Thảo luận về tình hình hiện tại, những bất cập và những điểm cần lưu ý khi thực hiện Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân

Thảo luận về thực trạng, bất cập và những điểm cần lưu ý khi thực hiện Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân

Những điểm cần lưu ý

1. Phạm vi áp dụng

Nghị định 13/2023 làm rõ các đối tượng phải tuân thủ quy định của Nghị định, bao gồm (i) tổ chức/cá nhân Việt Nam; (ii) tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài; (iii) tổ chức, cá nhân nước ngoài tại Việt Nam; (iv) tổ chức/cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

2. Định nghĩa “Dữ liệu cá nhân”

“Dữ liệu cá nhân” là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (Điều 2.1).

3. Các bên liên quan đến việc xử lý dữ liệu

       Nghị định 13/2023 chủ yếu điều chỉnh 3 chủ thể: Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân và Bên kiểm soát và xử lý dữ liệu cá nhân, có chức năng vừa là bên kiểm soát dữ liệu cá nhân vừa là bên xử lý dữ liệu cá nhân (Điều 2.9, 2.10 và 2.11).

4. Nguyên tắc bảo vệ dữ liệu cá nhân

Điều 3 Nghị định 13/2023 quy định 8 nguyên tắc, cụ thể: (i) tính hợp pháp, (ii) tính minh bạch, (iii) giới hạn mục đích, (iv) giảm thiểu dữ liệu, (v) tính chính xác, (vi) tính toàn vẹn, bảo mật và an ninh, (vii) giới hạn lưu trữ và (viii) trách nhiệm giải trình. Về nguyên tắc “giới hạn mục đích”, Nghị Định 13/2013 quy định rõ việc mua bán dữ liệu cá nhân không được phép thực hiện dưới mọi hình thức nào, trừ trường hợp pháp luật có quy định khác.

5. Quyền của chủ thể dữ liệu

Điều 9 Nghị định 13/2023 quy định 11 quyền của chủ thể dữ liệu bao gồm (i) quyền được biết; (ii) quyền đồng ý; (iii) quyền truy cập; (iv) quyền rút lại sự đồng ý; (v) quyền xóa dữ liệu; (vi) quyền hạn chế xử lý dữ liệu; (vii) quyền yêu cầu cung cấp dữ liệu; (viii) quyền phản đối xử lý dữ liệu; (ix) quyền khiếu nại, tố cáo và khởi kiện; (x) quyền yêu cầu bồi thường thiệt hại; và (xi) quyền tự bảo vệ.

Nghị định 13/2023 không quy định quyền “di chuyển dữ liệu” như được quy định trong GDPR. Việc thiếu quyền này có thể ngăn chủ thể dữ liệu truyền dữ liệu cá nhân của mình đến những người kiểm soát khác.

6. Sự đồng ý của chủ thể dữ liệu

Sự đồng ý của chủ thể dữ liệu là cơ sở quan trọng để đảm bảo tính hợp pháp của việc xử lý dữ liệu. Nghị định 13/2023 quy định sự đồng ý của chủ thể dữ liệu sẽ được áp dụng trong mọi hoạt động xử lý dữ liệu, ngoại trừ một số trường hợp nhất định không cần có sự đồng ý.

Sự đồng ý của chủ thể dữ liệu sẽ chỉ có hiệu lực khi (i) được cung cấp miễn phí và (ii) chủ thể dữ liệu biết đầy đủ thông tin về loại dữ liệu các nhân, mục đích xử lý dữ liệu, các bên xử lý dữ liệu và chủ thể dữ liệu, quyền và nghĩa vụ. Ngoài ra, sự đồng ý của chủ thể dữ liệu phải:

• Rõ ràng, được thể hiện cụ thể bằng văn bản, bằng giọng nói, bằng cách đánh dấu vào ô đồng ý, bằng tin nhắn văn bản để đồng ý, bằng cách thiết lập kỹ thuật để đồng ý hoặc bằng một hành dộng khác thể hiện điều tương tự. Theo đó, các biểu mẫu được thỏa thuận trước do nhà cung cấp dịch/ chủ sở hữu trang web đặt ra như cài đặt mặc định, các ô được đánh dấu trước hoặc điều khoản và điều kiện chung có thể không được coi là sự đồng ý của chủ thể dữ liệu;
• Được thực hiện cho một mục đích duy nhất. Trong trường hợp có nhiều mục đích, các bên tham gia xử lý dữ liệu phải liệt kê hết tất cả các mục đích để chủ thể dữ liệu lựa chọn đồng ý thực hiện một hoặc nhiều mục đích đã nêu; và
• Được thể hiện ở định dạng có thể được in và/hoặc sao chép bằng văn bản, bao gồm cả ở định dạng điện tử hoặc có thể kiểm chứng.

Đặc biệt, việc chủ thể dữ liệu im lặng hoặc không phản hồi không được coi là sự đồng ý của họ.

7. Xử lý dữ liệu cá nhân trong các trường hợp đặc biệt

Nghị định 13/2023 quy định cụ thể một số trường hợp đặc biệt về xử lý dữ liệu cá nhân bao gồm:

• Xử lý dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu (Điều 17).
• Xử lý dữ liệu cá nhân thu được từ việc ghi âm, ghi hình tại địa điểm công cộng nhằm bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của mình theo quy định của pháp luật (Điều 18);
• Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích hoặc đã chết. Cần lưu ý rằng việc xử lý dữ liệu cá nhân trong trường hợp này cần có sự đồng ý của các thành viên trong gia đình họ (ví dụ: vợ/chồng, cha mẹ) và nếu người chết/mất tích không có thành viên gia đình thì điều đó được coi là không có sự đồng ý và do đó, việc xử lý có thể không được thực hiện (Điều 19); và
• Xử lý dữ liệu cá nhân của trẻ em (Điều 20). Ngoại trừ các trường hợp nêu ở (i), khi trẻ từ 7 tuổi trở lên, bất kỳ bên nào tham gia xử lý dữ liệu đều phải có sự đồng ý của cả trẻ và cha mẹ hoặc người giám hộ của trẻ.

8. Nghĩa vụ thông báo trong trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân

Khi phát hiện vi phạm các quy định về bảo vệ dữ liệu cá nhân, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải thông báo cho Bộ Công an (MPS) (Cục An ninh mạng và Tội phạm công nghệ cao) Phòng ngừa) (A05) trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm theo mẫu quy định có nội dung bắt buộc (ví dụ: Mô tả các biện pháp được áp dụng để xử lý và giảm thiểu tác hại của hành vi vi phạm đó) (Điều 23). Trường hợp thông báo sau 72 giờ phải nêu rõ lý do chậm, thông báo muộn.

9. Đánh giá tác động của việc xử lý dữ liệu cá nhân

Theo Điều 24 Nghị định 13/2023, trong mọi trường hợp, kể từ khi bắt đầu xử lý dữ liệu cá nhân, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải lập và lưu giữ hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân. Cụ thể:

• Hồ sơ do bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu lập phải bao gồm một số nội dung, trong đó có các trường hợp chuyển dữ liệu cá nhân qua biên giới; đánh giá tác động của việc xử lý dữ liệu cá nhân; những hậu quả và/hoặc thiệt hại tiềm ẩn và không mong muốn cũng như các biện pháp giảm thiểu hoặc loại bỏ chúng;
• Trường hợp có bên xử lý dữ liệu thay mặt bên kiểm soát dữ liệu thì người xử lý dữ liệu đó cũng phải lập hồ sơ riêng để đánh giá tác động của việc xử lý dữ liệu cá nhân với các nội dung bắt buộc; Và
• Hồ sơ phải được cung cấp mọi lúc để Bộ Công an kiểm tra, đánh giá và nộp 01 bản gốc cho A05 trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu cá nhân.

10. Chuyển dữ liệu cá nhân xuyên biên giới

Điều 25 Nghị định 13/2023 quy định cụ thể các thủ tục mà bên chuyển dữ liệu phải tuân thủ đối với việc chuyển dữ liệu cá nhân xuyên biên giới như sau:

• Bên chuyển giao phải lập hồ sơ đánh giá tác động của việc truyền dữ liệu cá nhân qua biên giới với các nội dung bắt buộc bao gồm mô tả, giải thích mục tiêu xử lý dữ liệu cá nhân của công dân Việt Nam sau khi được chuyển giao;
• Bên chuyển nhượng phải luôn lưu trữ hồ sơ để Bộ Công an kiểm tra, đánh giá và gửi 01 bản gốc cho A05 trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu cá nhân; và
• Người chuyển giao thông báo và gửi cho A05 thông tin về việc truyền dữ liệu và chi tiết liên hệ của tổ chức và/hoặc cá nhân chịu trách nhiệm bằng văn bản sau khi hoàn tất việc truyền dữ liệu thành công.

Ngoại trừ các trường hợp yêu cầu bên chuyển giao ngừng chuyển dữ liệu cá nhân xuyên biên giới (Điều 25.8 Nghị định 13/2023), Nghị định 13/2023 không áp đặt các hạn chế đối với việc chuyển dữ liệu cá nhân sang nước thứ ba.

11. Các biện pháp đảm bảo bảo vệ dữ liệu cá nhân

Theo Điều 26 của Nghị định 13/2023, các biện pháp đảm bảo bảo vệ dữ liệu cá nhân phải được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp này bao gồm (i) các biện pháp quản lý và kỹ thuật được thực hiện bởi các đơn vị liên quan đến xử lý dữ liệu cá nhân; (ii) các biện pháp do cơ quan có thẩm quyền thực hiện; (iii) các biện pháp điều tra và tố tụng do cơ quan có thẩm quyền thực hiện; và (iv) các biện pháp khác theo quy định của pháp luật. Các biện pháp như vậy khá chung chung và do đó, có thể hiểu rằng các bên liên quan xử lý dữ liệu cá nhân có thể xác định các biện pháp phù hợp theo quyết định riêng của họ trong từng trường hợp cụ thể.

Đối với từng loại dữ liệu cá nhân, Nghị định 13/2023 sẽ yêu cầu các biện pháp cụ thể ngoài các biện pháp được quy định tại Điều 26 (ví dụ: Chỉ định một bộ phận có chức năng bảo vệ dữ liệu cá nhân hoặc chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm).

12. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân

Theo Điều 29 Nghị định 13/2023, Cục An ninh mạng và Phòng chống tội phạm công nghệ cao thuộc Bộ Công an (A05) sẽ đóng vai trò là cơ quan chuyên môn về bảo vệ dữ liệu cá nhân. Việc lựa chọn Bộ Công an làm cơ quan phụ trách bảo vệ dữ liệu cá nhân dường như cho thấy rằng Việt Nam coi việc bảo vệ dữ liệu cá nhân là một vấn đề an ninh chứ không phải là vấn đề dân quyền.

13. Ngày hiệu lực

Nghị Định 13/2023 có hiệu lực từ ngày 01 tháng 7 năm 2023. Tuy nhiên, các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp (Điều 43.2).

Thực trạng và bất cập của việc áp dụng Nghị định 13/2023/NĐ-CP

1. Nhận thức và tuân thủ: Mặc dù có các quy định rõ ràng, nhưng nhận thức về quy định và tuân thủ của các tổ chức và cá nhân vẫn là một thách thức. Nhiều tổ chức, đặc biệt là các doanh nghiệp vừa và nhỏ vẫn chưa tiếp cận, hiểu rõ yêu cầu cụ thể và cách thức tuân thủ về việc bảo vệ dữ liệu cá nhân theo Nghị định.
2. Có sự xung đột pháp luật giữa Nghị định 13 với các văn bản khác, đặc biệt trong lĩnh vực ngân hàng.

 

Ví dụ:

Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).

Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật.

Đối với lĩnh vực ngân hàng, nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng, tuy nhiên, nếu áp dụng Nghị định 13 thì bắt buộc các ngân hàng có được sự đồng ý của khách hàng cá nhân và điều này là không khả thi, gây nhiều bất cập cho hoạt động ngân hàng.

3. Thủ tục hành chính không thống nhất: chưa có sự hướng dẫn rõ ràng từ chuyên viên khi tiếp nhận, xử lý các hồ sơ đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài, nhiều thành phần hồ sơ được nêu trong Nghị định không sát thực tế, gây khó khăn, tốn thời gian và chi phí cho doanh nghiệp khi thực hiện.

4. Chi phí tuân thủ cao: chính sách mới về bảo vệ dữ liệu cá nhân đã tạo ra hành lang pháp lý chặt chẽ, tuy nhiên, điều này đòi hỏi một số lượng lớn các tài nguyên, bao gồm cả về nhân lực và tài chính khi doanh nghiệp rà soát, xây dựng lại hệ thống bảo vệ dữ liệu dữ liệu cá nhân nhằm tuân thủ Nghị định này.
5. Thiếu cơ chế xử lý vi phạm: hiện tại chưa có văn bản pháp luật về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, do đó, chưa có căn cứ để xác định hành vi vi phạm cũng như chế tài xử lý một cách rõ ràng, công bằng và hiệu quả.