Please scroll down for Vietnamese version
Decree No. 13/2023 clarifies the entities required to comply with its provisions, including (i) Vietnamese organizations/individuals; (ii) Vietnamese organizations, individuals operating abroad; (iii) foreign organizations, individuals in Vietnam; (iv) foreign organizations/individuals directly involved in or related to personal data processing activities in Vietnam.
“Personal data” is information in the form of symbols, letters, numbers, images, sounds, or similar forms in the electronic environment associated with a specific individual or helping identify a specific individual. Personal data includes basic personal data and sensitive personal data.
Decree No. 13/2023 mainly regulates three entities: Data controllers, Data processors, and Data controllers and processors, who function as both data controllers and data processors.
Article 3 of Decree No. 13/2023 specifies 8 principles, including legality, transparency, purpose limitation, data minimization, accuracy, integrity, security, storage limitation, and accountability.
Article 9 of Decree No. 13/2023 stipulates 11 rights of data subjects, including the right to know, consent, access, withdraw consent, delete data, restrict data processing, request data provision, object to data processing, complain, sue, demand compensation, and self-protection.
The consent of data subjects is crucial for ensuring the legality of data processing. Decree No. 13/2023 specifies that data subject consent applies in all data processing activities, except for certain specified cases.
Decree No. 13/2023 specifies several special cases of personal data processing, including processing without consent, processing data obtained from public recordings to protect national security, social order, legitimate rights, and interests, processing data of missing or deceased persons, and processing data of children.
When detecting violations of personal data protection regulations, data controllers must notify the Ministry of Public Security within 72 hours of the violation.
Data controllers must conduct and retain records of the impact assessment of personal data processing.
Decree No. 13/2023 specifies procedures for cross-border personal data transfers.
Various measures must be applied to ensure personal data protection during data processing.
The Ministry of Public Security is designated as the authority responsible for personal data protection.
Decree No. 13/2023 is effective from July 1, 2023.
Awareness and Compliance: Despite clear regulations, awareness of the provisions and compliance remains a challenge for organizations and individuals. Many small and medium-sized enterprises, in particular, have not fully grasped the specific requirements and methods of compliance regarding personal data protection as per the Decree.
Legal Conflicts: There are legal conflicts between Decree 13 and other documents, especially in the banking sector. For instance:
However, within the legal framework of the banking sector, all activities related to the collection and processing of customer data, both general and individual customers, are governed by regulations in documents of lower legal rank than the Law.
In the banking sector, many activities involving the processing of personal customer data may not and should not require the consent of individual customers. However, if Decree 13 is applied, banks are required to obtain the consent of individual customers, which is not feasible and creates many drawbacks for banking operations.
Inconsistent Administrative Procedures: There is a lack of clear guidance from specialists when receiving and processing impact assessment files and transferring personal data abroad. Many components of the files outlined in the Decree do not align with reality, causing difficulties, time consumption, and costs for businesses when carrying out these procedures.
High Compliance Costs: The new policy on personal data protection has created a tight legal framework. However, this requires a large amount of resources, including both human and financial resources, for businesses to review and rebuild their personal data protection systems to comply with this Decree.
Lack of Violation Handling Mechanisms: Currently, there is no legal document on administrative penalties for violations in the field of personal data protection. Therefore, there is no basis to determine violations or establish clear, fair, and effective sanctioning measures.
Thảo luận về thực trạng, bất cập và những điểm cần lưu ý khi thực hiện Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
Những điểm cần lưu ý
Nghị định 13/2023 làm rõ các đối tượng phải tuân thủ quy định của Nghị định, bao gồm (i) tổ chức/cá nhân Việt Nam; (ii) tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài; (iii) tổ chức, cá nhân nước ngoài tại Việt Nam; (iv) tổ chức/cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
“Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (Điều 2.1).
Nghị định 13/2023 chủ yếu điều chỉnh 3 chủ thể: Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân và Bên kiểm soát và xử lý dữ liệu cá nhân, có chức năng vừa là bên kiểm soát dữ liệu cá nhân vừa là bên xử lý dữ liệu cá nhân (Điều 2.9, 2.10 và 2.11).
Điều 3 Nghị định 13/2023 quy định 8 nguyên tắc, cụ thể: (i) tính hợp pháp, (ii) tính minh bạch, (iii) giới hạn mục đích, (iv) giảm thiểu dữ liệu, (v) tính chính xác, (vi) tính toàn vẹn, bảo mật và an ninh, (vii) giới hạn lưu trữ và (viii) trách nhiệm giải trình. Về nguyên tắc “giới hạn mục đích”, Nghị Định 13/2013 quy định rõ việc mua bán dữ liệu cá nhân không được phép thực hiện dưới mọi hình thức nào, trừ trường hợp pháp luật có quy định khác.
Điều 9 Nghị định 13/2023 quy định 11 quyền của chủ thể dữ liệu bao gồm (i) quyền được biết; (ii) quyền đồng ý; (iii) quyền truy cập; (iv) quyền rút lại sự đồng ý; (v) quyền xóa dữ liệu; (vi) quyền hạn chế xử lý dữ liệu; (vii) quyền yêu cầu cung cấp dữ liệu; (viii) quyền phản đối xử lý dữ liệu; (ix) quyền khiếu nại, tố cáo và khởi kiện; (x) quyền yêu cầu bồi thường thiệt hại; và (xi) quyền tự bảo vệ.
Nghị định 13/2023 không quy định quyền “di chuyển dữ liệu” như được quy định trong GDPR. Việc thiếu quyền này có thể ngăn chủ thể dữ liệu truyền dữ liệu cá nhân của mình đến những người kiểm soát khác.
Sự đồng ý của chủ thể dữ liệu là cơ sở quan trọng để đảm bảo tính hợp pháp của việc xử lý dữ liệu. Nghị định 13/2023 quy định sự đồng ý của chủ thể dữ liệu sẽ được áp dụng trong mọi hoạt động xử lý dữ liệu, ngoại trừ một số trường hợp nhất định không cần có sự đồng ý.
Sự đồng ý của chủ thể dữ liệu sẽ chỉ có hiệu lực khi (i) được cung cấp miễn phí và (ii) chủ thể dữ liệu biết đầy đủ thông tin về loại dữ liệu các nhân, mục đích xử lý dữ liệu, các bên xử lý dữ liệu và chủ thể dữ liệu, quyền và nghĩa vụ. Ngoài ra, sự đồng ý của chủ thể dữ liệu phải:
Đặc biệt, việc chủ thể dữ liệu im lặng hoặc không phản hồi không được coi là sự đồng ý của họ.
Nghị định 13/2023 quy định cụ thể một số trường hợp đặc biệt về xử lý dữ liệu cá nhân bao gồm:
Khi phát hiện vi phạm các quy định về bảo vệ dữ liệu cá nhân, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải thông báo cho Bộ Công an (MPS) (Cục An ninh mạng và Tội phạm công nghệ cao) Phòng ngừa) (A05) trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm theo mẫu quy định có nội dung bắt buộc (ví dụ: Mô tả các biện pháp được áp dụng để xử lý và giảm thiểu tác hại của hành vi vi phạm đó) (Điều 23). Trường hợp thông báo sau 72 giờ phải nêu rõ lý do chậm, thông báo muộn.
Theo Điều 24 Nghị định 13/2023, trong mọi trường hợp, kể từ khi bắt đầu xử lý dữ liệu cá nhân, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải lập và lưu giữ hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân. Cụ thể:
Điều 25 Nghị định 13/2023 quy định cụ thể các thủ tục mà bên chuyển dữ liệu phải tuân thủ đối với việc chuyển dữ liệu cá nhân xuyên biên giới như sau:
Ngoại trừ các trường hợp yêu cầu bên chuyển giao ngừng chuyển dữ liệu cá nhân xuyên biên giới (Điều 25.8 Nghị định 13/2023), Nghị định 13/2023 không áp đặt các hạn chế đối với việc chuyển dữ liệu cá nhân sang nước thứ ba.
Theo Điều 26 của Nghị định 13/2023, các biện pháp đảm bảo bảo vệ dữ liệu cá nhân phải được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp này bao gồm (i) các biện pháp quản lý và kỹ thuật được thực hiện bởi các đơn vị liên quan đến xử lý dữ liệu cá nhân; (ii) các biện pháp do cơ quan có thẩm quyền thực hiện; (iii) các biện pháp điều tra và tố tụng do cơ quan có thẩm quyền thực hiện; và (iv) các biện pháp khác theo quy định của pháp luật. Các biện pháp như vậy khá chung chung và do đó, có thể hiểu rằng các bên liên quan xử lý dữ liệu cá nhân có thể xác định các biện pháp phù hợp theo quyết định riêng của họ trong từng trường hợp cụ thể.
Đối với từng loại dữ liệu cá nhân, Nghị định 13/2023 sẽ yêu cầu các biện pháp cụ thể ngoài các biện pháp được quy định tại Điều 26 (ví dụ: Chỉ định một bộ phận có chức năng bảo vệ dữ liệu cá nhân hoặc chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm).
Theo Điều 29 Nghị định 13/2023, Cục An ninh mạng và Phòng chống tội phạm công nghệ cao thuộc Bộ Công an (A05) sẽ đóng vai trò là cơ quan chuyên môn về bảo vệ dữ liệu cá nhân. Việc lựa chọn Bộ Công an làm cơ quan phụ trách bảo vệ dữ liệu cá nhân dường như cho thấy rằng Việt Nam coi việc bảo vệ dữ liệu cá nhân là một vấn đề an ninh chứ không phải là vấn đề dân quyền.
Nghị Định 13/2023 có hiệu lực từ ngày 01 tháng 7 năm 2023. Tuy nhiên, các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp (Điều 43.2).
Thực trạng và bất cập của việc áp dụng Nghị định 13/2023/NĐ-CP
Ví dụ:
Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).
Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật.
Đối với lĩnh vực ngân hàng, nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng, tuy nhiên, nếu áp dụng Nghị định 13 thì bắt buộc các ngân hàng có được sự đồng ý của khách hàng cá nhân và điều này là không khả thi, gây nhiều bất cập cho hoạt động ngân hàng.
If you need any helps, please feel free to contact us. We will get back to you with 1 business day. Or if in hurry, just call us now.
Call : 028 888 555 35
support@andlaw.vn Mon – Fri 08:30-17:30