Theo đó, tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã xác lập quyền, nghĩa vụ của chủ thể dữ liệu; quy định về quy trình, cách thức áp dụng các biện pháp bảo vệ dữ liệu cá nhân. Đây được xem là những quy định quan trọng, thiết thực để hạn chế, ngăn chặn tình trạng mua bán, chuyển giao trái phép dữ liệu cá nhân.
Để quán triệt, triển khai thực hiện nghiêm túc các quy định của Nghị định 13 trong các hoạt động có liên quan của ngành, Bộ GDĐT đề nghị các sở giáo dục và đào tạo tăng cường rà soát, thực hiện các nội dung sau:
Tổ chức phổ biến, tuyên truyền, quán triệt các quy định của Nghị định 13 tới các đơn vị, cá nhân trong phạm vi quản lý, đặc biệt là đối với đội ngũ trực tiếp tham gia quản lý, khai thác, xử lý dữ liệu cá nhân.
Bên cạnh đó, tổ chức giáo dục pháp luật, truyền thông, phổ biến kiến thức, kỹ năng bảo vệ dữ liệu cá nhân cho học sinh, sinh viên phù hợp.
Đồng thời, rà soát các quy định, quy chế nội bộ về quản lý, vận hành, khai thác, sử dụng các hệ thống thông tin/cơ sở dữ liệu (HTTT/CSDL), cần quy định rõ về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan; về xử lý trách nhiệm của tổ chức, cá nhân khi để xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân thuộc phạm vi phụ trách...
Đối với các đơn vị sử dụng dịch vụ của doanh nghiệp trong việc duy trì, vận hành các HTTT/CSDL cần thực hiện rà soát nhằm bảo đảm nguyên tắc dữ liệu thuộc phạm vi quản lý của đơn vị phải thuộc quyền quản lý, kiểm soát của đơn vị; không để doanh nghiệp tiếp cận dữ liệu (trong đó có dữ liệu cá nhân) khi chưa có sự cho phép của đơn vị quản lý.
Đối với việc quản lý, khai thác sử dụng các CSDL ngành giáo dục: phổ biến đội ngũ cán bộ, công chức, viên chức và người lao động nghiên cứu thực hiện các quy định tại Thông tư 42/2021/TT-BGDĐT quy định về cơ sở dữ liệu giáo dục và đào tạo.
Quy định rõ trách nhiệm về bảo vệ tài khoản, an toàn thông tin mạng, quy định về bảo vệ dữ liệu cá nhân; đặc biệt quan tâm tới quản lý tài khoản truy cập:
- Không dùng chung tài khoản,
- Đặt mật khẩu có độ phức tạp cần thiết (độ dài tối thiểu 8 ký tự, trong đó phải bao gồm chữ số, chữ hoa, chữ thường và ký tự đặc biệt),
- Thường xuyên phải thay đổi mật khẩu sử dụng (tối đa 03 tháng phải thay đổi mật khẩu 01 lần).
Khi phát hiện xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân (nhất là các trường hợp mua bán, chuyển giao trái phép dữ liệu cá nhân) phải xử lý nghiêm và thông báo vi phạm tới cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an) và Bộ GDĐT (qua Cục Công nghệ thông tin) chậm nhất 72 giờ sau khi xảy ra hoặc phát hiện hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13.
Công văn 4567/BGDĐT-CNTT được ban hành ngày 22/8/2024.