Dữ liệu cá nhân là gì ? Quy định pháp luật mới nhất

Dữ liệu cá nhân là gì là câu hỏi được nhiều đọc giả quan tâm. Hiện nay, Nghị định 13/2023/NĐ – CP đã có định nghĩa  về dữ liệu cá nhân. Dữ liệu cá nhân trong kỷ nguyên số đã trở thành đối tượng quản lý và bảo vệ theo quy định của pháp luật Việt Nam, đặc biệt được quy định chi tiết tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Nghị định này thiết lập khung pháp lý toàn diện về việc thu thập, xử lý và bảo vệ thông tin cá nhân trong môi trường số. Bài viết sau đây sẽ phân tích chi tiết các quy định pháp luật mới nhất về dữ liệu cá nhân tại Việt Nam.

Dữ liệu cá nhân là gì?

Theo quy định tại khoản 1 và khoản 2, Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một người cụ thể hoặc giúp xác định một người cụ thể. Thông tin này bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Việc phân loại này giúp xác định mức độ bảo vệ phù hợp cho từng loại dữ liệu.

Dữ liệu cá nhân cơ bản bao gồm họ tên, ngày tháng năm sinh, số CMND/CCCD, địa chỉ, số điện thoại, email, tài khoản mạng xã hội, địa chỉ IP, cookie ID và các thông tin định danh trực tuyến khác..được quy định chi tiết tại khoản 3, Điều 2 Nghị định 13/2023/NĐ-CP. Trong bối cảnh số hóa, các thông tin này thường được thu thập khi Quý khách sử dụng các dịch vụ trực tuyến như đăng ký tài khoản Zalo, Facebook hoặc thực hiện giao dịch điện tử.

Dữ liệu cá nhân nhạy cảm được quy định tại Điều 2 Nghị định 13/2023/NĐ-CP bao gồm thông tin về quan điểm chính trị, tín ngưỡng tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, xu hướng tính dục, dữ liệu gen và dữ liệu sinh trắc học. Các thông tin này yêu cầu mức độ bảo vệ cao hơn và chỉ được xử lý trong các trường hợp đặc biệt theo quy định của pháp luật.

Các nguyên tắc cơ bản của bảo vệ dữ liệu

Nghị định 13/2023/NĐ-CP quy định các nguyên tắc nền tảng trong việc xử lý và bảo vệ dữ liệu. Các tổ chức, doanh nghiệp phải tuân thủ nguyên tắc tính hợp pháp, công bằng và minh bạch trong quá trình xử lý dữ liệu. Mọi hoạt động xử lý dữ liệu cá nhân cần có cơ sở pháp lý rõ ràng.

Nguyên tắc giới hạn mục đích yêu cầu dữ liệu chỉ được thu thập và xử lý cho các mục đích cụ thể, rõ ràng và hợp pháp. Ví dụ, khi Quý khách đăng ký dịch vụ điện thoại, nhà mạng chỉ được phép sử dụng thông tin cá nhân của Quý khách cho mục đích cung cấp dịch vụ và các hoạt động liên quan trực tiếp.

Dữ liệu chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.

Thu thập dữ liệu tối thiểu là nguyên tắc quan trọng, chỉ thu thập những thông tin cần thiết cho mục đích đã xác định. Đồng thời, dữ liệu phải được lưu trữ chính xác, cập nhật và chỉ trong thời gian cần thiết. Các biện pháp kỹ thuật và quản lý phải được áp dụng để đảm bảo tính toàn vẹn và bảo mật của dữ liệu.

Cơ sở pháp lý: Điều 3, Nghị định 13/2023/NĐ-CP

Quyền của chủ thể dữ liệu

Theo Điều 9, Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có 11 quyền cơ bản liên quan đến thông tin cá nhân của mình. Cụ thể chủ thể dữ liệu có các quyền sau:

• Quyền được biết
• Quyền đồng ý
• Quyền truy cập
• Quyền rút lại sự đồng ý
• Quyền xóa dữ liệu
• Quyền hạn chế xử lý dữ liệu
• Quyền cung cấp dữ liệu
• Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
• Quyền phản đối xử lý dữ liệu
• Quyền khiếu nại, tố cáo, khởi kiện
• Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
• Quyền yêu cầu bồi thường thiệt hại
• Quyền tự bảo vệ

Trách nhiệm của người kiểm soát và người xử lý dữ liệu

Nghị định 13/2023/NĐ-CP phân định rõ vai trò và trách nhiệm của người kiểm soát dữ liệu và người xử lý dữ liệu. Người kiểm soát dữ liệu là tổ chức, cá nhân xác định mục đích và phương tiện xử lý dữ liệu cá nhân. Người xử lý dữ liệu thực hiện việc xử lý dữ liệu theo yêu cầu của người kiểm soát.

Để tuân thủ quy định, các tổ chức cần xây dựng quy trình xử lý dữ liệu chuẩn, đào tạo nhân viên về bảo vệ dữ liệu, và định kỳ đánh giá tác động đến quyền riêng tư. Việc lựa chọn và giám sát người xử lý dữ liệu cũng phải được thực hiện chặt chẽ thông qua hợp đồng xử lý dữ liệu.

Theo Điều 40 Nghị định 13/2023/NĐ-CP thì trách nhiệm của Bên Kiểm soát và xử lý dữ liệu là thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.

Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân

Theo Điều 38 Nghị định 13/2023/NĐ-CP thì Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân gồm:

1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Trách nhiệm của Bên Xử lý dữ liệu cá nhân

Theo Điều 38 Nghị định 13/2023/NĐ-CP thì Trách nhiệm của Bên Xử lý dữ liệu cá nhân gồm:

1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

>>> Xem thêm:Luật sư giải quyết tranh chấp thỏa thuận bảo mật thông tin với người lao động

Các biện pháp bảo vệ dữ liệu cá nhân

Điều 26 Nghị định 13/2023/NĐ-CP quy định chi tiết các biện pháp bảo vệ dữ liệu cá nhân. Biện pháp quản lý yêu cầu tổ chức phải xây dựng quy trình nội bộ, phân công trách nhiệm và đào tạo nhân viên về bảo vệ dữ liệu. Các chính sách và quy trình này cần được cập nhật thường xuyên để đảm bảo tính hiệu quả.

Cơ quan quản lý nhà nước thực hiện giám sát, thanh tra và xử lý vi phạm theo quy định. Trong trường hợp phát hiện vi phạm, cơ quan điều tra sẽ tiến hành các biện pháp tố tụng cần thiết để bảo vệ quyền lợi của chủ thể dữ liệu.

1. Biện pháp bảo vệ các thông tin của cá nhân  được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu
2. Các biện pháp bảo vệ, bao gồm:

• Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
• Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
• Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
• Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
• Các biện pháp khác theo quy định của pháp luật.

>>> Xem thêm: Dịch vụ luật sư dân sự

Luật sư tư vấn phương án xử lý khi bị xâm phạm thông tin cá nhân

Công ty Luật Long Phan PMT cung cấp các dịch vụ sau

1.Thu thập và bảo quản chứng cứ vi phạm:

• Hướng dẫn khách hàng lưu giữ toàn bộ tài liệu, hình ảnh liên quan
• Xác định đối tượng vi phạm

2. Đánh giá mức độ thiệt hại:

• Phân tích tác động của việc vi phạm
• Xác định phạm vi ảnh hưởng
• Ước tính thiệt hại vật chất và phi vật chất

3.Soạn thảo hồ sơ pháp lý:

• Đơn khiếu nại/tố cáo
• Công văn yêu cầu chấm dứt vi phạm
• Đơn khởi kiện (nếu cần thiết)

4.Đại diện làm việc với các bên liên quan:

• Thương lượng với bên vi phạm
• Làm việc với cơ quan chức năng
• Tham gia tố tụng tại tòa án

5.Tư vấn biện pháp phòng ngừa:

• Xây dựng quy trình bảo vệ dữ liệu
• Đề xuất giải pháp kỹ thuật
• Đào tạo nhận thức về bảo mật

Bảo vệ dữ liệu cá nhân đòi hỏi sự phối hợp chặt chẽ giữa các bên liên quan và tuân thủ nghiêm ngặt quy định pháp luật. Để được tư vấn chi tiết về các vấn đề liên quan đến bảo vệ thông tin cá nhân của mình đã được lưu trữ, Quý khách vui lòng liên hệ hotline 1900636387 của Long Phan PMT. Đội ngũ luật sư của chúng tôi sẽ hỗ trợ Quý khách xây dựng phương án bảo vệ phù hợp và giải quyết các vấn đề phát sinh.