Những Vấn Đề Thực Tiễn & Hướng Dẫn Của Bộ Công An Trong Vận Dụng Nghị Định 13 Về Bảo Vệ Dữ Liệu Cá Nhân
Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng internet vào bậc cao với gần 80% người sử dụng internet trên tổng dân số. Chính vì thế, an toàn dữ liệu cá nhân là vấn đề, yêu cầu bức thiết, liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp 4.0, chính phủ điện tử, chính phủ số, kinh tế số, công nghệ thông tin… Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ra đời được coi là công cụ hữu hiệu giải quyết vấn đề nêu trên. Nghị định được xây dựng theo đúng tinh thần của Hiến pháp, phù hợp với thực tiễn phát triển kinh tế xã hội và đảm bảo sự đồng bộ, thống nhất với toàn bộ nội dung các văn bản pháp luật hiện có, đồng thời cũng cho thấy sự hài hòa với thông lệ, quy định quốc tế, giúp bảo vệ an toàn dữ liệu cá nhân. Dưới đây là một số vấn đề thực tiễn và hướng dẫn của Bộ Công an đối với các cá nhân, cơ quan, tổ chức, doanh nghiệp trong việc vận dụng, triển khai Nghị định 13/202/3NĐ-CP.
1.Dữ liệu cá nhân được thu thập và xử lý trước ngày Nghị định 13/202/3NĐ-CP có hiệu lực có phải chịu sự điều chỉnh của Nghị định 13/202/3NĐ-CP không?
Các dữ liệu cá nhân đã được thu thập trước ngày 01/07/203, ngày Nghị định 13/202/3NĐ-CP có hiệu lực vẫn thuộc phạm vi điều chỉnh của Nghị định. Trong trường hợp này, tổ chức, cá nhân có liên quan không cần xin phép lại sự đồng ý của chủ thể dữ liệu cá nhân đối với các dữ liệu đã được chủ thể dữ liệu cung cấp. Tuy nhiên, các nghĩa vụ khác, tổ chức, cá nhân thực hiện thu thập dữ liệu cá nhân vẫn thực hiện, tuân thủ theo quy định của Nghị định 13/202/3NĐ-CP.
2. Các thủ tục báo cáo đánh giá tác động xử lý dữ liệu cá nhân và báo cáo tác động khi chuyển dữ liệu cá nhân ra nước ngoài có thể thực hiện cùng lúc, trong cùng một báo cáo với tần suất một năm một lần theo trường dữ liệu, loại tài liệu xử lý được không? Có phải thực hiện báo cáo kết quả chuyển dữ liệu ra nước ngoài qua hệ thống tự động không?
Có 05 thủ tục hành chính cần thực hiện liên quan tới bảo vệ dữ liệu cá nhân, bao gồm: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân. Lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Thông báo thay đổi nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Do đó, thứ nhất, về thực hiện thủ tục hành chính. Hồ sơ báo cáo đánh giá tác động xử lý dữ liệu cá nhân và báo cáo tác động khi chuyển dữ liệu cá nhân ra nước ngoài là hai thủ tục thực hiện khác nhau, với hai biểu mẫu và hồ sơ khác nhau, chính vì vậy không thể thực hiện trong cùng một mẫu báo cáo. Thứ hai, về tần suất gửi báo cáo. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện 01 lần đối với 01 trường hợp, loại hình gửi dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, cho tới khi có sự thay đổi. Trường hợp có sự thay đổi loại hình, hợp đồng thì tổ chức, cá nhân cập nhật, bổ sung theo mẫu hồ sơ. Không cần thực hiện việc khai báo, đánh giá tác động nếu như không có sự thay đổi so với hồ sơ trước. Thứ ba, về báo cáo kết quả chuyển dữ liệu ra nước ngoài thông qua hệ thống tự động. Nghị định 13/202/3NĐ-CP chỉ quy định việc chuyển dữ liệu cá nhân ra nước ngoài phải thực hiện hồ sơ đánh giá tác động. Nghị định không quy định các hình thức chuyển dữ liệu cá nhân ra nước ngoài. Do vậy việc chuyển dữ liệu ca nhân tự động hay thủ công không ảnh hưởng tới việc xây dựng hồ sơ công ty.
3. Theo Nghị định 13/202/3NĐ-CP quy định, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải gửi Bộ Công an 01 bản chính trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Vậy những dữ liệu đã được xử lý hoặc đã chuyển ra nước ngoài trước ngày Nghị định có hiệu lực thì có cần thiết báo cáo Bộ Công an không? Thời hạn quy định như thế nào?
Việc lập hồ sơ được tiến hành kể từ khi Nghị định 13/202/3NĐ-CP có hiệu lực, tức là trong thời gian 60 ngày kể từ ngày Nghị định 13/202/3NĐ-CP có hiệu lực. Các tổ chức, cá nhân đã chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài khi Nghị định 13/202/3NĐ-CP có hiệu lực phục vụ hoạt động kinh doanh vẫn tiếp tục thực hiện báo cáo.
4. Theo Nghị định 13/202/3NĐ-CP quy định, Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân phải thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác. Xin làm rõ khung thời gian 72 giờ?
Khung giờ theo Nghị định 13/2023 NĐ-CP mà Bên kiểm soát và xử lý dữ liệu cá nhân phải tuân thủ là 72 giờ làm việc hay giờ bình thường, Nghị định đã nêu rõ thời gian 72 giờ sau khi nhận được yêu cầu, tức là 72 giờ tuần tự, không phải 72 giờ làm việc.
5. Nếu giữa chủ thể dữ liệu và bên kiểm soát dữ liệu có quan hệ hợp đồng, theo đó chủ dữ liệu có nghĩa vụ cung cấp dữ liệu cho bên kiểm soát để có thể thực hiện hợp đồng thì quyền chỉnh sửa, yêu cầu chỉnh sửa, quyền xóa dữ liệu có thể bị hạn chế hay không?
Khi ký kết hợp đồng dân sự theo quy định của Bộ luật Tố tụng dân sự, các bên có liên quan tới đã rõ quyền và nghĩa vụ, trách nhiệm có liên quan. Khi đó, các thông tin mà chủ thể dữ liệu cung cấp cho bên kiểm soát và xử lý dữ liệu đều nhằm mục đích thực hiện các quyền và nghĩa vụ trong hợp đồng. Khách hàng có quyền chỉnh sửa, yêu cầu chỉnh sửa dữ liệu của mình, nhất là trong trường hợp một số thông tin khách hàng thay đổi, ví dụ như cấp căn cước công dân. Tuy nhiên, quyền chỉnh sửa, yêu cầu chỉnh sửa, quyền xóa dữ liệu không thể bị hạn chế về mặt pháp luật. Khi yêu cầu chỉnh sửa vượt qua giới hạn nghĩa vụ của hợp đồng, bên kiểm soát và xử lý dữ liệu có thể thông báo cho khách hàng biết. Khi đó sẽ xảy ra 03 trường hợp theo pháp luật dân sự: Một là kết thúc hợp đồng. Hai là bên kiểm soát và xử lý dữ liệu đồng ý cho chỉnh sửa. Ba là chủ thể dữ liệu rút lại yêu cầu chỉnh sửa.
6. Bên kiểm soát dữ liệu có được phép đánh giá độ tín nhiệm của chủ thể dữ liệu dựa trên dữ liệu phát sinh hợp pháp trong quá trình cung cấp dữ liệu cho chủ thể dữ liệu và chia sẻ đánh giá này cho các tổ chức khác khi có sự đồng ý hoàn toàn của chủ thể dữ liệu?
Bộ Công an đã có đánh giá về việc các tổ chức, cá nhân thiết lập các hệ thống kỹ thuật chuyên nhằm mục đích thu thập dữ liệu cá nhân để khinh doanh, buôn bán kiếm lời. Nếu dữ liệu cá nhân được sử dụng trong hoạt động này được sự đồng ý của chủ thể dữ liệu, phù hợp với phạm vi cung cấp dịch vụ thì đúng quy định của pháp luật. Tuy nhiên, hầu hết các hệ thống này đều tự động thu thập dữ liệu trên không gian mạng hoặc từ nhiều nguồn khác nhau, từ đó đưa ra đánh giá, nhận định về một cá nhân cụ thể, sau đó bán lại cho các bên có liên quan để kiếm lời. Đây là hành vi trái với quy định tại Điều 3 của Nghị định 13/2023 NĐ-CP. Như vậy, mọi hành vi mua bán, chuyền giao dữ liệu cá nhân, tức là phát sinh lợi ích đều vi phạm quy định của pháp luật, trừ trường hợp luật có quy định khác. Khoản 2 Điều 22 Nghị định đã quy định rõ việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập chuyển giao, mua bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Thực tế, rất khó có khả năng chủ thể dữ liệu đồng ý cho phép bên kiểm soát và xử lý dữ liệu xử lý dữ liệu cá nhân của mình để đánh giá độ tín nhiệm của mình, cũng như đồng ý cho cung cấp cho bên thứ 3 để bên thứ 3 xem xét đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân.
7. Như thế nào được coi là hoạt động mua bán dữ liệu cá nhân? Việc mua bán dữ liệu cá nhân có bị cấm hoàn toàn không? Nếu chủ thể dữ liệu cá nhân đồng ý thì có được phép mua bán không?
Hoạt động mua bán dữ liệu cá nhân được hiểu theo nghĩa mua bán tài sản trong quan hệ dân sự, hướng tới mục đích chính là sinh lợi. Mục đích chính của mua bán không nhất thiết là có mục đích kinh doanh, mà có thể nhằm các mục đích khác như tiêu dùng, tặng, cho… Chủ thể trong quan hệ mua bán là bất kỳ người nào có nhu cầu và có năng lực hành vi theo quy định của pháp luật. Mua bán dữ liệu cá nhân không bị cấm hoàn toàn, nếu như luật có quy định cụ thể trường hợp được mua bán. Sự đồng ý của chủ thể dữ liệu cá nhân không phải là căn cứ để xác định được phép mua bán. Trong trường hợp này, chỉ có pháp luật mới quy định các trường hợp được phép mua bán.
8. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân có thể thực hiện bằng tiếng Anh được không?
Theo quy định thủ tục hành chính, các biểu mẫu hồ sơ đều được thực hiện bằng tiếng Việt. Các cá nhân, tổ chức không thể thực hiện hồ sơ bằng tiếng Anh, cũng không thể dịch sang tiếng Việt, mà cần khai trực tiếp vào biểu mẫu hồ sơ trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải biểu mẫu và nộp trực tiếp tại Cục An ninh mạng và phòng chống tội phậm sử dụng công nghệ cao.
9. Có phải “Hoạt động xử lý dữ liệu cá nhân tại Việt Nam” được hiểu chỉ bao gồm việc thực hiện hoạt động xử lý dữ liệu trên lãnh thổ Việt Nam? Trường hợp tổ chức, doanh nghiệp nước ngoài thu thập dữ liệu cá nhân của công dân Việt Nam tại Việt Nam nhưng ngay lập tức chuyển ra nước ngoài, mọi hoạt động xử lý dữ liệu đều diễn ra tại nước ngoài, thì có thuộc phạm vi điều chỉnh của Nghị định 13/2023 NĐ-CP hay không?
