Trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản quý giá và dễ bị tổn thương, việc tuân thủ các quy định pháp lý về bảo vệ thông tin cá nhân là yêu cầu bắt buộc đối với mọi tổ chức. Sau khi Nghị định 13/2023/NĐ-CP có hiệu lực, không ít doanh nghiệp đặt ra câu hỏi: “Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân?”. Bài viết dưới đây Luật Trí Minh sẽ giúp doanh nghiệp hiểu rõ trách nhiệm pháp lý, các bước cần thực hiện và những rủi ro có thể gặp phải nếu vi phạm.
Mục lục
- 1. Đối tượng doanh nghiệp phải tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
- 2. Phân loại dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP
- 3. Biện pháp bảo vệ dữ liệu cá nhân
- 4. Xử lý vi phạm và chế tài xử phạt
- 5. Trách nhiệm của Doanh nghiệp trong việc tuân thủ quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP
1. Đối tượng doanh nghiệp phải tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
Theo quy định tại Điều 1 Nghị định 13/2023/NĐ-CP, trách nhiệm bảo vệ dữ liệu cá nhân không chỉ giới hạn trong phạm vi quốc gia, mà áp dụng rộng rãi cho mọi tổ chức, cá nhân có liên quan đến hoạt động xử lý dữ liệu, bao gồm:
a, Các tổ chức, cá nhân trong nước;
b, Doanh nghiệp, cá nhân Việt Nam đang hoạt động ở nước ngoài;
c, Tổ chức, cá nhân nước ngoài có hiện diện tại Việt Nam;
d, Tổ chức, cá nhân nước ngoài có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân tại Việt Nam, dù không có trụ sở chính tại đây.
Điều này đồng nghĩa với việc mọi doanh nghiệp, dù là trong nước hay có yếu tố nước ngoài, nếu có hành vi xử lý dữ liệu cá nhân liên quan đến cá nhân tại Việt Nam đều bắt buộc phải tuân thủ Nghị định 13. Một số nhóm doanh nghiệp tiêu biểu có liên quan gồm:
- Các công ty công nghệ, nền tảng kỹ thuật số và thương mại điện tử (như Facebook, Google, Shopee, Lazada, Tiki…);
- Doanh nghiệp trong lĩnh vực ngân hàng, bảo hiểm, tài chính (lưu trữ thông tin giao dịch, dữ liệu khách hàng);
- Cơ sở y tế, bệnh viện, phòng khám (quản lý dữ liệu sức khỏe bệnh nhân);
- Công ty nhân sự, nền tảng tuyển dụng (xử lý hồ sơ cá nhân ứng viên);
- Doanh nghiệp tiêu dùng, bán lẻ có chương trình chăm sóc khách hàng;
- Mọi tổ chức có thu thập, sử dụng thông tin cá nhân của nhân viên, khách hàng hoặc đối tác trong quá trình hoạt động kinh doanh.
2. Phân loại dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP
Theo quy định tại Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân được chia thành hai nhóm chính: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, tương ứng với các mức độ bảo vệ khác nhau.
2.1. Dữ liệu cá nhân cơ bản (Khoản 3, Điều 2)
Đây là các thông tin có thể giúp xác định danh tính một người, bao gồm:
- Họ tên khai sinh, tên gọi khác (nếu có);
- Thông tin về ngày sinh, ngày mất hoặc mất tích;
- Giới tính;
- Các địa chỉ liên quan như nơi sinh, hộ khẩu, nơi ở hiện tại, quê quán;
- Quốc tịch;
- Hình ảnh cá nhân;
- Các số định danh như CMND/CCCD, hộ chiếu, GPLX, mã số thuế, BHXH, BHYT;
- Tình trạng hôn nhân và các mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản, lịch sử hoạt động trên internet hoặc không gian mạng;
- Bất kỳ dữ liệu nào gắn liền với hoặc giúp xác định một cá nhân cụ thể, không thuộc nhóm dữ liệu nhạy cảm.
2.2. Dữ liệu cá nhân nhạy cảm (Khoản 4, Điều 2)
Đây là nhóm dữ liệu đòi hỏi mức độ bảo vệ nghiêm ngặt hơn do liên quan đến đời sống riêng tư, định danh sinh học hoặc thông tin tài chính đặc thù. Bao gồm:
- Quan điểm về chính trị, tín ngưỡng, tôn giáo;
- Thông tin sức khỏe cá nhân được ghi trong hồ sơ y tế (trừ nhóm máu);
- Nguồn gốc dân tộc, chủng tộc;
- Dữ liệu di truyền hoặc đặc điểm sinh học đặc thù;
- Thông tin đời sống tình dục, khuynh hướng giới tính;
- Tiền án, tiền sự, hành vi vi phạm pháp luật do cơ quan chức năng ghi nhận;
- Dữ liệu khách hàng tại các tổ chức tài chính, ngân hàng, trung gian thanh toán;
- Dữ liệu định vị cá nhân qua các dịch vụ định vị toàn cầu (GPS);
- Các loại thông tin khác được pháp luật liệt kê là dữ liệu đặc thù và cần bảo mật nghiêm ngặt.
3. Biện pháp bảo vệ dữ liệu cá nhân
Theo quy định tại Điều 27 và 28 Nghị định 13/2023/NĐ-CP, các tổ chức, doanh nghiệp có trách nhiệm xử lý dữ liệu cá nhân cần triển khai đồng bộ những biện pháp bảo vệ sau:
3.1. Biện pháp về quản trị
- Xây dựng quy chế nội bộ về bảo vệ dữ liệu và phân định rõ nhiệm vụ cho từng bộ phận, cá nhân liên quan.
- Chỉ được phép thu thập và xử lý thông tin cá nhân trong phạm vi thực sự cần thiết, phục vụ đúng mục đích.
- Thiết lập hệ thống kiểm tra, đánh giá, giám sát nội bộ nhằm kiểm soát hiệu quả việc bảo vệ dữ liệu.
3.1. Biện pháp công nghệ
- Thực hiện mã hóa dữ liệu, sử dụng các công cụ bảo mật như tường lửa và phần mềm an ninh mạng.
- Đảm bảo việc lưu trữ dữ liệu được tiến hành an toàn, có quy trình sao lưu và phục hồi dữ liệu khi cần thiết.
3.2. Biện pháp phòng ngừa rủi ro
- Tiến hành đánh giá tác động đến quyền riêng tư trước khi xử lý khối lượng lớn hoặc dữ liệu mang tính nhạy cảm.
- Lập kế hoạch phản ứng khi có sự cố rò rỉ dữ liệu, đồng thời có biện pháp khắc phục nhanh chóng, phù hợp.
- Tổ chức đào tạo cho nhân sự về bảo mật thông tin và nâng cao nhận thức trong xử lý dữ liệu cá nhân.
3.4. Biện pháp kiểm soát việc chia sẻ và chuyển dữ liệu
- Khi có nhu cầu chuyển dữ liệu cá nhân ra nước ngoài, bắt buộc phải được sự đồng thuận từ người có dữ liệu và thông báo với cơ quan quản lý có thẩm quyền.
- Việc cung cấp thông tin cá nhân cho bên thứ ba chỉ được thực hiện khi đảm bảo có các thỏa thuận và biện pháp bảo mật phù hợp.
4. Xử lý vi phạm và chế tài xử phạt
Hiện tại, chưa có văn bản chính thức quy định cụ thể về mức xử phạt hành chính đối với các hành vi vi phạm Nghị định này.
Tuy nhiên, theo Mục 2 của Dự thảo Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang trong quá trình xây dựng), mức phạt tiền được đề xuất dao động từ 10.000.000 đồng – 70.000.000.000 đồng, áp dụng cho các hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân cũng như các quy định về thu thập và xử lý dữ liệu cá nhân.
Ngoài ra, tùy theo mức độ vi phạm, cơ quan, tổ chức hoặc cá nhân vi phạm có thể bị xử lý kỷ luật, xử phạt hành chính hoặc thậm chí truy cứu trách nhiệm hình sự theo quy định của pháp luật.
5. Trách nhiệm của Doanh nghiệp trong việc tuân thủ quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP
5.1. Xác định cơ sở pháp lý hợp lệ cho hoạt động xử lý dữ liệu
Doanh nghiệp chỉ được phép thu thập và xử lý dữ liệu cá nhân khi dựa trên một trong những căn cứ pháp lý được pháp luật cho phép nhằm bảo đảm quyền riêng tư cho chủ thể dữ liệu, tránh hành vi xử lý trái luật. Các cơ sở pháp lý gồm:
– Có sự đồng thuận của chủ thể dữ liệu (Điều 11, 12): Việc đồng ý phải minh bạch, cụ thể, thể hiện rõ bằng văn bản, âm thanh, hành vi, và không được áp đặt, mập mờ hoặc mặc định chấp thuận. Chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào và doanh nghiệp buộc phải chấm dứt xử lý ngay sau đó.
– Không cần sự đồng ý trong một số trường hợp đặc biệt:
- Khi xử lý là cần thiết để thực hiện hợp đồng liên quan đến chủ thể dữ liệu (Khoản 4 Điều 17).
- Khi tuân thủ nghĩa vụ pháp luật (ví dụ: nghĩa vụ thuế, báo cáo lao động, tài chính).
- Trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe cho cá nhân hoặc người khác.
- Vì lợi ích quốc gia, quốc phòng, an ninh, lợi ích cộng đồng theo quy định pháp luật.
- Khi cơ quan nhà nước thực hiện điều tra, xử lý vi phạm theo thẩm quyền.
Ngay cả trong các trường hợp không yêu cầu sự đồng ý, doanh nghiệp vẫn phải đảm bảo tuân thủ nguyên tắc xử lý dữ liệu và có trách nhiệm bảo mật thông tin thu thập được.
5.2. Rà soát và phân loại dữ liệu được xử lý
Doanh nghiệp cần kiểm tra các nguồn dữ liệu đang thu thập, phân loại rõ ràng giữa dữ liệu cá nhân cơ bản và dữ liệu nhạy cảm, đồng thời đảm bảo việc sử dụng dữ liệu tuân thủ đúng mục đích theo Điều 3 Nghị định 13/2023/NĐ-CP, từ đó đề ra biện pháp phòng tránh rò rỉ, truy cập trái phép.
5.3. Thiết lập cơ chế để đảm bảo quyền lợi của chủ thể dữ liệu
Chủ thể dữ liệu có 11 quyền cơ bản theo Điều 9 của Nghị định này, bao gồm: quyền được thông báo, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền yêu cầu xóa, hạn chế xử lý, cung cấp dữ liệu, quyền phản đối, quyền khiếu nại/khởi kiện, quyền yêu cầu bồi thường và quyền tự bảo vệ.
Doanh nghiệp cần xây dựng hệ thống và quy trình rõ ràng để tiếp nhận, xử lý các yêu cầu của chủ thể dữ liệu, đảm bảo đúng thời hạn, không gây trở ngại và không được yêu cầu chi phí phát sinh khi cá nhân thực hiện quyền của mình.
5.4. Đảm bảo an toàn và bảo mật thông tin cá nhân
Doanh nghiệp phải công khai thông báo về việc xử lý dữ liệu một cách minh bạch, dễ hiểu và kịp thời tới người có liên quan. Đồng thời, cần thường xuyên rà soát và cập nhật các chính sách bảo mật phù hợp. Một số biện pháp có thể thực hiện gồm:
- Mã hóa dữ liệu, phân quyền truy cập phù hợp.
- Áp dụng cơ chế kiểm soát nội bộ và hệ thống giám sát để giảm thiểu rủi ro.
- Lưu trữ lịch sử xử lý dữ liệu để hỗ trợ truy vết khi xảy ra sự cố.
Trong trường hợp xảy ra rò rỉ dữ liệu, hệ thống cảnh báo phải phát hiện sớm, tiến hành xử lý và thông báo cho chủ thể bị ảnh hưởng, đồng thời gửi báo cáo tới Bộ Công an theo quy định tại Khoản 1 Điều 23.
5.5. Thực hiện đánh giá tác động và đăng ký xử lý dữ liệu cá nhân
Khi doanh nghiệp thực hiện một hoặc nhiều hoạt động liên quan đến thu thập, kiểm soát hoặc xử lý dữ liệu cá nhân, cần tiến hành đánh giá tác động theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP.
Việc đánh giá nhằm nhận diện nguy cơ, rủi ro và thiết lập Hồ sơ đánh giá tác động. Sau khi hoàn tất, doanh nghiệp phải gửi báo cáo đến Bộ Công an trong thời hạn 60 ngày tính từ thời điểm bắt đầu xử lý dữ liệu và lưu trữ hồ sơ để phục vụ công tác kiểm tra, giám sát từ cơ quan quản lý.
Trên đây là những chia sẻ từ Luật Trí Minh về việc thắc mắc “Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân?“. Việc đầu tư vào bảo vệ dữ liệu cá nhân là đầu tư cho sự phát triển bền vững của doanh nghiệp trong tương lai. Trong trường hợp cần trao đổi chi tiết hoặc có nhu cầu sử dụng dịch vụ tại Luật Trí Minh, vui lòng liên hệ qua Email: contact@luattriminh.vn hoặc số Hotline: 024 3766 9599 (Hà Nội) và 028 3933 3323 (TP.HCM) để được hỗ trợ kịp thời.