Bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Từ ngày 1/7/2023, Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực thi hành. Theo đó, cơ quan, tổ chức, cá nhân có liên quan có trách nhiệm bảo vệ dữ liệu cá nhân. Trong bài viết sau đây, Luật Việt An sẽ trình bày các quy định liên quan đến nghĩa vụ bảo vệ dữ liệu cá nhân khi có hành vi vi phạm xảy ra theo quy định của pháp luật Việt Nam hiện hành.

Nội dung chính bài viết

Cơ sở pháp lý

Bộ luật Dân sự 2015.
Nghị định số 13/2023/NĐ-CP về dữ liệu cá nhân.
Nghị định 98/2020/NĐ-CP quy định về xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng.

Thế nào là dữ liệu cá nhân?

Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân là “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân gồm những thông tin nào?

Dữ liệu cá nhân cơ bản bao gồm:

Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
Giới tính;
Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
Quốc tịch;
Hình ảnh của cá nhân;
Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
Tình trạng hôn nhân;
Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

Quan điểm chính trị, quan điểm tôn giáo;
Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Quy định về bảo vệ dữ liệu cá nhân khi có vi phạm

Bên kiểm soát Dữ liệu cá nhân (Controller), Bên Xử lý Dữ liệu cá nhân (Processor), Bên kiểm soát và xử lý Dữ liệu cá nhân (Joint-Controller) và Bên thứ ba là các chủ thể có nghĩa vụ chính tham gia vào mạng lưới dịch chuyển thông tin dữ liệu cá nhân của chủ thể dữ liệu. Các quy định của Nghị định 13/2023/NĐ-CP được xây dựng dựa trên Chính sách GDPR của EU với những quy định nghĩa vụ một cách cơ bản toàn diện.

Trong nội dung bài viết này, các nghĩa vụ tập trung của các chủ thể trên được trình bày tập trung khi thực hiện các biện pháp nhằm xử lý hành vi xâm phạm đã diễn ra. Dữ liệu cá nhân sẽ được bảo vệ bằng cách thông báo vi phạm cho cơ quan có thẩm quyền xử lý. Cụ thể:

Nghĩa vụ thông báo vi phạm

Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.
Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:
Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân
Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật
Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng
Trường hợp khác theo quy định của pháp luật.
Theo quy định của Nghị định số 13/2023/NĐ-CP, việc thông báo xử lý dữ liệu cá nhân phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:

Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan
Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân
Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân
Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

Ngoại lệ không cần thông báo xử lý dữ liệu cá nhân

Theo Nghị định số 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định về thông báo xử lý dữ liệu cá nhân trong các trường hợp sau:

Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định về thông báo xử lý dữ liệu cá nhân trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định về quyền đồng ý của chủ thể dữ liệu tại Điều 9 của Nghị định 13/2023/NĐ-CP.
Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.

Như vậy, trong trường hợp cần xử lý dữ liệu cá nhân để phục vụ cho hoạt động của các cơ quan nhà nước được hiệu quả hoặc trong trường hợp csc chủ thể đã biết rõ dữ liệu cá nhân của mình bị xử lý thì không cần phải thông báo về việc xử lý dữ liệu cá nhân.

Nghĩa vụ xử lý hành vi vi phạm

Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.

Chế tài đối với hành vi vi phạm

Hành vi vi phạm của các chủ thể xâm phạm quyền đối với dữ liệu cá nhân của người khác bị xử phạt hành chính và xử lý hình sự đối với các hành vi cấu thành tội phạm theo quy định của pháp luật. Các căn cứ áp dụng chế tài hành chính hiện nay mới chỉ được quy định rải rác theo các lĩnh vực quản lý của thông tin bị xâm phạm. Chẳng hạn, đối với thông tin thuộc lĩnh vực an ninh, trật tự, an toàn xã hội, quy định xử phạt được đề cập tại Điều 22 và 54 của Nghị định 144/2021/NĐ-CP, hay đối với thông tin trong lĩnh vực công nghệ thông tin, giao dịch điện tử thì Điều 102 Nghị định 15/2020/NĐ-CP và Điều 46, 63, 65 của Nghị định 98/2020/NĐ-CP có quy định về xử phạt tương ứng.

Đối với các chủ thể có nghĩa vụ trong việc bảo vệ dữ liệu cá nhân của khách hàng, người dùng như được trình bày ở phần trên, hiện nay pháp luật vẫn chưa quy định cụ thể về các biện pháp xử phạt hành chính tương ứng khi Bên kiểm soát Dữ liệu cá nhân, Bên Xử lý Dữ liệu cá nhân, Bên kiểm soát và xử lý Dữ liệu cá nhân và các bên liên quan khi không thực hiện nghĩa vụ thông báo vi phạm theo quy định của Nghị định 13/2023/NĐ-CP. Tuy nhiên, trong một số lĩnh vực điển hình như thương mại điện tử, các bên có thể dựa vào các quy định trước đó để thực hiện xử lý vi phạm, chẳng hạn như chế tài đối với hành vi vi phạm về bảo vệ thông tin cá nhân trong hoạt động thương mại điện tử liên quan đến quy định liên quan trong chính sách bảo vệ dữ liệu cá nhân tại Điều 65 Nghị định 98/2020/NĐ-CP.

Dịch vụ soạn thảo chính sách bảo bệ dữ liệu cá nhân của Công ty luật Việt An

Tư vấn các quy định pháp lý liên quan đến bảo vệ dữ liệu cá nhân;
Tư vấn điều kiện sử dụng dữ liệu cá nhân theo quy định của pháp luật;
Hướng dẫn doanh nghiệp xây dựng chính sách bảo vệ dữ liệu cá nhân theo quy định;
Soạn thảo chính sách bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
Tư vấn các quy định liên quan đến vi phạm sử dụng dữ liệu cá nhân của doanh nghiệp;
Hướng dẫn, tư vấn doanh nghiệp phổ biến chính sách bảo vệ dữ liệu cá nhân cho người lao động trongdoanh nghiệp.

Trên đây là một số nội dung liên quan đến pháp luật về bảo vệ dữ liệu cá nhân hiện hành tại Việt Nam. Quý khách có nhu cầu tư vấn soạn thảo chính sách bảo vệ dữ liệu cá nhân vui lòng liên hệ Công ty luật Việt An để được hỗ trợ hiệu quả nhất.