Các Thủ Tục Cần Thực Hiện Để Bảo Vệ Dữ Liệu Cá Nhân Theo Quy Định
Khi khối lượng thông tin cá nhân của mỗi người xuất hiện trên không gian số ngày một nhiều hơn thì sự sai sót, lộ thông tin cá nhân là điều khó tránh khỏi. Hậu quả của việc lộ thông tin để lại cũng rất khó lường. Do vậy, việc bảo vệ dữ liệu cá nhân đã trở thành nhu cầu tất yếu của nền kinh tế số toàn cầu. Tại Việt Nam, sau luật An ninh mạng đề cập đến vấn đề bảo vệ thông tin cá nhân trên không gian mạng, thì Nghị định 13/2023/NĐ-CP là văn bản pháp lý dành riêng nhằm bảo vệ dữ liệu cá nhân một cách toàn diện và chính thức. Với Nghị định này, người dân có nhiều quyền lợi hơn trong việc quản lý dữ liệu cá nhân trên lãnh thổ Việt Nam như quyền được biết, được cung cấp thông tin về hoạt động liên quan xử lý dữ liệu, quyền khiếu nại, quyền yêu cầu bồi thường thiệt hại… Để dữ liệu cá nhân được pháp luật bảo vệ, các cá nhân, tổ chức, doanh nghiệp cần phải thực hiện các thủ hành chính bắt buộc, liên quan đến mục đích xử lý dữ liệu cá nhân theo các quy định của Nghị định Nghị định 13/2023/NĐ-CP.
Các loại dữ liệu cá nhân được pháp luật bảo vệ
Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Chủ thể dữ liệu cá nhân là cá nhân được dữ liệu phản ánh. Dữ liệu cá nhân được phân thành hai loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Theo Khoản 3 Điều 2, dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác nếu có, ngày, tháng, năm sinh, năm chết hoặc mất tích, giới tính, nơi sinh, nơi đăng ký khai sinh, nơi thường trú, tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, quốc tịch, hình ảnh, số điện thoại, số chứng minh nhân dân, số định danh cá nhân, hộ chiếu, giấy phép lái xe, biển số xe, mã số thuế, số bảo hiểm xã hội, thẻ bảo hiểm y tế…
Giải thích dữ liệu nhạy cảm, tại Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP định nghĩa: Dữ liệu nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Chẳng hạn như: quan điểm chính trị, tôn giáo, tình trạng sức khỏe, đời tư, nguồn gốc chủng tộc, dân tộc, đặc điểm di truyền, đời sống, xu hướng tình dục, dữ liệu về tội phạm, vị trí, thông tin khách hàng của tổ chức tín dụng…
Những hoạt động liên quan đến dữ liệu cá nhân
Liên quan đến dữ liệu cá nhân có nhiều hoạt động nhưng chính yếu là các hoạt động:
Xử lý dữ liệu cá nhân
Theo Khoản 7 Điều 2 Nghị định13/2023/NĐ-CP, xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Xử lý dữ liệu cá nhân tự động là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác. Việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể dữ liệu ngoại trừ một số trường hợp được pháp luật quy định như xử lý dữ liệu cá nhân vì mục đích hoặc yêu cầu của cơ quan nhà nước có thẩm quyền, trong trường hợp khẩn cấp, phục vụ cho hoạt động của cơ quan nhà nước được quy định theo pháp luật. Tùy vào mục đích xử lý dữ liệu, dữ liệu sẽ có thời gian lưu trữ phù hợp.
Đánh giá tác động xử lý dữ liệu cá nhân
Tại Điều 24, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được yêu cầu lập và lưu giữ hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân và luôn có sẵn để phục vụ hoạt động kiểm tra, đáng giá của Bộ Công an. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Bất kỳ cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi phải được báo cáo cho Bộ Công an.
Chuyển dữ liệu cá nhân ra nước ngoài
Là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm: tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý; xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý. Theo Điều 25 Nghị định13/2023/NĐ-CP, Bên chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và gửi Bộ Công an đúng quy định, cũng như luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Các thủ tục cần thực hiện để dữ liệu cá nhân được bảo vệ theo quy định của pháp luật
Song song vói các hoạt động liên quan đến dữ liệu cá nhân là các thủ tục cần thiết nhằm thiết lập sự an toàn cho dữ liệu. Có 5 thủ tục chính liên quan tới bảo vệ dữ liệu cá nhân:
Thủ tục thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Được thực hiện khi phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. Quy trình thực hiện:
Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải mẫu số 03 ban hành kèm theo Nghị định 13/2023/NĐ-CP khi phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân. Trường hợp chưa có Cổng thông tin Quốc gia về bảo vệ dữ liệu cá nhân thì liên hệ trực tiếp Cục A05.
Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 03 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 3: Tổ chức, cá nhân gửi thông báo thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi văn bản đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an phản hồi thông tin về kết quả thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
Thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Quy trình thực hiện:
Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải mẫu số 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 3: Tổ chức, cá nhân gửi thông báo thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thủ tục này được thực hiện trong trường hợp có sự cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công. Quy trình thực hiện:
Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải mẫu số 05 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 05 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 3: Tổ chức, cá nhân gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
Thủ tục lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Quy trình tự thực hiện:
Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải mẫu số 06 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 06 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Nội dung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được quy định tại khoản 2 Điều 25 Nghị định số 13/2023/NĐ-CP.
Bước 3: Tổ chức, cá nhân gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ra nước ngoài.
Thủ tục thay đổi nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Thủ tục này phải được Bên chuyển dữ liệu cá nhân ra nước ngoài thực hiện khi có sự thay đổi, cập nhật, bổ sung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Quy trình thực hiện:
Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải mẫu số 05 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 05 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 3: Tổ chức, cá nhân gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả thay đổi nội dung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
Nhận thức được tầm quan trọng của việc bảo vệ dữ liệu cá nhân, nghiên cứu kỹ quy định của pháp luật về quy trình, cách thức thực hiện các biện pháp bảo vệ dữ liệu cá nhân là những vấn đề nền tảng mà các doanh nghiệp cần lưu ý.
Cùng tìm hiểu sâu hơn ở những bài viết tiếp theo. Đừng quên theo dõi và cập nhập thêm nhiều thông tin hữu ích khác trên trang web của chúng tôi. Hãy liên hệ với chúng tôi để được hướng dẫn chi tiết hơn: info@letranlaw.com