BẢN TIN PHÁP LÝ – THÁNG 03, 2024 – Việt Nam – Các yêu cầu tuân thủ trọng yếu về bảo vệ dữ liệu cá nhân

Phát hành 03/ 2024

Nguyễn Anh Tuấn
Luật sư Điều hành

Phan Thị Minh
Luật sư Cộng sự Cấp cao

Lời mở đầu:

“Có hiệu lực thi hành kể từ ngày 01/7/2023, các hành vi liên quan đến dữ liệu cá nhân trên lãnh thổ Việt Nam, sử dụng không gian mạng, thiết bị, phương tiện điện tử, hoặc các hình thức khác để chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Na, sẽ phải tuân thủ các quy định về bảo vệ dữ liệu cá nhân được quy định trong Nghị định 13 của Chính Phủ.

Một trong những văn bản quy phạm pháp luật mới nhất và cơ bản nhất điều chỉnh về vấn đề bảo vệ dữ liệu cá nhân tại Việt Nam là Nghị định số 13/2023/NĐ-CP (“Nghị định 13”). Sau một thời gian chờ đợi khá dài, Nghị định 13 đã được Chính phủ ban hành vào ngày 17/4/2023.

Nghị định 13 đã đặt ra các yêu cầu mới liên quan đến việc bảo vệ dữ liệu cá nhân cho bất kỳ tổ chức, cá nhân trong nước hoặc nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Các yêu cầu này có hiệu lực thi hành kể từ ngày 01/7/2023, ngoại trừ yêu cầu về chỉ định cá nhân và/hoặc bộ phận bảo vệ dữ liệu cá nhân  có thể được miễn trừ 02 năm kể từ khi thành lập cho các doanh nghiệp siêu nhỏ, nhỏ và vừa, và doanh nghiệp khởi nghiệp. Theo đó, các doanh nghiệp cần kiểm tra lại các chính sách bảo mật nội bộ và thực tiễn tuân thủ của mình để nhận diện các nội dung chưa tuân thủ Nghị định 13 và tiến hành ngay lập tức các biện pháp khắc phục để đảm bảo tuân thủ Nghị định 13.

Dưới đây là các yêu cầu tuân thủ trọng yếu về bảo vệ cá nhân trong Nghị định 13.

1. Xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân

Nghị định 13 phân biệt rõ ràng giữa các vai trò khác nhau của các bên liên quan trong việc xử lý dữ liệu và quy định trách nhiệm tương ứng đối với từng vai trò. Cụ thể:

Bên Kiểm Soát Dữ Liệu là một tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Bên Kiểm Soát Dữ Liệu có trách nhiệm cao nhất trong việc tuân thủ các yêu cầu về bảo vệ dữ liệu, bao gồm việc phải có được sự đồng ý trước của chủ thể dữ liệu cho tất cả các hoạt động xử lý dữ liệu, tiếp nhận các yêu cầu của chủ thể dữ liệu và thực hiện thông báo về bất kỳ hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân nào cho Bộ Công An (“BCA”).

Bên Xử Lý Dữ Liệu là một tổ chức hoặc cá nhân thực hiện việc xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm Soát Dữ Liệu thông qua một hợp đồng với Bên Kiểm Soát Dữ Liệu. Bên Xử Lý Dữ Liệu chịu trách nhiệm thông báo cho Bên Kiểm Soát Dữ Liệu về bất kỳ vi phạm dữ liệu cá nhân nào và xử lý dữ liệu cá nhân theo đúng hợp đồng đã ký kết với Bên Kiểm Soát Dữ Liệu.

Bên Kiểm Soát Và Xử Lý Dữ Liệu là kết hợp giữa vai trò của Bên Kiểm Soát Dữ Liệu và Bên Xử Lý Dữ Liệu.

Bên Thứ Ba là các cá nhân hoặc tổ chức ngoài chủ thể dữ liệu, Bên Kiểm Soát Dữ Liệu, Bên Xử Lý Dữ Liệu hoặc Bên Kiểm Soát Và Xử Lý Dữ Liệu được phép xử lý dữ liệu cá nhân. Bên Thứ Ba có trách nhiệm lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

Theo đó, việc xác định chính xác vai trò của doanh nghiệp trong việc xử lý dữ liệu cá nhân là rất quan trọng để có thể xác định trách nhiệm của mình trong quá trình xử lý dữ liệu cá nhân.

2. Phải có được sự đồng ý của chủ thể dữ liệu

Nghị định 13 yêu cầu tất cả các hoạt động trong quy trình xử lý dữ liệu phải có được sự đồng ý trước của chủ thể dữ liệu, trừ một số trường hợp ngoại lệ. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi (i) được đưa ra một cách tự nguyện và (ii) chủ thể dữ liệu biết rõ các thông tin về loại dữ liệu cá nhân, mục đích xử lý dữ liệu, các bên được xử lý dữ liệu và quyền, nghĩa vụ của chủ thể dữ liệu. Lưu ý rằng, sự đồng ý phải được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là là sự đồng ý. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm Soát Dữ Liệu và Bên Kiểm Soát Và Xử Lý Dữ Liệu.

