Nguồn tham khảo: KPMG

Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) sau một thời gian dài chờ đợi. Nghị định 13 có hiệu lực từ ngày 01/7/2023. Cùng với Luật An ninh mạng (Luật số 24/2018/QH14) ngày 12 tháng 6 năm 2018 và văn bản hướng dẫn thi hành đầu tiên là Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022, Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định 13 quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Ở vai trò là tổ chức sử dụng dữ liệu, bạn cần nắm về quy định này nhằm đảo bảo việc khai thác, sử dụng dữ liệu của mình tuân thủ theo pháp luật Việt Nam.

Ai cần phải tuân thủ?

Nghị định 13 áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam (ví dụ: nhân viên, khách hàng, nhà cung cấp, người dùng hoặc cá nhân khác), kể cả khi việc xử lý dữ liệu cá nhân được thực hiện bên ngoài Việt Nam.

Mặc dù có các yêu cầu tương tự so với Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (“GDPR”), nhưng Nghị định 13 có một số điểm khác biệt đáng kể, chẳng hạn như các yêu cầu đối với chuyển dữ liệu cá nhân ra nước ngoài, hình thức lấy sự đồng ý của chủ thể dữ liệu, báo cáo đánh giá tác động và căn cứ hợp pháp để xử lý dữ liệu cá nhân.

Các công ty đã ban hành các chính sách và triển khai các hoạt động quản lý quyền riêng tư theo GDPR hoặc theo các quy định về quyền riêng tư khác sẽ không đương nhiên được xem là đã tuân thủ theo Nghị định 13. Với việc Nghị định 13 sẽ có hiệu lực vào ngày 01/7/2023, các doanh nghiệp cần bắt đầu rà soát các chính sách nội bộ và thực tiễn quản lý quyền riêng tư của mình ngay lập tức để xác định các khoảng vênh giữa các chính sách nội bộ và hoạt động triển khai của mình với yêu cầu của Nghị định 13, để lên kế hoạch hành động tương ứng.

Phân biệt các loại dữ liệu cá nhân

Dữ liệu cá nhân là các thông tin liên quan đến một con người cụ thể hoặc giúp xác định một con người cụ thể khi các thông tin này được sử dụng độc lập hoặc kết hợp với các thông tin khác có thể là thông tin trực tiếp, chữ số, chữ viết, hình ảnh, âm thanh, video và dữ liệu kỹ thuật số.

Nghị định 13 phân loại dữ liệu cá nhân thành hai (2) loại: (i) dữ liệu cá nhân cơ bản và (ii) dữ liệu cá nhân nhạy cảm; đồng thời liệt kê các dữ liệu chính yếu thuộc hai loại này.

Dữ liệu cá nhân cơ bản bao gồm: thông tin định danh thông thường, như họ và tên, thời gian sinh, thời gian chết, thông tin liên lạc, tình trạng hôn nhân và mối quan hệ gia đình, quốc tịch, hình ảnh của cá nhân, giới tính, số định danh cá nhân (số căn cước công dân, hộ chiếu, mã số thuế, số bảo hiểm xã hội/số thẻ bảo hiểm y tế, số giấy phép lái xe, số biển số xe), ngoài ra còn gồm thông tin về nhóm máu, tài khoản số và dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động của cá nhân trên không gian mạng.

Dữ liệu cá nhân nhạy cảm được định nghĩa là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, bao gồm: quan điểm chính trị và quan điểm tôn giáo, tình trạng sức khỏe và đời tư (ngoại trừ nhóm máu), dữ liệu sinh trắc học, dữ liệu di truyền, khuynh hướng tình dục, dữ liệu về tội phạm, dữ liệu khách hàng của tổ chức tín dụng, dịch vụ trung gian thanh toán, dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị và các dữ liệu cá nhân nhạy cảm khác theo quy định của pháp luật Việt Nam.

Nghị định 13 áp dụng các nghĩa vụ xử lý và bảo vệ bổ sung đối với việc xử lý dữ liệu cá nhân nhạy cảm.

Yêu cầu về thông báo khi xử lý dữ liệu cá nhân

Nghị định 13 yêu cầu các tổ chức cung cấp thông báo tuân thủ cho các cá nhân trước khi xử lý dữ liệu cá nhân của họ.

Thông báo về quyền riêng tư sẽ cần bao gồm loại, mục đích và phương pháp xử lý; danh tính của Bên xử lý dữ liệu cá nhân hoặc bên thứ ba có liên quan; rủi ro trong quá trình xử lý, thời gian xử lý.

Áp dụng vào thực tế, bạn cần làm gì?

Đây là một số ví dụ về những việc bạn cần thực hiện để tuân thủ ND13, lưu ý chỉ một vài ví dụ thôi, còn trong thực tế bạn sẽ cần điều chỉnh lại cho phù hợp

• Thông báo cho khách hàng của mình về thông tin của họ được lưu trữ, sử dụng như thế nào và cho các mục đích gì
• Khi thu thập thông tin dữ liệu của khách hàng, cũng phải công khai mục đích sử dụng
• Công bố về chính sách quyền riêng tư và chính sách sử dụng dữ liệu của bạn trên các website của công ty
• Nếu bạn có sử dụng camera nhận diện gương mặt để xác định người, cần dán thông báo to, rõ ràng trước khu vực đặt camera
• Với các dữ liệu cá nhân cơ bản, cần có biện pháp bảo mật, bảo vệ và áp dụng chính sách phân quyền phù hợp. Ví dụ: chỉ những người có chức trách mới được phép truy cập vào bảng user_data trong data warehouse, vì trong bảng này chứa tên, tuổi, thông tin địa chỉ, số điện thoại của người dùng

Tham khảo kỹ hơn tại bài viết: https://kpmg.com/vn/vi/home/phan-tich-chuyen-sau/2023/04/nghi-dinh-13-ve-bao-ve-du-lieu-ca-nhan.html