Bảo vệ dữ liệu cá nhân: Nghị định mới, tấm khiên mới
Bảo vệ dữ liệu cá nhân: Nghị định mới, tấm khiên mới
(KTSG) – Ngày 17-4-2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP (về) bảo vệ dữ liệu cá nhân. Đây là nỗ lực nhằm góp phần xây dựng hành lang pháp lý phục vụ chương trình chuyển đổi số quốc gia, hướng đến nhóm mục tiêu an toàn thông tin và phát triển xã hội số toàn diện.
Nghị định này đã ghi nhận một cách toàn diện các quyền lợi cơ bản của cá nhân là chủ thể dữ liệu, và đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam.
Ngoài ra, nghị định cũng quy định về chức năng và thẩm quyền của cơ quan chuyên trách bảo vệ dữ liệu cá nhân ở Việt Nam và đưa ra một số yêu cầu đặc biệt đối với xử lý dữ liệu cá nhân xuyên biên giới.
Khái niệm dữ liệu cá nhân và sự thừa nhận quyền bảo vệ dữ liệu cá nhân gắn liền với quyền riêng tư
Điểm nổi bật của nghị định này là đã đưa ra một khái niệm toàn diện về dữ liệu cá nhân bao gồm ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh được nhận diện trong môi trường vật chất truyền thống và cả môi trường điện tử. Thuật ngữ “dữ liệu cá nhân” đã góp phần tạo một cách hiểu chung thống nhất giữa các thuật ngữ tương đồng (gần 10 thuật ngữ) đang tồn tại trong các văn bản pháp luật khác nhau.
Đồng thời, nghị định cũng lần đầu ghi nhận khái niệm “dữ liệu cá nhân nhạy cảm” nhằm phân biệt dữ liệu nhạy cảm so với dữ liệu thông thường.
Cụ thể, khoản 4, điều 2 của nghị định quy định: “4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân… bao gồm quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; thông tin liên quan đến nhân trắc học, vật lý, sinh học, đời sống tình dục, xu hướng tình dục, nguồn gốc chủng tộc, nguồn gốc dân tộc của cá nhân; dữ liệu về tội phạm, hành vi phạm tội; thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán; dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị…”.
Việc ghi nhận này phản ánh sự tương thích của pháp luật Việt Nam với các đạo luật về bảo vệ dữ liệu cá nhân của các khu vực tài phán khác trên thế giới, và tạo tiền đề để đặt ra yêu cầu pháp lý ở mức độ cao để bảo vệ dữ liệu cá nhân nhạy cảm.
Đáng lưu ý, khái niệm dữ liệu cá nhân nhạy cảm được đề cập gắn liền với quyền riêng tư của cá nhân – phản ảnh triết lý tiếp cận quyền bảo vệ dữ liệu cá nhân được xây dựng trên nền móng của việc bảo vệ quyền riêng tư. Một cách đơn giản, mọi người đều có quyền được tôn trọng đời sống riêng tư bao gồm cả những thông tin về cá nhân; do đó, các quy định của pháp luật về bảo vệ dữ liệu nhằm hướng đến bảo mật thông tin cá nhân, đặc biệt những thông tin nhạy cảm có khả năng gây tổn hại đến đời sống riêng tư của cá nhân.
Quyền chủ thể dữ liệu xoay quanh cơ chế đồng thuận và ngoại lệ (nguyên tắc cân bằng lợi ích)
Quyền của chủ thể dữ liệu cá nhân là tập hợp rất nhiều quyền tự do cá nhân đối với dữ liệu như quyền truy cập, quyền đồng ý hoặc không đồng ý đối với việc xử lý dữ liệu cá nhân, quyền được thông báo, và quyền yêu cầu xóa dữ liệu… Ngoài ra, chủ thể dữ liệu còn có các quyền tự bảo vệ nhằm đảm bảo các chủ thể khác không xâm phạm dữ liệu cá nhân, nổi bật là quyền yêu cầu bồi thường thiệt hại khi cho rằng dữ liệu cá nhân của mình bị xâm phạm.
Về cơ bản, cá nhân có quyền đồng ý và rút lại sự đồng ý đối với việc một bên nào khác xử lý dữ liệu cá nhân mình. Nhưng các quyền trên của cá nhân sẽ bị hạn chế trong những trường hợp không cần sự đồng ý của cá nhân như trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe của chính cá nhân hoặc người khác; tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; thực hiện nghĩa vụ hợp đồng đã được xác định, hoặc phục vụ hoạt động cơ quan nhà nước đã được quy định theo luật chuyên ngành (điều 19).
Việc quy định các ngoại lệ là nhằm cân bằng lợi ích của đa đạng chủ thể khác nhau trong xã hội, giữa quyền tự do của chủ thể dữ liệu, quyền và lợi ích chính đáng của chủ thể khác, an ninh, lợi ích quốc gia, lợi ích công cộng.
Doanh nghiệp cần tăng cường trách nhiệm trong kiểm soát và xử lý dữ liệu
Nghị định đã bao phủ được các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, không chỉ đề cập đến chủ thể dữ liệu, mà còn bao quát bên kiểm soát dữ liệu, bên xử lý dữ liệu, và cả bên thứ ba có liên quan đến dữ liệu. Tất cả các bên phải cùng có trách nhiệm đảm bảo việc tuân thủ quy định pháp luật và chuẩn hóa công nghệ để phục vụ quá trình xử lý dữ liệu, bảo mật dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài. Nếu vi phạm, cơ quan, tổ chức, cá nhân phải đối diện với các mức phạt tiền nghiêm trọng.
Cụ thể, các doanh nghiệp cần tiến hành đánh giá rủi ro liên quan tới xử lý dữ liệu cá nhân một cách toàn diện, bao gồm xem xét phương án kỹ thuật để người dùng có thể truy cập, xem, sửa, xóa các dữ liệu của họ đang lưu trên hệ thống; rà soát và cập nhật quy trình, hướng dẫn thực hiện xử lý dữ liệu cá nhân phù hợp với quy định mới; và xem xét thiết lập, duy trì cơ chế quản trị, tuân thủ trong suốt quá trình hoạt động.
Với những doanh nghiệp lớn, đã có sẵn hệ thống tuân thủ những quy định chung của châu Âu hay các nước khác thì việc tuân thủ nghị định này không khó, vì những nghĩa vụ mà nghị định đặt ra cho chủ thể xử lý dữ liệu là tương đối hài hòa với khung pháp lý của các khu vực thương mại quốc tế. Tuy nhiên, đối với các doanh nghiệp nhỏ và vừa, nếu không nhanh chóng xây dựng quy trình tuân thủ chủ động thì sẽ gặp bất lợi khi đối diện với những yêu cầu bất chợt từ khách hàng hoặc những đợt kiểm tra đến từ cơ quan nhà nước.
Bên cạnh đó, một số quy định của nghị định còn đang chung chung và không rõ ràng, điều này có thể gây khó cho doanh nghiệp khi thực thi. Chẳng hạn, khoản 2 điều 14 quy định chủ thể dữ liệu khi có yêu cầu phải “đến trụ sở” của bên kia và điền vào “phiếu yêu cầu”. Trong trường hợp này, thế nào là “trụ sở” và “điền phiếu”? Liệu một quy trình tự động hóa, ngồi yêu cầu ngay tại nhà, và điền vào một mẫu phiếu tự động trực tuyến, thì có phù hợp với quy định này hay không?
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân
Nghị định này quy định Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an (gọi ngắn gọn là Cục) là cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Theo đó, cơ quan này có thẩm quyền rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân của doanh nghiệp và các tổ chức, cá nhân khác.
Điều này có nghĩa là các doanh nghiệp khi kiểm soát, xử lý dữ liệu cá nhân sẽ phải thực hiện nghĩa vụ đánh giá, kiểm định và báo cáo trực tiếp với cơ quan này. Khi xảy ra vi phạm về xử lý dữ liệu, doanh nghiệp cũng phải thông báo ngay cho Cục và phải sẵn sàng chia sẻ thông tin, hồ sơ (điều 23, 24, 25). Việc trao đổi thông tin và giao tiếp giữa Cục và các chủ thể có liên quan sẽ được tiến hành thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khoản 2, điều 29).
Nhiều ý kiến cho rằng, với vai trò kiểm tra, đánh giá tuân thủ pháp luật về kiểm soát, xử lý dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân cần phải duy trì được tính độc lập, khách quan trong hoạt động của mình. Tuy nhiên, theo quy định mới thì đối tượng chịu sự kiểm tra, giám sát của Cục có thể bao gồm cả các cơ quan quản lý hành chính nhà nước khác có kiểm soát, xử lý dữ liệu cá nhân (điều 1). Vì thế, một trong những thách thức khi thực thi nghị định là phải đảm bảo được tính khách quan cho hoạt động kiểm tra, đánh giá của Cục này. Nếu đảm bảo được công bằng, khách quan, đây sẽ là bảo chứng cho sự thượng tôn pháp luật, bảo vệ quyền con người, quyền công dân trong xã hội số.
(*) Giảng viên Khoa Luật, Đại học Kinh tế – Luật, ĐHQG TPHCM
(**) Giảng viên Khoa Luật, trường Kinh tế, Luật và Quản lý nhà nước, trường Đại học Kinh tế TPHCM
Đường dẫn: https://thesaigontimes.vn/bao-ve-du-lieu-ca-nhan-nghi-dinh-moi-tam-khien-moi/
Nhận xét
Đăng nhận xét