Điểm mới của dự thảo Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân

Đến thời điểm hiện tại, Nghị định 13/2023/NĐ-CP là Nghị định duy nhất hướng dẫn chi tiết về bảo vệ dữ liệu cá nhân. Dưới đây là một số điểm mới của dự thảo Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân so với Nghị định 13/2023/NĐ-CP:

1. Mở rộng các định nghĩa

1.1. Định nghĩa dữ liệu cá nhân cơ bản

Trước đây, khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP định nghĩa dữ liệu cá nhân cơ bản bằng cách liệt kê các thông tin gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú…

Tuy nhiên, tại dự thảo Nghị định mới, cơ quan soạn thảo lại không liệt kê chi tiết các loại dữ liệu cá nhân cơ bản mà chuyển sang định nghĩa theo tính chất.

Cụ thể, Điều 3 dự thảo Nghị định hướng dẫn Luật Bảo vệ dữ liệ cá nhân định nghĩa:

Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, không thuộc danh mục dữ liệu cá nhân nhạy cảm quy định tại Điều 4 Nghị định này.

1.2. Định nghĩa dữ liệu cá nhân nhạy cảm

Quy định trước đây tại khoản 4 Điều 2 Nghị định 13 định nghĩa dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.

So với quy định cũ, dự thảo đưa ra định nghĩa theo hướng mở rộng phạm vi ảnh hưởng: Không chỉ cá nhân mà cả cơ quan, tổ chức. Đồng thời bổ sung yêu cầu phân quyền, giới hạn truy cập, quy trình xử lý, biện pháp bảo mật chặt chẽ.

Cụ thể, khoản 1 Điều 4 dự thảo quy định:

1. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân; khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; yêu cầu phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật chặt chẽ.

Ngoài ra, các dữ liệu được coi là dữ liệu nhạy cảm cũng được sửa đổi, bổ sung:

- Mở rộng thông tin "Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu" thành Dữ liệu tiết lộ về đời tư; Tình trạng sức khỏe (không còn giới hạn thông tin được ghi trong hồ sơ bệnh án);

- Chuyển "Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;" "Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;" thành "Dữ liệu sinh trắc học, đặc điểm di truyền;”…

Bổ sung thêm:

- Quan điểm về tín ngưỡng;

- Danh tính điện tử của cá nhân;

- Dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông;

- Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;

- Dữ liệu cá nhân khác do tổ chức, cá nhân xác định cần có biện pháp bảo mật chặt chẽ.

2. Thời hạn phản hồi các yêu cầu từ chủ thể dữ liệu cá nhân

Điều 5 Dự thảo Nghị định mới đã quy định rõ về thời hạn phản hồi các yêu cầu của chủ thể dữ liệu cá nhân trong một số trường hợp mà Nghị định 13 chưa đề cập thời gian thực hiện, cụ thể:

- Phải phản hồi trong vòng 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục ngừng xử lý dữ liệu cá nhân và thực hiện trong vòng 07 ngày làm việc, khi nhận được yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa không quá 10 ngày làm việc nhưng thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn.

- Phải phản hồi trong vòng 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong vòng 10 ngày làm việc, khi nhận được yêu cầu xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong vòng 15 ngày làm việc.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa không quá 10 ngày làm việc nhưng phải thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn.

- Phải phản hồi trong vòng 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong vòng 10 ngày làm việc, khi nhận được yêu cầu cung cấp, xóa dữ liệu cá nhân của chủ thể dữ liệu cá nhân. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba cung cấp, xóa, hạn chế xử lý dữ liệu của chủ thể dữ liệu cá nhân thì thực hiện trong vòng 15 ngày làm việc.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa không quá 10 ngày làm việc nhưng phải thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn.

3. Mở rộng thêm hình thức thể hiện sự đồng ý của chủ thể dữ liệu

Điều 6 dự thảo quy định các phương thức xin sự đồng ý của chủ thể dữ liệu cá nhân đảm bảo có thể kiểm chứng được tính chính xác và trách nhiệm của chủ thể dữ liệu cá nhân sau khi đã đồng ý, bao gồm 05 loại phương thức:

- Bằng văn bản;

- Bằng giọng nói;

- Qua tin nhắn điện thoại;

- Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;

- Bằng các phương thức khác phù hợp có thể kiểm chứng, xác thực được.

Trong khi tại khoản 3 Điều 11 Nghị định 13 quy định: Sự đồng ý của chủ thể dữ liệu chỉ thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

4. Bổ sung hướng dẫn cụ thể về chuyển giao dữ liệu cá nhân

Đây là các hướng dẫn chưa được quy định tại Nghị định 13/2023. Điều 7 dự thảo Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân hướng dẫn như sau:

4.1. Các trường hợp chuyển giao dữ liệu cá nhân phải xác lập thỏa thuận bằng văn bản

- Tổ chức, cá nhân chuyển giao dữ liệu cá nhân trong các trường hợp sau phải xác lập thỏa thuận bằng văn bản về việc chuyển giao dữ liệu cá nhân:

+ Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân;

+ Chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác;

+ Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định.

- Thỏa thuận phải nêu rõ các nội dung sau:

+ Mục đích chuyển giao dữ liệu cá nhân;

+ Đối tượng chủ thể dữ liệu cá nhân và loại dữ liệu cá nhân được chuyển giao phù hợp với mục đích chuyển giao;

+ Thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân sau khi hoàn thành mục đích chuyển giao;

+ Cơ sở pháp lý của việc chuyển giao dữ liệu cá nhân;

+ Trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, xử lý dữ liệu cá nhân.

+ Trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân.

4.2. Biện pháp bảo mật khi chuyển giao dữ liệu cá nhân nhạy cảm

Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh hóa và các biện pháp bảo mật khác trong quá trình chuyển giao.

