Giải đáp thắc mắc về Bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP

- Xây dựng các biện pháp bảo vệ dữ liệu cá nhân (biện pháp quản lý, biện pháp kỹ thuật) để áp dụng trong suốt quá trình xử lý dữ liệu cá nhân như:

- Rà soát, xây dựng các chính sách bảo vệ dữ liệu cá nhân áp dụng cho Nhân sự, khách hàng, nhà cung cấp.

- Tổ chức các buổi đào tạo để phổ biến, nâng cao ý thức của Nhân sự về vấn đề bảo vệ dữ liệu cá nhân, quy trình xử lý dữ liệu cá nhân, quyền và nghĩa vụ của các bên trong vấn đề bảo vệ dữ liệu cá nhân, …

Việc lấy sự đồng ý có thể được thực hiện bằng nhiều cách thức tùy thuộc vào tình hình thực tế của mỗi công ty. Tuy nhiên, phải đảm bảo sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

- Trước khi xử lý dữ liệu cá nhân, công ty phải thông báo cho khách hàng biết: (i) Mục đích xử lý dữ liệu cá nhân; (ii) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; (iii) Cách thức xử lý; (iv) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý theo quy định Điều 13 Nghị định 13/2023/NĐ-CP

- Thực hiện các thủ tục liên quan đến vấn đề bảo vệ dữ liệu cá nhân

Luật sư Hà Huy Phong: Theo Bộ Công an, việc dự thảo Luật Bảo vệ dữ liệu cá nhân có tác dụng hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân do hiện tại chưa có văn bản luật nào quy định về bảo vệ dữ liệu cá nhân và, phạm vi điều chỉnh của Nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013.

Do đó, Luật bảo vệ DLCN sẽ bổ sung, làm rõ các điều khoản được quy định tại Nghị định 13/2023/NĐ-CP.

Qua rà soát, có thể thấy bố cục, phần nhiều các điều khoản của Dự thảo Luật BVDLCN có nội dung tương đồng với Nghị định 13/2023/NĐ-CP như những quy định chung, quyền và nghĩa vụ của chủ thể dữ liệu, Bảo vệ dữ liệu cá nhân trong quá trình xử lý và chuyển hoá dữ liệu. Do đó, có khả năng khi Luật Bảo vệ dữ liệu cá nhân được ban hành và có hiệu lực thì Nghị định 13/2023/NĐ-CP sẽ hết hiệu lực, và một Nghị định khác sẽ được ban hành để hướng dẫn luật Bảo vệ dữ liệu cá nhân.

- Lấy ý kiến về sự đồng ý của khách hàng theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP (có thể thiết lập các biện pháp kỹ thuật trên website để thu thập sự đồng ý).

- Chỉ được thu thập dữ liệu cá nhân phù hợp và giới hạn trong trong phạm vi, mục đích mà khách hàng đã đồng ý (ví dụ: lưu trữ, giao mua hàng hoá) và phải có điều khoản nêu rõ phạm vi, mục đích này tại ô xác nhận, đặc biệt không được mua, bán dưới mọi hình thức.

- Xây dựng quy trình để tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu (yêu cầu chỉnh sửa, xóa dữ liệu của cá nhân…)

Theo Nghị định tại Điều 4 Nghị định 13/2023/NĐ-CP, hành vi vi phạm về bảo vệ dữ liệu cá nhân sẽ có 03 hình thức xử lý như sau:

- Xử lý kỷ luật

- Xử phạt vi phạm hành chính

- Xử lý hình sự

Ngoài ra, hiện nay đã có dự thảo Nghị định xử phạt hành chính trong lĩnh vực an ninh mạng và Mục 2 Chương 2 của Nghị định này quy định việc xử phạt hành chính đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Theo đó, tổ chức có hành vi vi phạm thì tùy từng mức độ vi phạm có thể bị xử phạt vi phạm hành chính:

- Mức phạt tiền từ 120 - 200 triệu đồng nếu gây thiệt hại tùy mức độ có thể bị phạt gấp 2 lần hoặc 3 lần mức phạt ở trên hoặc 5% tổng doanh thu tại VN.

- Và bị áp dụng biện pháp xử phạt bổ sung như:

- Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;

- Ngừng hoạt động xử lý dữ liệu cá nhân;

- Bị áp dụng biện pháp khắc phục hậu quả:

- Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).

Việc tuân thủ quy định Nghị định 13/2023/NĐ-CP là sẽ giúp doanh nghiệp hạn chế vướng vào các tranh chấp, rủi ro về pháp lý, rủi ro về tài chính liên quan đến vấn đề bảo vệ dữ liệu cá nhân.

Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi (i) chủ thể dữ liệu tự nguyện và (ii) chủ thể dữ liệu biết rõ các nội dung: loại dữ liệu cá nhân được xử lý; mục đích xử lý dữ liệu cá nhân; tổ chức, cá nhân được xử lý dữ liệu cá nhân; các quyền, nghĩa vụ của chủ thể dữ liệu.

Sự đồng ý của chủ thể dữ liệu cá nhân phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

Ví dụ: Công ty có thể xây dựng Chính sách bảo vệ dữ liệu cá nhân áp dụng chung đối với tất cả các khách hàng và đăng tải công khai trên website của Công ty và xây dựng biểu mẫu lấy ý kiến sự đồng ý của Khách hàng và thực hiện lấy ý kiến về sự đồng ý bằng các cách như:

(i) Gửi Chính sách bảo vệ dữ liệu cá nhân đối với khách hàng đến email của khách hàng kèm với thông báo Công ty sẽ xử lý dữ liệu cá nhân của khách hàng theo các mục đích, điều kiện quy định tại Chính sách và quy định luôn các trường hợp được coi là khách hàng đồng ý cho Công ty xử lý dữ liệu cá nhân tại Chính sách như: cung cấp dữ liệu cá nhân cho Công ty và/hoặc sử dụng dịch vụ, mua hàng của Công ty; xác nhận đồng ý cho công ty xử lý dữ liệu cá nhân bằng văn bản hay bất cứ hình thức nào khác có thể trích xuất được.

- Khi chủ thể dữ liệu nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu.

- Khi chủ thể dữ liệu phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý.

- Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

Do đó, Công ty không thể quy định là Người lao động đã nghỉ việc rồi thì không có quyền yêu cầu Công ty xóa dữ liệu. Việc quy định như vậy sẽ xâm phạm quyền của Chủ thể dữ liệu.

(i) Pháp luật quy định không cho phép xóa dữ liệu.

(iii) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật.

(vi) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của Người lao động hoặc cá nhân khác.

Để xem chi tiết toàn bộ phần chia sẻ của diễn giả, bạn vui lòng tải file dưới đây: