TIN TỨC FUNLINK

Nghị định 13 về bảo vệ dữ liệu cá nhân: Toàn tập cho Doanh nghiệp

Tóm tắt

Tổng quan về Nghị định 13/2023/NĐ-CP và tầm ảnh hưởng

Nghị định 13/2023/NĐ-CP, chính thức có hiệu lực từ ngày 01/07/2023, là hành lang pháp lý toàn diện đầu tiên của Việt Nam chuyên biệt về bảo vệ dữ liệu cá nhân. Đây là một bước tiến quan trọng, đặt ra những tiêu chuẩn mới và yêu cầu khắt khe hơn đối với mọi tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Bối cảnh ra đời và mục tiêu của Chính phủ trong bảo vệ dữ liệu cá nhân

Trước bối cảnh bùng nổ của kinh tế số, dữ liệu cá nhân đã trở thành một tài sản vô giá nhưng cũng tiềm ẩn nhiều rủi ro bị xâm phạm. Nghị định 13 ra đời nhằm mục tiêu:

  • Bảo vệ quyền riêng tư: Khẳng định và bảo vệ các quyền cơ bản của công dân đối với dữ liệu cá nhân của họ.
  • Nâng cao trách nhiệm: Quy định rõ ràng nghĩa vụ của các bên kiểm soát và xử lý dữ liệu, từ doanh nghiệp lớn đến các cá nhân kinh doanh.
  • Thúc đẩy kinh tế số an toàn: Tạo dựng một môi trường số minh bạch, an toàn, nơi dữ liệu được bảo vệ, từ đó thúc đẩy niềm tin và sự phát triển bền vững.

Đối tượng áp dụng: Doanh nghiệp nào cần tuân thủ ngay?

Nghị định 13 có phạm vi áp dụng rất rộng, bao gồm:

  • Cơ quan, tổ chức, cá nhân Việt Nam.
  • Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam.
  • Cơ quan, tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài.
  • Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Nói cách khác, hầu hết mọi doanh nghiệp đang hoạt động tại Việt Nam, từ công ty công nghệ, tài chính, bán lẻ, y tế cho đến các hộ kinh doanh nhỏ lẻ có thu thập và sử dụng dữ liệu khách hàng (số điện thoại, email, địa chỉ…) đều phải tuân thủ.

08 hành vi bị nghiêm cấm theo quy định mới nhất

Nghị định nêu rõ 8 nhóm hành vi bị cấm tuyệt đối, doanh nghiệp cần đặc biệt lưu ý để tránh các vi phạm không đáng có:

  1. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
  2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu chống lại Nhà nước.
  3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
  4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
  5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
  6. Cung cấp dữ liệu cá nhân không đúng quy định.
  7. Cung cấp, chuyển giao, mua, bán dữ liệu cá nhân trái phép.
  8. Sửa đổi, xóa, hủy, sao chép, di chuyển dữ liệu cá nhân trái phép.
Infographic 8 hành vi bị cấm trong Nghị định 13 về bảo vệ dữ liệu cá nhân
Các hành vi bị cấm tuyệt đối theo Nghị định 13 doanh nghiệp cần tránh.

Quyền của chủ thể dữ liệu: Doanh nghiệp cần tôn trọng và đáp ứng

Doanh nghiệp không chỉ có nghĩa vụ bảo vệ dữ liệu mà còn phải đảm bảo các quyền của khách hàng (chủ thể dữ liệu) được thực thi một cách đầy đủ.

Quyền được biết và yêu cầu về sự đồng ý của chủ thể dữ liệu

Trước khi thu thập, doanh nghiệp phải thông báo rõ ràng cho khách hàng về mục đích, loại dữ liệu, thời gian lưu trữ và các bên liên quan. Sự đồng ý phải được thể hiện rõ ràng, tự nguyện và có thể chứng minh được. Doanh nghiệp không được mặc định sự im lặng là đồng ý.

Quyền truy cập, chỉnh sửa và xóa dữ liệu

Khách hàng có quyền yêu cầu doanh nghiệp cung cấp bản sao dữ liệu cá nhân của họ mà doanh nghiệp đang nắm giữ. Đồng thời, họ có quyền yêu cầu chỉnh sửa thông tin sai lệch hoặc yêu cầu xóa dữ liệu khi mục đích xử lý ban đầu đã hoàn thành hoặc không còn phù hợp.

Quyền rút lại sự đồng ý và quyền khiếu nại

Ngay cả sau khi đã đồng ý, chủ thể dữ liệu vẫn có quyền rút lại sự đồng ý của mình bất cứ lúc nào. Doanh nghiệp phải xây dựng cơ chế để tiếp nhận và xử lý yêu cầu này. Ngoài ra, họ cũng có quyền khiếu nại, tố cáo hoặc khởi kiện nếu phát hiện hành vi vi phạm.

