Dữ liệu cá nhân là một trong những vấn đề thu hút được rất nhiều sự chú ý trong xã hội hiện đại thời nay, đã có những hành vi đánh cắp/mua bán dữ liệu cá nhân để xâm phạm quyền lợi, lừa đảo với các kịch bản tinh vi nhằm chiếm đoạt tài sản,.. Do đó, việc Chính phủ ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được đánh giá là rất cần thiết với tình hình hiện nay. Nghị đinh này sẽ giúp tạo ra hành lang pháp lý để các cơ quan có thẩm quyền quản lý, rà soát về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân, tất cả các bên phải cùng có trách nhiệm về bảo mật dữ liệu cá nhân, tăng quyền của chủ thể dữ liệu lên nhiều hơn và các điều khoản khác được quy định chi tiết trong Nghị định. Nghị định 13/2023/NĐ-CP sẽ có hiệu lực từ ngày 01 tháng 07 năm 2023 sắp tới.
1. Nghị định số 13/2023/NĐ-CP quy định dữ liệu cá nhân và các biện pháp bảo vệ như thế nào?
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhận cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm:
- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Giới tính;
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
- Quốc tịch;
- Hình ảnh của cá nhân;
- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
- Tình trạng hôn nhân;
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, gồm:
- Quan điểm chính trị, quan điểm tôn giáo;
- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
- Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Biện pháp bảo vệ dữ liệu cá nhân sẽ được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân, gồm các:
- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp ký thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của nghị định này và pháp luật có liên quan;
- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện; các biện pháp khác theo quy định của pháp luật.
Bảo vệ dữ liệu cá nhân cơ bản là áp dụng các biện pháp bảo vệ được nêu trên, xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo Nghị định; khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với từng lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân; và kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
Bảo vệ dữ liệu cá nhân nhạy cảm cũng áp dụng các biện pháp bảo vệ được nêu trên, và các biện pháp bảo vệ dữ liệu cá nhân cơ bản; chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trong trường hợp nếu dữ liệu cá nhân nhạy cảm của chủ thể đó bị xử lý thì phải thông báo cho chủ thể đó biết, trừ các trường hợp quy định theo luật.
2. Các quyền của chủ thể dữ liệu
Thứ nhất, quyền được biết:
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Thứ hai, quyền đồng ý:
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP.
Thứ ba, quyền truy cập:
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Thứ tư, quyền rút lại sự đồng ý:
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
Thứ năm, quyền xóa dữ liệu:
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Thứ sáu, quyền hạn chế xử lý dữ liệu:
Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
Thứ bảy, quyền cung cấp dữ liệu:
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Thứ tám, quyền phản đối xử lý dữ liệu:
Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác.
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
Thứ chín, quyền khiếu nại, tố cáo, khởi kiện:
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
Thứ mười, quyền yêu cầu bồi thường thiệt hại:
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
Cuối cùng, quyền tự bảo vệ:
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13/2023/NĐ-CP , hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự 2015.