Dữ liệu cá nhân không chỉ là dữ liệu của riêng cá nhân tổ chức mà đây chính là “tài sản Quốc gia” trong việc xây dựng chính phủ điện tử thời đại số hoá. Nhằm tạo hành lang pháp lý tạo lá chắn bảo vệ dữ liệu cá nhân trên không giang mạng. Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP.

Dữ liệu cá nhân yếu tố quan trọng trong xây dựng chính phủ điện tử

1. Nội dung cơ bản và hiệu lực thi hành

Nhận thấy tầm quan trọng trong việc bảo vệ dữ liệu cá nhân, ngày 17/4/2023, Chính phủ đã chính thức ban hành Nghị định 13/2023/NĐ-CP về việc bảo vệ dữ liệu cá nhân một cách toàn diện với các quyền về lợi ích của chủ thể dữ liệu cùng trách nhiệm các bên liên quan trong việc kiểm soát xử lý dữ liệu. Nhằm ngăn chặn hành vi xâm phạm đến quyền và lợi ích hợp pháp của cá nhân tổ chức trên không gian mạng.

Nghị định 13/2023/NĐ-CP chính thức có hiệu lực thi hành từ ngày 01/7/2023.

Dữ liệu cá nhân được định dạng trên môi trường điện tử gắn liền với cá nhân con người cụ thể

2. Dữ liệu cá nhân là gì?

Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân được định nghĩa là “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”.

Dữ liệu cá nhân được chia làm 2 nhóm bao gồm dữ liệu cá nhân cơ bản (là những thông tin cơ bản nhất của một cá nhân như:họ tên, ngày tháng năm sinh, quê quán, CCCD, giấy phép lái xe, bảo hiểm, thông tin tài khoản ngân hàng,tình trạng hôn nhân,…) và dữ liệu cá nhân nhạy cảm.

Tình trạng sức khỏe và thông  tin đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu được xem là một trong những dữ liệu cá nhân nhạy cảm

3. Dữ liệu cá nhân nhạy cảm là gì?

Theo quy định tại Khoản 4, Điều 2, của Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân đó. Dữ liệu cá nhân nhạy cảm bao gồm các thông tin về:

1. Quan điểm chính trị, quan điểm tôn giáo
2. Tình trạng sức khỏe và thông  tin đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu
3. Các thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc
4. Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân
5. Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân
6. Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân dân
7. Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật
8. Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác theo quy định tại nghị định này bao gồm: thông tin định danh khách hàng, thông tin tiền gửi, thông tin giao dịch của cá nhân tổ chức liên quan,….
9. Dữ liệu về vị trí của cá nhân được xác định thông qua dịch vụ định vị
10. Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân là hành vi bị cấm

4. Hành vi vi phạm liên quan đến dữ liệu cá nhân nào bị cấm?

Để bảo vệ dữ liệu cá nhân tổ chức một cách toàn điện, chính phủ cũng đã ban hành quy định về 5 hành vi vi phạm bị nghiêm cấm liên quan đến dữ liệu cá nhân tại Điều 8 Nghị định số 13/2023/NĐ-CP bao gồm:

1. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân
2. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam
3. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác
4. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền
5. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Trường hợp cần công khai dữ liệu cá nhân theo quy định của pháp luật thì người xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu

5. Những trường hợp xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu

Bên cạnh những quy định cụ thể về các hành vi bị cấm khi xử lý dữ liệu cá nhân, Nghị định số 13/2023/NĐ-CP cũng đưa ra những trường hợp ngoại lệ có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu, gồm:

1. Trong trường hợp khẩn cấp, dữ liệu cá nhân cần được xử lý ngay để giải quyết vấn đề để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác có liên quan. Điều này cần có sự chứng minh của các bên bao gồm: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này
2. Trường hợp cần công khai dữ liệu cá nhân theo quy định của luật
3. Xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng cần giải quyết vấn đề khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; hay khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; hoặc trường hợp phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
4. Thực hiện các nghĩa vụ theo hợp đồng đã ký kết giữa chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật
5. Mục đích phục vụ các hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân

Điều 29 Nghị định 13/2023/NĐ-CP quy định rõ rằng cơ quan có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an.

7. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo

Việc bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo cũng được quy định tại Điều 21, Nghị định 13/2023/NĐ-CP của chính phủ với các điều kiện ràng buộc bao gồm:

Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu

Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm

Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và khoản 2 Điều này.

Bảo vệ dữ liệu cá nhân tuân thủ theo các quy định của Nghị Định 13/2023/NĐ-CP không chỉ bảo vệ thông tin, tài sản của bản thân an toàn trên không gian mạng mà còn góp phần bảo mật an toàn thông tin quốc gia thúc đẩy sự phát triển của chính phủ điện tử trong tương lai. Tìm hiểu kỹ và cùng nhau tuân thủ Nghị định 13/2023/NĐ-CP nhé!

Xem thông tin chi tiết về Nghị định 13/2023/NĐ-CP: Tải về tại đây