Nguyên tắc xử lý Dữ liệu Cá nhân theo Nghị định 13/2023/NĐ-CP

Nguyên tắc xử lý Dữ liệu Cá nhân theo Nghị định 13/2023/NĐ-CP

Giới thiệu

Qua quá trình soạn thảo, cân nhắc và sửa đổi kỹ lưỡng, Chính phủ đã ban hành Nghị định đầu tiên về Bảo vệ Dữ liệu Cá nhân số 13/2023/NĐ-CP vào ngày 17 tháng 4 năm 2023 (“Nghị định 13”), nhằm mục đích tạo ra khung pháp lý tiếp cận vấn đề bảo vệ dữ liệu cá nhân một cách toàn diện và thống nhất ở Việt Nam. Do nội dung của Nghị định 13 phần lớn quy định về các nguyên tắc áp dụng cho doanh nghiệp liên quan đến hoạt động xử lý dữ liệu cá nhân, bài viết này sẽ cung cấp một cách chi tiết hơn những tác động chính của Nghị định đối với chủ thể doanh nghiệp.

Các chủ thể liên quan tới xử lý Dữ liệu Cá nhân

Nghị định 13 điều chỉnh 05 chủ thể[1] liên quan tới xử lý dữ liệu cá nhân, tương ứng như sau:

Chủ thể Dữ liệu: Là cá nhân được dữ liệu cá nhân phản ánh;

Bên Kiểm soát dữ liệu cá nhân: Là tổ chức hoặc cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân (“Bên Kiểm soát dữ liệu”);

Bên Xử lý dữ liệu cá nhân: Là tổ chức hoặc cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu (“Bên Xử lý dữ liệu”);

Bên Kiểm soát và xử lý dữ liệu cá nhân: Là tổ chức hoặc cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân; và,

Bên thứ ba: Là tổ chức hoặc cá nhân ngoài các chủ thể nói trên và được phép xử lý dữ liệu cá nhân.

Nhìn chung, ngoại trừ Chủ thể Dữ liệu, Nghị định 13 yêu cầu mỗi bên thuộc bốn chủ thể xử lý dữ liệu cá nhân phải thực hiện biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn để bảo đảm tính bảo mật và tính toàn vẹn của dữ liệu cá nhân, trên cơ sở các chủ thể phải chịu trách nhiệm pháp lý trước Chủ thể Dữ liệu về mọi thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. Tuy nhiên, trách nhiệm của Bên kiểm soát dữ liệu và Bên Xử lý dữ liệu (và, tương ứng với hai bên nêu trên, Bên Kiểm soát và xử lý dữ liệu cá nhân) được quy định chi tiết và nghiêm ngặt hơn.

Liên quan đến các biện pháp tổ chức, kỹ thuật và an toàn nêu trên, Bên kiểm soát dữ liệu có nghĩa vụ phải rà soát và cập nhật các biện pháp này tùy từng thời điểm khi cần thiết. Đồng thời, phải ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân, và chỉ làm việc với Bên Xử lý dữ liệu có các biện pháp bảo vệ phù hợp theo yêu cầu và quy định pháp luật hiện hành[2]. Mặt khác, Bên xử lý dữ liệu phải ký kết hợp đồng với Bên kiểm soát dữ liệu trước khi tiếp nhận và xử lý bất kỳ dữ liệu cá nhân nào. Sau khi kết thúc quá trình xử lý, Bên xử lý dữ liệu phải xóa và trả lại toàn bộ dữ liệu cho Bên kiểm soát dữ liệu[3]. Yêu cầu đặt ra cho các doanh nghiệp theo Nghị định 13 là phải hiểu và xác định được vai trò của mình trong quá trình xử lý dữ liệu cá nhân để tuân thủ đầy đủ các quy định pháp luật liên quan.

Nguyên tắc xử lý Dữ liệu Cá nhân

Nghị định 13 đặt ra 08 nguyên tắc[4] để các doanh nghiệp tuân thủ trong quá trình xử lý dữ liệu. Về cơ bản, các nguyên tắc này tương thích với các nguyên tắc được liệt kê trong Quy định bảo vệ dữ liệu chung số 2016/679 của Liên minh Châu Âu (“Quy định 2016/679”). Cụ thể:

Tính hợp pháp: Dữ liệu cá nhân được xử lý theo quy định của pháp luật;

Tính minh bạch: Chủ thể Dữ liệu phải được thông báo và biết về các hoạt động xử lý;

Giới hạn mục đích sử dụng: Dữ liệu cá nhân chỉ được xử lý cho các mục đích đã được đăng ký và tuyên bố bởi các bên liên quan đến việc xử lý dữ liệu;

Giảm thiểu dữ liệu: Dữ liệu cá nhân được thu thập phải phù hợp với phạm vi và mục đích xử lý;

Tính chính xác: Dữ liệu cá nhân phải được cập nhật, bổ sung phù hợp cho mục đích xử lý;

Tính toàn vẹn và bảo mật: Dữ liệu cá nhân sẽ được bảo vệ và bảo mật trong quá trình xử lý khỏi mọi vi phạm hoặc thiệt hại;

Giới hạn lưu trữ: Dữ liệu cá nhân sẽ chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý; Và

Trách nhiệm giải trình: Bên kiểm soát dữ liệu và Bên xử lý và kiểm soát dữ liệu cá nhân phải tuân thủ các nguyên tắc trên và chứng minh sự tuân thủ các nguyên tắc.

Đối với nguyên tắc “Giảm thiểu dữ liệu”, Nghị định 13 đồng thời đưa vào một nguyên tắc bổ sung về cấm mua, bán dữ liệu cá nhân dưới bất kỳ hình thức nào.

Sự đồng ý của Chủ thể Dữ liệu

Sự đồng ý của Chủ thể Dữ liệu là cơ sở quan trọng nhất và được áp dụng đối với mọi hoạt động xử lý dữ liệu. Sự đồng ý của Chủ thể dữ liệu sẽ chỉ có hiệu lực khi[5]:

Sự đồng ý được đưa ra một cách tự nguyện, không bị ép buộc hoặc lừa dối; và,

Được đưa ra dựa trên sự hiểu biết đầy đủ của Chủ thể Dữ liệu về các nội dung: loại dữ liệu cá nhân sẽ được xử lý; mục đích xử lý dữ liệu cá nhân; các chủ thể được phép xử lý dữ liệu cá nhân; và các quyền và nghĩa vụ của Chủ thể Dữ liệu.

Sự đồng ý phải được thể hiện rõ ràng và cụ thể bằng văn bản, bằng giọng nói, bằng cách đánh dấu vào ô đồng ý, bằng tin nhắn văn bản, bằng cách chọn các thiết lập kỹ thuật đồng ý hoặc thông qua các hình thức khác có thể thể hiện được sự đồng ý[6]. Nghị định 13 cũng quy định rằng các hình thức đồng ý phải ở định dạng có thể in, sao chép được bằng văn bản, bao gồm định dạng điện tử hoặc định dạng có thể kiểm chứng được[7].

Bên cạnh đó, sự đồng ý sử dụng dữ liệu phải được ràng buộc với một mục đích duy nhất[8]. Trong trường hợp dữ liệu được xử lý cho nhiều mục đích, Bên kiểm soát dữ liệu và Bên xử lý dữ liệu phải liệt kê tất cả các mục đích để Chủ thể Dữ liệu có thể xem xét, xác nhận và quyết định đồng ý với các mục đích đã nêu. Chủ thể Dữ liệu có thể đồng ý một phần hoặc đưa ra điều kiện kèm theo[9].

Cần lưu ý rằng việc Chủ thể Dữ liệu im lặng hoặc không phản hồi không cấu thành sự đồng ý[10].

Xử lý Dữ liệu Cá nhân trong một số trường hợp đặc biệt

Xử lý Dữ liệu Cá nhân không có sự đồng ý

Bất kể Mục III nêu trên đưa ra yêu cầu về sự đồng ý của Chủ thể Dữ liệu, Nghị định 13 quy định một số trường hợp đặc biệt được phép xử lý dữ liệu cá nhân mà không có sự đồng ý để bảo đảm lợi ích công cộng hoặc phục vụ hoạt động của các cơ quan Nhà nước. Những trường hợp như vậy được quy định tại Điều 17 của Nghị định, khi phục vụ mục đích bảo vệ tính mạng và sức khỏe của Chủ thể Dữ liệu hoặc cá nhân khác; hoặc được cơ quan Nhà nước có thẩm quyền xử lý trong trường hợp xảy ra tình trạng khẩn cấp về quốc phòng, an ninh, trật tự, an toàn xã hội.

