Có hiệu lực từ ngày 1 tháng 7 năm 2023, Nghị định được chờ đợi từ lâu về bảo vệ dữ liệu cá nhân (”DPDP”) Số 13/2023/NĐ-CP ngày 17/4/2023 quy định rõ ràng và nghiêm ngặt về bảo vệ dữ liệu cá nhân sẽ ảnh hưởng nặng nề đến thực tiễn hiện hành của các cá nhân/tổ chức trong và ngoài nước liên quan đến việc xử lý dữ liệu cá nhân. Việc ban hành DPDP sau một số cuộc thảo luận công khai sau khi giới thiệu dự thảo vào tháng 2 năm 2021.

1. Định nghĩa rõ ràng về dữ liệu cá nhân

Theo DPDP, dữ liệu cá nhân được định nghĩa là thông tin dưới dạng ký hiệu, chữ cái, số, hình ảnh, âm thanh hoặc ở dạng tương tự trong môi trường điện tử được liên kết với một người cụ thể hoặc giúp xác định một người cụ thể.

Hơn nữa, DPDP phân biệt dữ liệu cá nhân giữa (i) dữ liệu cá nhân cơ bản và (ii) dữ liệu cá nhân nhạy cảm, trong đó dữ liệu cá nhân cơ bản bao gồm thông tin cơ bản của một người, chẳng hạn như tên, ngày tháng, nơi sinh, giới tính, quốc tịch, địa chỉ cư trú, v.v., trong khi dữ liệu cá nhân nhạy cảm liên quan đến dữ liệu liên quan đến quyền riêng tư của một cá nhân, khi bị vi phạm, sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân đó. Một số ví dụ về dữ liệu cá nhân nhạy cảm bao gồm quan điểm chính trị và tôn giáo, tình trạng sức khỏe, tiền án tiền sự, vị trí thực tế (thông qua GPS), thông tin về chủng tộc hoặc nguồn gốc dân tộc, v.v.

2. Giới thiệu các khái niệm mới

Lần đầu tiên, Nghị định mới giới thiệu các khái niệm 'người kiểm soát dữ liệu', 'người xử lý dữ liệu' và 'người kiểm soát dữ liệu' và 'người xử lý dữ liệu'.

Theo DPDP

• 'bộ điều khiển dữ liệulà (các) tổ chức hoặc (các) cá nhân xác định mục đích và phương tiện xử lý dữ liệu cá nhân;

• 'bộ xử lý dữ liệu'là (các) tổ chức hoặc (các) cá nhân xử lý dữ liệu cá nhân thay mặt cho người kiểm soát dữ liệu thông qua hợp đồng hoặc thỏa thuận với người kiểm soát dữ liệu; và

• 'bộ điều khiển dữ liệu với bộ xử lý'là sự kết hợp của 'người kiểm soát dữ liệu' và 'người xử lý dữ liệu'.

Đối với dữ liệu cá nhân nhạy cảm, DPDP yêu cầu một “bộ phận bảo vệ dữ liệu (DPD)” nội bộ và một “nhân viên bảo vệ dữ liệu (DPO)” có liên quan chịu trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm. Tuy nhiên, chính phủ vẫn chưa cung cấp hướng dẫn rõ ràng về trình độ cần thiết của DPD và DPO trong DPDP.

3. Quyền cơ bản của chủ thể dữ liệu

Nghị định quy định rõ các quyền của chủ thể dữ liệu, là cá nhân mà dữ liệu liên quan đến. Trong số đó, dưới đây là những điều đáng chú ý nhất:

• Quyền được thông báo. Chủ thể dữ liệu phải được thông báo hoặc thông báo về, trong số những mục đích khác, mục đích thu thập, loại dữ liệu được thu thập, tổ chức và cá nhân có quyền truy cập vào dữ liệu, v.v.

• Quyền đồng ý và rút lại. Cần phải có được sự đồng ý rõ ràng của chủ thể dữ liệu trước khi xử lý dữ liệu cá nhân. Sự đồng ý phải được thực hiện rõ ràng (không có sự đồng ý mặc định im lặng), ở dạng in hoặc có thể sao chép, và có thể là một phần hoặc có điều kiện. Trong trường hợp tranh chấp, người kiểm soát dữ liệu chịu gánh nặng chứng minh. Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu rút lại sự đồng ý của mình. Trong trường hợp như vậy, dữ liệu cá nhân có liên quan phải được xóa trong vòng 72 giờ.

• Quyền yêu cầu bồi thường thiệt hại. Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại nếu có vi phạm liên quan đến dữ liệu cá nhân của họ. Ngoài ra, việc thu thập, chuyển giao hoặc bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu là bất hợp pháp.

4. Quy định cơ bản trong xử lý dữ liệu

Ngoài các yêu cầu liên quan đến giải pháp công nghệ, DPDP yêu cầu người kiểm soát dữ liệu và người xử lý dữ liệu tuân theo các quy tắc nhất định khi xử lý dữ liệu cá nhân, bao gồm:

• Nhận sự đồng ý từ và thông báo cho chủ thể dữ liệu trước khi xử lý dữ liệu cá nhân của họ.

• Chuẩn bị và xác nhận các quy tắc nội bộ về bảo vệ dữ liệu cá nhân phù hợp với yêu cầu của DPDP.

