Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là một yêu cầu cấp thiết trong bối cảnh số hóa và gia tăng các nguy cơ xâm phạm quyền và lợi ích hợp pháp của chủ thể dữ liệu. Hoạt động bảo vệ dữ liệu cá nhân không chỉ dừng lại ở các biện pháp phòng ngừa mà còn đòi hỏi một cơ chế phát hiện và xử lý vi phạm kịp thời và hiệu quả. Nhằm thiết lập cơ chế phản ứng kịp thời và đảm bảo trách nhiệm của các bên có liên quan khi xảy ra vi phạm, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã quy định chi tiết các vấn đề liên quan đến việc thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân. Quy định của Nghị định 13/2023/NĐ-CP không chỉ giúp nâng cao hiệu quả thực thi pháp luật mà còn tạo ra một cơ chế giám sát chặt chẽ, góp phần bảo vệ quyền lợi của cá nhân và tổ chức trước các rủi ro về dữ liệu cá nhân. Bài viết này phân tích các quy định quan trọng về trách nhiệm thông báo vi phạm, từ xác định chủ thể có trách nhiệm thực hiện việc thông báo, nội dung thông báo đến quy trình tiếp nhận và xử lý thông tin vi phạm. 

1. Chủ thể thực hiện việc thông báo 

Theo quy định tại Điều 23 Nghị định 13/2023/NĐ-CP, có hai nhóm chủ thể chính có trách nhiệm thực hiện thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm: (1) Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, và (2) Tổ chức, cá nhân khác. Trách nhiệm cụ thể của các chủ thể này như sau: 

1.1 Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân

• Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. Như vậy, Bên Xử lý dữ liệu cá nhân không có trách nhiệm trực tiếp thông báo cho cơ quan quản lý nhà nước mà chỉ có nghĩa vụ thông báo ngay lập tức cho Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân khi phát hiện vi phạm. Việc giới hạn trách nhiệm này phản ánh đúng bản chất vai trò của Bên Xử lý dữ liệu, vốn chỉ hoạt động theo hợp đồng và hướng dẫn của Bên Kiểm soát dữ liệu mà không có quyền tự quyết về dữ liệu được xử lý; 

• Khi nhận được thông báo từ Bên Xử lý dữ liệu, hoặc khi tự phát hiện vi phạm, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải thực hiện nghĩa vụ thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân đến cơ quan quản lý nhà nước có thẩm quyền. Ngoài việc thực hiện thông báo, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải:

• • Lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân;

1. • Phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm. 

1.2 Tổ chức, cá nhân khác 

Điều 23 Nghị định 13/2023/NĐ-CP mở rộng trách nhiệm thông báo vi phạm bảo vệ dữ liệu cá nhân không chỉ đối với các tổ chức trực tiếp xử lý và kiểm soát dữ liệu mà còn bao gồm cả tổ chức, cá nhân khác khi phát hiện vi phạm. Quy định này nhằm mục đích tạo ra cơ chế giám sát bảo vệ dữ liệu cá nhân bao gồm nhiều chủ thể tham gia, góp phần tăng cường tính minh bạch và bảo vệ quyền lợi của chủ thể dữ liệu. Theo đó, tổ chức, cá nhân thông báo thực hiện việc thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân khi phát hiện các trường hợp sau: 

a. Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân; 

b. Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật; 

c. Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng; 

d. Trường hợp khác theo quy định của pháp luật. 

2. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân bao gồm các nội dung sau: 

• Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan; 

• Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân; 

• Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân; 

• Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

Trường hợp không thể thông báo đầy đủ các nội dung nêu trên, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn 

3. Cơ quan tiếp nhận  

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ được tiếp nhận, xử lý và giải quyết bởi Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an. Trong trường hợp thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân được thực hiện bởi Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, thông báo phải được gửi cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công An chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ-CP. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. 

4. Trình tự thực hiện 

Theo hướng dẫn tại Cổng Dịch vụ công thuộc Bộ Công an, trình tự thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân được thực hiện như sau: 

• Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc tải mẫu số 03 (Mẫu số 3a nếu chủ thể thực hiện việc thông báo là tổ chức, Mẫu số 3b nếu chủ thể thực hiện việc thông báo là cá nhân) ban hành kèm theo Nghị định số 13/2023/NĐ-CP khi phát hiện hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân;

• Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc khai theo mẫu số 03 ban hành kèm theo Nghị định số 13/2023/NĐ-CP;

• Bước 3: Tổ chức, cá nhân gửi thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi văn bản đã khai báo thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an; 

• Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an trao đổi kết quả tiếp nhận nội dung liên quan tới thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân. 

5. Thời hạn giải quyết 

Thời hạn để Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an giải quyết thông báo xử lý vi phạm dữ liệu cá nhân là 10 ngày làm việc kể từ ngày cơ quan này xác nhận đã tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân. 

Tóm lại, quy định về thông báo vi phạm bảo vệ dữ liệu cá nhân trong Nghị định 13/2023/NĐ-CP tạo ra một cơ chế pháp lý rõ ràng nhằm đảm bảo trách nhiệm giải trình và nâng cao hiệu quả thực thi các biện pháp bảo vệ dữ liệu. Việc xác định cụ thể chủ thể có nghĩa vụ thông báo, yêu cầu chi tiết về nội dung báo cáo cũng như quy trình tiếp nhận và xử lý vi phạm giúp tạo lập một hệ thống giám sát chặt chẽ, hạn chế rủi ro và tăng cường bảo vệ quyền lợi của chủ thể dữ liệu. Tuy nhiên, để quy định này đạt hiệu quả cao trong thực tiễn, cần có sự phối hợp chặt chẽ giữa các tổ chức kiểm soát dữ liệu, cơ quan quản lý và cá nhân có liên quan nhằm đảm bảo tính minh bạch, phản ứng kịp thời và tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. 

Bài viết liên quan:

1/ Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân theo dự thảo luật bảo vệ dữ liệu cá nhân

2/ Khung pháp lý mới về dữ liệu tại Việt Nam

3/ Quy định về bảo mật dữ liệu cá nhân người lao động

Chia sẻ: