Quy định mới nhất về bảo vệ dữ liệu cá nhân

Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ ngày 01/07/2023. Manabox xin được tóm tắt các nội dung chính gửi tới Quý Khách hàng.

Bối cảnh ra đời

Nội dung tổng quát

Những nội dung tổng quát trong thông tư mà các doanh nghiệp cần nghiên cứu, phân tích và xây dựng các chính sách phù hợp với tình hình mới:

  • Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân gồm có hai loại chủ yếu là dữ liệu cơ bản và dữ liệu nhạy cảm. Một trong các dữ liệu nhạy cảm gồm có dữ liệu về tài chính (tài khoản, thẻ, công cụ thanh toán, hồ sơ, tình trạng tài chính, lịch sử tín dụng, thu nhập…)
  • Dữ liệu cá nhân chỉ được các cơ quan, tổ chức, cá nhân thu thập trong trường hợp cần thiết theo quy định của pháp luật; chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố; chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền. Quy định chế tài: Mức xử phạt 50 – 100 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép và có thể bị xử hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật, phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.

Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan và được áp dụng với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

DLCN1

Nguyên tắc quy định trong hoạt động kiểm soát và sử dụng dữ liệu cá nhân

Cụ thể hơn, Nghị định đưa ra các nguyên tắc bảo vệ dữ liệu cá nhân, cách thức xác định sự đồng ý từ chủ thể dữ liệu cho phép tổ chức khai thác và sử dụng dữ liệu, gồm: 

Nguyên tắc bảo vệ dữ liệu cá nhân gồm:

  • Nguyên tắc hợp pháp: Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật
  • Nguyên tắc mục đích: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố về xử lý thông tin cá nhân
  • Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định
  • Nguyên tắc sử dụng hạn chế: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền theo quy định
  • Nguyên tắc về chất lượng dữ liệu: Dữ liệu cá nhân phải được cập nhật, đầy đủ để bảo đảm mục đích xử lý dữ liệu
  • Nguyên tắc an ninh: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ trong quá trình xử lý dữ liệu cá nhân
  • Nguyên tắc cá nhân: Chủ thể dữ liệu được biết và nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình
  • Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu
DLCn2

Sự đồng ý của chủ thể

Sự đồng ý của chủ thể chỉ có hiệu lực khi chủ thể dữ liệu tự nguyệnbiết rõ các nội dung sau:

    • Loại dữ liệu cá nhân được xử lý;
    • Mục đích xử lý dữ liệu cá nhân;
    • Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
    • Các quyền, nghĩa vụ của chủ thể dữ liệu.

Ngoài ra các nguyên tắc sau cũng cần được lưu ý trong quá trình xác nhận đồng ý từ phía Chủ thể dữ liệu:

  • Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
  • Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
  • Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
  • Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
  • Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
  • Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
  • Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
  • Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.

 

DLCn3

Mẫu quy chế bảo vệ dữ liệu cá nhân – Personal Data Protection

Khuyến nghị của Manabox thực hiện bảo vệ dữ liệu cá nhân

  • Công ty cần có văn bản thể hiện sự đồng ý của người lao động trước khi thu thập các dữ liệu cá nhân phục vụ cho giao kết hợp đồng hay kiểm soát và xử lý dữ liệu. Công ty tham khảo các yêu cầu cơ bản đối với văn bản thể hiện sự đồng ý của người lao động để xây dựng mẫu thỏa thuận phù hợp.
  • Công ty có thể bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động, liệt kê rõ phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân, và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân, như một văn bản thể hiện sự đồng ý của NLĐ
  • Công ty cần xây dựng hệ thống để đảm bảo các quyền, nghĩa vụ của chủ thể dữ liệu (NLĐ) theo điều 9, điều 10 NĐ 13/2023/NĐ-CP. Ví dụ: quyền được biết, quyền rút lại, quyền hạn chế, xóa, v.v; Mọi yêu cầu hạn chế hoặc phản đối xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu từ người lao động.
  • Xây dựng hoặc cập nhật nội quy lao động về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm
  • Giao kết thỏa thuận không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân
  • Bố trí nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân: Căn cứ theo điều 28, điều 30, NĐ 13/2023/NĐ-CP, mọi doanh nghiệp đều phải bố trí nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân, ngoại trừ doanh nghiệp SME được ân hạn trong 2 năm đầu kể từ khi thành lập doanh nghiệp
  • Công ty cần xác định căn cứ pháp lý, trách nhiệm, quyền, nghĩa vụ của từng cá nhân, công ty trong xử lý, kiểm soát dữ liệu;
  • Về nghĩa vụ báo cáo vi phạm về bảo vệ dữ liệu cá nhân: Căn cứ theo điều 23, NĐ 13/2023/NĐ-CP, Công ty cần thông báo cho Bộ Công an chậm nhất sau 72 giờ sau khi xảy ra hành vi vi phạm, trường hợp thông báo muộn phải kèm theo lý do
  • Trong nghĩa vụ đánh giá tác động bảo vệ dữ liệu cá nhân và đánh giá rủi ro theo mẫu 03, 04, 05 tại NĐ 13/2023/NĐ-CP; Căn cứ theo điều 24. NĐ 13/2023/NĐ- CP: Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân hoặc khi có sự thay đổi đối với hoạt động xử lý, Công ty cần nộp báo cáo cho Bộ Công An. Hồ sơ này cần phải được lưu trữ và sẵn sàng khi có yêu cầu kiểm tra.
  • Kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Ngoài ra, doanh nghiệp còn phải gửi một bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo mẫu số 06 tại Phụ lục của NĐ13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Dịch vụ Bảo vệ dữ liệu cá nhân – PROTECTION OF PERSONAL DATA

Thủ tục hành chính liên quan

STT Mã TTHC Tên thủ tục hành chính Cơ quan  thực hiện
1 3.000236 Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao
2 3.000239 Thông báo gửi Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao
3 3.000238 Thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao
4 3.000237 Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao
5 3.000240 Thông báo thay đổi nội dung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao
________________
Công ty TNHH Manabox Việt Nam
Phòng 701, tầng 7, tòa nhà 3D center, số 3 Duy Tân, Phường Dịch Vọng Hậu, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam Facebook: https://www.facebook.com/ManaboxVietnam
Group Zalo hỗ trợ: https://zalo.me/g/qgwjpq190
Liên hệ tư vấn dịch vụ Kế toán – Thuế: Ms Huyền : 094 719 2091 ( Phone/Zalo/Line )

    Liên hệ với chúng tôi




    You cannot copy content of this page.

    Please contact with Manabox for more support.