• Chuẩn bị, đạt được và xác nhận 'đánh giá tác động xử lý dữ liệu' khi xử lý dữ liệu cá nhân. Đánh giá tác động xử lý dữ liệu phải được cung cấp mọi lúc để Bộ Công an kiểm toán và đánh giá (”MPS”), và một (1) bản gốc của báo cáo đánh giá phải được nộp cho Sở Cảnh sát An ninh mạng và Phòng chống tội phạm công nghệ cao (”A05”) trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu cá nhân. A05 sẽ xem xét báo cáo đánh giá và có thể yêu cầu người kiểm soát/ kiểm soát viên kiêm bên xử lý hoàn thành báo cáo đánh giá nếu báo cáo đó không đầy đủ và không tuân thủ DPDP. Báo cáo đánh giá phải được cập nhật và nộp lại cho A05 khi có thay đổi đáng kể đối với báo cáo đánh giá đã nộp.

• Thông báo cho A05 về bất kỳ vi phạm dữ liệu nào hoặc vi phạm khác của DPDP trong vòng 72 giờ kể từ khi vi phạm hoặc vi phạm đó.

5. Chuyển dữ liệu cá nhân ra khỏi Việt Nam

Mọi chuyển giao thông qua biên giới dữ liệu cá nhân của công dân Việt Nam phải đi kèm với “đánh giá tác động chuyển giao”, bao gồm các thông tin sau:

• thông tin và chi tiết liên lạc đầy đủ của người xuất và nhập khẩu dữ liệu và các bên khác liên quan (tổ chức và/hoặc cá nhân chịu trách nhiệm chuyển giao)

• mô tả và giải thích các mục tiêu của việc xử lý dữ liệu cá nhân sau khi chuyển giao;

• mô tả và làm rõ về loại dữ liệu cá nhân được chuyển giao;

• mô tả và giải thích về việc tuân thủ DPDP, nêu chi tiết các biện pháp được áp dụng để bảo vệ dữ liệu cá nhân;

• đánh giá tác động của quá trình xử lý, cũng như các hậu quả và/hoặc thiệt hại tiềm ẩn và không mong muốn, và các biện pháp để giảm thiểu hoặc loại bỏ các hậu quả và/hoặc thiệt hại đó;

• sự đồng ý của chủ thể dữ liệu; và

• các tài liệu liên quan đến trách nhiệm ràng buộc của việc xử lý dữ liệu cá nhân giữa bên chuyển nhượng và bên được chuyển nhượng.

Cần lưu ý rằng đánh giá tác động chuyển giao phải luôn sẵn sàng để kiểm toán và đánh giá bởi MPS và một (1) bản gốc của đánh giá phải được gửi đến A05 trong vòng 60 ngày kể từ ngày xử lý dữ liệu cá nhân. A05 sẽ xem xét hồ sơ và có thể yêu cầu bên chuyển nhượng hoàn thành hồ sơ nếu hồ sơ chưa đầy đủ và không tuân thủ DPDP. Bên chuyển nhượng phải cập nhật và nộp lại hồ sơ cho A05 nếu có sự thay đổi đáng kể đối với hồ sơ đã nộp trong thời hạn 10 ngày kể từ ngày yêu cầu A05. Hơn nữa, sau khi hoàn thành việc chuyển nhượng thành công, bên chuyển nhượng phải báo cáo bằng văn bản cho A05 thông tin về việc chuyển nhượng, cũng như chi tiết liên lạc của tổ chức và cá nhân có trách nhiệm.

Bộ Công an có quyền:

• kiểm toán việc chuyển dữ liệu xuyên biên giới mỗi năm một lần; và

• Ngừng việc chuyển dữ liệu xuyên biên giới nếu (i) dữ liệu được sử dụng cho các hoạt động vi phạm lợi ích và an ninh quốc gia của Việt Nam; (ii) bên chuyển nhượng không hoàn thành hoặc cập nhật “hồ sơ đánh giá tác động cho việc chuyển giao dữ liệu cá nhân xuyên biên giới”; hoặc (iii) dữ liệu cá nhân của công dân Việt Nam bị tiết lộ hoặc bị mất.

6. Lệnh trừng phạt

Việc không tuân thủ DPDP có thể dẫn đến việc đình chỉ một số hoạt động nhất định, chẳng hạn như xử lý hoặc chuyển dữ liệu ra nước ngoài, và có thể dẫn đến các hình phạt hành chính, mặc dù các quy định cụ thể chưa được thiết lập. Ngoài ra, các biện pháp trừng phạt hình sự có thể được áp dụng đối với các hành vi xâm phạm quyền riêng tư cá nhân.

Hiện tại, không rõ các yêu cầu của DPDP sẽ được thực thi nghiêm ngặt như thế nào trong giai đoạn chuyển tiếp ban đầu và các thực thể sẽ quản lý các nghĩa vụ đòi hỏi được nêu trong DPDP như thế nào trong những tháng tới. Trong khi đó, các doanh nghiệp nên thận trọng và bắt đầu phát triển các kế hoạch tuân thủ của họ.

Để đọc và tải xuống toàn bộ bài viết, vui lòng tìm tệp PDF đính kèm bên dưới.