Ngày 17 tháng 4, Chính phủ Việt Nam đã công bố Nghị định mới về Bảo vệ dữ liệu cá nhân (“Nghị định”). Các quy định của Nghị định này sẽ sớm có hiệu lực vào ngày 1 tháng 7 năm 2023. Trước thời điểm này tất cả các doanh nghiệp nên phân tích, đánh giá sự bất cập giữa các biện pháp bảo vệ thông tin cá nhân hiện tại với những quy định mới tại Nghị định.
Vào ngày 1 tháng 7 năm 2023, tất cả các doanh nghiệp sẽ phải thực hiện các việc sau (bên cạnh các việc khác theo yêu cầu của Nghị định):
- Phải thu thập được sự đồng ý hợp lệ từ các chủ thể cá nhân để xử lý dữ liệu cá nhân của họ (theo quy định tại Nghị định)
- Có quy trình nội bộ phù hợp, có thỏa thuận giữa Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu, và các biện pháp kỹ thuật cần thiết để đáp ứng các quy định của Nghị định
- Tự đánh giá nếu có hoạt động xử lý bất kỳ dữ liệu cá nhân nhạy cảm nào không
- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo hình thức được quy định tại Nghị định) cần phải nộp cho Bộ Công an.
- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân liên quan đến chuyển dữ liệu cá nhân ra nước ngoài (đồng thời cần phải gửi cho Bộ Công an);
Một vài nội dung quan trọng được quy định tại Nghị định gồm:
- Các định nghĩa/khái niệm mới: “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bên xử lý dữ liệu cá nhân” và “bên kiểm soát dữ liệu cá nhân”;
- Nguyên tắc bảo vệ dữ liệu cá nhân – Dữ liệu cá nhân cần được xử lý theo các nguyên tắc tuân thủ pháp luật, minh bạch, có mục đích, giới hạn phạm vi thu thập dữ liệu, chính xác, toàn vẹn, bảo mật và tính chịu trách nhiệm;
- Thông báo xử lý dữ liệu cá nhân – Chủ thể dữ liệu phải được thông báo về loại dữ liệu cá nhân được thu thập, mục đích của việc thu thập, xử lý dữ liệu và các tổ chức có quyền truy cập vào dữ liệu [bên cạnh các thông tin khác];
- Sự đồng ý của chủ thể dữ liệu – Sự đồng ý của chủ thể dữ liệu là yêu cầu bắt buộc khi tiến hành xử lý dữ liệu cá nhân. Sự đồng ý này phải được thể hiện rõ ràng (im lặng không được xem là đồng ý) và có thể là đồng ý một phần hoặc đồng ý với điều kiện kèm theo. Chủ thể dữ liệu có quyền truy cập và kiểm tra dữ liệu cá nhân. Nếu chủ thể dữ liệu rút lại sự đồng ý thì dữ liệu cá nhân có liên quan của chủ thể phải được xóa đi trong vòng 72 giờ.
- Quyền yêu cầu bồi thường thiệt hại – Chủ thể có quyền yêu cầu bồi thường thiệt hại khi xảy ra vi phạm quy định tại Nghị định gây thiệt hại đến quyền được bảo vệ dữ liệu cá nhân của họ. Nghị định cũng quy định rõ rằng việc thu thập, chuyển giao, hoặc mua, bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể là vi phạm pháp luật.
- Thông báo vi phạm – Trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân hoặc vi phạm khác được quy định tại Nghị định, Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân có nghĩa vụ phải thông báo cho Bộ Công an để thông báo hành vi vi phạm (bao gồm cả các biện pháp cần thực hiện để giảm thiểu tác hại) theo biểu mẫu được ban hành kèm theo Nghị định.
- Đánh giá tác động – Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân, tổ chức xử lý dữ liệu phải chuẩn bị Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hồ sơ này phải được chuẩn bị theo biểu mẫu được ban hành kèm theo Nghị định này, bao gồm thông tin của Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Việc đánh giá tác động do Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thẩm định. Hồ sơ đánh giá tác động cần được điều chỉnh/cập nhật cho phù hợp trong trường hợp có bất kỳ thay đổi nào đối với dữ liệu cá nhân mà các tổ chức xử lý.
- Chuyển dữ liệu cá nhân ra nước ngoài: Để chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, Nghị định yêu cầu cần phải có Hồ sơ đánh giá tác động liên quan, bao gồm mô tả lý do, mục đích chuyển dữ liệu ra nước ngoài và sự đồng ý của chủ thể dữ liệu liên quan. Hồ sơ đánh giá tác động cũng phải bao gồm thỏa thuận bằng văn bản về việc chuyển dữ liệu với tổ chức nhận dữ liệu ở nước ngoài. Hồ sơ đánh giá tác động phải luôn có sẵn tại tổ chức chuyển dữ liệu để phục vụ hoạt động kiểm tra. Một bản chính hồ sơ phải được gửi đến Bộ Công an trong vòng 60 ngày kể từ ngày xử lý dữ liệu cá nhân. Nghị định cũng ban hành biểu mẫu cần thiết để chuẩn bị hồ sơ đánh giá tác động này. Các tổ chức chuyển dữ liệu cũng phải cập nhật hồ sơ đánh giá tác động trong trường hợp có thay đổi (và gửi bản cập nhật cho Bộ Công an). Bộ Công an có quyền kiểm tra việc chuyển dữ liệu ra nước ngoài và có thể ra quyết định ngừng việc chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp không tuân thủ quy định tại Nghị định.
- Biện pháp bảo vệ – Mọi tổ chức cần ban hành quy trình nội bộ về bảo vệ dữ liệu cá nhân phù hợp với các quy định tại Nghị định. Ngoài ra còn có các yêu cầu liên quan đến hệ thống an ninh mạng và khả năng xóa các dữ liệu cá nhân trong thời hạn 72 giờ. Nghị định cũng quy định các biện pháp bảo vệ ở mức độ cao hơn để áp dụng trong trường hợp xử lý dữ liệu nhạy cảm và xử lý dữ liệu trẻ em.
- Chế tài – Việc không tuân thủ các quy định tại Nghị định này có thể dẫn đến các chế tài sau:
- Xử phạt vi phạm hành chính do không chấp hành quy định của Nghị định.
- Xử lý hình sự đối với một số hành vi xâm phạm quyền riêng tư.
- Đình chỉ một số hoạt động nhất định, ví dụ như quyết định ngừng chuyển dữ liệu ra nước ngoài.
Những đối tượng nào được điều chỉnh bởi Nghị định? Tất cả các công ty có hoạt động xử lý dữ liệu cá nhân tại Việt Nam và nước ngoài nếu các công ty này có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam.
Chúng tôi có thể giúp gì?
Bắt đầu từ ngày 1 tháng 7 năm 2023 khi Nghị định về Bảo vệ dữ liệu cá nhân (“PDPD”) có hiệu lực, các công ty không chỉ cần phải thi hành các quy định mới này trong nội bộ tổ chức mình mà cần phải quan tâm đến việc tuân thủ liên tục với các quy định (ví dụ như hồ sơ đánh giá tác động xử lý dữ liệu cá nhân).
Hỗ trợ công tác quản trị
- Triển khai thực hiện quy định trong tổ chức
- Thu thập quy trình xử lý thông tin cá nhân
- Phân tích lĩnh vực cần cải thiện
- Phân tích rủi ro và đánh giá ảnh hưởng của công tác bảo vệ dữ liệu
- Xây dựng tài liệu quy trình, hướng dẫn thực hiện
- Ứng dụng các quy định an ninh thông tin thông qua thiết kế và xây dựng quy trình cho việc xử lý và bảo vệ dữ liệu cá nhân kèm với những chỉ số đo lường phù hợp
- Hậu kiểm sau triển khai
- Phương pháp triển khai
- Hậu kiểm toàn bộ quá trình xử lý dữ liệu cá nhân
- Rà soát tổng thể các quy trình vận hành, xử lý dữ liệu
- Chuyển dữ liệu ra nước ngoài
- Khoanh vùng dữ liệu cá nhân được xử lý bên ngoài lãnh thổ Việt Nam
- Xây dựng nguyên tắc và yêu cầu đảm bảo bảo mật thông tin khi trong quá trình chuyển dữ liệu ra nước ngoài
- Xây dựng hợp đồng mẫu và các tài liệu liên quan đảm bảo tuân thủ một cách tuyệt đối
Đảm bảo công tác tuân thủ quy định
- Hệ thống quản trị nội bộ đáp ứng yêu cầu về mặt pháp lý
- Xác định rủi ro đối với Ban Quản trị
- Định kỳ hậu kiểm sau triển khai
- Hỗ trợ Chuyên viên Bảo mật Dữ liệu
- Hỗ trợ trong quá trình thực hiện các quyền của chủ thể dữ liệu
- Xác nhận nhà cung cấp và quản lý bên thứ ba
- Phân tích ảnh hưởng của các hoạt động, quy trình mới
- Cập nhật chính sách, tài liệu quy trình, hướng dẫn sử dụng
- Thiết kế bảo mật cho các giải pháp mới
- Quản lý vòng đời dữ liệu
- Cải tiến các giải pháp CNTT hiện tại
- Phân tích, đánh giá hiệu lực của việc triển khai các giải pháp bảo mật CNTT mới
- Nâng cao nhận thức / đào tạo
- Hỗ trợ công tác kiểm soát / điều tra
Sự cố bảo mật
- Chủ động quản lý sự cố bảo mật
- Phân tích rủi ro và đánh giá mức độ hiệu quả của hệ thống bảo mật
- Hỗ trợ pháp lý và bảo mật thông tin, dịch vụ điều tra sự cố
- Hỗ trợ công tác thông tin liên lạc với các cơ quan ban ngành và các chủ thể dữ liệu liên quan
Đào tạo
Xin liên hệ trực tiếp với chúng tôi nếu Quý công ty có nhu cầu:
- Xây dựng và nâng cao nhận thức về các quy định của pháp luật;
- Đào tạo cán bộ nhân viên những kỹ năng thực tế phục vụ công tác xử lý và bảo vệ dữ liệu cá nhân.