4.3. Chuyển giao dữ liệu cá nhân có thu phí

Trường hợp chuyển giao dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu cá nhân hoặc để phục vụ lợi ích hợp pháp của chủ thể dữ liệu cá nhân, tổ chức, cá nhân tuân thủ các quy định như sau:

- Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao, trên cơ sở được biết chính xác mục đích chuyển giao,  tổ chức, cá nhân tiếp nhận và xử lý dữ liệu cá nhân;

- Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh;

- Loại dữ liệu cá nhân chuyển giao phải giới hạn trong phạm vi mục đích chuyển giao;

- Không được thu thập, lưu trữ, hình thành kho dữ liệu cá nhân từ hoạt động chuyển giao dữ liệu cá nhân để sử dụng cho các mục đích khác;

- Xác định rõ vai trò bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba trong hoạt động chuyển giao dữ liệu cá nhân;

- Phải có thỏa thuận chuyển giao, xử lý dữ liệu cá nhân trước khi chuyển và cam kết trách nhiệm, nghĩa vụ với chủ thể dữ liệu cá nhân.

4.4. Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức

Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức phải xây dựng chính sách, quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.

4.5. Yêu cầu đối với dữ liệu cá nhân giao dịch trên sàn dữ liệu

Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.

5. Tổ chức tài chính, ngân hàng phải đánh giá tuân thủ về bảo vệ dữ liệu cá nhân hằng năm

Theo Điều 8 dự thảo, hoạt động bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng thực hiện như sau:

- Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm:

+ Bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế, tiêu chuẩn bảo vệ dữ liệu cá nhân, tiêu chuẩn an ninh mạng của Việt Nam;

+ Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần;

+ Ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân.

- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân khi xin sự đồng ý của chủ thể dữ liệu phải đảm bảo nêu rõ:

+ Liệt kê các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có;

+ Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan; thời gian lưu trữ dữ liệu cá nhân;

+ Cơ chế, cách thức rút lại sự đồng ý và chính sách xóa, hủy dữ liệu cá nhân theo quy định.

- Trong thời gian chậm nhất 72 giờ sau khi phát hiện lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng, tổ chức, cá nhân lưu trữ, khai thác dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu cá nhân

6. Bổ sung quy định bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn

Điều 9 dự thảo bổ sung các quy định mới về bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn như sau:

- Xử lý dữ liệu lớn là hoạt động xử lý dữ liệu cá nhân ở quy mô lớn, có tính liên tục, tích hợp từ nhiều nguồn khác nhau, có khả năng phân tích hành vi, dự đoán xu hướng hoặc phân loại người dùng.

- Cơ quan, tổ chức, cá nhân có liên quan khi xử lý dữ liệu lớn cần thực hiện các biện pháp bảo vệ sau:

+ Tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu ngay từ thời điểm bắt đầu xử lý;

+ Áp dụng mã hóa để bảo vệ dữ liệu trong quá trình lưu trữ và truyền tải, có biện pháp bảo đảm dữ liệu không bị truy cập trái phép;

+ Sử dụng các phương thức xác thực mạnh và phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân;

+ Thực hiện ẩn danh dữ liệu cá nhân, loại bỏ hoặc biến đổi thông tin nhận dạng cá nhân trong dữ liệu để bảo vệ danh tính cá nhân hoặc giả danh dữ liệu, sử dụng kỹ thuật giả danh để làm cho dữ liệu không thể liên kết trực tiếp với các cá nhân cụ thể;

+ Chỉ thu thập và lưu trữ những dữ liệu cá nhân cần thiết cho mục đích xử lý, hạn chế thu thập dữ liệu cá nhân không cần thiết;

+ Có chính sách lưu trữ, xóa, hủy dữ liệu cá nhân phù hợp, đúng quy định pháp luật;

+ Thực hiện giám sát liên tục, sử dụng các công cụ giám sát để theo dõi hoạt động truy cập dữ liệu cá nhân và phát hiện các hành vi bất thường;...

7. Tiêu chuẩn nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

Hiện nay, chưa có bất cứ quy định nào về tiêu chuẩn nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức.

Đây là các nội dung mới được nêu tại Điều 13 dự thảo, cụ thể:

- Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản chính thức của cơ quan, tổ chức đó; thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức đó.

- Nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

+ Có trình độ đại học trở lên;

+ Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp đại học) liên quan đến một trong các lĩnh vực: pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, quản lý tuân thủ;

+ Có chứng nhận hoàn thành khóa học bồi dưỡng kiến thức, kỹ năng cơ bản về bảo vệ dữ liệu cá nhân do tổ chức đủ năng lực đào tạo tại Việt Nam cấp;

+ Đạt trình độ theo chương trình đánh giá chuyên môn bảo vệ dữ liệu cá nhân của Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân;

+ Am hiểu quy định pháp luật về bảo vệ dữ liệu cá nhân và hoạt động xử lý dữ liệu cá nhân của cơ quan, tổ chức.

- Cơ quan, tổ chức chịu trách nhiệm lựa chọn, đánh giá, bảo đảm nhân sự bảo vệ dữ liệu cá nhân đáp ứng đủ các điều kiện năng lực nêu trên; không bố trí những người có tiền án trong lĩnh vực dữ liệu, công nghệ thông tin, mạng viễn thông làm nhân sự bảo vệ dữ liệu cá nhân.

- Cơ quan, tổ chức ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, có thể thỏa thuận về các trường hợp miễn trừ trách nhiệm khi xảy ra vi phạm hoặc thiệt hại đối với dữ liệu cá nhân được bảo vệ.

Trên đây là một số Điểm mới của dự thảo Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân.