TÀI LIỆU TRẢ LỜI Hỏi đáp về Bảo vệ dữ liệu cá nhân tại Hội nghị “Phổ biến, hướng dẫn Nghị định số 13/2023/NĐ-CP, ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân”.
Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Sau khi Nghị định được ban hành, rất nhiều tố chức, doanh nghiệp tiếp tục gửi câu hỏi và các vấn đề liên quan, đề nghị được hướng dẫn thực hiện, triển khai các quy định của Nghị định. Đến nay có gần 1000 câu hỏi gửi về cơ quan soạn thảo, với nỗ lực chuẩn bị chu đáo, Ban Tổ chức đã tổng hợp, lựa chọn, dự kiến trả lời một số câu hỏi theo nhóm vấn đề và lĩnh vực xử lý dữ liệu cá nhân của các tổ chức, cá nhân, như sau:
1. Công ty Cổ phần Quản lý Quỹ Dragon Capital Việt Nam đặt câu hỏi liên quan tới dữ liệu cá nhân được thu thập và xử lý trước ngày Nghị định 13 có hiệu lực thì có phải chịu sự điều chỉnh của Nghị định 13 không? Ví dụ: nếu khách hàng cung cấp thông tin khi mở tài khoản ngân hàng, tài khoản giao dịch chứng khoán, tài khoản giao dịch chứng chỉ quỹ trước ngày 1/7/2023 thì bên kiểm soát, xử lý dữ liệu (ngân hàng, công ty chứng khoán, công ty quản lý qũy có phải xin lại sự đồng ý của khách hàng và nhà đầu tư đáp ứng các yêu cầu của Nghị định 13?
Đối với câu hỏi này, Ban Tổ chức trá lời như sau: Dữ liệu cá nhân thu thập trước ngày Nghị định số 13/2023/NĐ-CP có hiệu lực vẫn thuộc phạm vi điều chỉnh của Nghị định. Tuy nhiên, lúc này, tố chức, cá nhân có liên quan không cần xin lại sự đồng ý của chủ thể dữ liệu đối với các dữ liệu đã được chủ thể dữ liệu cung cấp trước ngày 01/07/2023. Các nghĩa vụ khác vẫn thực hiện theo quy định của Nghị định.
2. Công ty TNHH Samsung Electronics Việt Nam gửi câu hôi liên quan đến nghĩa vụ thực hiện báo cáo đánh giá tác động xử lý dữ liệu cá nhân và báo cáo tác động khi chuyển dữ liệu cá nhân ra nước ngoài, với nội dung: (1) Chúng tôi có thể cùng lúc làm báo cáo tác động xử lý dữ liệu cá nhân với báo cáo tác động chuyển dữ liệu cá nhân ra nước ngoài trong cùng một báo cáo và với tần suất một năm một lần theo trường dữ liệu/ loại dữ liệu mà chúng tôi xử lý và chỉ cần làm lại, điều chỉnh báo cáo khi có sự thay đổi về trường loại dữ liệu cá nhân hay không? (2) Trong hoạt động xừ lý dữ liệu của chúng tôi có những hoạt động chuyển dữ liệu ra nước ngoài tự động thông qua các hệ thống khi người lao động, chủ thể dữ liệu input dữ liệu thì ngay lập tức dữ liệu đó được chuyển lên hệ thống có server ờ nước ngoài. Trong những trường hợp đó, việc báo cáo kết quả chuyển dữ liệu ra nước ngoài là rất khó thực hiện với một khối lượng lớn dữ liệu cá nhân được chuyển ra nước ngoài liên tục và tự động. Vì vậy, nên những trường hợp như thế này sẽ được coi là một ngoại lệ về việc báo cáo kết quả chuyển dữ liệu ra nước ngoài.
Đối với câu hỏi này, Ban Tổ Chức trả lời như sau:
Thứ nhất, về thực hiện thủ tục hành chính: Bộ Công an đang chuẩn bị công bố các thủ tục hành chính mới liên quan tới bảo vệ dữ liệu cá nhân. Trong đó, có 05 thủ tục hành chính mới, bao gồm: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; Thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; Lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; Thông báo thay đổi nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Do đó, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được thực hiện thành 02 thủ tục, với 02 biểu mẫu hồ sơ khác nhau. Dự kiến Bộ Công an sẽ công bố biểu mẫu, hồ sơ, khai trương cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để tổ chức, cá nhân cùng thực hiện trước ngày 01/07/2023.
Thứ hai, về tần suất gửi báo cáo: Hồ sơ đánh giá tác động được thực hiện 01 lần đối với 01 trường hợp, loại hình gửi dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, cho tới khi có sự thay đổi. Trường hợp có sự thay đổi loại hình, hợp đồng thì tổ chức, cá nhân cập nhật, bổ sung theo mẫu hồ sơ. Ví dụ: Công ty TNHH Samsung Electronics Việt Nam đánh giá tác động về việc gửi dữ liệu cá nhân của công dân Việt Nam ra nước ngoài qua hoạt động thu thập dữ liệu tự động từ điện thoại Sam Sung. Với việc hoàn thành hồ sơ, Công ty TNHH Samsung Electronics Việt Nam không cần thực hiện thêm việc khai báo, đánh giá tác động nếu như không có sự thay đổi so với hồ sơ trước.
Thứ ba về báo cáo kết quả chuyển dữ liệu ra nước ngoài thông qua hệ thống tự động: Nghị định không quy định các hình thức chuyển dữ liệu cá nhân ra nước ngoài, mà quy định rằng, việc chuvển dữ liệu cá nhân ra nước ngoài phải làm hồ sơ đánh giá tác động. Do đó, việc chuyển tự động hay thủ công không làm ảnh hường tới việc xây dựng hồ sơ của Công ty.
3. Công ty Cổ phần KinderWorld Việt Nam gửi câu hỏi: Nghị định quy định “Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bàn chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.” và “Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.”. Như vậy đối với những dữ liệu đã được xử lý hoặc đã được chuyển ra nước ngoài trước ngày có hiệu lực của Nghị định thì trong thời hạn bao lâu kể từ ngày Nghị định có hiệu lực cần phải nộp báo cáo cho Bộ Công An?
Đối với câu hòi này, Ban Tổ chức trả lời như sau: Việc xây dựng hồ sơ được tiến hành kể từ khi Nghị định có hiệu lực, tức là trong 60 ngày kể từ khi Nghị định có hiệu lực. Các tổ chức, cá nhân đã chuyển dữ liệu của công dân Việt Nam ra nước ngoài trước khi Nghị định có hiệu lực phục vụ hoạt động kinh doanh vẫn tiếp tục thực hiện. Sau khi xây dựng hồ sơ đánh giá tác động xong, cơ quan chức năng sẽ nghiên cứu hồ sơ để xác định sự phù hợp về pháp luật đối với hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.
4. Ngân hàng Bank of China gửi câu hỏi: Theo quy định tại điểm b khoản 8 Điều 9 Nghị định 13/2023/NĐ-CP có quy định rằng: “b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu câu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác”. Ở đây có hai vấn đề chúng tôi mong muốn được làm rõ: Thứ nhất, nhờ MPS làm rõ cách hiểu từ ‘triển khai’ bắt buộc phải được thực hiện bởi bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân? Hành động gửi phiếu yêu cầu đến hệ thống để xử lý yêu cầu của chủ thể dữ liệu có được coi là “thực hiện” của ngân hàng hay việc hoàn thành toàn bộ quy trình xử lý yêu cầu được coi là “thực hiện” theo Nghị định 13? Thứ hai, khung thời gian 72 giờ theo Nghị định 13 mà Bên kiểm soát và xử lý dữ liệu cá nhân phải tuân thủ là 72 giờ làm việc hay giờ bình thường?
Đối với câu hỏi này, Ban Tổ chức trả lời như sau: Chúng tôi đã nghiên cứu rất kỹ câu hỏi này, và thấv rằng đây là một câu hỏi đi vào tình huống cụ thể đối với quyền phản đối xử lý dữ liệu cá nhân. Vì câu hỏi của Ngân hàng Bank of China không nêu tình huống, nên chúng ta cần mô tả lại tình huống giả định rằng: có khách hàng đến Ngân hàng Bank of China thực hiện các hoạt động giao dịch tín dụng, đồng ý cho phép Ngân hàng Bank of China xử lý dữ liệu cá nhân của mình và chấp thuận điều khoản của ngân hàng để được mở thẻ hoặc thực hiện hoạt động giao dịch. Sau đó, khách hàng phản đối, không cho Ngân hàng Bank of China thực hiện xử lý dữ liệu cá nhân của mình nữa. Vì vậy, ở đây có hai tình huống xử lý: Thứ nhất, Ngân hàng Bank of China đồng ý với yêu cầu của khách hàng, theo như hợp đồng đã ký, khách hàng không được cung cấp các dịch vụ mà Ngân hàng Bank of China cung cấp. Thứ hai, Ngân hàng Bank of China không đồng ý, trong trường họp này, cần nêu rõ trường hợp luật đã có quy định. Cần lưu ý trong trường hợp này, điểm khoản 8 Điều 9 giới hạn một cách rõ ràng rằng: “Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường họp luật có quv định khác”. Chúng tôi đã rà soát kỹ khoản 8 Điều 9 và thấy rằng nội dung khoản này không có từ “triển khai” nên chưa hiểu được hết ý của Ngân hàng Bank of China. Nếu có thêm ý, ngân hàng có thể tiếp tục gửi thông tin tới bộ phận tiếp nhận thông tin để được giải đáp rõ hơn về hành động gửi phiếu yêu cầu cho hệ thống để xử lý yêu cầu của chủ thể dữ liệu có được coi là “thực hiện” của ngân hàng là việc hoàn thành toàn bộ quy trình xử lý yêu cẩu được coi là “thực hiện” theo Nghị định 13, chúng ta cần trao đổi 02 vấn đề: Thứ nhất, Ngân hàng Bank of China có thiết lập hệ thống để xử lý yêu cầu của chủ thể bằng hình thức gửi Phiếu hay không? Thứ hai, cần tính toán tới mục đích và kết quả của quyền phân đối: khi nào Ngân hàng Bank of China chấm dứt xử lý dữ liệu theo phản đối của chủ thể dữ liệu, thông báo rõ ràng với chủ thể dữ liệu bằng các hình thức mà chủ thể dữ liệu có thể ghi nhận được. Điều đó được coi là hoàn thành nghĩa vụ. về câu hỏi khung thời gian 72 giờ theo Nghị định 13 mà Bên kiểm soát và xử lý dữ liệu cá nhân phải tuân thủ là 72 giờ làm việc hav giờ bình thường, Nghị định đã nêu rõ thời gian là 72 giờ sau khi nhận được yêu cầu, tức là 72 giờ tuần tự, không phải 72 giờ làm việc.
5. Công ty TNHH Manulife Việt Nam gửi câu hỏi liên quan tới quyền truy cập của chủ thể dữ liệu, Quyền rút lại sự đồng ý, Quyền xóa dữ liệu quy định tại Khoản 3, 4, 5 của Điều 9, với nội dung: Chúng tôi thắc mắc là giữa chủ thể dữ liệu và bên kiểm soát và xử lí dữ liệu có quan hệ hợp đồng, theo đó chủ thể dữ liệu có nghĩa vụ cung cấp dừ liệu cho bên kiểm soát và xử lý dữ liệu để có thể thực hiện họp đồng thì quyền chỉnh sửa, yêu cầu chỉnh sửa, quyền xóa dữ liệu có thể bị hạn chế hay không? Lý do chúng tôi muốn được làm rõ nội dung này vì thông thường, để thực hiện hợp đồng một bên sẽ phải dựa trên thông tin, dữ liệu do bên còn lại cung cấp. Khi đó, bên tiếp nhận thông tin, dữ liệu có quyền tin rằng thông tin, dữ liệu mà họ được nhận là chính xác và đầy đủ. Bất kỳ một sự chỉnh sửa, xóa thông tin, dữ liệu trong quá trình thực hiện hợp đồng đều gây ảnh hưởng lơn đến họp đồng (lúc này họp đồng có thể không thực hiện được, chỉ thực hiện được một phần). Từ đó, ảnh hưởng lớn đến quyền lợi hợp pháp của các bên theo họp đồng. Đổi với câu hỏi này, Ban Tổ chức trả lời như sau: Khi ký kết hợp đồng dân dự theo quv định của Bộ luật Tố tụng dân sự, các bên có liên quan tới đã quy định rõ quyền và nghĩa vụ, trách nhiệm có liên quan. Khi đó, các thông tin mà chủ thể dữ liệu cung cấp cho Công ty TNHH Manulife Việt Nam đều nhàm mục đích thực hiện các quvền và nghĩa vụ trong họp đồng. Khách hàng có quyền chỉnh sửa, yêu cầu chỉnh sửa dữ liệu của mình, nhất là trong trường hợp một số thông tin khách hàng đã thay đổi, ví dụ như cấp căn cước công dân. Tuy nhiên, việc quyền chỉnh sửa, yêu cầu chỉnh sữa, quyền xóa dữ liệu không thể bị hạn chế về mặt pháp luật. Khi yêu cầu chỉnh sửa vượt qua giới hạn nghĩa vụ của hợp đồng, Công ty TNHH Manulife Việt Nam có thể thông báo cho khách hàng biết việc này. Khi đó sẽ xảy ra 03 trường hợp theo pháp luật dân sự, một là kết thúc họp đồng, hai là Công ty TNHH Manulife Việt Nam đồng ý cho phép chỉnh sửa, hoặc khách hàng rút lại yêu cầu chỉnh sửa.
6. Công ty TRUSTING SOCIAL gửi câu hỏi với nội dung: Bên kiểm soát dữ liệu có được phép đánh giá độ tín nhiệm cá nhân của chủ thể dữ liệu dựa trên dữ liệu phát sinh hợp pháp trong quá trình cung cấp dịch vụ cho chủ thể dữ liệu và chia sẻ đánh giá này với các tổ chức tín dụng sau khi có sự đồng ý hoàn toàn và đầy đủ của chủ thể dữ liệu về mục đích, nội dung và bên nhận đánh giá không? Đố với câu hỏi này, Ban Tô chức trả lời như sau: Ngay từ khi xây dựng, đề cập tới thực trạng dữ liệu cá nhân bị mua bán, chuyển giao trái phép, tràn lan trên không gian mạng, Bộ Công an đã có đánh giá về việc các tổ chức, cá nhân thiết lập các hệ thống kỹ thuật chuyên nhằm mục đích thu thập dữ liệu cá nhân để kinh doanh, buôn bán, kiếm lời. Nếu như dữ liệu cá nhân được sử dụng trong các hoạt động này được sự đồng ý của chủ thể dữ liệu, phù hợp với phạm vi cung cấp dịch vụ thì đúng quy định của pháp luật, nhưng hầu hết các hệ thống này đều tự động thu thập dữ liệu trên không gian mạng hoặc từ nhiều nguồn khác nhau, từ đó đưa ra đánh giá, nhận định về một cá nhân cụ thể, sau đó bán cho các bên có liên quan để kiếm lời. Đây là hành vi trái với quy định của Nghị định 13. Điều 3 Nghị định số 13/2023/NĐ-CP đã quy định: 1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật. 3. Dữ liệu cá nhân chi được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. 4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. Như vậy, có thể khẳng định rằng: (1) Mọi hành vi mua bán, chuyển giao dữ liệu cá nhân, tức là phát sinh lợi ích đều vi phạm quy định của pháp luật, trừ trường hợp luật có quy định khác. (2) Khoản 2 Điều 22 Nghị định số 13/2023/NĐ-CP đã quy định rõ: Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. (3) Việc xử lý dữ liệu cá nhân phải đúng với mục đích đã được chủ thể dữ liệu đồng ý. Sẽ rất khó có khả năng trên thực tế rằng, chủ thể dữ liệu đồng ý cho phép công ty xử lý dữ liệu cá nhân của mình, thông qua một dịch vụ do công ty cung cấp, để đánh giá xem mình thuộc hàng tín dụng nào (đạt hay không đạt, có nợ xấu hay không), và đồng ý để công ty cung cấp (không lợi ích) cho bên thứ 3 (bên này biết rõ danh tính, thông tin, nhân thân và kết quả đánh giá bản thân). Sau đó, các doanh nghiệp tín dụng lại dùng thông tin này để xem xét khả năng đồng ý hay không đồng ý, thực hiện các hoạt động giao dịch, kinh doanh, khuyến mãi, buôn bán tới tín dụng của chính chủ thể dữ liệu.
7. Tổng Công ty viễn thông Mobifone gửi câu hỏi: Điều 3.4: Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác. Điều 22.2: Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Như vậy hoạt động như thế nào được coi là “mua, bán dữ liệu cá nhân”? Việc mua bán dữ liệu cá nhân có bị cấm hoàn toàn không? Nếu mua, bán dữ liệu mà có sự đồng ý của chủ thể dù liệu thì có được phép không? Đôi với câu hỏi nàv, Ban Tổ chức trả lời như sau: (1) Hoạt động mua bán trong “mua, bán dữ liệu cá nhân” được hiểu theo nghĩa mua bán tài sản trong quan hệ dân sự theo quy định của Bộ luật Dân sự, hướng tới mục đích chính là sinh lợi. Mục đích chính của mua bán không nhất thiết là có mục đích kinh doanh, mà có thể nhằm các mục đích khác như tiêu dùng, tặng, cho… Chủ thể trong quan hệ mua bán là bất kỳ người nào có nhu cầu và có năng lực hành vi theo quy định của pháp luật. (2) Mua bán dữ liệu cá nhân không bị cấm hoàn toàn, nếu như luật có quy định cụ thể các trường họp được mua bán. Sự đồng ý của chủ thể dữ liệu không phải là căn cứ để xác định được phép mua bán. Trong trường hợp nàv, chỉ luật mới được quy định các trường hợp được phép mua bán.
8. Diễn đàn Doanh nghiệp Việt Nam (VBF) gửi câu hỏi với nội dung liên quan tới Điều 24. Đánh giá tác động xử lý dữ liệu cá nhân, cụ thể: – Mẫu số 4 “Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân” và Mẫu số 5 “Thông báo thay đổi nội dung hồ sơ” chỉ có tiếng Việt. Vậy các công ty nước ngoài có thể nộp bản thông báo bằng tiếng Anh được không, hay phải dịch ra tiếng Việt. Nếu dịch sang tiếng Việt thì có cần công chứng không? – Nghị định 13 quy định thành lập cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để tiếp nhận thông báo về vi phạm quy định về bảo vệ dữ liệu cá nhân (cùng với nhiều chức năng khác). Do đó, có lẽ các Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được nộp trực tuyến. Tuy nhiên, có vẻ như cổng thông tin này hiện chưa sẵn sàng hoạt động mặc dù có hiệu lực của Nghị định số 13 đang đến gần. Đố với câu hỏi này, Ban Tổ chức trả lời như sau: (1) Theo quy định cung cấp thủ tục hành chính, các biểu mẫu hồ sơ đều được thực hiện bằng tiếng Việt. Công ty không thể nộp bằng tiếng Anh, cũng không thể dịch sang tiếng Việt, mà cần khai trực tiếp vào biểu mẫu hồ sơ trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tải biểu mẫu nộp trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao. (2) Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân đang được xây dựng để bảo đảm có hiệu lực kể từ ngày 01/07/2023.
