[Tổng hợp] 6 điểm mới dự thảo Luật Bảo vệ dữ liệu cá nhân

1. Quy định Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo

Căn cứ tại Điều 24 dự thảo Luật Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo đưa ra các yêu cầu và quyền liên quan đến việc xử lý dữ liệu cá nhân trong quá trình phát triển các hệ thống tự động và trí tuệ nhân tạo, nội dung chính của điều khoản này bao gồm:

- Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, trí tuệ nhân tạo và các hệ thống tự động khác.

- Thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích ảnh hưởng thuận toán, trí tuệ nhân tạo và các hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.

- Đưa ra các lựa chọn để chủ thể dữ liệu có quyền không tham gia.

2. Quy định Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động

Căn cứ tại Điều 26 dự thảo Luật Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động tập trung vào việc bảo vệ quyền lợi của người lao động và đảm bảo việc thu thập, xử lý, và lưu trữ dữ liệu cá nhân trong quá trình giám sát và tuyển dụng tuân thủ các quy định pháp luật, cụ thể như sau:

- Yêu cầu thông tin công khai và chính đáng: Doanh nghiệp chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động.

- Sự đồng ý và quy định pháp lý: Các thông tin được cung cấp trong hồ sơ người lao động được xử lý theo quy định của pháp luật và phải được sự đồng ý của chủ thể dữ liệu.

- Thời hạn lưu trữ và xóa dữ liệu: Hồ sơ người lao động được lưu trữ có thời hạn theo quy định của pháp luật và phải được xóa khi không còn yêu cầu hoặc kết thúc thời gian theo quy định.

- Cập nhật dữ liệu lên hệ thống toàn cầu: Khi dữ liệu cá nhân của người lao động được cập nhật lên hệ thống sở dữ liệu người lao động toàn cầu,  Pháp nhân thu thập và xử lý dữ liệu cá nhân phải chứng minh được việc thu thập và xử lý dữ liệu là hợp pháp và Chủ thể dữ liệu chịu trách nhiệm về tính hợp pháp của thông tin do mình cung cấp.

- Công ty nước ngoài xử lý dữ liệu cá nhân phải tuân thủ quy định Việt Nam: Các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam:

• Tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Việt Nam;
• Có văn bản, thỏa thuận, hợp đồng với công ty đầu tư tại Việt Nam về việc xử lý dữ liệu cá nhân của người lao động;
• Cung cấp cho công ty đầu tư tại Việt Nam bản sao dữ liệu về nhân viên là người Việt Nam đang sinh sống, làm việc trên lãnh thổ Việt Nam để tuân thủ các quy định của pháp luật khi cần thiết.

- Biện pháp giám sát người lao động: Việc xử lý dữ liệu cá nhân áp dụng các biện pháp công nghệ, kỹ thuật giám sát người lao động là nhân viên công ty.

3. Quy định về Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng

Căn cứ tại Điều 27 dự thảo Luật Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng quy định các biện pháp bảo vệ dữ liệu cá nhân trong các lĩnh vực liên quan đến tài chính, đảm bảo quyền lợi của cá nhân trong việc quản lý và sử dụng thông tin tín dụng, cụ thể như sau:

- Quy định đối với các công ty tài chính, ngân hàng, tín dụng:

• Cấm mua bán và chuyển giao thông tin tín dụng trái phép: Không được mua, bán thông tin tín dụng hoặc chuyển giao trái phép thông tin tín dụng giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;
• Cấm truyền bản rõ thông tin tài chính: Không được gửi, truyền bản rõ dữ liệu về tài chính, tín dụng của chủ thể dữ liệu giữa các tổ chức tài chính, tín dụng, thông tin tín dụng;
• Bảo vệ dữ liệu nhạy cảm: Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn bảo mật về thanh toán, tín dụng theo quy định của pháp luật;
• Sử dụng dữ liệu tín dụng phải có sự đồng ý: Không được sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu khi chưa có sự đồng ý của chủ thể dữ liệu;
• Kết quả đánh giá tín dụng: Kết quả đánh giá thông tin tín dụng của chủ thể dữ liệu chỉ được dưới dạng Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng, tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng;
• Khử nhận dạng dữ liệu cá nhân: Xác định và tuyên bố rõ ràng về các khâu đoạn cần áp dụng biện pháp khử nhận dạng dữ liệu cá nhân;
• Thông báo sự cố về tài khoản tài chính: Phải thông báo cho chủ thể dữ liệu về các sự cố và việc mất các thông tin về tài khoản tài chính.

- Cấm cung cấp và chuyển giao dữ liệu trái phép:

Các tổ chức kinh doanh dịch vụ thông tin tín dụng, ngân hàng, bảo hiểm, tài chính, trung gian thanh toán không được cung cấp, chuyển giao trái phép dữ liệu cá nhân cho nhau và với các tổ chức doanh nghiệp khác, trừ trường hợp được luật cho phép.

- Quy định về cung cấp thông tin tín dụng:

Chỉ được cung cấp thông tin tín dụng, sản phẩm thông tin tín dụng của chủ thể dữ liệu cho các tổ chức, cá nhân là các tổ chức tài chính, ngân hàng, tín dụng khi có quy định của luật.

- Quyền hạn của cơ quan chuyên trách

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là đầu mối yêu cầu cung cấp thông tin tín dụng phục vụ điều tra, xử lý hành vi vi phạm pháp luật theo quy định.

4. Quy định về Bảo vệ dữ liệu cá nhân trong hoạt động trên mạng xã hội

Căn cứ tại Điều 31 dự thảo quy định về việc Bảo vệ dữ liệu cá nhân trên mạng xã hội và dịch vụ truyền thông trực tuyến (OTT), nhấn mạnh trách nhiệm của các tổ chức và cá nhân cung cấp dịch vụ trong việc bảo vệ quyền riêng tư và thông tin cá nhân của người dùng, cụ thể như sau:

- Trách nhiệm của nhà cung cấp dịch vụ mạng xã hội và dịch vụ OTT:

• Bảo vệ dữ liệu cá nhân tại thị trường Việt Nam: Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam.
• Minh bạch trong việc thu thập dữ liệu: Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ OTT. Không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
• Không yêu cầu ảnh căn cước công dân, chứng minh nhân dân: Không được yêu cầu chụp ảnh căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản.
• Quyền từ chối thu thập và chia sẻ cookies: Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies.
• Lựa chọn "không theo dõi": Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ OTT khi có sự đồng ý của người sử dụng.
• Thông báo về chia sẻ dữ liệu cá nhân và quảng cáo: Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng.
• Cấm nghe lén, ghi âm, đọc tin nhắn không có sự đồng ý: Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật.

- Dữ liệu cá nhân đăng ký tài khoản không phải là dữ liệu công khai

Dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ OTT không phải là dữ liệu công khai và không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.

5. Đã có quy định về hồ sơ đăng ký kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân

5.1 Điều kiện kinh doanh dịch vụ Tổ chức Bảo vệ dữ liệu cá nhân

Căn cứ tại khoản 1 Điều 37 dự thảo Luật Bảo vệ dữ liệu cá nhân, quy định các điều kiện cần để tổ chức, doanh nghiệp kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân:

- Tổ chức chuyên môn về công nghệ hoặc pháp lý: Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý.

- Yêu cầu về chuyên gia đạt chứng nhận: Có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện về năng lực công nghệ và pháp lý bảo vệ dữ liệu cá nhân hoặc có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực pháp lý về bảo vệ dữ liệu cá nhân và có tối thiểu 01 chuyên gia đạt Giấy chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân;

- Xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân: Có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.

5.2 Hồ sơ phê duyệt kinh doanh

Doanh nghiệp, tổ chức có nhu cầu kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân, chuẩn bị hồ sơ theo quy định tại khoản 2 Điều 37 dự thảo Luật Bảo vệ dữ liệu cá nhân, như sau:

- Đơn đề nghị kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân;

- Giấy tờ chứng minh tư cách pháp lý của tổ chức đề nghị: Bản sao chứng Quyết định thành lập hoặc các tài liệu tương đương khác;

- Giấy tờ chứng minh đủ năng lực hoạt động về năng lực về công nghệ và pháp lý;

- Giấy chứng nhận xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức Đạt.

6. Thêm quy định về Chuyên gia bảo vệ giữ liệu cá nhân

Căn cứ tại Điều 38 dự thảo Luật Bảo vệ dữ liệu cá nhân, quy định chuyên gia có đủ năng lực bảo vệ giữ liệu cá nhân và điều kiện để được cấp giấy chứng nhận chuyên gia bảo vệ dữ liệu cá nhân, cụ thể như sau:

- Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý:

Điều kiện được cấp giấy chứng nhận:

• Có văn bằng trình độ cao đẳng trở lên về bảo mật, an toàn thông tin, an ninh mạng;
• Có văn bằng trình độ cao đẳng trở lên  về  pháp luật;
• Đã hoàn thành khóa học Chứng nhận đủ điều kiện năng lực pháp lý và công nghệ về bảo vệ dữ liệu cá nhân.

- Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ:

Điều kiện được cấp giấy chứng nhận:

• Có văn bằng trình độ cao đẳng trở lên  về bảo mật, an toàn thông tin, an ninh mạng;
• Đã hoàn thành khóa học chứng nhận đủ điều kiện năng lực công nghệ về bảo vệ dữ liệu cá nhân.

- Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý:

• Có văn bằng trình độ cao đẳng trở lên  về pháp luật;
• Đã hoàn thành khóa học chứng nhận đủ điều kiện về năng lực pháp lý bảo vệ dữ liệu cá nhân.

Lưu ý:

Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.

Tuy nhiên, không áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân.