Sự cần thiết ban hành Nghị định về bảo vệ dữ liệu cá nhân

Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP (NĐ13) về bảo vệ dữ liệu cá nhân sau hơn 04 năm xây dựng, đánh dấu bước tiến lớn trong nỗ lực xây dựng hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam. Đây là văn bản nền móng, tiến tới xây dựng Luật bảo vệ dữ liệu cá nhân. Để hiểu rõ hơn những quy định trên, Phóng viên có cuộc trao đổi với Thượng tá Võ Thành Phương - Phó trưởng Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Long An.

Phóng viên: Thưa đồng chí, xin đồng chí cho biết, sự cần thiết ban hành NĐ 13 về bảo vệ dữ liệu cá nhân?

Thượng tá Võ Thành Phương: Không gian mạng đang ngày càng trở nên phổ biến, gắn bó mật thiết với hoạt động kinh tế xã hội và tạo ra sự thay đổi to lớn trong cách thức con người vận hành cuộc sống.

Theo thống kê của Liên hợp quốc, tính đến tháng 4/2023, thế giới có 5,18 tỷ người sử dụng internet (chiếm 65% dân số thế giới) với gần 29 tỷ thiết bị kết nối internet. Việt Nam có hơn 77,93 triệu người sử dụng internet (chiếm hơn 79% dân số), xếp thứ 12 trên thế giới về người sử dụng internet (số liệu từ We are social).

Tình trạng mua bán dữ liệu cá nhân hiện nay diễn ra tương đối phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Nhiều cá nhân, đường dây chiếm đoạt, mua bán dữ liệu cá nhân đã bị lực lượng Công an phát hiện, đấu tranh, xử lý trong thời gian gần đây. Việc xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân trở thành yêu cầu cấp thiết và là giải pháp căn bản để giải quyết thực trạng dữ liệu cá nhân bị mua bán, lộ, mất tràn lan như hiện nay.

Phóng viên: Xin đồng chí cho biết nội dung cơ bản của NĐ số 13?

Thượng tá Võ Thành Phương: Nghị định 13/2023/NĐ-CP của Chính phủ có hiệu lực thi hành kể từ ngày 01/7/2023, gồm 4 chương, 44 điều, bao gồm:

- Những quy định chung về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân: 08 điều quy định về phạm vi điều chỉnh, đối tượng áp dụng, giải thích từ ngữ, nguyên tắc bảo vệ dữ liệu cá nhân, xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, nội dung quản lý nhà nước về bảo vệ dữ liệu cá nhân, áp dụng nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và điều ước quốc tế, hợp tác quốc tế về bảo vệ dữ liệu cá nhân, các hành vi bị nghiêm cấm.

- Hoạt động bảo vệ dữ liệu cá nhân: 20 điều quy định về quyền và nghĩa vụ chủ thể dữ liệu, bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân, việc đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài, biện pháp và điều kiện bảo đảm bảo vệ dữ liệu cá nhân.

- Thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân: 05 thủ tục hành chính liên quan việc thu thập, xử lý dữ liệu cá nhân, việc đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài và bộ biểu mẫu đi kèm.

- Trách nhiệm của cơ quan, tổ chức, cá nhân và điều khoản thi hành.

Phóng viên: Xin đồng chí cho biết, trách nhiệm của doanh nghiệp trong việc thực hiện NĐ số 13?

Thượng tá Võ Thành Phương: Doanh nghiệp là một trong những chủ thể quan trọng trong việc thực hiện Nghị định 13, bên cạnh các quyền lợi được bảo vệ, Doanh nghiệp cần tuân thủ các quy định của NĐ 13 trong hoạt động sản xuất, kinh doanh để đảm bảo hiệu quả hoạt động của doanh nghiệp mình, phòng tránh những hậu quả bất lợi về mặt pháp lý.

Theo quy định tại các điều 38, 39, 40 và 41 Nghị định 13, để tránh bị xử phạt vi phạm hành chính, xử lý hình sự về hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, doanh nghiệp cần thực hiện một số hoạt động sau:

- Doanh nghiệp cần nhanh chóng phân công/bổ nhiệm cá nhân và bộ phận bảo vệ dữ liệu cá nhân. Trừ trường hợp doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. Sau khi hết thời hạn 02 năm này, doanh nghiệp cần tuân thủ nghiêm ngặt việc chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân.

- Rà soát lại hệ thống xử lý dữ liệu cá nhân là người lao động của công ty, khách hàng, đối tác của doanh nghiệp và thu thập những dữ liệu cá nhân này đúng theo quy định của pháp luật.

- Xây dựng hoặc bổ sung vào Nội quy lao động các quy định về việc cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân dưới mọi hình thức để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp xảy ra vi phạm.

- Rà soát và bổ sung các điều khoản về phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân trong hợp đồng thử việc, hợp đồng lao động hoặc phụ lục hợp đồng lao động. Đồng thời phải thể hiện rõ sự đồng ý của người lao động bằng văn bản.

- Rà soát và bổ sung các điều khoản quy định về không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân vào các Hợp đồng dịch vụ, hợp đồng kinh tế (nếu có).

Thượng tá Võ Thành Phương - Phó Trưởng phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh có buổi phỏng vấn về sự cần thiết ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân.

Phóng viên: Thủ tục hành chính theo quy định của NĐ số 13, cụ thể như thế nào, thưa đồng chí?

Thượng tá Võ Thành Phương: Nghị định 13/NĐ-CP nghiên cứu áp dụng mô hình cho phép tổ chức, doanh nghiệp tự chủ trong công tác xử lý dữ liệu cá nhân bằng cách tiến hành và lưu giữ hồ sơ có liên quan. Bộ Công an tiến hành kiểm tra sự phù hợp với hồ sơ và đản bảo quy định của Nghị định bảo vệ dữ liệu cá nhân. Theo đó, doanh nghiệp tiến hành các thủ tục hành chính như sau:

- Lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp mình theo đúng quy định của pháp luật kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

- Lập và lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp có thực hiện hoạt động chuyển dữ liệu cá nhân ra nước ngoài; Thông báo với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.

Bên cạnh đó, để các đối tượng thuộc phạm vi điều chỉnh có thời gian nghiên cứu, áp dụng quy định bảo vệ dữ liệu cá nhân, Nghị định đã quy định các trường hợp loại trừ tại khoản 2,3 Điều 43: Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp; các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không áp dụng quy định tại khoản 2 điều 43 Nghị định.

Phóng viên: Xin đồng chí cho biết, các loại thủ tục hành chính liên  quan đến việc thực hiện NĐ số 13?

Thượng tá Võ Thành Phương: các loại thủ tục hành chính liên  quan đến việc thực hiện NĐ số 13 gồm:

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Thông báo thay đổi nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Các thủ tục hành chính, biểu mẫu về bảo vệ dữ liệu cá nhân được đăng tải trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, doanh nghiệp có thể chọn 01 trong 03 hình thức tiến hành thủ tục hành chính, cụ thể:

Cách 1: đăng nhập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, điền thông tin vào biểu mẫu và nộp trực tuyến;

Cách 2: in biểu mẫu, điền thông tin hoàn chỉnh, nộp trực tiếp tại: Cục An ninh mạng và phòng chống tội phạm công nghệ cao Bộ Công an, số 207 Khuất Duy Tiến, phường Nhân Chính, Quận Thanh Xuân, Hà Nội;

Cách 3: in biểu mẫu, điền thông tin hoàn chỉnh và nộp qua đường bưu chính. Nơi nhận: Cục An ninh mạng và phòng chống tội phạm công nghệ cao Bộ Công an, số 207 Khuất Duy Tiến, phường Nhân Chính, Quận Thanh Xuân, Hà Nội./.

Xin cám ơn đồng chí!

T.Phượng