Một trong những yêu cầu đối với doanh nghiệp từ 01/7/2023 là thành lập bộ phận bảo vệ dữ liệu cá nhân. Tuy nhiên, có đúng mọi doanh nghiệp phải thành lập bộ phận bảo vệ dữ liệu cá nhân hay không?
Mọi doanh nghiệp phải thành lập bộ phận bảo vệ dữ liệu cá nhân?
Từ ngày 01/7/2023, khoản 2 Điều 28 Nghị định 13/2023/NĐ-CP yêu cầu doanh nghiệp có tiến hành xử lý dữ liệu cá nhân nhạy cảm phải:
- Chỉ định (bằng văn bản có hiệu lực pháp lý) bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân;
- Trao đổi 01 bản chính văn bản nêu trên về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an.
Như vậy, không phải mọi doanh nghiệp đều phải chỉ định bộ phận bảo vệ dữ liệu cá nhân mà chỉ có những doanh nghiệp thực hiện xử lý dữ liệu cá nhân nhạy cảm.
Trong đó, xử lý dữ liệu cá nhân được hiểu là bất kỳ hoạt động: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hay các hành động khác có liên quan.
Dữ liệu cá nhân nhạy cảm bao gồm:
STT | Thông tin |
1 | Quan điểm chính trị, quan điểm tôn giáo |
2 | Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu |
3 | Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc |
4 | Thông tin về đặc điểm di truyền được thừa hưởng/có được của cá nhân |
5 | Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân |
6 | Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân |
7 | Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật |
8 | Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm:
|
9 | Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị |
10 | Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết |
Tuy hầu hết các doanh nghiệp hiện nay đều thực hiện xử lý dữ liệu cá nhân nhưng không phải mọi doanh nghiệp đang thực hiện xử lý dữ liệu cá nhân đều phải chỉ định bộ phận bảo vệ dữ liệu cá nhân mà chỉ áp dụng với doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm.
Lưu ý:
Doanh nghiệp siêu nhỏ, nhỏ, vừa, doanh nghiệp khởi nghiệp được miễn trừ nghĩa vụ này trong vòng 02 năm đầu sau khi thành lập.
Không chỉ định bộ phận bảo vệ dữ liệu cá nhân có sao không?
Nghị định 13/2023/NĐ-CP quy định, doanh nghiệp có nghĩa vụ:
- Tuân thủ các nguyên tắc xử lý dữ liệu;
- Không được thực hiện các hành vi bị cấm trong bảo vệ dữ liệu cá nhân.
- Áp dụng các biện pháp để bảo vệ dữ liệu cá nhân…
Theo đó, khi không tuân thủ các quy định tại Nghị định này, tùy theo mức độ vi phạm có thể dẫn đến việc bị:
- Xử phạt vi phạm hành chính;
- Xử lý hình sự.
Do đó, doanh nghiệp cần nghiên cứu và thực hiện đầy đủ các quy định của Nghị định 13/2023. Tuy nhiên, do đây là một văn bản có nội dung mới, chưa thực sự rõ ràng, cụ thể nên thật sự cần văn bản hướng dẫn chi tiết hơn những quy định tại Nghị định này.
Trên đây là giải đáp về vấn đề thành lập bộ phận bảo vệ dữ liệu cá nhân tại doanh nghiệp. Nếu còn thắc mắc, doanh nghiệp vui lòng liên hệ ngay đến tổng đài 19006192 để được hỗ trợ nhanh nhất.