Quy định về dữ liệu cá nhân nhạy cảm

Trong thời đại công nghệ hiện nay, với sự phát triển và sức mạnh lan toả nhanh chóng của internet các vấn đề về bảo mật dữ liệu cá nhân ngày càng được quan tâm hơn cả, đặc biệt là các vấn đề về dữ liệu cả nhân nhạy cảm. Tuy nhiên, dữ liệu cá nhân nhạy cảm là gì? Pháp luật quy định về dữ liệu cá nhân nhạy cảm như thế nảo? thì không phải ai cũng nắm được. Vì vậy, trong bài viết này, Luật Việt An sẽ trình bày rõ hơn về vấn đề này.

Căn cứ pháp lý

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Một số khái niệm

Thế nào là dữ liệu cá nhân?

Theo quy định tại khoản 1, Điều 2 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, dữ liệu cá nhân được hiểu là các thông tin được thể hiện dưưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể nào đó.

Thế nào là dữ liệu cá nhân nhạy cảm?

Theo quy định tại khoản 4, Điều 2 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm được hiểu là loại dữ liệu cá nhân có sự gắn liền với quyền riêng tư của cá nhân. Nếu các dữ liệu này bị xâm phạm thì sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của người đó

Những thông tin nào được coi là dữ liệu cá nhân nhạy cảm?

Theo quy định tại khoản 4, Điều 2 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, các thông tin sau đây được coi là  dữ liệu cá nhân nhạy cảm:

• Quan điểm chính trị, quan điểm tôn giáo;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
• Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
• Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
• Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Tại sao phải bảo vệ dữ liệu cá nhân nhạy cảm?

• Bảo vệ quyền riêng tư: Dữ liệu cá nhân nhạy cảm có thể bao gồm thông tin về sở thích, tình trạng sức khỏe, tài chính, và nhiều hơn nữa. Việc bảo vệ dữ liệu này giúp đảm bảo quyền riêng tư của cá nhân không bị xâm phạm.
• Ngăn chặn gian lận và lạm dụng: Nếu dữ liệu cá nhân nhạy cảm rơi vào tay người không đáng tin cậy, họ có thể sử dụng thông tin này để mạo danh, thực hiện gian lận tài chính hoặc thậm chí là bắt cóc dữ liệu.
• Tuân thủ pháp luật: Nhiều quốc gia và khu vực có các quy định về việc bảo vệ dữ liệu cá nhân. Việc không tuân thủ có thể dẫn đến các hậu quả pháp lý nghiêm trọng.
• Tăng cường uy tín và lòng tin của khách hàng: Khi một tổ chức bảo vệ dữ liệu cá nhân của khách hàng một cách hiệu quả, họ xây dựng lòng tin và tăng cường mối quan hệ với khách hàng.
• Bảo vệ chống lại các cuộc tấn công mạng: Dữ liệu cá nhân nhạy cảm là mục tiêu hàng đầu của các tin tặc. Việc bảo vệ dữ liệu này giúp ngăn chặn các cuộc tấn công mạng và bảo vệ tài sản quan trọng của tổ chức hoặc cá nhân.

Quy định về dữ liệu cá nhân nhạy cảm hiện nay

Nghị định 13/2023/NĐ-CP quy định về việc bảo vệ bảo vệ dữ liệu cá nhân nhạy cảm như sau:

Các biện pháp bảo vệ

• Biện pháp quản lý do tổ chức hoặc cá nhân có liên quan đến xử lý dữ liệu cá nhân tiến hành thực hiện;
• Các biện pháp kỹ thuật do tổ chức, cá nhân có liên quan đến xử lý dữ liệu cá nhân thực hiện;
• Các biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định 13/2023 hoặc các quy định của pháp luật có liên quan;
• Các biện pháp điều tra, tố tụng do các cơ quan nhà nước có thẩm quyền tiến hành thực hiện;
• Các biện pháp khác theo quy định của pháp luật Việt Nam.

Quy định về xây dựng, ban hành quy định bảo vệ dữ liệu cá nhân nhạy cảm

• Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13/2023/NĐ-CP;
• Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
• Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

Ngoài các quy định nêu trên, Nghị định 13/2023/NĐ-CP còn yêu cầu chỉ định một bộ phận chịu trách nhiệm bảo vệ thông tin cá nhân, chỉ định người chịu trách nhiệm cho việc này và chia sẻ thông tin về bộ phận và người chịu trách nhiệm này với Cơ quan chuyên trách bảo vệ thông tin cá nhân. Trong trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân, thông tin của người thực hiện sẽ được chia sẻ. Thông báo cho chủ thể dữ liệu về việc dữ liệu cá nhân nhạy cảm của họ đang được xử lý.

Một số câu hỏi liên quan đến dữ liệu cá nhân nhạy cảm

Trường hợp xử lý dữ liệu cá nhân nhạy cảm có buộc phải thông báo cho chủ thể của dữ liệu đó hay không?

Có. Theo quy định tại khoản 8, Điều 11 Nghị định 13//2023/NĐ-CP khi xử lý dữ liệu cá nhân nhạy cảm, chủ thể của dữ liệu đó phải được thông báo rằng dữ liệu đuợc xử lý là dữ liệu cá nhân nhạy cảm.

Lực lượng nào có trách nhiệm bảo vệ dữ liệu cá nhân?

Theo quy định của pháp luật hiện hành, lực lượng có trách nhiệm bảo vệ dữ liệu cá nhân bao gồm các lực lượng sau:

• Lực lượng từ đội ngũ chuyên gia bảo vệ dữ liệu cá nhân được đặt tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
• Các bộ phận, nhân sự có trách nhiệm bảo vệ dữ liệu cá nhân được chỉ định trong các cơ quan, tổ chức và doanh nghiệp để đảm bảo việc thực hiện các quy định về bảo vệ dữ liệu cá nhân;
• Các tổ chức và cá nhân được huy động để tham gia vào việc bảo vệ dữ liệu cá nhân;
• Bộ Công an phát triển các chương trình và kế hoạch cụ thể nhằm mục đích phát triển nguồn lực nhân sự trong lĩnh vực bảo vệ dữ liệu cá nhân.

Có thể bị xử lý hình sự nếu vi phạm các quy định về bảo vệ dữ liệu cá nhân nhạy cảm hay không?

Có, theo quy định tại Điều 4, Nghị định 13/2023/NĐ-CP Nếu các cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tuỳ theo mức độ của chủ thể đó vi phạm mà có thể bị xử lý kỷ luật, xử lý vi phạt hành chính hoặc bị xử lý theo pháp luật hình sự.

Quý khách hành có nhu cầu liên quan đến pháp luật hành chính, pháp luật về dữ liệu cá nhân, soạn thảo chính sách bảo vệ dữ liệu cá nhân xin vui lòng liên hệ Luật Việt An để được hỗ trợ tốt nhất!