Ngày 31/05/2023, dự thảo Nghị định xử phạt hành chính an ninh mạng đối với vi phạm PDPD và Nghị định số 53/2022/NĐ-CP hướng dẫn Luật An ninh mạng đã được đưa ra tham vấn công chúng trong bối cảnh Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPD) sẽ có hiệu lực trong vài ngày tới (tức là vào ngày 01 tháng 7 năm 2023). Do thời gian còn lại rất ít cho đến ngày PDPD có hiệu lực và rủi ro bị trừng phạt nghiêm trọng trong thời gian tới, các tổ chức nên đảm bảo rằng tất cả các hành động cần thiết đã được thực hiện để sẵn sàng tuân thủ PDPD. Bài viết này sẽ xem xét sâu hơn về PDPD để tìm hiểu thêm về kế hoạch hành động tuân thủ PDPD.

‍

1. Tự đánh giá các hoạt động xử lý dữ liệu hiện tại

Đối với các tổ chức tham gia xử lý dữ liệu cá nhân, việc thực hiện tự kiểm toán toàn diện liên quan đến việc tuân thủ PDPD là điều quan trọng hàng đầu. Đặc biệt, điều này đòi hỏi phải đánh giá các hoạt động xử lý dữ liệu hiện tại của bạn, xác định các rủi ro tiềm ẩn và thực hiện kế hoạch hành động cần thiết cho phù hợp.

1.1. Phân loại dữ liệu cá nhân

Một số câu hỏi nên được hỏi như sau:

Những loại dữ liệu cá nhân nào hiện đang được xử lý bởi tổ chức của bạn?

PDPD phân loại dữ liệu cá nhân thành (i) dữ liệu cá nhân cơ bản (ví dụ: tên, ngày sinh, giới tính, địa chỉ, số điện thoại, số CMND, dữ liệu phản ánh hoạt động của cá nhân và lịch sử hoạt động trong không gian mạng, v.v.) và (ii) dữ liệu cá nhân nhạy cảm, phải tuân theo các biện pháp bảo vệ nghiêm ngặt hơn (ví dụ: quan điểm chính trị và tôn giáo, tình trạng sức khỏe thể chất và tinh thần, thông tin di trắc học, hồ sơ tội phạm, dữ liệu tài chính, địa điểm, v.v.).

Những dữ liệu cá nhân đó được thu thập từ nguồn nào?

Nói chung, một tổ chức có thể lấy dữ liệu cá nhân từ nhiều nguồn khác nhau, tùy thuộc vào bản chất của dữ liệu và bối cảnh mà dữ liệu được thu thập trong khóa học kinh doanh thông thường, có thể bao gồm:

• Cá nhân: tương tác trực tiếp, trao đổi danh thiếp, v.v.

• Hoạt động trực tuyến: truy cập trang web, phương tiện truyền thông xã hội, thương mại điện tử, v.v.

• Bên thứ ba: đối tác kinh doanh, nhà môi giới dữ liệu, các nguồn có sẵn công khai, v.v.

• Thiết bị IoT: thiết bị thông minh, dữ liệu vị trí (ví dụ: thiết bị hỗ trợ GPS), v.v.

• Nguồn nhân lực: đơn xin việc, thông tin nhân viên, v.v.

1.2. Xác định các hoạt động xử lý dữ liệu cá nhân

Vai trò trong xử lý dữ liệu cá nhânVai trò và trách nhiệm tương ứng có thể khác nhau tùy thuộc vào các hoạt động kinh doanh cụ thể và loại hoạt động xử lý mà tổ chức của bạn tham gia. Một tổ chức, theo PDPD, có thể là người kiểm soát dữ liệu, bộ xử lý dữ liệu, người kiểm soát và xử lý dữ liệu hoặc bên thứ ba, mỗi tổ chức có các quyền, chức năng và nghĩa vụ riêng biệt.

Theo thực tế, người kiểm soát dữ liệu nên xem xét cẩn thận quy trình lựa chọn bộ xử lý dữ liệu và các thỏa thuận xử lý dữ liệu có liên quan, trong khi các bên xử lý dữ liệu và các bên thứ ba (tức là các bên xử lý phụ) nên đảm bảo rằng quá trình xử lý của họ phù hợp với các thỏa thuận xử lý dữ liệu có liên quan và các yêu cầu của PDPD.

Mục đích xử lýXử lý dữ liệu cá nhân phục vụ nhiều mục đích khác nhau, tùy thuộc vào bối cảnh và nhu cầu nhất định của tổ chức, chẳng hạn như quản lý lực lượng lao động, phân tích thống kê, nghiên cứu thị trường, nghĩa vụ hợp đồng, lợi ích hợp pháp hoặc lợi ích công cộng, v.v. Tuy nhiên, theo nguyên tắc tối thiểu hóa dữ liệu, bạn nên đảm bảo rằng việc thu thập và/hoặc xử lý dữ liệu cá nhân của bạn là đầy đủ và chỉ giới hạn cho các mục đích mà nó được xử lý.

Truyền dữ liệu xuyên biên giới: Để tuân thủ PDPD, điều quan trọng là phải kiểm tra xem có bất kỳ chuyển dữ liệu cá nhân nào của công dân Việt Nam ra ngoài lãnh thổ Việt Nam hay không (ví dụ: cho các chi nhánh nước ngoài hoặc công ty mẹ) hay không.

Các biện pháp kỹ thuật/pháp lýĐối với mục đích đánh giá khoảng cách và xác định rủi ro, điều cần thiết là phải xem xét các biện pháp kỹ thuật và pháp lý hiện đang được thực hiện trong hoạt động kinh doanh hàng ngày của bạn, chẳng hạn như:

• Các biện pháp kỹ thuật: mã hóa dữ liệu, kiểm soát truy cập, lưu trữ và truyền dữ liệu, phục hồi/sao lưu dữ liệu, v.v.

• Các biện pháp pháp lý: chính sách bảo vệ dữ liệu, thỏa thuận xử lý dữ liệu, cơ chế đồng ý/rút lại sự đồng ý, v.v.

‍

2. Thừa nhận quyền của tổ chức liên quan đến xử lý dữ liệu và chủ thể dữ liệu

Với điều kiện tất cả các yêu cầu của PDPD đã được đáp ứng, tổ chức của bạn được phép thu thập, lưu trữ, chỉnh sửa, xóa/phá hủy dữ liệu cá nhân và cung cấp/chuyển dữ liệu cá nhân cho các bên khác. Hơn nữa, trong một số trường hợp đặc biệt cụ thể, bạn có thể tiến hành xử lý dữ liệu mà không cần sự đồng ý của chủ thể dữ liệu.

Trong khi thực thi các quyền của tổ chức bạn, bạn nên lưu ý rằng theo PDPD, chủ thể dữ liệu được cấp nhiều quyền liên quan đến dữ liệu cá nhân của họ, bao gồm quyền đồng ý/rút lại sự đồng ý, yêu cầu bộ xử lý dữ liệu xem/chỉnh sửa/xóa/cung cấp bản sao dữ liệu cá nhân của họ, yêu cầu người xử lý dữ liệu chấm dứt hoạt động xử lý, yêu cầu bồi thường thiệt hại, v.v. Do đó, bắt buộc phải thừa nhận các quyền này của chủ thể dữ liệu và đảm bảo rằng họ được tôn trọng. bởi nhân viên của bạn và các thủ tục hoặc chính sách nội bộ của bạn.

‍

3. Các hành động để tuân thủ

3.1. Sự đồng ý: Vì sự đồng ý là cơ sở pháp lý chính để xử lý dữ liệu cá nhân (trừ một số trường hợp đặc biệt theo PDPD không cần sự đồng ý), các tổ chức nên xem xét các thủ tục hiện có để có được sự đồng ý từ chủ thể dữ liệu, chẳng hạn như hình thức đồng ý, cách chủ thể dữ liệu có thể đồng ý về mặt kỹ thuật (ví dụ: đánh dấu hộp, nhắn tin, lựa chọn cài đặt kỹ thuật hoặc các hành động tương đương khác), quản lý sự đồng ý, v.v. Trong hội thảo phổ biến gần đây về PDPD, tuy nhiên, Bộ An ninh mạng và Phòng chống tội phạm công nghệ cao theo Bộ Công an (MPS) khẳng định rằng người kiểm soát/xử lý dữ liệu có liên quan sẽ không có nghĩa vụ phải xin lại sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân đã được cung cấp trước ngày 01 tháng 7 năm 2023.

Theo PDPD, sự đồng ý chỉ có giá trị nếu chủ thể dữ liệu tự nguyện đồng ý và nhận thức được những điều sau đây: (i) loại dữ liệu cá nhân được xử lý, (ii) mục đích xử lý dữ liệu cá nhân, (iii) tổ chức hoặc cá nhân được phép xử lý dữ liệu cá nhân và (iv) quyền và nghĩa vụ của chủ thể dữ liệu.

Do các chủ thể dữ liệu có quyền rút lại sự đồng ý của họ bất cứ lúc nào, nên thận trọng khi đưa ra một quy trình để giải quyết và phản hồi hiệu quả đối với việc rút tiền đó.

3.2. Thủ tục và quy định nội bộ: Như đã nói, một trong những biện pháp pháp lý để bảo vệ dữ liệu cá nhân là ban hành các chính sách nội bộ về bảo vệ dữ liệu cá nhân, được ủy quyền bởi PDPD. PDPD hiện tại không nêu chi tiết về cách chuẩn bị các chính sách nội bộ trên và chúng ta nên chờ đợi bất kỳ hướng dẫn nào khác từ MPS. Tuy nhiên, dựa trên các nguyên tắc của PDPD, có thể đề xuất một số quy định cơ bản được đưa vào chính sách, chẳng hạn như nguyên tắc bảo vệ dữ liệu, vai trò và trách nhiệm, quyền và nghĩa vụ của chủ thể dữ liệu, quản lý vi phạm dữ liệu, đào tạo và nhận thức, xem xét và cập nhật, v.v.

3.3. Nghĩa vụ liên quan đến xử lý dữ liệu

Thông báo xử lý dữ liệu: Theo PDPD, các tổ chức được yêu cầu gửi thông báo cho các chủ thể dữ liệu trước khi xử lý dữ liệu cá nhân của họ.

Thông báo vi phạm dữ liệu: PDPD yêu cầu người kiểm soát dữ liệu/bộ xử lý dữ liệu/bộ xử lý dữ liệu thông báo cho MPS về bất kỳ vi phạm dữ liệu nào hoặc vi phạm khác của PDPD trong vòng 72 giờ kể từ khi nhận thức.

Cung cấp dữ liệu cho các bên liên quan: Chủ thể dữ liệu có quyền yêu cầu người kiểm soát dữ liệu/người kiểm soát dữ liệu kiêm bộ xử lý dữ liệu cung cấp cho mình hoặc bên thứ ba dữ liệu cá nhân của mình, trong vòng 72 giờ sau khi nhận được yêu cầu của họ, trừ khi pháp luật có quy định khác.

Đánh giá tác động: PDPD yêu cầu bên kiểm soát dữ liệu/người xử lý dữ liệu/người xử lý dữ liệu/bên thứ ba (nếu có) tiến hành đánh giá tác động đối với (i) xử lý dữ liệu cá nhân và (ii) chuyển giao xuyên biên giới dữ liệu cá nhân của công dân Việt Nam (nếu có) và duy trì hồ sơ đánh giá để MPS kiểm toán, đánh giá. Ngoài ra, nó cũng phải nộp hồ sơ đánh giá cho MPS để phê duyệt trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu cá nhân.

Nhân sự: Trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, bên kiểm soát dữ liệu/người xử lý dữ liệu/người xử lý dữ liệu/bên thứ ba có liên quan phải chỉ định một bộ phận và một nhân viên bảo vệ dữ liệu để giám sát các hoạt động xử lý dữ liệu của họ, thông tin của họ sau đó phải được trao đổi với cơ quan bảo vệ dữ liệu cá nhân.

‍

Tóm lại, các tổ chức nên xem PDPD không chỉ là một câu đố pháp lý, mà còn là một cơ hội chuyển đổi để thay đổi thực tiễn của họ trong việc thu thập và xử lý dữ liệu cá nhân, điều này cuối cùng sẽ thúc đẩy niềm tin giữa khách hàng/đối tác kinh doanh/nhân viên của họ, xây dựng danh tiếng của họ trên thị trường và đặc biệt là hòa nhập với các doanh nghiệp quốc tế.

‍

*Từ chối trách nhiệm: Tóm tắt này chỉ dành cho mục đích thông tin. Nội dung của nó không cấu thành tư vấn pháp lý và không nên được coi là lời khuyên chi tiết trong các trường hợp riêng lẻ. Để được tư vấn pháp lý, vui lòng liên hệ với Đối tác của chúng tôi.