9. Công ty Luật TNHH Quốc tế Baker Mackenzi Việt Nam gửi câu hỏi liên quan tới phạm vi áp dụng ngoài lãnh thổ đối với doanh nghiệp nước ngoài: Điều 1 của Nghị định 13 quv định rằng Nghị định 13 áp dụng với “cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam”. Đề xuất Quy Cục làm rõ: (1) “Hoạt động xử lý dữ liệu cá nhân tại Việt Nam” có nên được hiểu chi bao gồm việc thực hiện hoạt động xử lý dữ liệu trên lãnh thồ Việt Nam hay không? Và theo đó, nếu doanh nghiệp ngoài nước thu thập dữ liệu của cá nhân người dùng tại Việt Nam (công dân Việt Nam) nhưng ngay lập tức chuyển ra nước ngoài, mọi hoạt động xử lý dữ liệu đều diễn ra tại nước ngoài, thì có thuộc phạm vi điều chỉnh của Nghị Định 13 hay không? (2) Ví dụ, một doanh nghiệp nước ngoài (không có hiện diện tại Việt Nam dưới bất kỳ hình thức nào) cung cấp một ứng dụng trên Internet đen người dùng trên toàn thế giới, bao gồm Việt Nam. Người dùng Việt Nam khi đăng ký sử dụng dịch vụ sẽ phải cung cấp một sổ thông tin cá nhân. Thông tin cá nhân này được doanh nghiệp ngoài nước thu thập và ngay lập tức lưu trữ tại một hệ thống thông tin nằm ngoài Việt Nam. Mọi hoạt động xử lý dữ liệu diễn ra ngoài lãnh thổ Việt Nam. Doanh nghiệp ngoài nước đó có thuộc phạm vi điều chỉnh của PDPD?
Đổi với câu hỏi này, Ban Tổ chức trả lời như sau: (1) Phạm vi điều chỉnh của Nghị đinh liên quan tới bảo vệ dữ liệu cá nhân, trong đó có các biện pháp bảo vệ trong quá trình xử lý dữ liệu. Việc chuyển dữ liệu ra nước ngoài là một trong những nội dung được điều chỉnh. Doanh nghiệp nước ngoài thu thập dữ liệu của công dân Việt Nam thuộc phạm vi điều chỉnh, doanh nghiệp chuyển dữ liệu của công dân Việt Nam ra nước ngoài, doanh nghiệp tiếp nhận dữ liệu của công dân Việt Nam đều thuộc phạm vi điều chỉnh, dù doanh nghiệp đó có xử lý trên lãnh thổ nước CHXHCN Việt Nam hay không? Các tổ chức, doanh nghiệp cẩn lưu ý tới vếu tố: xử lý dữ liệu cá nhân của công dân Việt Nam, chứ không phải địa điểm xử lý dữ liệu. (2) Ví dụ thực tiễn của Công ty Luật TNHH Quốc tế Baker Mackenzi Việt Nam đã được Ban Tổ chức giải đáp ở phần trên. Bất kỳ doanh nghiệp nào thu thập, xử lý dữ liệu cá nhân của công dân Việt Nam đều thuộc phạm vi điều chỉnh của Nghị định. Pháp luật Việt Nam bảo vệ công dân Việt Nam, dữ liệu cá nhân là tài sản, chủ quyền quốc gia nên các doanh nghiệp có hoạt động liên quan trực tiếp hoặc gián tiếp tới xừ lý dữ liệu cá nhân của công dân Việt Nam đều thuộc phạm vi điều chỉnh của Nghị định.
10. Công ty TNHH Tokio Marine Việt Nam (TMIV) gửi câu hỏi: Thực tế, trong ngành bảo hiểm có các Đơn vị trung gian bảo hiểm như các Công ty Đại lý bảo hiểm (ĐLBH), Môi giới bảo hiểm (MGBH) đóng vai trò làm bên trung gian cho việc ký kết Hợp đồng bảo hiểm giữa Công ty bảo hiểm và Khách hàng. Các Công ty ĐLBH và MGBH này sẽ là bên trực tiếp tiếp nhận thông tin dữ liệu cùa Khách hàng, sau đó chuyển dữ liệu cá nhân thu thập được cho Công ty bảo hiểm là đơn vị quản lý chính theo Họp đồng bảo hiểm. Vậv các Công ty ĐLBH và MGBH này được phân loại là Bên Kiểm soát dữ liệu cá nhân hay Bên Xử lý dữ liệu cá nhân theo định nghĩa của Nghị định 13/2023/NĐ-CP.
Đổi với câu hỏi này. Ban Tổ chức trả lời như sau: Khoản 9, 10 Điều 2 Nghị định 13/2023/NĐ-CP đã quy định cụ thể về Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân. Theo đó: 9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. 10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu. Như vậy, Công ty TNHH Tokio Marine Việt Nam (TMIV) là tổ chức quyết mục đích, phương pháp, phương tiện xử lý dữ liệu cá nhân. Còn các Công ty ĐLBH và MGBH là chỉ tổ chức thực hiện việc xử lý dữ liệu thay mặt cho Công ty TNHH Tokio Marine Việt Nam (TMIV). Do đó: (1) Công ty TNHH Tokio Marine Việt Nam (TMIV) là Bên Kiểm soát dữ liệu cá nhân. Nếu Công ty TNHH Tokio Marine Việt Nam (TMIV) có xử lý dữ liệu cá nhân sau khi thu thập, thì Công ty TNHH Tokio Marine Việt Nam (TMIV) là Bên Kiểm soát và xử lý dữ liệu cá nhân. (2) Công ty ĐLBH và MGBH là Bên Xử lý dữ liệu cá nhân.
11. Công ty TNHH Một thành viên Tài chính Toyota Việt Nam (TFSVN) gửi câu hỏi với nội dung: “1. Data Warehouse ở nước ngoài thì có thuộc trường hợp chuyển dữ liệu cá nhân ra nước ngoài hay không? 2. Nguyên tắc bảo vệ dữ liệu cá nhân có quy định: Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác”. Với quy định này, tổ chức tín dụng có được sử dụng dữ liệu cá nhân cung cấp bởi các tổ chức có đăng ký kinh doanh hoạt động liên quan đến dữ liệu (ví dụ doanh nghiệp đăng ký kinh doanh ngành 6311 – Xử lý dữ liệu, cho thuê và các hoạt động liên quan; 6209 – Hoạt động dịch vụ công nghệ thông tin; 6312 — cổng thông tin;…) để phục vụ hoạt động KYC và các hoạt động khác liên quan đến việc cấp tín dụng hay không ? 3. Biểu mẫu và quy trình đánh giá tác động xử lý dữ liệu cả nhân ra nước ngoài. Thời hạn Bộ Công an xem xét và phê duyệt hồ sơ đánh giá tác động là bao lâu?”
Đổi với câu hỏi này, Ban Tổ chức trả lời như sau: (1) Đối với câu hỏi Data Warehouse ở nước ngoài thì có thuộc trường họp chuyển dữ liệu cá nhân ra nước ngoài hay không? Ban Tổ chức cho rằng, cần xác định, Data Warehouse ở nước ngoài có được sử dụng vào hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hay không? Nếu sử dụng thì thuộc phạm vi điều chỉnh của Nghị định. (2) Nghị định 13 đã quy định cụ thể: 10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu. 12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân. Khi các doanh nghiệp thuộc các ngành nghề kinh doanh nêu trên ký kết hợp đồng thực hiện việc xử lý dữ liệu với Ban Kiểm soát dữ liệu cá nhân, đúng với các nguyên tắc xử lý dừ liệu cá nhân thì phạm vi hoạt động được coi là đúng quy định của pháp luật. Các quy định về nguyên tắc đó là: 1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật. 2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. 3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. 4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường họp luật có quy định khác. 52 5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. 6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. 7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. 12. Ngân hàng SeABank gửi câu hỏi với nội dung: “1. Theo khoản 1 điều 9 thì chủ thể cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình. Vậy mỗi khi xử lý dữ liệu cá nhân của Khách hàng thì ngân hàng có phải thông báo trước cho chủ thể dữ liệu? Hay không cần thông báo nếu đã có thỏa thuận trước với chủ thể dữ liệu. 2. Với dữ liệu cá nhân của khách hàng có liên quan đến hồ sơ dịch vụ được lưu trữ theo quy định của ngân hàng thì ngân hàng có phải xóa khi chủ thể dữ liệu có yêu cầu không? 3. Theo điều a khoản 4 điều 13 thì bên xử lý dữ liệu cá nhân không cần thông báo cho chủ thể dữ liệu nếu có thỏa thuận trước thời điểm thu thập dữ liệu. Vậy với dữ liệu của khách hàng cũ thì ngân hàng có được thỏa thuận về việc không phải thông báo không? Hay là bắt buộc phải thông báo trước khi xử lý do chưa có thỏa thuận với khách hàng trước thời điểm thu thập dữ liệu cá nhân?” Đối với câu hỏi này, Ban Tổ chức trả lời như sao : (1 ) Khoản 1 Điều 9 đã quy định: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Điều 13 Nghị định đã quy định cụ thể về thông báo xử lý dữ liệu cá nhân, theo đó: 1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân. 2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: a) Mục đích xử lý; b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; c) Cách thức xử lý; 53
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý. 6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật. 7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường họp pháp luật có quv định khác. 12. Ngân hàng SeABank gửi câu hỏi với nội dung: “1. Theo khoản 1 điều 9 thì chủ thể cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình. Vậy mỗi khi xử lý dữ liệu cá nhân của Khách hàng thì ngân hàng có phải thông báo trước cho chủ thể dữ liệu? Hay không cần thông báo nếu đã có thỏa thuận trước với chủ thể dữ liệu. 2. Với dữ liệu cá nhân của khách hàng có liên quan đến hồ sơ dịch vụ được lưu trữ theo quy định của ngân hàng thì ngân hàng có phải xóa khi chủ thể dữ liệu có yêu cầu không? 3. Theo điều a khoản 4 điều 13 thì bên xử lý dữ liệu cá nhân không cần thông báo cho chủ thể dữ liệu nếu có thỏa thuận trước thời điểm thu thập dữ liệu. Vậy với dữ liệu của khách hàng cũ thì ngân hàng có được thỏa thuận về việc không phải thông báo không? Hay là bắt buộc phải thông báo trước khi xử lý do chưa có thỏa thuận với khách hàng trước thời điểm thu thập dữ liệu cá nhân?” Đối với câu hỏi này, Ban Tổ chức trả lời như sao : (1 ) Khoản 1 Điều 9 đã quy định: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Điều 13 Nghị định đã quy định cụ thể về thông báo xử lý dữ liệu cá nhân, theo đó: 1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân. 2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: a) Mục đích xử lý; b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này; đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. 3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. 4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau: a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật (2) về câu hỏi: Với dữ liệu cá nhân của khách hàng có liên quan đến hồ sơ dịch vụ được lưu trữ theo quy định của ngân hàng thì ngân hàng có phải xóa khi chủ thể dữ liệu có yêu cầu không? Khoản 2 Điều 9 Nghị định 13 đã quy định: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Điều 16 Nghị định đã quy định: 1. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân cũa mình trong các trường họp sau: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cả nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dừ liệu cá nhân là vi phạm quy định của pháp luật; 54 đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật. 2. Việc xóa dữ liệu sê không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường họp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bổ tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bổ, phòng, chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác. (3) Đối với việc thông báo đổi với dữ liệu của khách hàng cũ, Nghị định đã quy định rõ về thời điểm có hiệu lực từ 01/7/2023, chỉ áp dụng loại trừ quy định về sự đồng ý, tức là dữ liệu đã thu thập đúng quy định của pháp luật thì không cần xin ý kiến lại nhằm đạt được sự đồng ý của khách hàng. Các nghĩa vụ khác vẫn thực hiện bình thường nếu như Ngân hàng tiếp tục xử lý dữ liệu cá nhân của khách hàng đã thu thập. 55
Liên hệ nếu quý khách cần tư vấn thêm: Ms Huyền Hotline/Zalo – 094 719 2091
Email: pham.thi.thu.huyen@manaboxvn.jp.
_______________
Gia nhập Manabox từ 2017 và hiện đang đảm nhận vai trò làm Giám đốc vận hành, với mong muốn chia sẻ kiến thức của bản thân, Việt Anh sẽ cung cấp những bài viết chất lượng nhất đến độc giả cả về phương diện tình huống thực tiễn và cả góc độ quy định pháp lý.