Dữ liệu cá nhân và trách nhiệm của doanh nghiệp

Từ ngày 1/7/2023, nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) có hiệu lực, lần đầu tiên Việt Nam có một văn bản pháp luật quy định chính thức khái niệm dữ liệu cá nhân và việc xử lý dữ liệu cá nhân.

Mục tiêu của Nghị định 13 là giải quyết tình trạng rò rỉ, mất thông tin, dữ liệu cá nhân tràn lan hiện nay, đặc biệt trên môi trường số hóa, đồng thời nâng cao nhận thức của các cá nhân và doanh nghiệp về vấn đề trên.

Theo đó, một số khái niệm cần chú trọng như sau:

“- Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

- Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.

- Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

- Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

- Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.

- Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.”

Thực tiễn quá trình kinh doanh của các doanh nghiệp sẽ diễn ra các hoạt động xử lý dữ liệu cá nhân (thu thập, lưu trữ,…) nhằm một số mục đích như tiếp thị, quảng cáo, cung cấp sản phẩm, tư vấn cho cá nhân hay nhằm thu thập, lữu trữ thông tin của người lao động và một số mục đích khác. Như vậy, có thể thấy rằng hoạt động xử lý dữ liệu cá nhân là một phần không thể thiếu trong hoạt động kinh doanh thường xuyên của doanh nghiệp. Tùy từng trường hợp, doanh nghiệp có thể là Bên Kiểm soát hoặc Bên xử lý dữ liệu cá nhân hay vừa là Bên Kiểm soát và xử lý dữ liệu cá nhân; khách hàng/ đối tác là cá nhân/ người lao động/ cá nhân có liên quan là chủ thể dữ liệu.

Ví dụ như doanh nghiệp làm môi giới bất động sản sẽ phải có các hoạt động xử lý dữ liệu cá nhân của khách hàng như thu thập, chia sẻ, cung cấp thông tin của khách hàng cho chủ đầu tư để ký Hợp đồng mua bán/cho thuê bất động sản,..

Hay để thuê người vào làm việc, doanh nghiệp cũng phải thu thập dữ liệu cá nhân của người lao động như thông tin định danh, quê quán, quốc tịch, hình ảnh cá nhân,... đồng thời cũng phải lưu trữ các dữ liệu đó ít nhất là đến cuối thời gian làm việc.

Nghị định 13 đặt ra cho doanh nghiệp các trách nhiệm như xử lý dữ liệu cá nhân phù hợp quy định pháp luật; phải thông báo và nhận được sự đồng ý của chủ thể dữ liệu liên quan đến hoạt động xử lý dữ liệu cá nhân; xây dựng các biện pháp bảo vệ, bảo mật trong quá trình xử lý,… cùng các nghĩa vụ cụ thể khác.

Theo đó, sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của mình. Doanh nghiệp phải có được sự đồng ý của chủ thể dữ liệu bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác. Mục đích sử dụng dữ liệu cũng phải được quy định rõ ràng, nếu có nhiều mục đích, thì doanh nghiệp cần liệt kê cụ thể để chủ thể dữ liệu thể hiện sự đồng ý của mình (không áp dụng hồi tố cho các dữ liệu được chủ thể dữ liệu cung cấp cho doanh nghiệp trước thời điểm Nghị định 13 có hiệu lực - ngày 1/7/2023).

Ngoài ra, Doanh nghiệp có trách nhiệm lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân (theo Điều 24 Nghị định 13), đảm bảo Hồ sơ luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an, và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân

Hiện chưa có văn bản xử phạt các vi phạm về dữ liệu cá nhân theo Nghị định 13. Chúng tôi cho rằng rất cần có sự tập huấn, truyền thông để các quy định này đi vào đời sống, nâng cao nhận thức của cộng đồng về bảo vệ dữ liệu cá nhân.