Các bước kiểm tra lộ thông tin cá nhân? Quy định mới nhất về bảo vệ dữ liệu cá nhân

Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ ngày 01/07/2023. Manabox xin được tóm tắt các nội dung chính gửi tới Quý Khách hàng.

Các bước kiểm tra lộ thông tin cá nhân?

Việc lộ lọt dữ liệu có thể dẫn đến những hậu quả nghiêm trọng như bị đánh cắp danh tính, lừa đảo tài chính và xâm phạm quyền riêng tư. Nội dung dưới đây sẽ hướng dẫn người sử dụng cách kiểm tra tình trạng lộ lọt thông tin tài khoản cá nhân thông qua hai công cụ uy tín: F-Secure Identity Theft Checker và CyberNews Personal Data Leak Check, đồng thời cung cấp các biện pháp khắc phục hiệu quả.

1. Kiểm tra tình trạng lộ lọt thông tin tài khoản

1.1. Sử dụng công cụ F-Secure Identity Theft Checker

F-Secure là một công ty bảo mật mạng uy tín, cung cấp công cụ kiểm tra lộ lọt dữ liệu miễn phí. Công cụ này tập trung vào việc kiểm tra xem địa chỉ email của người dùng có xuất hiện trong các vụ rò rỉ dữ liệu đã biết hay không.

• Cách sử dụng: Truy cập trang web F-Secure Identity Theft Checker tại đường dẫn: https://www.f-secure.com/en/identity-theft-checker. Nhập địa chỉ email người dùng muốn kiểm tra vào ô trống và nhấn “Check for breaches”. F-Secure sẽ gửi báo cáo kết quả đến địa chỉ email người dùng đã cung cấp.

Kiểm tra tình trạng lộ lọt thông tin tài khoản cá nhân qua trang web F-Secure Identity Theft Checker

• Ưu điểm: Dễ sử dụng, nhanh chóng, không yêu cầu đăng ký tài khoản.
• Nhược điểm: Chỉ kiểm tra dựa trên địa chỉ email, không cung cấp thông tin chi tiết về vụ rò rỉ.

1.2. Sử dụng công cụ CyberNews Personal Data Leak Check

CyberNews cũng cung cấp công cụ kiểm tra rò rỉ dữ liệu miễn phí, bao quát hơn so với F-Secure. Công cụ này kiểm tra không chỉ địa chỉ email mà còn cả số điện thoại, giúp người dùng có cái nhìn toàn diện hơn về tình trạng bảo mật thông tin cá nhân.

• Cách sử dụng: Truy cập trang web CyberNews Personal Data Leak Check tại đường dẫn: https://cybernews.com/personal-data-leak-check. Nhập địa chỉ email hoặc số điện thoại người dùng muốn kiểm tra. CyberNews sẽ hiển thị kết quả ngay lập tức, cho biết thông tin của người dùng có bị rò rỉ hay không, và trong trường hợp có, sẽ cung cấp một số thông tin cơ bản về vụ rò rỉ.

Kiểm tra tình trạng lộ lọt thông tin tài khoản cá nhân qua trang web CyberNews Personal Data Leak Check

• Ưu điểm: Kiểm tra được cả email và số điện thoại, cung cấp một số thông tin về vụ rò rỉ.
• Nhược điểm: Phải đăng ký tài khoản để xem thông tin chi tiết hơn.

2. Khắc phục tình trạng lộ lọt thông tin

Nếu phát hiện thông tin của mình bị rò rỉ, người dùng cần thực hiện ngay các biện pháp khắc phục sau:

2.1. Thay đổi mật khẩu:

Đây là bước đầu tiên và quan trọng nhất. Thay đổi mật khẩu cho tất cả các tài khoản sử dụng địa chỉ email hoặc số điện thoại bị lộ lọt. Hãy sử dụng mật khẩu mạnh, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt, đồng thời tránh sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau.

2.2. Kích hoạt xác thực hai yếu tố (2FA):

2FA cung cấp lớp bảo mật bổ sung cho tài khoản của người dùng. Khi được kích hoạt, ngoài mật khẩu, người dùng sẽ cần nhập mã xác minh được gửi đến điện thoại hoặc email của mình mỗi khi đăng nhập.

2.3. Theo dõi hoạt động tài khoản:

Kiểm tra thường xuyên các giao dịch tài chính, hoạt động đăng nhập và các thông báo từ các dịch vụ trực tuyến. Nếu phát hiện bất kỳ hoạt động đáng ngờ nào, hãy liên hệ ngay với nhà cung cấp dịch vụ.

2.4. Cảnh giác với các email và tin nhắn lừa đảo:

Tin tặc thường lợi dụng thông tin bị rò rỉ để thực hiện các cuộc tấn công giả mạo (phishing). Hãy cẩn thận với các email hoặc tin nhắn yêu cầu người dùng cung cấp thông tin cá nhân hoặc đăng nhập vào các trang web giả mạo.

2.5. Sử dụng phần mềm diệt virus và tường lửa:

Phần mềm diệt virus và tường lửa giúp bảo vệ thiết bị của người dùng khỏi các phần mềm độc hại và các cuộc tấn công mạng.

2.6. Cập nhật phần mềm thường xuyên:

Các bản cập nhật phần mềm thường chứa các bản vá lỗi bảo mật, giúp ngăn chặn các lỗ hổng bảo mật mà tin tặc có thể khai thác.

2.7. Hạn chế chia sẻ thông tin cá nhân:

Hãy cẩn thận khi chia sẻ thông tin cá nhân trên mạng xã hội và các trang web khác. Chỉ cung cấp thông tin cần thiết và tránh chia sẻ thông tin nhạy cảm như số thẻ tín dụng, căn cước công dân…

2.8. Báo cáo vụ việc:

Nếu người dùng là nạn nhân của một vụ rò rỉ dữ liệu, hãy báo cáo vụ việc cho cơ quan chức năng có thẩm quyền để được hỗ trợ và bảo vệ quyền lợi của mình.

Việc bảo vệ thông tin cá nhân trên không gian mạng là một quá trình liên tục và đòi hỏi sự chủ động từ phía người dùng. Bằng cách sử dụng các công cụ kiểm tra rò rỉ dữ liệu và áp dụng các biện pháp khắc phục được đề cập trong bài viết này, người dùng có thể giảm thiểu rủi ro bị tấn công mạng và bảo vệ thông tin cá nhân của mình một cách hiệu quả.

Bối cảnh ra đời

Nội dung tổng quát

Những nội dung tổng quát trong thông tư mà các doanh nghiệp cần nghiên cứu, phân tích và xây dựng các chính sách phù hợp với tình hình mới:

• Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân gồm có hai loại chủ yếu là dữ liệu cơ bản và dữ liệu nhạy cảm. Một trong các dữ liệu nhạy cảm gồm có dữ liệu về tài chính (tài khoản, thẻ, công cụ thanh toán, hồ sơ, tình trạng tài chính, lịch sử tín dụng, thu nhập…)
• Dữ liệu cá nhân chỉ được các cơ quan, tổ chức, cá nhân thu thập trong trường hợp cần thiết theo quy định của pháp luật; chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố; chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền. Quy định chế tài: Mức xử phạt 50 – 100 triệu đồng với trường hợp cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân trái phép và có thể bị xử hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật, phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.

Nghị định này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan và được áp dụng với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Nguyên tắc quy định trong hoạt động kiểm soát và sử dụng dữ liệu cá nhân

Cụ thể hơn, Nghị định đưa ra các nguyên tắc bảo vệ dữ liệu cá nhân, cách thức xác định sự đồng ý từ chủ thể dữ liệu cho phép tổ chức khai thác và sử dụng dữ liệu, gồm: 

Nguyên tắc bảo vệ dữ liệu cá nhân gồm:

• Nguyên tắc hợp pháp: Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật
• Nguyên tắc mục đích: Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã đăng ký, tuyên bố về xử lý thông tin cá nhân
• Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định
• Nguyên tắc sử dụng hạn chế: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền theo quy định
• Nguyên tắc về chất lượng dữ liệu: Dữ liệu cá nhân phải được cập nhật, đầy đủ để bảo đảm mục đích xử lý dữ liệu
• Nguyên tắc an ninh: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ trong quá trình xử lý dữ liệu cá nhân
• Nguyên tắc cá nhân: Chủ thể dữ liệu được biết và nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình
• Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu

Sự đồng ý của chủ thể

Sự đồng ý của chủ thể chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

• • Loại dữ liệu cá nhân được xử lý;
  • Mục đích xử lý dữ liệu cá nhân;
  • Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
  • Các quyền, nghĩa vụ của chủ thể dữ liệu.

Ngoài ra các nguyên tắc sau cũng cần được lưu ý trong quá trình xác nhận đồng ý từ phía Chủ thể dữ liệu:

• Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
• Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
• Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
• Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
• Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
• Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
• Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
• Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.

Mẫu quy chế bảo vệ dữ liệu cá nhân – Personal Data Protection

Khuyến nghị của Manabox thực hiện bảo vệ dữ liệu cá nhân

• Công ty cần có văn bản thể hiện sự đồng ý của người lao động trước khi thu thập các dữ liệu cá nhân phục vụ cho giao kết hợp đồng hay kiểm soát và xử lý dữ liệu. Công ty tham khảo các yêu cầu cơ bản đối với văn bản thể hiện sự đồng ý của người lao động để xây dựng mẫu thỏa thuận phù hợp.
• Công ty có thể bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động, liệt kê rõ phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân, và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân, như một văn bản thể hiện sự đồng ý của NLĐ
• Công ty cần xây dựng hệ thống để đảm bảo các quyền, nghĩa vụ của chủ thể dữ liệu (NLĐ) theo điều 9, điều 10 NĐ 13/2023/NĐ-CP. Ví dụ: quyền được biết, quyền rút lại, quyền hạn chế, xóa, v.v; Mọi yêu cầu hạn chế hoặc phản đối xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu từ người lao động.
• Xây dựng hoặc cập nhật nội quy lao động về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm
• Giao kết thỏa thuận không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân
• Bố trí nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân: Căn cứ theo điều 28, điều 30, NĐ 13/2023/NĐ-CP, mọi doanh nghiệp đều phải bố trí nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân, ngoại trừ doanh nghiệp SME được ân hạn trong 2 năm đầu kể từ khi thành lập doanh nghiệp
• Công ty cần xác định căn cứ pháp lý, trách nhiệm, quyền, nghĩa vụ của từng cá nhân, công ty trong xử lý, kiểm soát dữ liệu;
• Về nghĩa vụ báo cáo vi phạm về bảo vệ dữ liệu cá nhân: Căn cứ theo điều 23, NĐ 13/2023/NĐ-CP, Công ty cần thông báo cho Bộ Công an chậm nhất sau 72 giờ sau khi xảy ra hành vi vi phạm, trường hợp thông báo muộn phải kèm theo lý do
• Trong nghĩa vụ đánh giá tác động bảo vệ dữ liệu cá nhân và đánh giá rủi ro theo mẫu 03, 04, 05 tại NĐ 13/2023/NĐ-CP; Căn cứ theo điều 24. NĐ 13/2023/NĐ- CP: Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân hoặc khi có sự thay đổi đối với hoạt động xử lý, Công ty cần nộp báo cáo cho Bộ Công An. Hồ sơ này cần phải được lưu trữ và sẵn sàng khi có yêu cầu kiểm tra.
• Kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Ngoài ra, doanh nghiệp còn phải gửi một bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo mẫu số 06 tại Phụ lục của NĐ13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Dịch vụ Bảo vệ dữ liệu cá nhân – PROTECTION OF PERSONAL DATA

Thủ tục hành chính liên quan

Nguyen Tran Long

Manalabo Dep.

Sáng tạo nội dung của Bộ phận Manalabo, Công ty TNHH Manabox Việt Nam