Bản Tin Pháp Lý Tháng 11/2021 – Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân

Kính gửi Quý khách hàng,

Trong thời gian gần đây, Chính phủ đã công bố bản dự thảo thứ hai của Nghị định quy định về bảo vệ dữ liệu cá nhân (“Dự thảo Nghị định”) như một văn bản dưới luật hướng dẫn Luật An ninh mạng hiện hành. Trong Bản tin pháp lý số này, chúng tôi muốn nhấn mạnh những vấn đề nổi bật có thể tác động tới hoạt động kinh doanh tại Việt Nam khi Dự thảo Nghị định này được thông qua.

Định nghĩa về dữ liệu cá nhân

Các văn bản pháp luật hiện nay hoặc không quy định hoặc quy định một cách rải rác về dữ liệu cá nhân (“DLCN”). Là văn bản pháp luật đầu tiên thực hiện điều này, Dự thảo Nghị định đã đưa ra định nghĩa cụ thể về DLCN, trong đó bao gồm hai loại: (i) DLCN cơ bản[1] và (ii) DLCN nhạy cảm[2]. Như vậy, so với các văn bản pháp luật trước đây – vốn quy định DLCN một cách mơ hồ, Dự thảo Nghị định đã xác định được cụ thể phạm vi của DLCN. Điều này giúp việc áp dụng các quy định về DLCN trở nên chính xác hơn và dễ dàng hơn.

Thành lập Uỷ ban bảo vệ dữ liệu cá nhân (“UBBVDLCN”)

Dự thảo Nghị định quy định về việc thành lập UBBVDLCN trực thuộc Chính phủ, đặt tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trực thuộc Bộ Công an[3]. Chức năng, nhiệm vụ chính của UBBVDLCN là giám sát và đảm bảo việc tuân thủ các quy định về bảo vệ DLCN được nêu tại Nghị định[4]. UBBVDLCN có quyền thanh tra, kiểm tra việc tuân thủ không quá 2 lần/năm tại một tổ chức/công ty, nhưng có quyền thực hiện điều tra bổ sung trong trường hợp có nghi ngờ về việc vi phạm quy định về bảo vệ DLCN[5].

Một cổng thông tin quốc gia về bảo về DLCN sẽ được thành lập để đăng tải các đánh giá và xếp hạng của UBBVDLCN cá nhân đối với các cơ quan và tổ chức về độ tin cậy trong việc bảo vệ DLCN.

Thông báo về việc xử lý DLCN của chủ thể dữ liệu

Theo Điều 11 Dự thảo Nghị định việc xử lý DLCN phải được thông báo cho chủ thể dữ liệu trước khi thực hiện xử lý trừ một số trường hợp sau[6]:

1.  Chủ thể dữ liệu đã hoàn toàn đồng ý với nội dung và hoạt động của toàn bộ quá trình xử lý DLCN.

2.  Hoạt động xử lý DLCN được quy định bởi pháp luật, thỏa thuận quốc tế, điều ước quốc tế.

3.  Hoạt động xử lý DLCN không ảnh hưởng đến quyền và lợi ích của chủ thể dữ liệu, và thông báo cho chủ thể dữ liệu là không thể.

4.  Hoạt động xử lý DLCN nhằm phục vụ công tác nghiên cứu khoa học hoặc thống kê.

Điều này nhằm đảm bảo nguyên tắc cá nhân: “Chủ thể dữ liệu được biết và nhận thông báo về hoạt động liên quan tới xử lý DLCN của mình” được thực hiện.

Sự đồng ý của chủ thể dữ liệu với DLCN

Theo Điều 5.1 Dự thảo Nghị định, chủ thể dữ liệu có quyền “đồng ý hoặc không đồng ý cho Bên xử lý DLCN, Bên thứ ba xử lý DLCN của mình” trừ trường hợp quy định tại Điều 10 Dự thảo Nghị định này. Sự đồng ý của chủ thể dữ liệu được quy định tại Điều 8, theo đó, sự đồng ý chỉ có hiệu lực khi dựa trên sự tự nguyện và chủ thể dữ liệu biết rõ các nội dung:

Loại DLCN được xử lý.

1.  Mục đích xử lý DLCN.

2.  Đối tượng được xử lý, chia sẻ DLCN.

3.  Điều kiện chuyển giao, chia sẻ DLCN cho bên thứ ba.

4.  Các quyền của chủ thể dữ liệu liên quan đến việc xử lý DLCN của mình theo quy định của pháp luật.

Cũng cần lưu ý rằng sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được xem là sự đồng ý.

Xử lý dữ liệu cá nhân nhạy cảm (“DLCNNC”)

DLCNNC phải được đăng ký với UBBVDLCN trước khi tiến hành xử lý, trừ các trường hợp đặc biệt nhất định, chẳng hạn để phục vụ công tác phòng ngừa, phát hiện, điều tra, xử lý hành vi vi phạm pháp luật, hoạt động tư pháp của tòa án, nghiên cứu khoa học, thống kê, v.v.

Chuyển dữ liệu qua biên giới

DLCN của công dân Việt Nam có thể được chuyển qua biên giới khi đáp ứng đủ các điều kiện sau[7]:

1.  Có sự đồng ý của chủ thể dữ liệu về việc chuyển giao.

2.  Dữ liệu gốc được lưu trữ tại Việt Nam.

3.  Quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ mà dữ liệu được chuyển đến đã ban hành quy định bảo vệ DLCN ở mức độ bằng hoặc cao hơn với quy định tại Dự thảo Nghị định.

4.  Có chấp thuận bằng văn bản của UBBVDLCN.

Lưu ý: Bên xử lý dữ liệu cá nhân phải xây dựng hệ thống lưu trữ lịch sử chuyển dữ liệu trong thời gian 03 năm, bao gồm các nội dung về thời gian cung cấp DLCN ra bên ngoài; danh tính bên tiếp nhận; loại, số lượng, và độ nhạy cảm của DLCN được chuyển ra bên ngoài; v.v.

Nghĩa vụ xây dựng quy định bảo vệ DLCN

Bên xử lý DLCN phải chỉ định bộ phận có chức năng bảo vệ DLCN và cung cấp thông tin về bộ phận đó cho UBBVDLCN[8]. Đồng thời, bên xử lý dữ liệu phải ban hành các quy định tiếp nhận và trả lời các khiếu nại có thể phát sinh liên quan đến bảo vệ DLCN[9].

Xử phạt vi phạm hành chính

Nếu có bất kỳ hành vi vi phạm nào liên quan đến việc xử lý hoặc tiết lộ DLCN, bên xử lý DLCN có thể chịu các hình thức xử phạt vi phạm hành chính như sau:

Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng[10].

5% tổng doanh thu đối với vi phạm nhiều lần hoặc gây hậu quả nghiêm trọng[11].

Các hình thức xử phạt bổ sung như đình chỉ xử lý DLCN từ một đến ba tháng hoặc tước quyền sử dụng giấy phép/văn bản đồng ý xử lý DLCNNC và/hoặc chuyển DLCN ra khỏi biên giới.

Ngoài ra, các hành vi vi phạm còn có thể bị áp dụng các biện pháp khắc phục hậu quả như buộc nộp lại số tiền có được do thực hiện hành vi vi phạm[12].

Trên đây là một số vấn đề mà Quý khách hàng có thể quan tâm đối với Dự thảo Nghị định sẽ sớm được thông qua trong thời gian tới.

Như thường lệ, chúng tôi hy vọng Quý khách hàng thấy bài viết này hữu ích và mong muốn được làm việc với Quý khách hàng trong thời gian tới.

Trân trọng,

Công ty Luật TNHH ENT

Quý khách hàng có thể tìm đọc bản đầy đủ của Bản tin pháp lý này tại đây.

————————————————-

[1] Theo Điều 2.2 Dự thảo Nghị định: DLCN cơ bản, gồm:

1.  Họ, chữ đệm và tên khai sinh, bí danh (nếu có);

2.  Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

3.  Nhóm máu, giới tính;

4.  Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử;

5.  Trình độ học vấn;

6.  Dân tộc;Quốc tịch;

7.  Số điện thoại;

8.  Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội;

9. Tình trạng hôn nhân;

Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.

[2] Theo Điều 2.3 Dự thảo Nghị định: DLCN nhạy cảm, gồm:

1.  DLCN về quan điểm​​ chính trị, tôn giáo;

2.  DLCN về tình trạng sức khỏe là thông tin liên quan đến trạng thái sức khỏe thể chất hoặc tinh thần của chủ thể dữ liệu được thu thập, xác định trong quá trình đăng ký hoặc cung cấp dịch vụ y tế;

3.  DLCN về di truyền là thông tin liên quan đến các đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

4.  DLCN về sinh trắc học là thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân;

5.  DLCN về tình trạng giới tính là thông tin về người được xác định có giới tính nam, nữ, người kết hợp giữa nữ và nam, không phải nữ hoàn toàn hoặc nam toàn toàn, không phải nữ cũng không phải nam hoặc là tình trạng của chủ thể dữ liệu có ý thức về giới tính không phù hợp với giới tính được xác định khi sinh;

6.  DLCN về đời sống, xu hướng tình dục;

7.  DLCN về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

8.  DLCN về tài chính là thông tin được sử dụng để xác định tài khoản, thẻ, công cụ thanh toán do tổ chức tài chính cung cấp cho chủ thể dữ liệu hoặc thông tin về mối quan hệ giữa tổ chức tài chính, dữ liệu tiền gốc với chủ thể dữ liệu, bao gồm cả hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập;

9.  DLCN về vị trí là thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại;

10.  DLCN về các mối quan hệ xã hội;

11.  DLCN khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

[3] Theo Điều 23.1 Dự thảo Nghị định.

[4] Theo Điều 24 Dự thảo Nghị định.

[5] Theo Điều 19.2 Dự thảo Nghị định.

[6] Theo Điều 11.3 Dự thảo Nghị định.

[7] Theo Điều 21.1 Dự thảo Nghị định.

[8] Theo Điều 18.2 Dự thảo Nghị định.

[9] Theo Điều 18.1 Dự thảo Nghị định.

[10] Theo Điều 22 Dự thảo Nghị định.

[11] Theo Điều 4.3 và 22.3 Dự thảo Nghị định.

[12] Theo Điều 22.4 và 22.5 Dự thảo Nghị định.