Trách nhiệm của doanh nghiệp đối với việc xử lý dữ liệu cá nhân

Trong bối cảnh dữ liệu cá nhân ngày càng dễ bị xâm phạm, việc tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân đã trở thành một yêu cầu tất yếu đối với các doanh nghiệp. Nhằm đáp ứng thực tế đó, Nghị định 13/2023/NĐ-CP ra đời với những quy định rõ ràng và cụ thể, đòi hỏi các doanh nghiệp không chỉ đảm bảo an toàn dữ liệu cá nhân mà còn xây dựng hệ thống quản lý dữ liệu minh bạch, hiệu quả.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ giúp các doanh nghiệp hiểu rõ trách nhiệm của mình đối với việc xử lý dữ liệu cá nhân, từ đó có thể đưa ra những giải pháp thực tiễn để đáp ứng các yêu cầu pháp lý, giảm thiểu rủi ro và nâng cao uy tín trong hoạt động kinh doanh của doanh nghiệp.

1. Dữ liệu cá nhân là gì?

a) Định nghĩa

Căn cứ: Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

b) Phân loại

Căn cứ: Khoản 3, 4 Điều 2 Nghị định 13/2023/NĐ-CP

Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm:

Dữ liệu cá nhân cơ bản bao gồm:

Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có)
Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích
Giới tính
Nơi sinh, nơi đăng ký khai sinh,
Nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
Quốc tịch
Hình ảnh của cá nhân
Số điện thoại
Số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu
Số giấy phép lái xe, số biển số xe
Số mã số thuế cá nhân
Số bảo hiểm xã hội, số thẻ bảo hiểm y tế
Tình trạng hôn nhân
Thông tin về mối quan hệ gia đình (cha mẹ, con cái)
Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng
Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định về “Dữ liệu cá nhân nhạy cảm”.

Dữ liệu cá nhân nhạy cảm bao gồm:

Quan điểm chính trị, quan điểm tôn giáo;
Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán
Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị
Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết

2. Trách nhiệm của doanh nghiệp đối với việc xử lý dữ liệu cá nhân?

a) Tuân thủ các nguyên tắc về bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Nghị định 13/2023/NĐ-CP

Nguyên tắc bảo vệ dữ liệu cá nhân được quy định như sau:

Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.
Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

b) Không thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 7 Nghị định 13/2023/NĐ-CP

Các hành vi bị nghiêm cấm bao gồm:

Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

c) Xây dựng, ban hành các quy chế nội bộ để bảo vệ dữ liệu cá nhân

Doanh nghiệp cần căn cứ vào tình hình thực tiễn để xây dựng Quy chế nội bộ đảm bảo sự phối hợp hiệu quả giữa các phòng ban, đồng thời áp dụng các biện pháp kỹ thuật cần thiết nhằm bảo vệ dữ liệu cá nhân.

Ngoài ra, doanh nghiệp cần bổ sung vào Nội quy lao động các quy định nghiêm cấm hành vi mua bán, tiết lộ hoặc chia sẻ trái phép dữ liệu cá nhân, làm cơ sở để xử lý kỷ luật lao động và yêu cầu bồi thường thiệt hại (nếu có).

d) Thông báo việc xử lý dữ liệu cá nhân

Căn cứ: Điều 13 Nghị định 13/2023/NĐ-CP

Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.

Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân gồm:

Mục đích xử lý;
Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý;
Cách thức xử lý;
Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý;
Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.

Lưu ý:

Trên nguyên tắc mọi hoạt động của quá trình xử lý dữ liệu cá nhân đều phải có sự đồng ý của chủ thể dữ liệu (trừ trường hợp luật có quy định khác)

e) Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

Doanh nghiệp cần chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Lưu ý:

Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định này trong 02 năm đầu kể từ khi thành lập doanh nghiệp (Căn cứ: Khoản 2 Điều 43 Nghị định 13/2023/NĐ-CP)

f) Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

Khi xử lý dữ liệu cá nhân, doanh nghiệp cần lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ này phải được xác lập bằng văn bản có giá trị pháp lý.

Lưu ý:

Doanh nghiệp phải đảm bảo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Doanh nghiệp phải gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Các doanh nghiệp có vốn đầu tư nước ngoài nói chung và doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình Công ty mẹ – con nói riêng cần tuân thủ các quy định về chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài và nộp hồ sơ đánh giá chuyển dữ liệu cá nhân ra nước ngoài tới Bộ Công an.

g) Chịu trách nhiệm pháp lý về vi phạm quy định về bảo vệ dữ liệu cá nhân

Căn cứ: Điều 4 Nghị định 13/2023/NĐ-CP

Doanh nghiệp/cá nhân có hành vi vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị:

Xử lý kỷ luật theo quy định nội bộ
Xử phạt vi phạm hành chính với mức phạt tại dự thảo Nghị định xử phạt đang được trình Chính phủ thông qua là 5% doanh thu và tước giấy phép hoạt động/giấy phép kinh doanh
Xử lý trách nhiệm hình sự theo quy định.

Trên đây là nội dung tư vấn về Trách nhiệm của doanh nghiệp đối với việc xử lý dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Hotline: 090.225.5492

Xem thêm: