm, trừ trường hợp phát hiện ra hành vi vi phạm quy định pháp luật hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân.
Một số nội dung đáng chú ý của Nghị định 13 như sau:
1. Phạm vi điều chỉnh:
Nghị định 13 đưa ra phạm vi điều chỉnh có thể áp dụng cho cả tổ chức, cá nhân ở Việt Nam và nước ngoài. Cụ thể, Nghị định 13 sẽ áp dụng với: (i) Cơ quan, tổ chức tại Việt Nam; (ii) Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; và (iii) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan tới hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
2. Phân loại dữ liệu cá nhân: Dữ liệu cá nhân được phân ra 2 loại như sau:
Dữ liệu cá nhân cơ bản: Là các thông tin gắn liền hoặc giúp xác định một người cụ thể, bao gồm:
- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Giới tính;
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
- Quốc tịch;
- Hình ảnh của cá nhân;
- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
- ...
Dữ liệu cá nhân nhạy cảm: Là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm:
- Quan điểm chính trị, quan điểm tôn giáo;
- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
- Thông tin khách hàng của tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán,...
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
- ...
Bảo vệ dữ liệu cá nhân nhạy cảm: Nghị định 13 cũng thể hiện rằng dữ liệu cá nhân nhạy cảm sẽ được bảo vệ chặt chẽ so với dữ liệu cá nhân cơ bản. Khi xử lý dữ liệu cá nhân nhạy cảm, bên xử lý dữ liệu cần lưu ý một số điểm sau:
‐ Chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
‐ Doanh nghiệp phải chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (“Cục An ninh mạng”).
3. Một số biện pháp bảo vệ dữ liệu cá nhân:
Nhìn chung, Nghị định 13 đưa ra yêu cầu các bên tham gia và/hoặc có liên quan tới quá trình xử lý dữ liệu cá nhân phải áp dụng các biện pháp cần thiết và phù hợp với quy định pháp luật để bảo vệ dữ liệu cá nhân. Trong đó, Nghị định này có nêu một số biện pháp cụ thể mang tính bắt buộc như sau:
‐ Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13.
‐ Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
4. Sự đồng ý của chủ thể dữ liệu:
Trừ một số ngoại lệ, việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu.
a. Nội dung: Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
‐ Loại dữ liệu cá nhân được xử lý;
‐ Mục đích xử lý dữ liệu cá nhân;
‐ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
‐ Các quyền, nghĩa vụ của chủ thể dữ liệu.
b. Hình thức của sự đồng ý:
Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Các hình thức này phải được thể hiện ở định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu sẽ không được coi là sự đồng ý.
c. Trường hợp ngoại lệ theo Nghị định 13:
‐ Trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
‐ Việc công khai dữ liệu cá nhân theo quy định của luật;
‐ Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật;
‐ Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật;
‐ Việc cơ quan, tổ chức có thẩm quyền ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật;
‐ Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
5. Thông báo vi phạm:
Nghị định 13 đưa ra cơ chế cho các bên thông báo về việc vi phạm quy định bảo vệ dữ liệu cá nhân để cơ quan nhà nước có thể kiểm soát chặt chẽ hơn. Theo đó:
a. Bên kiểm soát/bên kiểm soát và xử lý dữ liệu cá nhân phát hiện hành vi vi phạm quy định bảo vệ dữ liệu cá nhân thì phải thông báo cho Cục An ninh mạng về hành vi vi phạm chậm nhất 72 giờ sau khi xảy ra vi phạm; nếu thông báo chậm thì phải nêu rõ lý do thông báo chậm.
b. Tổ chức, cá nhân phải thông báo cho Cục An ninh mạng khi phát hiện ra các trường hợp sau:
‐ Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
‐ Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
‐ Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
‐ Trường hợp khác theo quy định của pháp luật.
6. Đánh giá tác động xử lý dữ liệu cá nhân:
Nghị định 13 cũng đã quy định thêm nghĩa vụ lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho Bên kiểm soát dữ liệu và Bên xử lý dữ liệu. Hồ sơ này cũng phải được gửi cho Cục An ninh mạng trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân và phải luôn được lưu giữ.
7. Chuyển dữ liệu cá nhân ra nước ngoài:
Nghị định 13 cho phép việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài nếu bên chuyển dữ liệu thực hiện lập, lưu trữ và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như đã đề cập tại Mục 6. Bộ Công an sẽ thực hiện kiểm tra việc chuyển dữ liệu cá nhân ra nước ngoài 1 lần/năm, trừ trường hợp phát hiện ra hành vi vi phạm quy định pháp luật hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân.