3. Đánh giá tác động xử lý dữ liệu cá nhân

Tất cả Bên Kiểm Soát Dữ Liệu và Bên Kiểm Soát Và Xử Lý Dữ Liệu phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình (“Hồ Sơ Đánh Giá Tác Động”) kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ Sơ Đánh Giá Tác Động phải được gửi cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân để A05 xem xét và phải luôn có sẵn để BCA kiểm tra, đánh giá.

Hồ Sơ Đánh Giá Tác Động phải bao gồm:

  • Thông tin của Bên Kiểm Soát Dữ Liệu, Bên Kiểm Soát Và Xử Lý Dữ Liệu và nhân viên bảo vệ dữ liệu của bên đó;
  • Mục đích và loại dữ liệu cá nhân được xử lý;
  • Bên nhận dữ liệu cá nhân, bao gồm các tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
  • Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
  • Thời gian xử lý dữ liệu cá nhân, thời gian dự kiến để xoá, huỷ dữ liệu cá nhân (nếu có);
  • Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
  • Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

Bên Xử Lý Dữ Liệu cũng có thể phải tiến hành lập và lưu giữ Hồ Sơ Đánh Giá Tác Động nếu hợp đồng ký kết với Bên Kiểm Soát Dữ Liệu có yêu cầu.

4. Chuyển dữ liệu cá nhân qua nước ngoài

Nghị định 13 cho phép bên chuyển dữ liệu ra nước ngoài (bao gồm Bên Kiểm Soát Dữ Liệu, Bên Kiểm Soát Và Xử Lý Dữ Liệu, Bên Xử Lý Dữ Liệu và Bên Thứ Ba) chuyển dữ liệu cá nhân của công dân Việt Nam sang nước thứ ba, tuy nhiên phải tuân theo các yêu cầu sau:

  • Bên chuyển dữ liệu phải chuẩn bị hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Hồ sơ phải bao gồm các nội dung bắt buộc như: Mô tả loại dữ liệu cá nhân chuyển ra nước ngoài, mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, văn bản thể hiện sự ràng buộc, trách nhiệm giữa bên chuyển và bên nhận dữ liệu cá nhân của công dân Việt Nam về việc xử lý dữ liệu cá nhân.
  • Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để BCA kiểm tra, đánh giá. Bên chuyển dữ liệu gửi bản chính hồ sơ đánh giá tác động tới BCA theo mẫu quy định trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. BCA có thể yêu cầu bên chuyển hoàn thiện hồ sơ đánh giá tác động trong trường hợp hồ sơ không đúng quy định.
  • Khi việc chuyển dữ liệu diễn ra thành công, bên chuyển dữ liệu phải gửi thông báo bằng văn bản cho BCA về việc chuyển dữ liệu và và chi tiết liên lạc của bên phụ trách.

BCA có quyền quyết định ngừng chuyển dữ liệu cá nhân ra nước ngoài nếu bên chuyển không chấp hành các yêu cầu nêu trên hoặc vi phạm lợi ích, an ninh quốc gia của Việt Nam hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

5. Yêu cầu về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Trong trường hợp phát hiện ra bất kỳ vi phạm quy định bảo vệ dữ liệu cá nhân nào, (i) Bên Xử Lý Dữ Liệu phải thông báo ngay cho Bên Kiểm Soát Dữ Liệu về vi phạm xảy ra và (ii) Bên Kiểm Soát Dữ Liệu và Bên Kiểm Soát Và Xử Lý Dữ Liệu phải thông báo cho BCA (A05) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Việc  thông báo phải được thực hiện theo mẫu quy định với các nội dung bắt buộc. Trong trường hợp thông báo sau 72 giờ, Bên Kiểm Soát Dữ Liệu và Bên Kiểm Soát Và Xử Lý Dữ Liệu phải cung cấp lý do thông báo chậm, muộn.

Hiện chưa có một văn bản pháp luật nào tổng hợp các quy định về việc xử phạt hành chính đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân tại thời điểm có hiệu lực của Nghị định 13. Tuy nhiên, có một số quy định về một số biện pháp xử phạt đối với các hành vi vi phạm quy định về thu thập, sử dụng, cập nhật, sửa đổi, gỡ bỏ thông tin cá nhân và bảo đảm an toàn thông tin cá nhân trên không gian mạng, với mức phạt hành chính từ 10 triệu đến 70 triệu VNĐ hoặc bị truy cứu trách nhiệm hình sự theo Bộ Luật Hình Sự đối với các trường hợp vi phạm nghiêm trọng.

Tổng quan

Các yêu cầu được quy định trong Nghị định 13 đã gây ra sự khó khăn đáng kể cho các bên liên quan trong việc xử lý dữ liệu cá nhân, đặc biệt là các doanh nghiệp đa quốc gia. Do các quy định này còn khá tổng quát, chúng tôi mong đợi rằng BCA sẽ ban hành thêm các văn bản hướng dẫn, giải thích và thực thi các quy định tại Nghị định 13.

Download pdf version