Ngoài ra, dữ liệu cá nhân thu thập được từ hoạt động ghi âm, ghi hình ở nơi công cộng của các cơ quan, tổ chức có thẩm quyền cũng có thể được xử lý mà không có sự đồng ý của Chủ thể Dữ liệu[11]. Tuy nhiên, những công cụ này chỉ được ghi lại vì mục đích bảo vệ an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp theo quy định của pháp luật. Để làm rõ, nếu video hoặc âm thanh được ghi lại vì các mục đích khác thì các chủ thể xử lý vẫn cần có sự đồng ý của Chủ thể Dữ liệu trước khi tiến hành hoạt động xử lý. Chủ thể Dữ liệu phải được thông báo về việc ghi âm, ghi hình đó.

Xử lý Dữ liệu Cá nhân của các chủ thể dữ liệu đặc biệt

Liên quan đến việc xử lý dữ liệu cá nhân của những người bị tuyên bố mất tích hoặc đã chết, phải có sự đồng ý của các thành viên gia đình của người đó (ví dụ: vợ/chồng, con cái đã thành niên hoặc cha mẹ của người đó)[12] trước khi thực hiện hoạt động xử lý dữ liệu. Trong trường hợp người đó không có thành viên gia đình thì coi như không có sự đồng ý và do đó, không thể xử lý dữ liệu cá nhân của người đó.

Liên quan đến việc xử lý dữ liệu cá nhân của trẻ em, đối với trẻ em từ 7 tuổi trở lên, bất kỳ chủ thể nào tham gia xử lý dữ liệu đều phải có được sự đồng ý của cả trẻ em và cha mẹ hoặc người giám hộ của trẻ em[13]; trong khi đối với trẻ em dưới 7 tuổi, dường như chỉ cần có sự đồng ý của cha mẹ hoặc người giám hộ. Do đó, cần phải xác nhận độ tuổi của Chủ thể Dữ liệu là trẻ em trước khi tiến hành bất kỳ hoạt động xử lý nào, để có được sự đồng ý phù hợp và đầy đủ theo luật định.

Xử lý Dữ liệu Cá nhân trong kinh doanh dịch vụ tiếp thị và quảng cáo

Các chủ thể kinh doanh dịch vụ tiếp thị và quảng cáo chỉ có thể sử dụng dữ liệu cá nhân của khách hàng được thu thập thông qua hoạt động kinh doanh của mình để cung cấp dịch vụ tiếp thị và quảng cáo với sự đồng ý của Chủ thể Dữ liệu, trên cơ sở Chủ thể Dữ liệu được thông báo về nội dung, phương pháp, hình thức và tần suất thực hiện các hoạt động tiếp thị và quảng cáo[14].

Kết luận

Nghị định 13 đã tạo ra khung pháp lý giúp Chính phủ giải quyết những thách thức hiện nay đối với việc bảo vệ dữ liệu cá nhân ở Việt Nam. Tuy nhiên, Nghị định chưa hướng dẫn thủ tục cụ thể áp dụng, ví dụ như giải quyết khiếu nại vi phạm việc bảo vệ dữ liệu cá nhân - một vấn đề đáng lo ngại trong hoạt động xử lý dữ liệu. Một nghị định hướng dẫn thi hành Nghị định 13 được dự đoán sẽ được xây dựng và ban hành trong thời gian tới, để thực hiện nghiêm ngặt và có hiệu quả hoạt động bảo vệ dữ liệu cá nhân. Trong giai đoạn hiện tại, các doanh nghiệp cần thận trọng khi thu thập và xử lý dữ liệu cá nhân, và hành động tuân thủ theo nghĩa vụ và trách nhiệm quy định trong Nghị định.

ADK

[1] Điều 2.6, 2.9, 2.10, 2.11, 2.12 Nghị định số 13/2023/ND-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”).

[2] Điều 38 Nghị định 13.

[3] Điều 39 Nghị định 13.

[4] Điều 3 Nghị định 13.

[5] Điều 11.2 Nghị định 13.

[6] Điều 11.3 Nghị định 13.

[7] Điều 11.5 Nghị định 13.

[8] Điều 11.4 Nghị định 13.

[9] Điều 11.7 Nghị định 13.

[10] Điều 11.6 Nghị định 13.

[11] Điều 18 Nghị định 13.