Nghị định 13/2023/NĐ-CP – hay còn gọi là “Nghị định về bảo vệ dữ liệu cá nhân” đánh dấu một bước quan trọng trong việc bảo vệ thông tin cá nhân và đảm bảo an ninh mạng của Việt Nam. Được chính phủ thông qua vào ngày 17/4/2023 và có hiệu lực từ ngày 01/7/2023, Nghị định 13 là một phần trong chuỗi các biện pháp pháp lý nhằm tăng cường quản lý và bảo vệ thông tin cá nhân của công dân trong thời đại số hóa ngày càng phát triển.

Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định này không chỉ đặt ra các yêu cầu cơ bản về bảo vệ dữ liệu cá nhân mà còn tập trung vào việc điều chỉnh các hoạt động liên quan đến an ninh mạng. Nó cung cấp các hướng dẫn chi tiết về việc bảo vệ thông tin cá nhân và các biện pháp đảm bảo an ninh mạng trong quá trình xử lý dữ liệu cá nhân.

Ai cần phải tuân thủ?

Nghị định 13 về bảo vệ dữ liệu cá nhân được áp dụng cho:

1. Cơ quan, tổ chức, cá nhân Việt Nam
2. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam
3. Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài
4. Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam

Mặc dù có các yêu cầu tương tự so với Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (“GDPR”), nhưng Nghị định 13 có một số điểm khác biệt đáng kể, chẳng hạn như các yêu cầu đối với chuyển dữ liệu cá nhân ra nước ngoài, hình thức lấy sự đồng ý của chủ thể dữ liệu, báo cáo đánh giá tác động và căn cứ hợp pháp để xử lý dữ liệu cá nhân.

Các công ty đã ban hành các chính sách và triển khai các hoạt động quản lý quyền riêng tư theo GDPR hoặc theo các quy định về quyền riêng tư khác sẽ không đương nhiên được xem là đã tuân thủ theo Nghị định 13. Với việc Nghị định 13 sẽ có hiệu lực vào ngày 01/7/2023, các doanh nghiệp cần bắt đầu rà soát các chính sách nội bộ và thực tiễn quản lý quyền riêng tư của mình ngay lập tức để xác định các khoảng vênh giữa các chính sách nội bộ và hoạt động triển khai của mình với yêu cầu của Nghị định 13, và lên kế hoạch hành động tương ứng.

Hội nghị phổ biến, hướng dẫn các nội dung của Nghị định 13 về bảo vệ dữ liệu cá nhân

Các hành vi bị nghiêm cấm trong nghị định

1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Một số điểm nổi bật cần chú ý trong Nghị định 13

Quyền của chủ thể dữ liệu

1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.

3. Quyền truy cập: Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

4. Quyền rút lại sự đồng ý: Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.

5. Quyền xóa dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

6. Quyền hạn chế xử lý dữ liệu

a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.

7. Quyền cung cấp dữ liệu: Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

8. Quyền phản đối xử lý dữ liệu

a) Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác.

b) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.

9. Quyền khiếu nại, tố cáo, khởi kiện: Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

10. Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

11. Quyền tự bảo vệ: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

         Nguồn: CỔNG THÔNG TIN ĐIỆN TỬ ĐẢNG BỘ TỈNH TUYÊN QUANG

Nghĩa vụ của chủ thể dữ liệu

1. Tự bảo vệ dữ liệu cá nhân của mình, yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
5. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo

1. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu.
2. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
3. Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định.

Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân

1. Lực lượng bảo vệ dữ liệu cá nhân:

a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân.

c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.

d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.

2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.

3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Đọc thêm: Đào tạo nâng cao nhận thức bảo mật cho nhân viên là điều cấp thiết!

Kết luận

“Thông qua nghị định 13 được ban hành, đối với cá nhân được nâng cao nhận thức để tự bảo vệ thông tin cá nhân của mình, từ đó nâng cao ý thức khi chia sẻ thông tin làm giảm tình trạng lộ, lọt, bị kẻ xấu lợi dụng. Đối với tổ chức công tác bảo vệ dữ liệu cá nhân đã được quan tâm đúng cao hơn và đưa vào công việc ưu tiên thực hiện, cụ thể tổ chức quyết định nhân sự hoặc bộ phận đại diện để chịu trách nhiệm tuân thủ nghị định cũng như báo cáo khi có vấn đề vi phạm dữ liệu cá nhân phát sinh.” Theo Ông Trần Minh Trí – Giám đốc Vận hành Công ty Cổ phần Tin học Mi Mi chia sẻ.

Qua đó, ta thấy Nghị định số 13 mang lại lợi ích đối với cả cá nhân và doanh nghiệp. Cá nhân được đảm bảo quyền riêng tư và bảo mật thông tin cá nhân, trong khi doanh nghiệp sẽ phát triển uy tín và sự tin tưởng từ khách hàng thông qua việc tuân thủ quy định về bảo vệ dữ liệu.

Nghị định số 13 về Bảo vệ Dữ liệu Cá nhân tại Việt Nam đã đánh dấu một bước quan trọng trong việc đảm bảo quyền riêng tư và bảo vệ dữ liệu cá nhân. Điều này phản ánh cam kết của Việt Nam đối với việc tuân thủ các tiêu chuẩn quốc tế về bảo vệ dữ liệu và quyền riêng tư cá nhân. Các tổ chức và doanh nghiệp cần nhanh chóng thích nghi và tuân thủ Nghị định này để đảm bảo sự phát triển bền vững và sự tin tưởng của khách hàng. Bảo vệ dữ liệu cá nhân không chỉ là nhiệm vụ pháp lý mà còn là cơ hội để cải thiện quan hệ với khách hàng và cung cấp giá trị thực sự cho xã hội.

Nguồn bài viết:

• Nghị định số 13/2023/NĐ-CP. Bảo vệ dữ liệu cá nhân.

——————

Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) – Nhà phân phối các giải pháp an ninh mạng giúp tổ chức/doanh nghiệp tuân thủ các quy định:

🌎 Website: www.mi2.com.vn

📩 Email: [email protected]

Văn Phòng Hà Nội

Add: 7th Floor, Sannam Building, 78 Duy Tan Str., Dich Vong Hau Ward, Cau Giay Dist., Hanoi, Vietnam.

Tel: +84-24-3938 0390 |  Fax: +84-24-3775 9550

Văn phòng Hồ Chí Minh

Add: 5th &6th Floor, 307D Nguyen Van Troi Str., Ward 1, Tan Binh Dist., Ho Chi Minh City.

Tel: +84-28-3845 1542  |  Fax: +84-28-3844 6448