intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bảo vệ dữ liệu cá nhân tại Việt Nam: Nghị định mới và so sánh với quy định chung về bảo vệ dữ liệu cá nhân

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:14

Thêm vào BST
Báo xấu
4
lượt xem 3
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "Bảo vệ dữ liệu cá nhân tại Việt Nam: Nghị định mới và so sánh với quy định chung về bảo vệ dữ liệu cá nhân" tập trung nghiên cứu nghị định mới về bảo vệ dữ liệu cá nhân ở Việt Nam, Nghị định 13/2023 đánh dấu cột mốc quan trọng khi là văn bản pháp lý toàn diện đầu tiên điều chỉnh việc bảo vệ dữ liệu cá nhân tại Việt Nam và so sánh nghị định 13/2023 với quy định chung về bảo vệ dữ liệu cá nhân thông qua các khía cạnh chính cần thiết để bảo vệ dữ liệu cá nhân. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bảo vệ dữ liệu cá nhân tại Việt Nam: Nghị định mới và so sánh với quy định chung về bảo vệ dữ liệu cá nhân

  1. BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI VIỆT NAM: NGHỊ ĐỊNH MỚI VÀ SO SÁNH VỚI QUY ĐỊNH CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN ThS. Nguyễn Vũ Trâm Anh Phân hiệu Trường Đại học Kinh tế TP.HCM tại Vĩnh Long Tóm tắt Dữ liệu cá nhân có phạm vi rất rộng, liên quan đến mọi mặt của đời sống nên các hành vi xâm hại, xâm phạm cũng vô cùng đa dạng, phong phú. Do vậy, cần thiết phải ban hành các quy định pháp luật để kịp thời điều chỉnh các quan hệ xã hội, bảo vệ dữ liệu cá nhân, bảo vệ quyền và lợi ích của cá nhân, tổ chức và xã hội. Bài viết này tập trung nghiên cứu nghị định mới về bảo vệ dữ liệu cá nhân ở Việt Nam, Nghị định 13/2023 đánh dấu cột mốc quan trọng khi là văn bản pháp lý toàn diện đầu tiên điều chỉnh việc bảo vệ dữ liệu cá nhân tại Việt Nam và so sánh nghị định 13/2023 với quy định chung về bảo vệ dữ liệu cá nhân thông qua các khía cạnh chính cần thiết để bảo vệ dữ liệu cá nhân. Từ khóa: Bảo vệ, dữ liệu cá nhân, Nghị định, Việt Nam Abstract Personal data has a very wide scope, related to all aspects of life, so the acts of abuse and violation are also extremely diverse and abundant. Therefore, it is necessary to promulgate legal regulations to promptly regulate social relations, protect personal data, and protect the rights and interests of individuals, organizations and society. This article focuses on researching the new decree on personal data protection in Vietnam, Decree 13/2023 marks an important milestone as the first comprehensive legal document regulating the protection of personal data. in Vietnam and compare Decree 13/2023 with general regulations on personal data protection through the main aspects necessary to protect personal data. Keywords: Protection, personal data, Decree, Vietnam, 128
  2. 1. Giới thiệu Theo Bộ Công an, từ năm 2019 đến 2020, số lượng dữ liệu cá nhân bị thu thập, mua bán được phát hiện lên tới gần 1.300 GB. Trong đó có dữ liệu cá nhân của khách hàng đã sử dụng dịch vụ điện lực của EVN, phụ huynh, học sinh tại các trường, khách hàng của các ngân hàng và các dự án bất động sản trên toàn quốc. Cùng với đó, theo Lê Hồng Minh và cộng sự (2020), các vụ việc xâm phạm, vi phạm dữ liệu cá nhân đã, đang xảy ra ngày càng nhiều, liên quan đến hầu khắp các mối quan hệ xã hội của cá nhân, bằng các hình thức, dưới các thủ đoạn, với các động cơ, mục đích khác nhau. Điều này không những gây phiền toái tới cuộc sống sinh hoạt thường nhật của mỗi cá nhân mà còn tiềm ẩn nguy cơ mất an ninh, an toàn thông tin, ảnh hưởng xấu tới xã hội, thậm chí đã có không ít sự vụ ảnh hưởng nghiêm trọng đến danh dự, uy tín, nhân phẩm, tài sản, sức khoẻ, tính mạng của con người. Với vai trò quản lý xã hội, Nhà nước ta đã từng bước xây dựng, ban hành các quy định pháp luật để kịp thời điều chỉnh các quan hệ xã hội, bảo vệ dữ liệu cá nhân, bảo vệ quyền và lợi ích của cá nhân, tổ chức và xã hội. Tuy nhiên, so với yêu cầu, đòi hỏi của thực tiễn đặt ra, trước nhu cầu trao đổi thông tin ngày càng cao của xã hội, với sự phát triển rất nhanh của công nghệ thông tin, đặc biệt trong thời đại Cách mạng công nghệ 4.0 thì các quy định pháp luật về bảo vệ dữ liệu cá nhân của nước ta còn tồn tại một số hạn chế, bất cập cần tiếp tục xây dựng, hoàn thiện. Vì vậy Ngày 17/7/2023, Chính phủ ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân. Nghị định 13/2023 đánh dấu cột mốc quan trọng khi là văn bản pháp lý toàn diện đầu tiên điều chỉnh việc bảo vệ dữ liệu cá nhân tại Việt Nam. So với dự thảo Nghị định về bảo vệ dữ liệu cá nhân (Dự thảo Nghị định), Nghị định 13/2023 đã được cải thiện đáng kể để kết hợp các khía cạnh chính cần thiết để bảo vệ dữ liệu cá nhân phù hợp với Quy định chung về bảo vệ dữ liệu (GDPR- General Data Protection Regulation). Trong bài viết này sẽ thảo luận về các vấn đề chính theo Nghị định 13/2023 và so sánh với GDPR về các khía cạnh chính cần thiết để bảo vệ dữ liệu cá nhân. 2. Định nghĩa "dữ liệu cá nhân" Theo Điều 2.1 Nghị định 13/2023, dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào được thể hiện dưới dạng ký hiệu, văn bản, chữ số, hình ảnh, âm thanh hoặc ở dạng tương tự trong môi trường điện tử được liên kết với một thể nhân cụ thể hoặc giúp xác định một thể nhân cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Đáng chú ý, thông tin về nhóm máu của một người không được coi là dữ liệu cá nhân nhạy cảm (Điều 2.4(b) Nghị định 13/2023) 129
  3. 3. Phương pháp nghiên cứu: Bài viết sử dụng nguồn dữ liệu từ nghị định 13/2023 về bảo vệ dữ liệu cá nhân của chính phủ, quy định chung về bảo vệ dữ liệu cá nhân, các bài nghiên cứu trong và nước liên quan đến bảo vệ dữ liệu cá nhân để phân tích về bảo vệ dữ liệu cá nhân tại Việt Nam và so sánh nghị định 13/2023 về bảo vệ dữ liệu cá nhân của Việt nam và quy định chung về bảo vệ dữ liệu cá nhân. 4. Nghị định 13 về bảo vệ dữ liệu cá nhân tại Việt Nam 4.1 Phạm vi điều chỉnh của Nghị định Việt Nam về bảo vệ dữ liệu cá nhân Nghị định về bảo vệ dữ liệu cá nhân áp dụng cho tất cả các cá nhân và tổ chức hoạt động tại Việt Nam tham gia vào việc cung cấp, thu thập hoặc sử dụng dữ liệu cho bất kỳ mục đích nào trong nước. Điều này bao gồm: - Cơ quan, tổ chức, cá nhân Việt Nam; - Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; - Cơ quan, tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài; và - Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. 4.2 Nguyên tắc cốt lõi Nghị định về bảo vệ dữ liệu cá nhân được hướng dẫn bởi một tập hợp các nguyên tắc cốt lõi xác định các biện pháp bảo vệ dữ liệu cá nhân. Trừ khi các luật khác cho phép lách các biện pháp này, các nguyên tắc hướng dẫn cơ bản của Nghị định về bảo vệ dữ liệu cá nhân như sau: - Nhận thức: Chủ thể dữ liệu phải được thông báo khi dữ liệu của họ đang được thu thập hoặc xử lý. - Rõ ràng về thu thập dữ liệu và mục đích: Chủ thể dữ liệu phải được thông báo về lý do thu thập dữ liệu của họ và cách sử dụng dữ liệu. Xử lý dữ liệu chỉ có thể được thực hiện cho các mục đích đã nêu. - Liên quan: Dữ liệu và lý do được thu thập phải phù hợp với mục đích đã nêu mà dữ liệu đang được thu thập. - Sử dụng thương mại: Dữ liệu cá nhân không thể được mua hoặc bán dưới bất kỳ hình thức nào. 130
  4. - Sự riêng tư: Dữ liệu cá nhân phải được bảo vệ và giữ bí mật. - Thời hạn: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian cần thiết để xử lý. 4.3 Quyền liên quan đến đối tượng của yêu cầu dữ liệu Điều 9 của Nghị định về bảo vệ dữ liệu cá nhân cấp 11 quyền chính cho các chủ thể dữ liệu, được rút ra từ các nguyên tắc cốt lõi (đã đề cập ở trên) và chỉ có thể bị phá vỡ theo các luật khác. Các quyền chính như sau: - Quyền được biết Đối tượng của yêu cầu dữ liệu có quyền biết rằng dữ liệu của họ đang được thu thập. Điều này có nghĩa là các công ty cần thông báo cho người tiêu dùng rằng dữ liệu của họ đang được thu thập. Sự đồng ý chỉ được coi là hợp lệ khi chủ thể dữ liệu biết: - Loại dữ liệu cá nhân đang được thu thập; - Mục đích mà nó đang được thu thập; - Tổ chức, cá nhân được phép xử lý dữ liệu cá nhân của mình; và - Quyền và nghĩa vụ của cá nhân bị yêu cầu dữ liệu. - Quyền đồng ý Theo Nghị định về bảo vệ dữ liệu cá nhân, chủ thể dữ liệu có quyền quyết định có cung cấp thông tin cá nhân của họ hay không. Mặc dù luật pháp không chỉ định hình thức đồng ý, các điều khoản và điều kiện kỹ thuật số kèm theo hộp kiểm cho biết sự thừa nhận và hiểu biết về các điều khoản được coi là đầy đủ. - Quyền truy cập Khi dữ liệu cá nhân được thu thập, chủ thể dữ liệu có quyền truy cập thông tin của họ, xem xét và yêu cầu chỉnh sửa nếu cần. Các công ty thu thập dữ liệu có trách nhiệm đảm bảo rằng quá trình yêu cầu truy cập hoặc chỉnh sửa thuận tiện và nhanh chóng. - Quyền rút lại sự đồng ý 131
  5. Trong trường hợp một cá nhân không còn muốn một tổ chức hoặc thực thể giữ lại dữ liệu của họ, họ có quyền rút lại sự đồng ý của họ. Tương tự như quyền truy cập, nghĩa vụ của các công ty là đảm bảo rằng quá trình rút tiền nhanh chóng và thân thiện với người dùng. - Quyền xóa dữ liệu Chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu cá nhân của họ do một thực thể nắm giữ. Quy trình yêu cầu xóa dữ liệu cá nhân phải rõ ràng và dễ tiếp cận. - Quyền hạn chế xử lý dữ liệu Chủ thể dữ liệu có quyền hạn chế xử lý dữ liệu cá nhân của họ. Các công ty phải tuân thủ các yêu cầu hạn chế sử dụng dữ liệu cá nhân trong vòng 72 giờ. Việc không tuân thủ có thể dẫn đến phạt hành chính hoặc hậu quả pháp lý, bao gồm cả quyền yêu cầu bồi thường thiệt hại. - Quyền khiếu nại, tố cáo, khởi kiện Theo Nghị định về bảo vệ dữ liệu cá nhân, nếu dữ liệu cá nhân của một cá nhân đã được thu thập và sử dụng sai, họ có quyền nộp đơn khiếu nại, báo cáo vụ việc hoặc khởi kiện bên vi phạm. Ngoài ra, Nghị định về bảo vệ dữ liệu cá nhân đảm bảo quyền yêu cầu bồi thường thiệt hại và bồi thường tài chính cho bất kỳ vi phạm nào đã thực hiện. 4.4 Nghĩa vụ của chủ thể dữ liệu Được nêu trong Điều 10 của Nghị định về bảo vệ dữ liệu cá nhân là một số nghĩa vụ đối với các cá nhân liên quan đến việc bảo vệ dữ liệu cá nhân của chính họ. Chúng bao gồm: - Các cá nhân nên cố gắng bảo vệ dữ liệu của chính mình và yêu cầu các tổ chức và cá nhân bảo vệ dữ liệu cá nhân của họ. - Họ nên tôn trọng và bảo vệ dữ liệu cá nhân của các cá nhân khác. - Họ cũng nên cung cấp đầy đủ và chính xác dữ liệu cá nhân của mình trong trường hợp họ đồng ý thu thập và xử lý dữ liệu đó. - Hơn nữa, họ nên tham gia vào việc phân phối các kỹ năng bảo vệ dữ liệu cá nhân. - Và cuối cùng, họ nên tuân thủ các quy định được quy định trong luật về bảo vệ dữ liệu cá nhân. 4.5 Truyền dữ liệu xuyên biên giới 132
  6. Các công ty nước ngoài phải lưu ý Điều 25 trong Nghị định về bảo vệ dữ liệu cá nhân, trong đó phác thảo việc chuyển dữ liệu ra nước ngoài. Để chuyển dữ liệu của công dân Việt Nam ra nước ngoài, phải hoàn thiện "hồ sơ" và nộp cho Bộ Công an trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu. Hồ sơ cần bao gồm: - Thông tin liên lạc và chi tiết của người gửi và người nhận; - Các chi tiết liên lạc của một đại diện của người gửi; - Mô tả và giải thích về mục tiêu chuyển dữ liệu cá nhân ra nước ngoài; - Mô tả loại dữ liệu cá nhân sẽ được chuyển ra nước ngoài; - Mô tả và giải thích các quy định về bảo vệ dữ liệu cá nhân tại Nghị định này sẽ được đáp ứng như thế nào trong quá trình chuyển giao; - Đánh giá tác động của việc xử lý dữ liệu cá nhân ở nước ngoài bao gồm mọi hậu quả hoặc thiệt hại không mong muốn có thể xảy ra và các biện pháp giảm thiểu các kết quả này; - Sự đồng ý của người mà dữ liệu đang được thu thập và bằng chứng cho thấy họ biết về các phương tiện truy đòi có sẵn nếu có bất kỳ vấn đề nào phát sinh; và - Một tài liệu phác thảo các nghĩa vụ và trách nhiệm của cả người gửi và người nhận xử lý dữ liệu. Việc tuân thủ thành phần này của việc truyền dữ liệu xuyên biên giới có thể tốn kém và hạn chế đối với các công ty nước ngoài, tùy thuộc vào cách nó được thực thi. 5. Nghị định mới về bảo vệ dữ liệu cá nhân tại Việt Nam và so sánh với quy định chung về bảo vệ dữ liệu (GDPR-General Data Protection Regulation) 5.1. Những việc cần thực hiện trước ngày 1/7/2023 Trước ngày 1/7/2023, cả tổ chức trong và ngoài nước có liên quan đến việc thu thập, xử lý dữ liệu cá nhân của cá nhân Việt Nam hoặc cá nhân nước ngoài cư trú tại Việt Nam cần thực hiện các hành vi sau: - Có sự đồng ý thích hợp từ chủ thể dữ liệu có liên quan (xem 4.7); - Nếu đó là bên kiểm soát dữ liệu, có hợp đồng với bên xử lý dữ liệu có liên quan (xem 4.4); - Xác định xem nó liên quan đến dữ liệu cá nhân cơ bản hay dữ liệu cá nhân nhạy cảm. 133
  7. - Chuẩn bị và đệ trình đánh giá tác động của việc xử lý dữ liệu cá nhân cho Bộ Công an (xem 4.10); - Chuẩn bị và đệ trình đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài cho Bộ Công an (xem 4.11); - Thiết lập hệ thống để bảo vệ sự an toàn và bảo mật của dữ liệu cá nhân mà nó thu thập hoặc xử lý; và - Thiết lập bộ phận bảo vệ dữ liệu cá nhân và nhân viên tuân thủ dữ liệu nếu bộ phận này xử lý dữ liệu cá nhân nhạy cảm. Nghị định 13/2023 chỉ miễn trừ doanh nghiệp nhỏ và vừa hoặc doanh nghiệp khởi nghiệp tuân thủ một số yêu cầu nhất định cho đến ngày 1/7/2025. Tuy nhiên, một thành phần quan trọng còn thiếu là hình phạt tiềm năng có thể áp dụng trong trường hợp không tuân thủ. Theo đó, hiện nay, Nghị định 13/2023 chưa có cơ sở trong việc thực thi các yêu cầu trên. Không giống như Nghị định 13/2023, quy định chung về bảo vệ dữ liệu có các hình phạt và tiền phạt rõ ràng áp dụng cho các hành vi vi phạm quy định chung về bảo vệ dữ liệu (GDPR-General Data Protection Regulation). 5.2. Phạm vi áp dụng So với Dự thảo Nghị định, Điều 1.2 Nghị định 13/2023 đã làm rõ các đối tượng phải tuân thủ các quy định của Bộ, bao gồm: (i) tổ chức/cá nhân Việt Nam; (ii) Tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài; (iii) Tổ chức/cá nhân nước ngoài tại Việt Nam; (iv) Tổ chức/cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Mặc dù chưa rõ ràng, nhưng có vẻ như Nghị định 13/2023 sẽ áp dụng đối với: - Dữ liệu cá nhân của cá nhân Việt Nam cư trú tại Việt Nam và cư trú ở nước ngoài; - Dữ liệu cá nhân của cá nhân nước ngoài cư trú tại Việt Nam; và - Các tổ chức nước ngoài thu thập và / hoặc xử lý cá nhân. Không rõ liệu các thực thể trong nước thu thập và xử lý dữ liệu cá nhân của cá nhân nước ngoài cư trú bên ngoài Việt Nam có phải tuân theo Nghị định 13/2023 hay không. Không giống như Nghị định 13/2023, GDPR có khả năng áp dụng rõ ràng về phạm vi vật chất và lãnh thổ (xem Điều 2 và 3 của GDPR). 5.3. Định nghĩa "dữ liệu cá nhân" 134
  8. Theo Điều 2.1 Nghị định 13/2023, dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào được thể hiện dưới dạng ký hiệu, văn bản, chữ số, hình ảnh, âm thanh hoặc ở dạng tương tự trong môi trường điện tử được liên kết với một thể nhân cụ thể hoặc giúp xác định một thể nhân cụ thể. Định nghĩa này đủ rộng để bao gồm bất kỳ loại dữ liệu cá nhân nào, giống như cách tiếp cận được thực hiện bởi GDPR, nhằm mục đích bảo vệ quyền riêng tư dữ liệu của một người ở mức tối đa có thể. 5.4. Các bên tham gia xử lý dữ liệu Lần đầu tiên, Nghị định 13/2023 phân biệt các thuật ngữ "bên kiểm soát dữ liệu" và "bên xử lý dữ liệu" tương tự như các thuật ngữ được quy định trong GDPR. Thay đổi này có thể sẽ tăng cường tính minh bạch trong việc phân bổ quyền và nghĩa vụ giữa các bên liên quan đến việc xử lý dữ liệu và làm cho Nghị định 13/2023 phù hợp hơn với các thông lệ quốc tế tốt nhất, đặc biệt là GDPR. 5.5. Nguyên tắc xử lý dữ liệu Điều 3 Nghị định 13/2023 nêu ra tám nguyên tắc, đó là: (i) tính hợp pháp; (ii) tính minh bạch; (iii) giới hạn mục đích; (iv) giảm thiểu dữ liệu; (v) tính chính xác; (vi) tính toàn vẹn và bảo mật; (vii) giới hạn lưu trữ; và (viii) trách nhiệm giải trình. Các nguyên tắc này khá giống với các nguyên tắc được nêu trong Điều 5 của GDPR để xử lý dữ liệu cá nhân. Sự khác biệt giữa Nghị định 13/2023 và GDPR về nguyên tắc xử lý dữ liệu bao gồm: - Nghị định 13/2023 không bao gồm nguyên tắc "công bằng". Theo Điều 5.1 của GDPR, dữ liệu cá nhân sẽ được xử lý công bằng; và - Về nguyên tắc "giới hạn mục đích", Nghị định 13/2023 quy định rõ ràng việc mua bán dữ liệu cá nhân không được phép dưới bất kỳ hình thức nào, trừ trường hợp pháp luật có quy định khác. 5.6. Quyền của chủ thể dữ liệu Điều 9 Nghị định 13/2023 quy định mười một quyền của chủ thể dữ liệu bao gồm: (i) quyền được biết; (ii) quyền đồng ý; (iii) quyền truy cập; (iv) quyền rút lại sự đồng ý; (v) quyền xóa dữ liệu; (vi) quyền hạn chế xử lý dữ liệu; (vii) quyền yêu cầu cung cấp dữ liệu; (viii) quyền phản đối việc xử lý dữ liệu; (ix) quyền khiếu nại, tố cáo, khởi kiện; (x) quyền yêu cầu bồi thường thiệt hại; và (xi) quyền tự vệ. Điều này tương tự như GDPR ngoại trừ: - GDPR không quy định quyền tự vệ của chủ thể dữ liệu; và 135
  9. - Nghị định 13/2023 không quy định quyền "di chuyển dữ liệu" như quy định trong GDPR. Việc thiếu quyền này có thể ngăn chủ thể dữ liệu truyền dữ liệu cá nhân của mình đến các bộ điều khiển khác. 5.7. Sự đồng ý của chủ thể dữ liệu Nhìn chung, sự đồng ý của chủ thể dữ liệu là cơ sở quan trọng để đảm bảo tính hợp pháp của việc xử lý dữ liệu. Theo Nghị định 13/2023, ngoại trừ một số trường hợp nhất định không yêu cầu sự đồng ý (xem 4.7), sự đồng ý của chủ thể dữ liệu sẽ được áp dụng trong tất cả các hoạt động xử lý dữ liệu. Sự đồng ý của chủ thể dữ liệu sẽ chỉ có hiệu lực khi (i) được đưa ra miễn phí và (ii) chủ thể dữ liệu biết đầy đủ thông tin về loại dữ liệu cá nhân, mục đích xử lý dữ liệu, các bên xử lý dữ liệu và quyền và nghĩa vụ của chủ thể dữ liệu. Ngoài ra, sự đồng ý của chủ thể dữ liệu phải: - Hãy rõ ràng, được thể hiện cụ thể bằng văn bản, bằng giọng nói, bằng cách đánh dấu vào hộp đồng ý, bằng tin nhắn văn bản để đồng ý, bằng cách chọn cài đặt kỹ thuật để đồng ý hoặc bằng một hành động khác thể hiện điều tương tự. Theo đó, các biểu mẫu đã thỏa thuận trước do nhà cung cấp dịch vụ/chủ sở hữu trang web đặt ra như cài đặt mặc định, hộp đánh dấu trước hoặc các điều khoản và điều kiện chung có thể không được coi là sự đồng ý của chủ thể dữ liệu; - Được thực hiện cho một mục đích duy nhất. Trong trường hợp có nhiều mục đích, các bên liên quan đến việc xử lý dữ liệu phải liệt kê tất cả các mục đích để chủ thể dữ liệu lựa chọn đồng ý với một hoặc nhiều mục đích đã nêu; và - Được thể hiện ở định dạng có thể được in và / hoặc sao chép bằng văn bản, bao gồm cả ở định dạng điện tử hoặc có thể kiểm chứng được. Đặc biệt, sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý của họ. Cách tiếp cận này tương tự như GDPR trong đó tất cả các sự đồng ý phải là sự đồng ý chọn tham gia (tức là một hành động hoặc chỉ dẫn tích cực) và việc không chọn không tham gia không phải là sự đồng ý vì nó không liên quan đến một hành động khẳng định rõ ràng. 5.8. Xử lý dữ liệu cá nhân trong trường hợp đặc biệt Nghị định 13/2023 quy định cụ thể một số trường hợp xử lý dữ liệu cá nhân đặc biệt bao gồm: (1) Xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu (Điều 17). Những trường hợp này bao gồm: 136
  10. - Trong trường hợp khẩn cấp cần thiết để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc những người khác; - Thực hiện tiết lộ dữ liệu cá nhân theo quy định của pháp luật; - Phục vụ việc xử lý của cơ quan nhà nước có thẩm quyền trong các trường hợp đặc biệt (ví dụ: tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, thiên tai lớn, dịch bệnh nguy hiểm,..); - Thực hiện nghĩa vụ hợp đồng của chủ thể dữ liệu với các chủ thể dữ liệu có liên quan theo quy định của pháp luật (trừ trường hợp kinh doanh tiếp thị, quảng cáo – Điều 21.1 và 21.2 Nghị định 13/2023); và - Phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật chuyên ngành. Những trường hợp này khá giống với những trường hợp được cung cấp theo GDPR, mặc dù có một sự khác biệt đáng chú ý. GDPR bao gồm một trường hợp bổ sung, có lợi cho bên kiểm soát dữ liệu hoặc bên thứ ba, trong đó việc xử lý là cần thiết cho lợi ích hợp pháp mà bộ điều khiển hoặc bên thứ ba theo đuổi (Điều 6.1 (f))). Tuy nhiên, "lợi ích hợp pháp" đó không được bị lấn át bởi lợi ích hoặc quyền và tự do cơ bản của chủ thể dữ liệu yêu cầu bảo vệ dữ liệu cá nhân; (2) Xử lý dữ liệu cá nhân thu được từ việc ghi âm, ghi hình tại nơi công cộng để bảo vệ an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của người dân theo quy định của pháp luật (Điều 18); (3) Xử lý dữ liệu cá nhân của người được tuyên bố mất tích hoặc đã chết. Cần lưu ý rằng việc xử lý dữ liệu cá nhân trong trường hợp này cần có sự đồng ý của các thành viên gia đình của họ (ví dụ: vợ / chồng, cha mẹ) và nếu người chết / mất tích không có thành viên gia đình, nó được coi là không có sự đồng ý và do đó, việc xử lý không thể được thực hiện (Điều 19). Trong khi đó, GDPR không áp dụng cho dữ liệu của những người đã qua đời và để lại chỗ này cho luật của Quốc gia Thành viên (Recital 27); và (4) Xử lý dữ liệu cá nhân của trẻ em (Điều 20). Ngoại trừ các trường hợp được đề cập tại (1), khi trẻ từ 7 tuổi trở lên, bất kỳ bên nào liên quan đến việc xử lý dữ liệu đều phải có sự đồng ý của cả trẻ và cha mẹ hoặc người giám hộ của trẻ. 5.9. Nghĩa vụ thông báo trong trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân Theo Điều 23 Nghị định 13/2023, khi phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu phải thông báo cho Bộ Công an (Cục An ninh mạng và 137
