Giới Hạn Thời Gian Lưu Trữ Và Hậu Quả Pháp Lý Khi Vi Phạm Trách Nhiệm Bảo Vệ Dữ Liệu Cá Nhân

Vania Van

Sự phát triển của công nghệ tạo đã ra một không gian, một xã hội số không biên giới, giúp việc kết nối trở nên dễ dàng hơn.  Xã hội số có thể bắt đầu từ bất kỳ đâu trên thế giới.  Dữ liệu cá nhân là một phần quan trọng không thể thiếu trong xã hội số, thế giới số.  Dữ  liệu cá nhân thường bao gồm những nội dung gắn với mục đích xác lập, thỏa thuận của các bên hoặc theo quy định.   Công tác lưu trữ dữ liệu cá nhân vì thế cũng là một phần rất quan trọng, là trách nhiệm mà nhà quản lý, các đơn vị tạo ra xã hội số phải thực hiện.  Đây cũng được xem là sự đảm bảo tính hợp lý về không gian và thời gian của dữ liệu cá nhân.  Giới hạn thời gian lưu trữ dữ liệu cá nhân được quy định ra sao?  Và  khi vi phạm trách nhiệm bảo vệ dữ liệu cá nhân hậu quả pháp lý sẽ như thế nào? 

 

Dữ liệu cá nhân nào phải lưu trữ tại Việt Nam theo quy định của pháp luật?

Các doanh nghiệp nước ngoài phải lưu trữ dữ liệu tại Việt Nam.  Đó là quy định nằm trong Nghị định 53 được chính phủ ban hành ngày 17/08/2022 và có hiệu lực kể từ ngày 01/10/2022.  Nghị định bắt buộc các công ty nước ngoài trong các lĩnh vực viễn thông, Internet, mạng xã hội phải lưu trữ dữ liệu người dùng và đặt văn phòng đại diện tại Việt Nam. Việc lưu trữ dữ liệu trong nước giúp các doanh nghiệp tiết kiệm chi phí kinh doanh, tăng mức tốc độ truy cập và nâng cao chất lượng dịch vụ… Và theo hướng dẫn tại Điều 26 Nghị định 53/2022/NĐ-CP,  doanh nghiệp nước ngoài có hoạt động kinh doanh tại Việt Nam thuộc một trong những lĩnh vực sau: Dịch vụ viễn thông, lưu trữ, chia sẻ dữ liệu trên không gian mạng, cung cấp tên miền quốc gia hoặc quốc tế cho người sử dụng dịch vụ tại Việt Nam, thương mại điện tử, thanh toán trực tuyến, trung gian thanh toán, dịch vụ kết nối vận chuyển qua không gian mạng, mạng xã hội và truyền thông xã hội, trò chơi điện tử trên mạng, dịch vụ cung cấp, quản lý hoặc vận hành thông tin khác trên không gian mạng dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến phải lưu trữ dữ liệu quy định.  Có thể chia dữ liệu phải lưu trữ thành 3 nhóm dữ liệu chính:

– Dữ liệu về thông tin cá nhâncủa người sử dụng dịch vụ tại Việt Nam. Đây là một trong những loại dữ liệu được đánh giá quan trọng hàng đầu đối với quyền riêng tư cũng như sự an toàn khi sử dụng dịch vụ internet của người dùng hiện nay Dữ liệu về thông tin được thể hiện dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định danh tính một cá nhân.  

Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra. Là quá trình tham gia, hoạt động, sử dụng không gian mạng của người sử dụng dịch vụ và các thông tin về thiết bị, dịch vụ mạng sử dụng để kết nối với không gian mạng trên lãnh thổ Việt Nam. Trong đó có nhiều loại thông tin như: Tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu. 

Dữ liệu về mối quan hệcủa người sử dụng dịch vụ tại Việt NamĐây là loại dữ liệu phản ánh, xác định mối quan hệ của người sử dụng dịch vụ với người khác trên không gian mạng như bạn bè, hội nhóm họ thường xuyên kết nối hoặc tương tác. 

 

Thời gian lưu trữ dữ liệu cá nhân có giới hạn không?  

Tại khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP, trong nguyên tắc bảo vệ dữ liệu cá nhân có quy định: “Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác”.  Đây được xem là quy định đề cập rõ ràng nhất cho giới hạn thời gian lưu trữ của dữ liệu cá nhân.  Trước đó, Bộ luật Lao động 2019 và các văn bản hướng dẫn thi hành chưa có bất kỳ quy định điều chỉnh về thời hạn lưu trữ dữ liệu cá nhân của người lao động trong quan hệ lao động.  Hay tại Khoản 1 Điều 27 Nghị định 53/2022/NĐ-CP cũng chỉ quy định thời gian lưu trữ dữ liệu bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu cho đến khi kết thúc yêu cầu. Thời gian lưu trữ dữ liệu tối thiểu là 24 tháng.   

Sẽ tùy vào mục đích xử lý dữ liệu mà có khoảng thời gian lưu trữ dữ liệu cá nhân phù hợp.  Tuy nhiên, hiện nay, pháp luật vẫn chưa có quy định rõ ràng như thế nào là “ khoảng thời gian phù hợp với mục đích xử lý dữ liệu”.  Có thể kể các mục đích lưu trữ dữ liệu thông thường sau:   

 

Phục vụ cho việc giải quyết tranh chấp, khiếu nại sau khi quan hệ lao động bị chấm dứt.  Trên thực tế, trong trường hợp phát sinh những tranh chấp lao động sau khi các bên đã chấm dứt quan hệ lao động.  Dữ liệu cá nhân của người lao động được người sử dụng lao động thu thập và lưu trữ có thể trở thành chứng cứ thiết yếu chứng minh trong tranh chấp.  Theo đó, người sử dụng lao động cần lưu trữ dữ liệu cá nhân của người lao động tương ứng với thời gian giải quyết tranh chấp hoặc thời hiệu khởi kiện theo quy định của pháp luật để ứng phó và bảo vệ quyền lợi của người sử dụng lao động trong trường hợp có tranh chấp.     

 

Phục vụ các nghĩa vụ với cơ quan nhà nước có liên quan đến dữ liệu cá nhân của người lao động.  Tương tự việc trường hợp giải quyết tranh chấp, khiếu nại thì việc lưu trữ dữ liệu cá nhân của người lao động sau khi chấm dứt hợp đồng lao động để phục vụ cho việc thực hiện các nghĩa vụ với cơ quan nhà nước. Ví dụ như trong quan hệ về thuế, một số trường hợp khi thanh tra, kiểm tra, cơ quan thuế yêu cầu doanh nghiệp cung cấp tài liệu, thông tin kê khai thuế của 10 năm liền trước đó.  Đối với yêu cầu này, trong bối cảnh Nghị định 13 có hiệu lực, người sử dụng lao động có thể lưu giữ dữ liệu cá nhân của người lao động theo thời hạn và mục đích tương ứng. 

Như vậy thời gian lưu trữ dữ liệu cá nhân giới hạn bởi mục đích xử lý dữ liệu của doanh nghiệp. Doanh nghiệp cũng được quyền quyết định hình thức lưu trữ dữ liệu theo điều kiện riêng. 

 

Chế tài xử lý đối với hành vi vi phạm trách nhiệm bảo vệ dữ liệu cá nhân 

Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.  Việc xử lý phải đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.  Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.  Vì vậy, nghĩa vụ của doanh nghiệp, tổ chức là bảo đảm tuân thủ quy định về giới hạn thu thập dữ liệu cá nhân của người lao động.  Dữ liệu cá nhân phải được lưu giữ trong giới hạn thời gian bởi mục đích xử lý dữ liệu.  Điều 4 Nghị định 13/2023/NĐ-CP quy định: Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.  Đối với hành vi tiếp tục lưu trữ dữ liệu cá nhân khi không còn phù hợp với mục đích thu thập, khi chủ thể dữ liệu đã rút lại sự đồng ý hoặc yêu cầu xóa, hủy dữ liệu cá nhân, người sử dụng lao động với tư cách là Bên kiểm soát và xử lý dữ liệu cá nhân thì theo Nghị định 13/2023/NĐ-CP sẽ có thể phải đối mặt với các chế tài  xử lý kỷ luật, xử phạt vi phạm hành chính và cả xử lý hình sự tùy vào mức độ vi phạm.  

Trong đó, xử lý kỷ luật là kỷ luật hành chính chỉ dành cho cá nhân vi phạm.  Xử phạt vi phạm hành chính dành cho đối tượng có thể là bất kỳ cơ quan, tổ chức, cá nhân có hành vi vi phạm.  Pháp luật hiện hành về xử phạt vi phạm hành chính liên quan đến xử lý dữ liệu cá nhân được quy định trong nhiều văn bản khác nhau, không tập trung. Và việc xử phạt hành chính chỉ mới điều chỉnh đối với một số hành vi trong số rất nhiều hành vi liên quan đến xử lý dữ liệu cá nhân.  Chẳng hạn theo Điều 84 và Điều 85 Nghị định 15/2020/NĐ-CP xử phạt vi phạm hành chính lĩnh vực bưu chính, viễn thông, một số hành vi liên quan đến xử lý dữ liệu cá nhân sẽ bị xử phạt hành chính.  Xử lý hình sự là chế tài có tính răn đe nghiêm khắc và cao nhất.  Tuy nhiên việc áp dụng chế tài hình sự còn phụ thuộc vào rất nhiều yếu tố, rất khó xác định.  Định nghĩa Dữ liệu cá nhân rõ ràng nhất từ khi có Nghị định 13/2023/NĐ-CP. Trước đó, các tội phạm liên quan đến đối tượng tác động thông tin cá nhân là các tội phạm mà chủ thể chịu trách nhiệm hình sự là cá nhân chứ không phải là pháp nhân hay cơ quan.  Những sai phạm liên quan đến buôn bán dữ liệu cá nhân trước đó được ban hành đều được xem xét, xử lý theo Điều 159 và Điều 288 Bộ luật Hình sự 2015.  Như vậy, mặc dù hiện nay không có quy định trực tiếp về trách nhiệm hình sự đối với hành vi vi phạm liên quan đến dữ liệu cá nhân, nhưng cá nhân có thể bị xử lý hình sự theo một trong các tội phạm tương ứng tùy vào hành vi vi phạm cụ thể trong hoạt động xử lý dữ liệu cá nhân nói chung và tác động đến thông tin cá nhân nói riêng, cũng như hậu quả của hành vi xâm phạm thông tin cá nhân gây ra. 

Chấp hành nghiêm chỉnh những quy định về lưu trữ dữ liệu cá nhân là nghĩa vụ của các doanh nghiệp nước ngoài tại Việt Nam.  Điều này cũng giúp cho việc quản lý và vận hành dữ liệu được thực hiện dễ dàng, góp phần hạn chế các hành vi vi phạm. 

 

Cùng tìm hiểu sâu hơn ở những bài viết tiếp theo.  Đừng quên theo dõi và cập nhập thêm nhiều thông tin hữu ích khác trên trang web của chúng tôi.  Hãy liên hệ với chúng tôi để được hướng dẫn chi tiết hơn:  info@letranlaw.com