Tổ chức, doanh nghiệp nước ngoài thu thập dữ liệu của công dân việt Nam, chuyển dữ liệu của công dân Việt Nam ra nước ngoài, tiếp nhận dữ liệu của công dân việt Nam đều thuộc phạm vi điều chỉnh của Nghị định 13/2023 NĐ-CP dù việc xử lý dữ liệu thực hiện trên lãnh thổ việt Nam hay không. Do đó, các tổ chức, doanh nghiệp cần lưu ý tới yếu tố: Xử lý dữ liệu cá nhân của công dân Việt nam, chứ không phải địa điểm xử lý dữ liệu cá nhân.
10. Theo quy định tại Khoản 1 Điều 9 Nghị định 13/2023 NĐ-CP, chủ thể dữ liệu cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình. Vậy mỗi khi xử lý dữ liệu cá nhân, tổ chức xử lý dữ liệu cá nhân có phải thông báo trước cho chủ thể dữ liệu? Có phải xóa dữ liệu khi chủ thể dữ liệu cá nhân yêu cầu? Với chủ thể dữ liệu cũ có thỏa thuận về việc thông báo không?
Theo quy định, việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý cá nhân. Nội dung thông báo là báo cho chủ thể dữ liệu cá nhân biết mục đích xử lý, loại dữ liệu, cách xử lý, thông tin về các tổ chức, cá nhân có liên quan tới mục đích xử lý, hậu quả, thiệt hại có khả năng xảy ra, thời gian bắt đầu và kết thúc xử lý. Chỉ không thực hiện thông báo trong các trường hợp sau: Chủ thể dữ liệu đã biết rõ và đồng ý cho bên Kiểm soát và xử lý dữ liệu tiến hành thu thập dữ liệu, dữ liệu được xử lý bởi cơ quan nhà nước theo quy định của pháp luật.
Chủ thể dữ liệu được yêu cầu xóa dữ liệu trong các trường hợp sau: Dữ liệu không còn cần thiết, không đúng cho mục đích đã đồng ý thu thập dữ liệu, dữ liệu cá nhân phải xóa theo quy định của pháp luật, chủ thể dữ liêu cá nhân rút lại sự đồng ý, phản đối việc xử lý dữ liệu, việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật. Tuy nhiên, trong một số trường hợp theo quy định của nghị định, dù chủ thể dữ liệu có yêu cầu nhưng việc xóa dữ liệu cũng sẽ không được thực hiện khi: Pháp luật quy định không cho phép xóa, dữ liệu cá nhân đã được công khai theo quy định của pháp luật, dữ liệu cá nhân được cơ quan nhà nước có thẩm quyền xử lý mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật, ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sưc khỏe hoặc an toàn của chủ thủ dữ liệu hoặc cá nhân khác, trong tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội…
Với việc thông báo đối với chủ thể dữ liệu cá nhân cũ, Nghị định quy định rõ về thời điểm có hiệu lực từ 01/07/2023, nếu dữ liệu đã thu thập đúng quy định của pháp luật thì không cần xin ý kiến lại nhằm đạt được sự đồng ý của chủ thể dữ liệu. Các nghĩa vụ khác vẫn thực hiện bình thường nếu tổ chức, doanh nghiệp tiếp tục xử lý dữ liệu cá nhân của chủ thể cá nhân đã thu thập.
Nhận thức đầy đủ tầm quan trọng, ý nghĩa của dữ liệu cá nhân, xác định bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của cơ quan nhà nước mà còn là nghĩa vụ của mọi cá nhân, cơ quan, tổ chức. Những vấn đề thực tiễn được Bộ Công an đưa ra và hướng dẫn phần nào giúp người dân hiểu và vận dụng Nghị định 13/2023NĐ-CP.
Cùng tìm hiểu sâu hơn ở những bài viết tiếp theo. Đừng quên theo dõi và cập nhập thêm nhiều thông tin hữu ích khác trên trang web của chúng tôi. Hãy liên hệ với chúng tôi để được hướng dẫn chi tiết hơn: info@letranlaw.com