  11. phòng chống tội phạm sử dụng công nghệ cao) trong vòng 72 giờ kể từ khi xảy ra vi phạm theo hình thức quy định với nội dung bắt buộc (ví dụ: Mô tả các biện pháp được đưa ra để xử lý và giảm thiểu tác hại của việc đó vi phạm). Trường hợp thông báo sau 72 giờ phải nêu rõ lý do chậm, thông báo trễ. Nghĩa vụ này phù hợp với nghĩa vụ được quy định tại Điều 33.1 của GDPR. 5.10. Đánh giá tác động của việc xử lý dữ liệu cá nhân Theo Điều 24 Nghị định 13/2023, trong mọi trường hợp, kể từ khi bắt đầu xử lý dữ liệu cá nhân, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải chuẩn bị và duy trì hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân. Nói riêng - Hồ sơ do bên kiểm soát dữ liệu, bên kiểm soát, xử lý dữ liệu lập phải bao gồm một số nội dung, trong đó có các trường hợp chuyển dữ liệu cá nhân qua biên giới; đánh giá tác động của việc xử lý dữ liệu cá nhân; hậu quả và/hoặc thiệt hại tiềm ẩn và không mong muốn, và các biện pháp giảm thiểu hoặc loại bỏ chúng; - Trường hợp có Bên xử lý dữ liệu thay mặt Bên kiểm soát dữ liệu thì Bên xử lý dữ liệu đó cũng phải lập hồ sơ riêng để đánh giá tác động của việc xử lý dữ liệu cá nhân với các nội dung bắt buộc; và - Hồ sơ phải luôn sẵn sàng để Bộ Công an kiểm tra, đánh giá và nộp 01 bản chính cho A05 trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu cá nhân. Trước đây, Dự thảo Nghị định chỉ yêu cầu báo cáo đánh giá tác động trong trường hợp dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân qua biên giới. Nghĩa vụ mới này theo Nghị định 13/2023 sẽ đặt gánh nặng đáng kể cho tất cả các bên kiểm soát dữ liệu và xử lý dữ liệu, chẳng hạn như các nhà cung cấp dịch vụ trong khi xử lý dữ liệu trong quá trình thực hiện hợp đồng. Theo Điều 35.1 của GDPR, việc đánh giá tác động bảo vệ dữ liệu chỉ được yêu cầu trong trường hợp việc xử lý sử dụng các công nghệ mới và có khả năng dẫn đến rủi ro cao đối với quyền và tự do của thể nhân. 5.11. Chuyển dữ liệu cá nhân xuyên biên giới Điều 25 Nghị định 13/2023 quy định cụ thể thủ tục mà bên chuyển dữ liệu phải tuân thủ đối với việc chuyển dữ liệu cá nhân qua biên giới như sau: 138
  12. - Bên chuyển giao phải lập hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân qua biên giới với các nội dung bắt buộc bao gồm, trong số các nội dung khác, mô tả, giải trình về mục tiêu xử lý dữ liệu cá nhân của công dân Việt Nam sau khi được chuyển giao; - Bên chuyển nhượng phải luôn có sẵn hồ sơ để Bộ Công an kiểm tra, đánh giá và gửi 01 bản chính cho A05 trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu cá nhân; và - Bên chuyển giao thông báo và gửi cho A05 thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân có trách nhiệm bằng văn bản sau khi hoàn thành việc chuyển dữ liệu. Ngoại trừ trường hợp yêu cầu bên chuyển giao ngừng chuyển dữ liệu cá nhân qua biên giới (Điều 25.8 Nghị định 13/2023), Nghị định 13/2023 không áp đặt các hạn chế đối với việc chuyển dữ liệu cá nhân sang các nước thứ ba như GDPR. Theo GDPR, việc chuyển dữ liệu cá nhân sang một quốc gia thứ ba bị hạn chế trừ khi (i) Ủy ban Châu Âu quyết định rằng quốc gia thứ ba đó đảm bảo mức độ bảo vệ dữ liệu đầy đủ; hoặc (ii) bộ điều khiển/bộ xử lý đã thực hiện các biện pháp bảo vệ thích hợp; hoặc (iii) áp dụng miễn trừ hoặc miễn trừ (Điều 45, 46, 48 và 49 của GDPR). 5.12. Các biện pháp bảo đảm bảo vệ dữ liệu cá nhân Theo Điều 26 Nghị định 13/2023, các biện pháp bảo đảm bảo vệ dữ liệu cá nhân phải được áp dụng từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp này bao gồm (i) các biện pháp quản lý và kỹ thuật được thực hiện bởi các thực thể liên quan đến xử lý dữ liệu cá nhân; (ii) các biện pháp do cơ quan có thẩm quyền thực hiện; (iii) các biện pháp điều tra và tố tụng do cơ quan có thẩm quyền thực hiện; và (iv) các biện pháp khác theo quy định của pháp luật. Các biện pháp như vậy khá chung chung và do đó, có thể hiểu rằng các bên liên quan xử lý dữ liệu cá nhân có thể xác định các biện pháp thích hợp theo quyết định của họ trên cơ sở từng trường hợp. Đối với từng loại dữ liệu cá nhân, Nghị định 13/2023 sẽ yêu cầu các biện pháp cụ thể ngoài các biện pháp được quy định tại Điều 26 (ví dụ: Chỉ định một bộ phận có chức năng bảo vệ dữ liệu cá nhân hoặc cử nhân sự phụ trách bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm). 5.13. Cơ quan chuyên môn về bảo vệ dữ liệu cá nhân So với Dự thảo Nghị định, Nghị định 13/2023 đã bỏ khái niệm Ủy ban bảo vệ dữ liệu cá nhân (Ủy ban Bảo vệ dữ liệu cá nhân) và tất cả các quy định liên quan. Theo Điều 29 Nghị định 139
  13. 13/2023, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an (A05) sẽ đóng vai trò là cơ quan chuyên môn về bảo vệ dữ liệu cá nhân. Việc lựa chọn Bộ Công an là cơ quan phụ trách bảo vệ dữ liệu cá nhân dường như cho thấy Việt Nam coi bảo vệ dữ liệu cá nhân là vấn đề bảo mật chứ không phải là vấn đề quyền công dân. Điều này khác với Điều 51 của GDPR, yêu cầu mỗi Quốc gia Thành viên thành lập một hoặc nhiều cơ quan công quyền độc lập chịu trách nhiệm giám sát việc áp dụng GDPR liên quan đến việc xử lý dữ liệu cá nhân trong Liên minh. Kết luận Nghị định 13 sẽ áp dụng cho các doanh nghiệp trong tất cả các lĩnh vực tham gia xử lý dữ liệu cá nhân. Nghị định có thể đặt ra thách thức cho các đơn vị kiểm soát dữ liệu và xử lý dữ liệu. Các doanh nghiệp Việt Nam nên khẩn trương xây dựng kế hoạch tuân thủ Nghị định mới và xem xét ngay các quy trình hiện có, để đảm bảo tuân thủ theo yêu cầu của nghị định. Với Nghị định 13, bảo mật dữ liệu không phải là điều xa xỉ, đó là điều cần thiết. Dữ liệu cá nhân là hoạt động kinh doanh của chủ thể dữ liệu và không còn thuộc về các tổ chức. Nghị định cũng trao quyền cho các chủ thể dữ liệu bảo vệ dữ liệu của họ để tự bảo vệ mình. Nó cũng không cho phép các doanh nghiệp theo dõi chủ đề dữ liệu bằng cách bảo mật dữ liệu của họ. Cuối cùng nhưng không kém phần quan trọng, quyền riêng tư dữ liệu rất quan trọng, bởi vì doanh nghiệp của bạn rất quan trọng. Có nhiều điểm tương đồng giữa Nghị định 13 và GDPR. Nhìn chung, Nghị định 13 mang lại một sự thay đổi cơ bản trong cách xử lý dữ liệu cá nhân và là một sự thay đổi lớn đối với quyền riêng tư dữ liệu ở Việt Nam. Tài liệu tham khảo Bảo vệ dữ liệu cá nhân tại Việt Nam: Hướng dẫn nhanh (vietnam-briefing.com) Bảo vệ dữ liệu cá nhân tại Việt Nam: Pháp lý đầu tiên và con đường dài phía trước - Tuổi Trẻ Online (tuoitre.vn), truy cập 22/5/2023 Lê Minh Hồng, Đỗ Tiến Dũng (2020), Thực trạng pháp luật về bảo vệ thông tin cá nhân và một số kiến nghị - Tạp chí An toàn thông tin (antoanthongtin.vn), truy cập 28/5/2020 Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân mới nhất (thuvienphapluat.vn) 140
  14. Nghị định mới về bảo vệ dữ liệu cá nhân tại Việt Nam và so sánh với GDPR — Luật Doanh nghiệp Việt Nam (vietnam-business-law.info), truy cập 2/6/2023 Quy định chung về bảo vệ dữ liệu (GDPR) - Văn bản pháp lý chính thức (gdpr-info.eu) 141
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2