Nghĩa vụ cốt lõi của Doanh nghiệp trong xử lý dữ liệu cá nhân

Để tuân thủ Nghị định 13, doanh nghiệp cần chủ động triển khai một loạt các biện pháp quản lý và kỹ thuật.

Xây dựng quy trình, chính sách bảo vệ dữ liệu nội bộ

Đây là bước nền tảng, bao gồm việc ban hành các quy định nội bộ về thu thập, lưu trữ, xử lý và xóa dữ liệu cá nhân. Chính sách này cần được phổ biến đến toàn bộ nhân viên có liên quan để đảm bảo tính nhất quán trong thực thi.

Lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

Doanh nghiệp phải tự lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) từ khi bắt đầu xử lý. Hồ sơ này cần được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu.

Quy định về chuyển dữ liệu cá nhân ra nước ngoài

Trường hợp cần chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ: sử dụng dịch vụ cloud, máy chủ đặt ở nước ngoài), doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục báo cáo với Bộ Công an.

Bổ nhiệm nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu

Doanh nghiệp cần chỉ định một bộ phận hoặc nhân sự chuyên trách (thường gọi là DPO – Data Protection Officer) để giám sát việc tuân thủ, tư vấn và làm đầu mối liên lạc với cơ quan chức năng. Thông tin của bộ phận/nhân sự này phải được báo cáo cho cơ quan nhà nước.

Sơ đồ 4 bước tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân cho doanh nghiệp
Quy trình 4 bước để doanh nghiệp triển khai tuân thủ Nghị định 13.

Chế tài xử phạt khi vi phạm: Rủi ro và hậu quả pháp lý

Việc không tuân thủ Nghị định 13 có thể dẫn đến những hậu quả nghiêm trọng về tài chính và pháp lý.

Các mức xử phạt lộ dữ liệu và vi phạm hành chính

Mặc dù Nghị định 13 chưa quy định mức phạt cụ thể, các vi phạm sẽ được xử lý theo các quy định hiện hành tại Nghị định 15/2020/NĐ-CP (về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử), với mức phạt có thể lên tới hàng chục triệu đồng và các hình thức xử phạt bổ sung.

Trách nhiệm hình sự đối với các vi phạm nghiêm trọng

Trong trường hợp mua bán, chiếm đoạt, hoặc công khai hóa thông tin cá nhân với quy mô lớn, gây hậu quả nghiêm trọng, cá nhân và người đại diện pháp luật của doanh nghiệp có thể bị truy cứu trách nhiệm hình sự theo quy định của Bộ luật Hình sự.

Vai trò của Bộ Công an trong thanh tra và xử lý vi phạm

Bộ Công an là cơ quan đầu mối, chịu trách nhiệm chính trong việc giám sát, thanh tra và xử lý các vi phạm liên quan đến bảo vệ dữ liệu cá nhân. Doanh nghiệp cần sẵn sàng cho các đợt kiểm tra và phải cung cấp đầy đủ hồ sơ, tài liệu khi có yêu cầu.

Checklist tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân

Để hệ thống hóa quá trình tuân thủ, doanh nghiệp có thể thực hiện theo các giai đoạn sau:

Giai đoạn 1: Rà soát & Phân loại toàn bộ dữ liệu hiện có

  • Xác định doanh nghiệp đang thu thập những loại dữ liệu cá nhân nào (cơ bản, nhạy cảm).
  • Vẽ “bản đồ dòng chảy dữ liệu”: Dữ liệu đến từ đâu, được lưu ở đâu, ai có quyền truy cập, và được chia sẻ cho bên nào?
  • Xác định mục đích xử lý cho từng loại dữ liệu.

Giai đoạn 2: Soạn thảo các biểu mẫu, chính sách và hợp đồng

  • Cập nhật lại Chính sách quyền riêng tư (Privacy Policy) trên website/ứng dụng.
  • Tạo các biểu mẫu xin sự đồng ý (consent form) rõ ràng, minh bạch.
  • Rà soát và bổ sung các điều khoản về bảo vệ dữ liệu vào hợp đồng lao động, hợp đồng dịch vụ với đối tác.

Giai đoạn 3: Thực hiện báo cáo đánh giá tác động DPIA và đăng ký với cơ quan chức năng

  • Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
  • Chỉ định và đăng ký thông tin bộ phận/nhân sự phụ trách bảo vệ dữ liệu.
  • Nếu có, lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài.
  • Gửi các hồ sơ cần thiết lên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
Checklist các hạng mục tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân
Checklist giúp doanh nghiệp không bỏ sót các hạng mục quan trọng khi triển khai Nghị định 13.
admin

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *