Chính phủ vừa ban hành Nghị định số 13/2023/NĐ -CP (“Nghị định 13”) về bảo vệ dữ liệu cá nhân có hiệu lực thi hành kể từ ngày 01/07/2024. Hãy cùng Luật Hà Sơn Bình tìm hiểu về các nội dung của Nghị định này.
Dữ liệu cá nhân là gì?
Khoản 1 Điều 2 Nghị định 13 quy định như sau: “ Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm”.
Theo đó, dữ liệu cá nhân bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó:
- Dữ liệu cá nhân cơ bản gồm:
- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Giới tính;
- Nơi sinh, đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
- Quốc tịch;
- Hình ảnh cá nhân;
- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
- Tình trạng hôn nhân;
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
- Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gặp liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
- Quan điểm chính trị, quan điểm tôn giáo;
- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
- Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Đối tượng có trách nhiệm phải bảo vệ dữ liệu cá nhân
Điều 1 Nghị định 13 quy định các đối tượng có trách nhiệm phải bảo vệ dữ liệu cá nhân bao gồm:
- Cơ quan, tổ chức, cá nhân Việt Nam;
- Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
- Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;
- Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Nguyên tắc bảo vệ dữ liệu cá nhân
Điều 3 Nghị định 13 quy định về nguyên tắc bảo vệ dữ liệu cá nhân như sau:
- Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Cá nhân có quyền gì đối với dữ liệu cá nhân của mình?
Nghị định 13/2023/NĐ-CP ghi nhận 11 quyền của cá nhân đối với dữ liệu cá nhân của mình, gồm:
- Quyền được biết: Cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình
- Quyền đồng ý: Cá nhân được quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ một số trường hợp đặc biệt.
Sự đồng ý của chủ thể phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, hoặc đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn… Đặc biệt, sự im lặng không phản hồi không được coi là đồng ý.
- Quyền truy cập: Cá nhân được quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình
- Quyền rút lại sự đồng ý: Dù đã đồng ý cho phép xử lý dữ liệu cá nhân của bạn, nhưng bạn vẫn hoàn toàn có quyền rút lại sự đồng ý đó
- Quyền xóa dữ liệu: Cá nhân được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Tuy nhiên trong một số trường hợp, bạn sẽ không được quyền yêu cầu xóa dữ liệu, như: Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; Dữ liệu được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê…
- Quyền hạn chế xử lý dữ liệu: Cá nhân được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình
Việc hạn chế xử lý dữ liệu được thực hiện ngay trong 72 giờ, tức là 3 ngày sau khi có yêu cầu của chủ thể, với toàn bộ dữ liệu cá nhân mà chủ thể yêu cầu hạn chế
- Quyền cung cấp dữ liệu
Bạn được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình.
- Quyền phản đối xử lý dữ liệu
Cá nhân được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
- Quyền khiếu nại, tố cáo, khởi kiện: Cá nhân có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật về việc khai thác, sử dụng bất hợp pháp dữ liệu cá nhân của mình.
- Quyền yêu cầu bồi thường thiệt hại: Cá nhân có quyền yêu cầu bồi thường thiệt hại khi có vi phạm xảy ra liên quan đến việc bảo vệ dữ liệu cá nhân của mình.
- Quyền tự bảo vệ: Cá nhân có quyền tự bảo vệ dữ liệu cá nhân theo quy định.
Các trường hợp xử lý dữ liệu cá nhân không cần có sự đồng ý
Điều 17 Nghị định 13 quy định, trong một số trường hợp nhất định, việc xử lý dữ liệu cá nhân vẫn được tiến hành mà không cần sự đồng ý của bạn. Đó là các trường hợp như:
- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác
- Việc công khai dữ liệu cá nhân theo quy định của luật
- Trong trường hợp tình trạng khẩn cấp; khi có nguy cơ đe dọa an ninh, quốc phòng, hoặc trường hợp phòng, chống tội phạm và vi phạm pháp luật
- Để thực hiện nghĩa vụ theo hợp đồng của bạn với cơ quan, tổ chức, cá nhân có liên quan theo quy định
- Để Phục vụ hoạt động của cơ quan nhà nước có thẩm quyền theo quy định của luật chuyên ngành.
Những hành vi bị nghiêm cấm
Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
Điều 8 Nghị định 13 quy định các hành vi bị nghiêm cấm bao gồm:
- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân;
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của các tổ chức, cá nhân khác;
- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền;
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Trường hợp cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tuỳ theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định. (Điều 4 Nghị định 13).
Trên đây là một số nội dung cơ bản của Nghị định 13 về bảo vệ dữ liệu cá nhân. Hy vọng với bài viết này, bạn đọc đã hiểu được dữ liệu cá nhân được bảo vệ như thế nào từ ngày 01/07/2023 trong bối cảnh dữ liệu cá nhân đang bị khai thác một cách thiếu kiểm soát như hiện nay. Mọi thắc mắc liên quan đến các quy định của Nghị định này sẽ được chúng tôi giải đáp qua tổng đài 1900 6193.
Cùng Luật Hà Sơn Bình tìm hiểu các thông tin hữu ích về pháp luật.
Với tiêu chí:
+ Luôn luôn “Tận Tâm”
+ Giữ trọn “Chữ Tín”
+ Đem lại “Hiệu Quả” tối ưu nhất
Với dịch vụ tư vấn pháp luật trực tuyến qua điện thoại trực tuyến, chúng tôi mong muốn được góp phần nhỏ bé để tuyên truyền, phổ biến các quy định của pháp luật, đưa từng quy định, đưa dịch vụ Luật sư đến mọi người – mọi nhà!
Chúng tôi mong muốn bất cứ người dân nào, khách hàng nào cũng có thể sử dụng dịch vụ pháp lý, dịch vụ Luật sư, kể cả là những người ít có điều kiện nhất, xa xôi một cách tốt nhất, kịp thời nhất!
Thông tin chi tiết: https://luathasonbinh.vn/
https://www.facebook.com/hasonbinhlawfirm
Hotline: 19006193