Giải đáp thắc mắc về Bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP

Ngày 22/11/2024 vừa qua, LuatVietnam đã tổ chức sự kiện Hội thảo trực tuyến về chủ đề: "Bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP” với sự tham gia của Luật sư Hà Huy Phong - Giám đốc Công ty Luật TNHH Inteco, Trọng tài viên Trung tâm trọng tài thương mại, Giảng viên Đại học Luật Hà Nội.
Câu 1: Luật sư cho em hỏi về những công việc cần thiết phải thực hiện của Công ty/Văn phòng Luật/Công ty dịch vụ tư vấn trong việc bảo vệ dữ liệu cá nhân của khách hàng khi cung cấp dịch vụ pháp lý/dịch vụ tư vấn cho khách hàng ạ. Em chân thành cảm ơn ạ.
 
Luật sư Hà Huy Phong: Để đảm bảo tuân thủ Nghị định 13/2023/NĐ-CP, khi cung cấp dịch vụ pháp lý/dịch vụ tư vấn cho khách hàng, Công ty/Văn phòng Luật/Công ty dịch vụ tư vấn cần thực hiện một số công việc như sau:

- Xây dựng các biện pháp bảo vệ dữ liệu cá nhân (biện pháp quản lý, biện pháp kỹ thuật) để áp dụng trong suốt quá trình xử lý dữ liệu cá nhân như:

- Chỉ định bộ phận bảo vệ dữ liệu cá nhân (nếu có hoạt động xử lý dữ liệu cá nhân nhạy cảm).

- Rà soát, xây dựng các chính sách bảo vệ dữ liệu cá nhân áp dụng cho Nhân sự, khách hàng, nhà cung cấp.

- Áp dụng các biện pháp kỹ thuật như sử dụng các phần mềm chuyên dụng về xử lý, bảo vệ dữ liệu cá nhân, tường lửa, phân quyền truy cập,... 

- Tổ chức các buổi đào tạo để phổ biến, nâng cao ý thức của Nhân sự về vấn đề bảo vệ dữ liệu cá nhân, quy trình xử lý dữ liệu cá nhân, quyền và nghĩa vụ của các bên trong vấn đề bảo vệ dữ liệu cá nhân, … 

- Lấy được sự đồng ý của Khách hàng trước khi xử lý dữ liệu cá nhân theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP.

Việc lấy sự đồng ý có thể được thực hiện bằng nhiều cách thức tùy thuộc vào tình hình thực tế của mỗi công ty. Tuy nhiên, phải đảm bảo sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

- Trước khi xử lý dữ liệu cá nhân, công ty phải thông báo cho khách hàng biết: (i) Mục đích xử lý dữ liệu cá nhân; (ii) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; (iii) Cách thức xử lý; (iv) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý theo quy định Điều 13 Nghị định 13/2023/NĐ-CP

- Khi xử lý dữ liệu cá nhân: Việc thu thập, xử lý dữ liệu cá nhân chỉ được thực hiện trong phạm vi, mục đích cần xử lý đã thông báo với Khách hàng và đã nhận được sự đồng ý của Khách hàng; chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác; đảm bảo thực hiện các yêu cầu hợp pháp của Khách hàng đối với dữ liệu cá nhân của họ (đảm bảo quyền của chủ thể dữ liệu quy định tại Điều 9 Nghị định 13/2023/NĐ-CP).

- Thực hiện các thủ tục liên quan đến vấn đề bảo vệ dữ liệu cá nhân

- Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, nếu Công ty là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thì Công ty phải thông báo cho Bộ Công an vi phạm về bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ-CP.
 
Câu 2: Ảnh hưởng của Luật bảo vệ dữ liệu cá nhân đối với các quy định hiện hành của Nghị định 13 nếu được Quốc hội thông qua?

Luật sư Hà Huy Phong: Theo Bộ Công an, việc dự thảo Luật Bảo vệ dữ liệu cá nhân có tác dụng hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân do hiện tại chưa có văn bản luật nào quy định về bảo vệ dữ liệu cá nhân và, phạm vi điều chỉnh của Nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013.

Do đó, Luật bảo vệ DLCN sẽ bổ sung, làm rõ các điều khoản được quy định tại Nghị định 13/2023/NĐ-CP.

Qua rà soát, có thể thấy bố cục, phần nhiều các điều khoản của Dự thảo Luật BVDLCN có nội dung tương đồng với Nghị định 13/2023/NĐ-CP như những quy định chung, quyền và nghĩa vụ của chủ thể dữ liệu, Bảo vệ dữ liệu cá nhân trong quá trình xử lý và chuyển hoá dữ liệu. Do đó, có khả năng khi Luật Bảo vệ dữ liệu cá nhân được ban hành và có hiệu lực thì Nghị định 13/2023/NĐ-CP sẽ hết hiệu lực, và một Nghị định khác sẽ được ban hành để hướng dẫn luật Bảo vệ dữ liệu cá nhân.

Bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP
Câu 3: Những doanh nghiệp có website bán hàng (khi khách click vào xem website, xem sản phẩm, mua hàng,....) thì website sẽ thu thập dữ liệu về khách hàng, thậm chí là lưu lịch sử mua sắm để lần sau để xuất sản phẩm theo thói quen mua sắm vậy những doanh nghiệp này cần làm gì để việc thu thập dữ liệu này phù hợp quy định pháp luật hiện hành? Nếu có sự cố rò rỉ hay bị đánh cắp thông tin thì doanh nghiệp này phải chịu trách nhiệm đến đâu? Để tránh những rủi ro này cho doanh nghiệp thì doanh nghiệp cần có những biện pháp gì để dự phòng/ để miễn trách cho doanh nghiệp không?
 
Luật sư Hà Huy PhongĐể đảm bảo tuân thủ quy định về bảo vệ dữ liệu cá nhân, doanh nghiệp có website bán hàng cần phải thực hiện một số công việc như sau:

- Lấy ý kiến về sự đồng ý của khách hàng theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP (có thể thiết lập các biện pháp kỹ thuật trên website để thu thập sự đồng ý).

- Xây dựng các chính sách bảo mật để thực hiện nghĩa vụ về thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu.

- Chỉ được thu thập dữ liệu cá nhân phù hợp và giới hạn trong trong phạm vi, mục đích mà khách hàng đã đồng ý (ví dụ: lưu trữ, giao mua hàng hoá) và phải có điều khoản nêu rõ phạm vi, mục đích này tại ô xác nhận, đặc biệt không được mua, bán dưới mọi hình thức.

- Xây dựng quy trình để tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu (yêu cầu chỉnh sửa, xóa dữ liệu của cá nhân…)

- Áp dụng các biện pháp vệ dữ liệu cá nhân như mã hóa dữ liệu, xác thực hai yếu tố, tường lửa và hạn chế đối tượng được quyền truy cập hệ thống dữ liệu cá nhân…

Theo Nghị định tại Điều 4 Nghị định 13/2023/NĐ-CP, hành vi vi phạm về bảo vệ dữ liệu cá nhân sẽ có 03 hình thức xử lý như sau:

- Xử lý kỷ luật

- Xử phạt vi phạm hành chính

- Xử lý hình sự

Theo đó, tùy theo tính chất và mức độ vi phạm mà tổ chức, cá nhân thực hiện hành vi vi phạm về dữ liệu cá nhân sẽ có hình thức xử lý tương ứng. Doanh nghiệp vui lòng tham khảo một số hành vi xử phạt tại các văn bản pháp luật có liên quan (Khoản 3 điều 85 Nghị định 15/2020/NĐ-CP; Điểm a khoản 5 Điều 63 Nghị định số 98/2020/NĐ-CP).

Ngoài ra, hiện nay đã có dự thảo Nghị định xử phạt hành chính trong lĩnh vực an ninh mạng và Mục 2 Chương 2 của Nghị định này quy định việc xử phạt hành chính đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Theo đó, tổ chức có hành vi vi phạm thì tùy từng mức độ vi phạm có thể bị xử phạt vi phạm hành chính:

- Mức phạt tiền từ 120 - 200 triệu đồng nếu gây thiệt hại tùy mức độ có thể bị phạt gấp 2 lần hoặc 3 lần mức phạt ở trên hoặc 5% tổng doanh thu tại VN.

- Và bị áp dụng biện pháp xử phạt bổ sung như:

- Ngừng cung cấp dịch vụ;

- Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;

- Tước quyền sử dụng các giấy phép liên quan tới xử lý dữ liệu cá nhân;

- Ngừng hoạt động xử lý dữ liệu cá nhân;

- Áp dụng các biện pháp để không thực hiện được hoạt động xử lý dữ liệu cá nhân.

- Bị áp dụng biện pháp khắc phục hậu quả:

- Công khai xin lỗi trên các phương tiện thông tin đại chúng;

- Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).

Thời hiệu xử phạt vi phạm hành chính là 01 năm cho nên nếu Dự thảo Nghị định được thông qua và ngày phát hiện vi phạm vẫn trong thời hạn 01 năm thì doanh nghiệp cũng có khả năng bị xử phạt VPHC với hành vi đã thực hiện trước đó.

Việc tuân thủ quy định Nghị định 13/2023/NĐ-CP là sẽ giúp doanh nghiệp hạn chế vướng vào các tranh chấp, rủi ro về pháp lý, rủi ro về tài chính liên quan đến vấn đề bảo vệ dữ liệu cá nhân.

Câu 4: Hiện tại công ty em đang làm trong ngành bán lẻ, theo Nghị định 13 của chính phủ thì việc thu thập dữ liệu cá nhân cần sự đồng ý của khách hàng. Bên em có 2 kênh online và offline, kênh online thì đã có giải pháp để được sự đồng ý của khách hàng, nhưng ở kênh Offline thì khi các bạn bán hàng xin số điện thoại, địa chỉ... của khách hàng để thu thập thì chưa có giải pháp cụ thể. Vậy thì theo Nghị định 13 bên em nên xử lý như thế nào với khách hàng offline. Em cám ơn anh!
Luật sư Hà Huy Phong: Theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP, trước khi tiến hành xử lý dữ liệu cá nhân, Công ty cần có sự đồng ý của chủ thể dữ liệu.

Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi (i) chủ thể dữ liệu tự nguyện và (ii) chủ thể dữ liệu biết rõ các nội dung: loại dữ liệu cá nhân được xử lý; mục đích xử lý dữ liệu cá nhân; tổ chức, cá nhân được xử lý dữ liệu cá nhân; các quyền, nghĩa vụ của chủ thể dữ liệu.

Sự đồng ý của chủ thể dữ liệu cá nhân phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
 
Do đó, ở kênh Offline, việc lấy ý kiến về sự đồng ý cho phép xử lý dữ liệu cá nhân có thể kết hợp nhiều cách khác nhau tùy vào hoàn cảnh thực tế.

Ví dụ: Công ty có thể xây dựng Chính sách bảo vệ dữ liệu cá nhân áp dụng chung đối với tất cả các khách hàng và đăng tải công khai trên website của Công ty và xây dựng biểu mẫu lấy ý kiến sự đồng ý của Khách hàng và thực hiện lấy ý kiến về sự đồng ý bằng các cách như:

(i) Gửi Chính sách bảo vệ dữ liệu cá nhân đối với khách hàng đến email của khách hàng kèm với thông báo Công ty sẽ xử lý dữ liệu cá nhân của khách hàng theo các mục đích, điều kiện quy định tại Chính sách và quy định luôn các trường hợp được coi là khách hàng đồng ý cho Công ty xử lý dữ liệu cá nhân tại Chính sách như: cung cấp dữ liệu cá nhân cho Công ty và/hoặc sử dụng dịch vụ, mua hàng của Công ty; xác nhận đồng ý cho công ty xử lý dữ liệu cá nhân bằng văn bản hay bất cứ hình thức nào khác có thể trích xuất được.

(ii) Lấy sự đồng ý của khách hàng bằng văn bản (có thể bằng việc ký, tích vào các mục đích cho phép tại mẫu Văn bản đồng ý) và/hoặc ghi âm sự đồng ý, …
 
Câu 5: Người lao động (NLĐ) có quyền yêu cầu xóa, hủy dữ liệu: vậy nếu những dữ liệu đó đã được sử dụng để làm đủ thứ báo cáo nội bộ, dùng để chi trả cho các quyền lợi, phúc lợi từ công ty, lương, BHXH rồi và không thể lục hết tất cả hồ sơ giấy tờ từ trước đến nay để xóa dữ liệu. Vậy doanh nghiệp có được quy định là NLĐ đã nghỉ rồi thì không được yêu cầu xóa dữ liệu không?
Luật sư Hà Huy PhongKhoản 5 Điều 9 Nghị định 13/2023/NĐ-CP quy định về quyền xóa dữ liệu của chủ thể dữ liệu. Theo đó, chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình trong trường hợp được quy định tại Khoản 1 Điều 16 Nghị định 13/2023/NĐ-CP gồm:

- Khi chủ thể dữ liệu nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu.

- Khi chủ thể dữ liệu rút lại sự đồng ý.

- Khi chủ thể dữ liệu phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý.

- Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật.

- Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

Khoản 5 Điều 38 Nghị định 13/2023/NĐ-CP cũng quy định rõ, bên kiểm soát dữ liệu cá nhân có trách nhiệm bảo đảm các quyền của chủ thể dữ liệu theo quy định của Điều 9 Nghị định trong đó có quyền xoá dữ liệu cá nhân của chủ thể dữ liệu.

Do đó, Công ty không thể quy định là Người lao động đã nghỉ việc rồi thì không có quyền yêu cầu Công ty xóa dữ liệu. Việc quy định như vậy sẽ xâm phạm quyền của Chủ thể dữ liệu.

Công ty chỉ được phép từ chối yêu cầu xóa dữ liệu cá nhân của người lao động khi yêu cầu thuộc một trong các trường hợp quy định tại khoản 2 Điều 16 Nghị định 13/2023/NĐ-CP gồm:

(i) Pháp luật quy định không cho phép xóa dữ liệu.

(ii) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.

(iii) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật.

(iv) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật.
 
(v) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật.

(vi) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của Người lao động hoặc cá nhân khác.

Trên đây là cập nhật của LuatVietnam về một số nội dung đáng chú ý tại Webinar giải đáp thắc mắc về Bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP. 

Để xem chi tiết toàn bộ phần chia sẻ của diễn giả, bạn vui lòng tải file dưới đây:

Nếu còn vấn đề vướng mắc, bạn đọc vui lòng liên hệ tổng đài 19006192 để được hỗ trợ.
Đánh giá bài viết:
(1 đánh giá)
Để được giải đáp thắc mắc, vui lòng gọi 19006192

Tin cùng chuyên mục