Dự thảo Tờ trình về việc đề nghị xây dựng Nghị định quy định về bảo vệ dữ liệu cá nhân của Bộ Công an vào năm 2020 cho biết, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 64 triệu người, chiếm hơn 2/3 dân số (66%), tăng hơn 19% so với năm 2018, xếp thứ 13 trên thế giới về số người dùng. Chính vì nhu cầu cấp bách để quản lý, đảm bảo phòng ngừa, xử lý được các hành vi vi phạm pháp luật về thông tin cá nhân, Chính phủ Việt Nam đã đẩy mạnh cho ra đời một hành lang pháp lý nhằm điều chỉnh và thực thi được những mục tiêu này.  Cho đến ngày 17 tháng 4 năm 2023, Chính phủ Việt Nam cuối cùng đã chính thức thông qua Nghị định bảo vệ dữ liệu cá nhân đầu tiên trong lịch sử là Nghị định số 13/2023/NĐ-CP (“Nghị định”).

Phạm vi điều chỉnh của Nghị định này bao gồm cả cá nhân và tổ chức trong và ngoài nước trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Một vài điểm quan trọng đáng chú ý được đề cập trong Nghị định này:

  1. Các định nghĩa mới:

Dữ liệu cá nhân được phân loại thành 2 dạng: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Dữ liệu cá nhân cơ bản bao gồm: (i) họ tên, (ii) ngày sinh, (iii) giới tính, (iv) nơi sinh, địa chỉ liên lạc; (v) quốc tịch; (vi) hình ảnh của cá nhân; (vii) số điện thoại, số định danh cá nhân, (viiii) tình trạng hôn nhân; (ix) thông tin về mối quan hệ gia đình; (x) thông tin về tài khoản số của cá nhân; dữ liệu cá nhân trên không gian mạng; (xi) các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Dữ liệu cá nhân nhạy cảm thì gồm: (i) quan điểm chính trị và tôn giáo; (ii) tình trạng sức khỏe và thông tin đời tư được ghi trong hồ sơ y tế; (iii) nguồn gốc chủng tộc hoặc dân tộc; (iv) các đặc điểm di truyền được thừa hưởng hoặc có được của một cá nhân; (v) thuộc tính vật lý, đặc điểm sinh học cá nhân; (vi) đời sống, khuynh hướng tình dục; (vii) dữ liệu về tội phạm; (viii) dữ liệu về vị trí cá nhân; (ix ) thông tin khách hàng của tổ chức tín dụng/chi nhánh ngân hàng nước ngoài/tổ chức cung ứng dịch vụ trung gian thanh toán và các tổ chức được phép khác.

Đồng thời, Nghị định phân loại các chủ thể có liên quan đến dữ liệu cá nhân như sau:

  • Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân;
  • Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu thông qua một hợp đồng hoặc thỏa thuận;
  • Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân; và
  • Bên Thứ ba là tổ chức, cá nhân ngoài các đối tượng nêu trên được phép xử lý dữ liệu cá nhân.

  1. Các hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân:

  • Xử lý dữ liệu cá nhân trái với quy định của pháp luật;
  • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
  • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác;

Dựa trên quy định về các hành vi bị cấm nói trên, có thể thấy rõ pháp luật Việt Nam đặc biệt lưu ý đến hành vi xử lý dữ liệu của các đối tượng, chính vì thế, sau khi Nghị định này có hiệu lực, các “Bên xử lý dữ liệu cá nhân”, “Bên kiểm soát và xử lý dữ liệu cá nhân” và “Bên thứ ba” được phép xử lý dữ liệu cá nhân sẽ cần phải cẩn trọng hơn trong các hoạt động của mình và đảm bảo tuân thủ Nghị định này một cách chặt chẽ, bởi trách nhiệm của họ là nhiều hơn và quan trọng hơn những đối tượng khác được điều chỉnh tại Nghị định này.

  1. Sự đồng ý của chủ thể dữ liệu

Theo Nghị định, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực và được công nhận khi chủ thể dữ liệu tự nguyện và hoàn toàn nhận biết về các nội dung sau: (i) loại dữ liệu cá nhân được xử lý; (ii) mục đích xử lý dữ liệu cá nhân; (iii) tổ chức, cá nhân được xử lý dữ liệu cá nhân; (iv) các quyền, nghĩa vụ của chủ thể dữ liệu.

Ngoài ra, Điều 11.3 của Nghị định còn cho biết, để được công nhận là có sự đồng ý của chủ thể dữ liệu thì sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

Đặc biệt, Điều 11.6 của Nghị định nhấn mạnh rằng sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Đây là một điểm mới và đáng chú ý khi trong các bối cảnh áp dụng pháp luật khác, sự im lặng hoặc không phản hồi trong một thời hạn nhất định có thể được xem là sự đồng ý, điển hình là trong các giao dịch thương mại.

Bên cạnh đó, Nghị định cũng quy định một số trường hợp cụ thể mà việc xử lý dữ liệu có thể được thực hiện mà không cần có sự đồng ý của chủ thể dữ liệu. Điều 17 của Nghị định này quy định các trường hợp như sau:

  • Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
  • Việc công khai dữ liệu cá nhân theo quy định của luật;
  • Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
  • Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan;
  • Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

  1. Chuyển dữ liệu cá nhân ra nước ngoài

Trong trường hợp các đối tượng được quy định tại Nghị định này có nhu cầu chuyển dữ liệu cá nhân ra nước ngoài, Bên chuyển dữ liệu phải có trách nhiệm thực hiện các việc sau đây:

  • Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài;
  • Phải đảm bảo Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Đồng thời gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;
  • Sau khi việc chuyển dữ liệu diễn ra thành công, Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản.
  • Nếu phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động (a) vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam; hoặc (b) bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này; hoặc (c) để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam, Bộ Công an có quyền yêu cầu Bên chuyển dữ liệu ngừng chuyển dữ liệu cá nhân ra nước ngoài.

  1. Hiệu lực

Nghị định sẽ bắt đầu có hiệu lực kể từ ngày 01 tháng 7 năm 2023. Ngoại trừ các công ty xử lý dữ liệu và doanh nghiệp lớn, còn lại các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp sẽ được tùy chọn miễn trách nhiệm chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời hạn hai năm kể từ ngày thành lập. Có thể thấy, Nghị định này được ban hành với mục đích chú trọng giải quyết các hoạt động, kế hoạch kinh doanh chưa phù hợp của các công ty xử lý dữ liệu và phương thức xử lý, quản lý, kiểm soát dữ liệu nội bộ của các doanh nghiệp lớn hiện nay hoạt động tại Việt Nam.

Tuy nhiên, khó có thể lường trước và chắc chắn được việc các doanh nghiệp trên thị trường có thực thi và tuân thủ Nghị định này hay không khi các chi phí và nỗ lực phải bỏ ra để đáp ứng được các yêu cầu nêu trong Nghị định này là tương đối lớn. Điều này sẽ còn khó khăn hơn đối với các doanh nghiệp lâu đời đã có một bộ máy tổ chức ổn định. Mặt khác, Nghị định này cũng được cho rằng sẽ mang lại những tác động tích cực cho sự vận hành của các doanh nghiệp lớn trong, và ngoài nước. Chính vì thế, chúng ta sẽ cùng mong đợi một môi trường kinh doanh tốt hơn nơi mà tất cả mọi người đều được bảo đảm rằng thông tin cá nhân của họ sẽ được bảo vệ an toàn bởi luật pháp.

Đừng quên theo dõi và cập nhập thêm nhiều thông tin hữu ích khác trên trang web của chúng tôi.  Khi cần, hãy liên hệ với chúng tôi để được hướng dẫn chi tiết hơn:  letran@corporatecounsels.vn