Thế nào là dữ liệu nhạy cảm và cách thức xử lý theo quy định pháp luật

1. Ý nghĩa sự ra đời Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân

Việc ban hành Nghị định số 13/2023/NĐ-CP đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân và ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, nhằm bảo vệ quyền và lợi ích của cá nhân và tổ chức. Dữ liệu cá nhân liên quan chặt chẽ đến quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin, cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số và công nghệ thông tin.

Trong thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo về bảo vệ dữ liệu cá nhân. Tuy nhiên, hiện tại có tới 68 văn bản pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, nhưng không có sự thống nhất về khái niệm và nội dung của dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Hệ thống pháp luật Việt Nam hiện tại chưa sử dụng cụm từ “dữ liệu cá nhân” và chưa có định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

Có hơn 10 khái niệm thuật ngữ liên quan đến thông tin cá nhân được diễn giải theo cách khác nhau. Riêng khái niệm “thông tin cá nhân” được coi là gần gũi nhất với khái niệm “dữ liệu cá nhân”. Tuy nhiên, chỉ có 7 văn bản pháp luật có định nghĩa hoặc diễn giải về thông tin cá nhân, trong khi các văn bản khác chỉ đề cập đến thông tin cá nhân mà không có giải thích hoặc dẫn chiếu giải thích từ các văn bản pháp luật khác.

Sự không thống nhất và không đồng bộ trong diễn giải bảo vệ thông tin cá nhân đã gây khó khăn lớn trong việc xây dựng Nghị định quy định về bảo vệ dữ liệu cá nhân, đảm bảo tính tương thích và đồng bộ với toàn bộ nội dung các văn bản pháp luật hiện có. Để giải quyết vấn đề này, Nghị định 13/2023/NĐ-CP ra đời, quy định các vấn đề nguyên tắc về bảo vệ dữ liệu cá nhân và bãi bỏ các quy định không đồng nhất với nguyên tắc bảo vệ dữ liệu cá nhân trong các văn bản khác. Việc áp dụng quy định bị bãi bỏ sẽ được tham khảo từ Nghị định bảo vệ dữ liệu cá nhân.

2. Dữ liệu cá nhân được định nghĩa như thế nào?

Nghị định 13/2023/NĐ-CP đã nêu rõ tại Khoản 1 Điều 2: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”

3. Các loại dữ liệu cá nhân

3.1. Dữ liệu thông thường

Căn cứ vào Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu thông thường hay gọi cách khác là dữ liệu cơ bản bao gồm:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh;
• Ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
• Thông tin về tài khoản số của cá nhân;
• Dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

3.2. Dữ liệu nhạy cảm

Căn cứ vào Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

• Quan điểm chính trị, quan điểm tôn giáo;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
• Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
• Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
• Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

4. Nguyên tắc bảo vệ dữ liệu cá nhân

Tại Điều 3 Nghị định 13/2023/NĐ-CP quy định về “Nguyên tắc bảo vệ dữ liệu cá nhân” như sau:

“Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân

1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”

5. Xử lý dữ liệu cá nhân nhạy cảm

Trường hợp xử lý dữ liệu cá nhân nhạy cảm, căn cứ tại Điều 11 Nghị định 13/2023/NĐ-CP quy định như sau:

“Sự đồng ý của chủ thể dữ liệu

1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
   1. Loại dữ liệu cá nhân được xử lý;
   2. Mục đích xử lý dữ liệu cá nhân;
   3. Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
   4. Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.”

Như vậy, theo quy định trên trường hợp xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

6. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân

Những hành vi thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân đều được coi là xâm phạm thông tin cá nhân. Tại Điều 22 Nghị định 13/2023/NĐ-CP quy định về “Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân” như sau:

“Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân

1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.”

7. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Tại Điều 23 Nghị định 13/2023/NĐ-CP quy định về “Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân” như sau:

“Điều 23. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

1. Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
2. Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân.
3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân:
   1. Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
   2. Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
   3. Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
   4. Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
4. Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.
5. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.
6. Tổ chức, cá nhân thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) khi phát hiện các trường hợp sau:

1. 1. Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;
   2. Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;
   3. Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
   4. Trường hợp khác theo quy định của pháp luật.”

8. Tư vấn bảo vệ quyền dữ liệu cá nhân

Apolat Legal là một công ty Luật cung cấp dịch vụ tư vấn pháp lý đa lĩnh vực. Trong đó, chúng tôi cung cấp dịch vụ tư vấn chuyên sâu về bảo vệ quyền dữ liệu cá nhân. Chúng tôi hiểu rõ rằng vấn đề bảo vệ dữ liệu cá nhân ngày càng trở nên quan trọng và phức tạp đối với cá nhân và tổ chức trong thời đại công nghệ số.

Với đội ngũ luật sư giàu kinh nghiệm và hiểu biết sâu về quyền dữ liệu cá nhân, Apolat Legal cung cấp những giải pháp tư vấn toàn diện và chuyên nghiệp nhằm giúp khách hàng đáp ứng các yêu cầu và nhu cầu về bảo vệ dữ liệu cá nhân.

Chúng tôi đặt khách hàng lên hàng đầu và tùy chỉnh các giải pháp dựa trên nhu cầu cụ thể của họ. Apolat Legal cam kết cung cấp dịch vụ  tư vấn chất lượng cao và đáng tin cậy. Đồng thời đảm bảo tuân thủ nghiêm ngặt các quy định pháp lý liên quan đến bảo vệ dữ liệu cá nhân.

Chúng tôi hy vọng rằng bài viết trên đã cung cấp cho bạn những thông tin cần thiết về dữ liệu cá nhân, dữ liệu nhạy cảm, bảo vệ dữ liệu cá nhân, xử lý dữ liệu cá nhân và xâm phạm thông tin cá nhân dựa trên pháp luật hiện hành. Tuy nhiên, chúng tôi cũng nhận thức rằng có thể vẫn còn một số thắc mắc hoặc nhu cầu giải đáp về các vấn đề pháp lý liên quan đến dữ liệu cá nhân.

Đừng ngần ngại liên hệ ngay với Apolat Legal nếu bạn có bất kỳ câu hỏi hay vấn đề cần được tư vấn. Chúng tôi sẽ cung cấp sự hỗ trợ tốt nhất để giải đáp các thắc mắc của bạn. Hãy để Apolat Legal là đối tác đáng tin cậy của bạn trong việc giải quyết các vấn đề pháp lý!

Chia sẻ: