Các hành vi bị nghiêm cấm khi xử lý dữ liệu cá nhân

1. Phân biệt dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm

Khoản 3, khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP quy định về dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm như sau:

“3. Dữ liệu cá nhân cơ bản bao gồm:

a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

c) Giới tính;

d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

đ) Quốc tịch;

e) Hình ảnh của cá nhân;

g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

h) Tình trạng hôn nhân;

i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.

4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

a) Quan điểm chính trị, quan điểm tôn giáo;

b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.”

Từ những quy định trên, ta có thể thấy, dữ liệu cá nhân thông thường là những dữ liệu có thể cho một số đối tượng nhất định biết được, thường được dùng để định danh, thực hiện các thủ tục, quy trình trong đời sống. Còn những dữ liệu nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân đó.

2. Nguyên tắc xử lý dữ liệu cá nhân

Dữ liệu cá nhân là những thông tin quan trọng của mỗi người, cần được đảm bảo an toàn để quyền và lợi ích hợp pháp của họ không bị xâm phạm. Vì vậy, Điều 3 Nghị định 13/2023/NĐ-CP quy định các nguyên tắc cần đảm bảo khi xử lý dữ liệu cá nhân như sau:

“Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân

1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”

3. Các hành vi bị nghiêm cấm khi xử lý dữ liệu cá nhân

Điều 8 Nghị định 13/2023/NĐ-CP quy định về các hành vi bị nghiêm cấm trong hoạt động xử lý dữ liệu cá nhân.

“Điều 8. Hành vi bị nghiêm cấm

1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.”

Các hành vi trên không chỉ xâm phạm đến dữ liệu cá nhân còn làm ảnh hưởng đến nhiều vấn đề khác như an ninh quốc gia, trật tự xã hội, hoạt động của cơ quan có thẩm quyền… nên bị nghiêm cấm và chủ thể vi phạm có thể phải chịu các chế tài tương ứng.

4. Thông báo vi phạm về xử lý dữ liệu cá nhân

Khi có hành vi vi phạm đối với dữ liệu cá nhân của một người, có thể gây ra nhiều ảnh hưởng nghiêm trọng đến quyền lợi của họ. Vì vậy, việc thông báo vi phạm là vô cũng cần thiết cần được thực hiện nhanh chóng. Việc thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân được thực hiện theo các nguyên tắc tại Điều 23 Nghị định 13/2023/NĐ-CP:

“Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
   1. Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
   2. Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
   3. Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
   4. Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
5. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:

1. 1. Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
   2. Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
   3. Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
   4. Trường hợp khác theo quy định của pháp luật.”

Việc thông báo nhanh chóng, kịp thời và đúng quy định có thể hạn chế tối đa các tổn thất cho cá nhân có dữ liệu bị vi phạm.

5. Chế tài xử lý hành vi vi phạm dữ liệu cá nhân theo pháp luật

Tùy thuộc vào tính chất, mức độ nguy hiểm mà hành vi vi phạm dữ liệu cá nhân có thể bị xử lý theo các chế tài hình sự, dân sự hoặc hành chính.

5.1. Chế tài hình sự

Với chế tài hình sự, hành vi xâm phạm đến dữ liệu cá nhân có thể bị xử lý hình sự về các tội phạm quy định tại Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017):

• Điều 159: Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác
• Điều 288: Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông

Hành vi cấu thành tội phạm nêu trên có thể bị phạt tiền, cải tạo không giam giữ hoặc phạt tù có thời hạn. Tuy nhiên để xác định hành vi xâm phạm dữ liệu cá nhân cấu thành các tội phạm trên thực tế cũng gặp nhiều khó khăn.

5.2. Chế tài dân sự

Quyền được bảo vệ dữ liệu cá nhân cũng là một quyền dân sự và được bảo vệ bởi pháp luật dân sự theo khoản 1 Điều 2 Bộ luật Dân sự 2015:

“Điều 2. Công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự

1. Ở nước Cộng hòa xã hội chủ nghĩa Việt Nam, các quyền dân sự được công nhận, tôn trọng, bảo vệ và bảo đảm theo Hiến pháp và pháp luật.”

Và các hành vi xâm phạm đến dữ liệu cá nhân sẽ phải chịu các chế tài tương ứng được quy định tại Điều 11 Bộ luật Dân sự 2015:

“Điều 11. Các phương thức bảo vệ quyền dân sự

Khi quyền dân sự của cá nhân, pháp nhân bị xâm phạm thì chủ thể đó có quyền tự bảo vệ theo quy định của Bộ luật này, luật khác có liên quan hoặc yêu cầu cơ quan, tổ chức có thẩm quyền:

1. Công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự của mình.
2. Buộc chấm dứt hành vi xâm phạm.
3. Buộc xin lỗi, cải chính công khai.
4. Buộc thực hiện nghĩa vụ.
5. Buộc bồi thường thiệt hại.
6. Hủy quyết định cá biệt trái pháp luật của cơ quan, tổ chức, người có thẩm quyền.
7. Yêu cầu khác theo quy định của luật.”

5.3. Chế tài hành chính

Với mức độ vi phạm nhẹ hơn chế tài hình sự, chế tài hành chính được áp dụng để cảnh cáo, phạt tiền, hình thức xử phạt bổ sung cũng như các biện pháp khắc phục hậu quả với các hành vi vi phạm. Một số hành vi xâm phạm dữ liệu cá nhân được quy định xử phạt vi phạm hành chính tại Nghị định 15/2020/NĐ-CP. Tuy nhiên, các chế tài hành chính này vẫn còn hạn chế khi chỉ áp dụng với hành vi vi phạm dữ liệu cá nhân trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Xử lý các hành vi bị nghiêm cấm khi xử lý dữ liệu cá nhân giúp răn đe các chủ thể có hành vi hay ý đồ xấu đối với các thông cá nhân của người khác, bảo vệ lợi ích của mỗi cá nhân. Để biết thêm những thông tin liên quan khác, mời quý bạn đọc xem các bài viết khác của Apolat.

Chia sẻ: