Theo quy định tại Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân đối tượng áp dụng là tất cả cơ quan nhà nước, tổ chức, doanh nghiệp, cá nhân có liên quan đến hoạt động xử lý dữ liệu cá nhân của công nhân Việt Nam dù ở trong nước hay ngoài nước.

Hai nguyên tắc quan trọng nhất trong bảo vệ dữ liệu cá nhân đó là nguyên tắc “Được biết” nghĩa là chủ thể dữ liệu cá nhân phải được biết mục đích, các hoạt động xử lý đối với dữ liệu cá nhân của mình là gì, những mục đích, hoạt động này nên được cụ thể hóa trong thỏa thuận hợp đồng hoặc biểu mẫu dịch vụ; Nguyên tắc “Đúng mục đích” nghĩa là các dữ liệu cá nhân được thu thập đủ thực hiện nhiệm vụ mà cơ quan, tổ chức được giao, không thu thập thừa dữ liệu cá nhân.

Các biện pháp bảo vệ dữ liệu cá nhân đã được ban hành mang tính chất nguyên tắc, khuyến nghị. Khi tổ chức xử lý dữ liệu cá nhân tùy theo quy mô, khả năng tài chính của mình mà áp dụng biện pháp bảo vệ phù hợp.

Về thời gian xử lý, lưu trữ dữ liệu cần lưu ý:

(1) Thời gian xử lý dữ liệu bằng thời gian của loại hình hợp đồng mà tổ chức ký với khách hàng. Ví dụ: mở tài khoản chứng khoán có hiệu lực trong 5 năm thì thời gian xử lý dữ liệu là 5 năm, nhưng nếu quy định của nhà nước yêu cầu tài khoản chứng khoán phải lưu trữ 20 năm, vậy thời gian xử lý dữ liệu sẽ là 20 năm. Trường hợp sản phẩm dịch vụ tồn tại suốt đời thì thời gian xử lý ít nhất là 25 năm.

(2) Thời gian lưu trữ dữ liệu cá nhân là thời gian lưu trữ lâu nhất theo từng loại hình sản phẩm dịch vụ sử dụng dữ liệu cá nhân đó hoặc theo quy định về thời gian lưu trữ dữ liệu cá nhân theo chuyên ngành. Ví dụ: Zalo có chính sách xóa dữ liệu sau 3 tháng, tuy nhiên, nếu quy định lưu trữ dữ liệu để phục vụ hoạt động của cơ quan điều tra là 2 năm, vậy thời gian lưu trữ dữ liệu trong Zalo sẽ là 2 năm.

(3) Thời gian dự kiến để xóa hủy dữ liệu: nếu hợp đồng dịch vụ ký với khách hàng là 5 năm thì thời gian dự kiến để xóa là 5 năm, nhưng nếu quy định của pháp luật phải lưu trữ 20 năm thì thời gian dự kiến xóa dữ liệu là 20 năm, trong đó 5 năm là để xử lý dữ liệu và lưu trữ thêm 15 năm nữa mới được xóa dữ liệu.

Về quyền bảo vệ dữ liệu cá nhân: Chủ thể dữ liệu cá nhân có 11 quyền về bảo vệ dữ liệu cá nhân của mình, trong đó các quyền về khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại và tự bảo vệ được cơ quan chức năng khuyến khích chủ thể dữ liệu cá nhân thực hiện.

Về xây dựng nội quy riêng về bảo vệ dữ liệu cá nhân cho từng tổ chức: Đây là yêu cầu bắt buộc. Điều này giúp các tổ chức rà soát chính sách, quy định, văn bản, hợp đồng, đánh giá lại toàn bộ quy trình, luồng xử lý dữ liệu cá nhân để đưa ra những quy định cụ thể, phân định rõ trách nhiệm của các bên trong từng loại hình hợp đồng của tổ chức.   

Về thông báo vi phạm: Cơ quan chức năng khuyến nghị nếu xảy ra vi phạm về bảo vệ dữ liệu cá nhân, tổ chức, cá nhân nên thông báo để cơ quan chức năng nắm thông tin về các hình thức xảy ra vi phạm, từ đó xây dựng biện pháp phòng ngừa và hướng dẫn áp dụng chung. Đồng thời, cơ quan chức năng sẽ phối hợp, hỗ trợ xử lý khi nhận được yêu cầu từ tổ chức.

Về thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân: Tất cả 05 thủ tục hành chính về bảo vệ dữ liệu cá nhân đều là thủ tục hành chính cấp quốc gia nghĩa là chỉ cơ quan trung ương thực hiện. Như vậy công an địa phương chỉ có trách nhiệm hướng dẫn thực hiện Nghị định số 13/2023/NĐ-CP mà không có quyền tiếp nhận hồ sơ. Các thủ tục hành chính này đã được công bố đầy đủ, rõ ràng trên Cổng thông tin Quốc gia về bảo vệ dữ liệu cá nhân, Cổng Dịch vụ công Quốc gia.

Về lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

(1) Đối với sự đồng ý của chủ thể dữ liệu cá nhân, hệ thống thông tin phải ghi nhận được sự đồng ý này. Việc ghi nhận được thể hiện bằng đoạn mã âm thanh, ký tự đồng ý mà hệ thống tick chọn, hay logfile của hệ thống... Các thể hiện của sự đồng ý có thể in ra, chụp ảnh, sao chép được. Trường hợp các cuộc họp, sự kiện, hội thảo trực tuyến, các tiết học trực tuyến cần ghi âm, ghi hình, đơn vị chủ trì các hoạt động này phải thông báo trước cho người tham dự được biết. Các cơ quan nhà nước khi thực hiện dịch vụ theo trách nhiệm được pháp luật quy định, nếu yêu cầu cá nhân kê khai dữ liệu cá nhân tại các biểu mẫu thì không cần ký hợp đồng, thỏa thuận với chủ thể dữ liệu cá nhân.

(2) Chuyển dữ liệu cá nhân ra nước ngoài là việc dùng bất kỳ hình thức nào như sao chép, xách tay, gửi email, chuyển trên đám mây để đưa dữ liệu đi ra khỏi biên giới Việt Nam. Việc chuyển dữ liệu ra nước ngoài phải hợp pháp và được lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, nộp cơ quan chức năng để quản lý.

(3) Chỉ có trường hợp xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài là phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, mục đích để cơ quan chức năng biết dữ liệu cá nhân do bên nào kiểm soát, xử lý hay được chuyển cho ai, chuyển như thế nào, có biện pháp bảo vệ gì. Khi nhận Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, cơ quan chức năng sẽ đánh giá Hồ sơ có hợp lệ (đầy đủ) không và khai đúng nội dung chưa; Tổ chức phải chịu trách nhiệm trước pháp luật về nội dung kê khai trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Khi phát hiện vấn đề liên quan đến dữ liệu cá nhân, cơ quan chức năng sẽ hậu kiểm Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân liên quan.

(4) Tổ chức nào có phát sinh hợp đồng giao kết hoặc thỏa thuận với chủ thể dữ liệu cá nhân hoặc có liên quan đến xử lý dữ liệu cá nhân thì tổ chức đó phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Cụ thể, Bộ tài chính ban hành chính sách chung để thực hiện trách nhiệm quản lý nhà nước, do đó Bộ Tài chính không thể lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân chung cho toàn bộ hoạt động xử lý dữ liệu cá nhân của Bộ Tài chính. Mà các Tổng cục, các đơn vị trực thuộc Bộ có hoạt động xử lý dữ liệu cá nhân đều phải tự lập Hồ sơ của đơn vị mình. Khi lập hồ sơ, đơn vị cần phản ánh đúng thực tế, ví dụ như không cung cấp được thông tin hay không liên hệ được với Bên xử lý dữ liệu hay khó khăn trong việc thống kê Bên xử lý dữ liệu...

(5) Cách xác định các Bên: Bên kiểm soát dữ liệu cá nhân là bên quyết định mục đích, phương tiện, phát hành ra văn bản, thỏa thuận mà chủ thể dữ liệu cá nhân phải ký vào; Bên kiểm soát dữ liệu cá nhân và xử lý dữ liệu cá nhân là bên kiểm soát và trực tiếp xử lý dữ liệu cá nhân; Bên thứ 3 là bên tham gia với mục đích cung cấp thiết bị, hạ tầng, iCloud... mà không liên quan đến mục đích của việc ký kết hợp đồng, thỏa thuận với chủ thể dữ liệu cá nhân. Nếu doanh nghiệp thực hiện xây dựng phần mềm cho một đơn vị, sau đó chuyển giao phần mềm lại cho đơn vị thì doanh nghiệp này không phải Bên xử lý dữ liệu cá nhân.

Đối với việc xác định dữ liệu cá nhân hay dữ liệu nhạy cảm, tổ chức phải căn cứ vào quy định của Nghị định số 13/2023/NĐ-CP và tùy theo sản phẩm dịch vụ thuộc phạm vi, chức năng hoạt động của mình. Trường hợp là dữ liệu cá nhân nhạy cảm thì việc thu thập quản lý bảo vệ dữ liệu cá nhân nên được quy định các yêu cầu cụ thể tại quy định, quy chế nội bộ của tổ chức. 

(6) Người thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân: không phải tất cả các hoạt động xử lý dữ liệu cá nhân đều cần chỉ định người thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân, các tổ chức nào liên quan đến xử lý dữ liệu cá nhân nhạy cảm, quan trọng mới cần phải chỉ định người thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân. Đây là người phụ trách về công tác bảo vệ dữ liệu cá nhân, không có nghĩa là người này phải chịu trách nhiệm trước pháp luật về các vấn đề liên quan đến bảo vệ dữ liệu cá nhân của tổ chức.

(7) Khối lượng dữ liệu cá nhân dự kiến xử lý: tổ chức cần kê khai khối lượng dữ liệu dự kiến của từng loại hình dịch vụ, không kê khai tổng dữ liệu của tất cả các loại hình dịch vụ.

(8) Đánh giá tác động xử lý dữ liệu cá nhân là lường trước các trường hợp xấu có thể xảy ra, ảnh hưởng đến quá trình xử lý dữ liệu của tổ chức và có khả năng tác động đến chủ thể nào, tác động như thế nào, giải pháp xử lý ra sao (phải đưa ra tối thiểu hai giải pháp. Chẳng hạn biện pháp thứ nhất là giữ nguyên hiện trạng, thứ hai là biện pháp thay đổi nó tốt hơn), tác động của các giải pháp thế nào, ảnh hưởng thế nào đối với tổ chức. Ví dụ: Hệ thống xử lý dữ liệu cá nhân chưa được trang bị giải pháp đảm bảo an toàn, giải pháp làm hệ thống tốt hơn đó là trang bị thêm thiết bị bảo vệ hệ thống, vậy chi phí trang bị thiết bị mới sẽ cao (nếu có thể thì kèm theo bảng biểu), ảnh hưởng đến tài chính của tổ chức... Mục đích của việc đánh giá này để cơ quan chức năng xem xét tình hình thực tế để điều chỉnh quy định của pháp luật cho phù hợp.

(9) Về áp dụng tiêu chuẩn bảo vệ dữ liệu cá nhân: nếu tổ chức có áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân của nước ngoài thì khai vào hồ sơ để được tính là có áp dụng tiêu chuẩn bảo vệ dữ liệu cá nhân. Ví dụ như là ngân hàng hay các tổ chức tài chính có áp dụng một số tiêu chuẩn riêng. Khi khai vào hồ sơ cơ quan chức năng sẽ tổng hợp và phân nhóm theo từng loại hình doanh nghiệp sẽ cần phải áp dụng các tiêu chuẩn nào để điều chỉnh chính sách sau này.

(10) Các văn bản pháp luật phải chấp hành: liệt kê các điều khoản của văn bản pháp luật mà từng loại hình hoạt động phải áp dụng.

(11) Tổ chức lập Hồ sơ đánh giá tác động dữ liệu cá nhân theo các vai trò của mình gồm Bên kiểm soát dữ liệu cá nhân; Bên xử lý dữ liệu cá nhân hoặc bên hoặc Bên kiểm soát và xử lý; Bên chuyển dữ liệu ra nước ngoài. Như vậy một tổ chức sẽ chỉ lập tối đa 3 Hồ sơ, trong mỗi hồ sơ bao gồm tất cả loại hình hoạt động thuộc vai trò đó.

(12) Nghị định số 13/2023/NĐ-CP nêu rõ Bên kiểm soát được ký hợp đồng với tổ chức, cá nhân khác để thực hiện xử lý dữ liệu cá nhân, nhưng không quy định Bên xử lý dữ liệu cá nhân có được ký hợp đồng với tổ chức, cá nhân khác để xử lý dữ liệu không. Do đó, Bên xử lý dữ liệu cá nhân phải đối chiếu với các quy định khác của nhà nước để đảm bảo việc ký hợp đồng không vi phạm pháp luật. Để kiểm soát chặt chẽ ngay từ khi bắt đầu xử lý dữ liệu cá nhân, các bên cần quy định cụ thể phạm vi, trách nhiệm yêu cầu cụ thể đối với mỗi bên về xử lý dữ liệu cá nhân trong hợp đồng giao kết.

Hà Phương (t/h)