THỦ TỤC THÔNG BÁO THAY ĐỔI NỘI DUNG HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

ThS, Luật sư Lại Qúy Cẩn Phó Giám đốc Công ty Luật TNHH MTV Investco

1. Quá trình hình thành Nghị định 13/2023/NĐ-CP của Chính phủ ngày 17/4/2023 quy định về Bảo vệ dữ liệu cá nhân

2. Những vấn đề chung về xử lý dữ liệu cá nhân

3. Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

4. Chế tài xử lý vi phạm liên quan đễ dữ liệu cá nhân

======================================

1. Quá trình hình thành Nghị định 13/2023/NĐ-CP của Chính phủ ngày 17/4/2023 quy định về Bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân là một trong  những vấn đề gắn chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, công nghệ thông tin và cách mạng công nghiệp 4.0, chuyển đổi số, công nghệ thông tin… Đây là cũng là vấn đề được các tổ chức quốc tế và các quốc gia trên thế giới chú ý quan tâm và đi trước chúng ta môt chặng đường khá dài về nhìn nhận thực trạng vấn đề, quy định hành lang pháp lý để điều chỉnh bảo vệ dữ liệu cá nhân. Tuy nhiên, nước ta chưa có văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhưng nhiều nội dung liên quan tới công nghệ thông tin, viễn thông, internet, an toàn thông tin mạng, an ninh mạng, thông tin cá nhân được quy định ở nhiều văn bản khác nhau. Điều này dẫn tới thực trạng trùng dẫm, chồng chéo, tản mác, khó áp dụng và thực thi các quy định của pháp luật về bảo vệ dữ liệu cá nhân. Các quốc gia trên thế giới đang tăng cường ban hành các văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Vấn đề bảo vệ dữ liệu cá nhân đã được nhiều quốc gia (như Mỹ, Pháp, Đức, Nhật Bản, Liên minh Châu Âu...) hết sức coi trọng. Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Theo các nước, quyền bảo vệ dữ liệu cá nhân là quyền riêng tư và được pháp luật bảo vệ; bảo vệ dữ liệu cá nhân được thể hiện qua nhiều khía cạnh, như: bảo đảm quyền tự chủ, quyền riêng tư và bảo toàn được danh dự, uy tín của mỗi cá nhân, giúp cá nhân kiểm soát tốt hơn các vấn đề trong cuộc sống, tăng cường niềm tin trong xã hội và là một trong những nhân tố quan trọng thúc đẩy quyền được bày tỏ chính kiến, quyền tự do ngôn luận.[1] Chính điều đó đã làm cho những quốc gia này trở thành những quốc gia có nhiều kinh nghiệm pháp lý và thực tiễn triển khai, thi hành, bảo vệ dữ liệu cá nhân.

Việt Nam ước tính có khoảng trên 64 triệu người sử dụng mạng internet, là quốc gia có tốc độ phát triển và sử dụng mạng internet cao nhất trên thế giới. Cùng với sự phát triển mạnh mẽ này, tình trạng để lộ, lọt, mua bán, đánh cắp dữ liệu cá nhân xảy ra khá phổ biến trên không gian mạng và thu thập, phân tích dữ liệu cá nhân để phục vụ cho mục đích khác nhau nhưng không thông báo cho khách hàng dẫn đến hành vi vi phạm pháp luật. Bộ Công an cho biết, dữ liệu cá nhân của 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức, mức độ khác nhau.[2]

 Nguyên nhân dẫn đến tình trạng trên là do: (1) nhận thức về bảo vệ thông tin cá nhân còn hạn chế, chưa phù hợp với tình trạng thực tế; (2) Quy định của pháp luật về bảo vệ thông tin cá nhân chưa hoàn thiện, chưa có văn bản quy phạm pháp luật điều chỉnh cụ thể, chi tiết; (3) Công tác lưu trữ, bảo quản, xử lý dữ liệu cá nhân còn bộc lộ nhiều hạn chế trong thời đại cách mạng công nghiệp khoa học công nghệ; (4) Công tác tuyên truyền, phổ biến quy định của pháp luật về dữ liệu cá nhân còn chưa kịp thười, chưa đáp ứng được yêu cầu của thời đại; (5) Chế tài xử lý vi phạm còn thiếu hoặc nhẹ, chưa đủ sức răn đe.

Theo thống kê của Bộ Công an, có tổng số 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 18 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng.[3] Tuy nhiên, dù có tới 68 văn bản nhưng tất cả đều không thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân.

Trước tình trạng trên thì việc ban hành một Văn bản quy phạm pháp luật là cần thiết và phù hợp với thực trạng hiện nay của Việt Nam. Ngày 17 tháng 4 năm 2023 Chính phủ ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân nhằm nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân, mà trước hết là của bên xử lý dữ liệu đối với việc xử lý dữ liệu cá nhân. Nghị định được xây dựng theo đúng tinh thần của Hiến pháp, phù hợp với kinh tế, xã hội, an toàn, an ninh và đảm bảo đồng bộ với các Bộ luật, luật và các văn bản hiện có.

Đối với cá nhân tác giả, trong nhiều năm hành nghề luật sư đã trực tiếp tư vấn, giải quyết nhiều vụ việc liên quan đến dữ liệu, thông tin cá nhân mặc dù dữ liệu cá nhân được nhắc đến nhiều trong văn bản pháp luật nhưng chưa có văn bản nào quy định cụ thể về khai niệm “dữ liệu cá nhân” hay trình tự, thủ tục xử lý khi vi phạm về dữ liệu cá nhân dẫn đến việc áp dụng pháp luật còn chồng chéo, mâu thuẫn, khó thực hiện. Nghị định 13/2023 ra đời tạo một bước phát triển phù hợp với an ninh, an toàn trật tự xã hội, bảo vệ quyền của cá nhân, cơ quan tổ chức. Tuy nhiên, tác giả mong muốn rằng trong tương lai việc bảo vệ dữ liệu cá nhân cần xây dựng thành Luật Bảo vệ dữ liệu cá nhân để điều chỉnh các quan hệ xã hội sâu rộng hơn, toàn diện và đây đủ hơn. Nghị định 13/2023/NĐ-CP là một Nghị định mới nên việc áp dụng để giải quyết vụ việc cụ thể còn nhiều cá nhân, tổ chức chưa hiểu cặn kẽ về đối tượng áp dụng hay trình tự thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Chính vì vậy, trong bài viết này, tác giả chỉ tập trung hướng dẫn thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân một cách ngắn gọn và các biểu mẫu cần thiết để các cá nhân, tổ chức và khách hàng được hiểu và áp dụng.

2. Những vấn đề chung về xử lý dữ liệu cá nhân

2.1 Dữ liệu cá nhân là gì?

Căn cứ quy định tại Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP có giải thích về dữ liệu cá nhân như sau:

“1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”

Theo đó, căn cứ Khoản 3 và Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, cụ thể:

Dữ liệu cá nhân cơ bản:

- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

- Giới tính;

- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

- Quốc tịch;

- Hình ảnh của cá nhân;

- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

- Tình trạng hôn nhân;

- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu cá nhân nhạy cảm quy định tại Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

- Quan điểm ​​chính trị, quan điểm tôn giáo;

- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

- Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị.

2.2 Xử lý dữ liệu cá nhân là gì?

“Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.” - Căn cứ quy định tại Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP.

Như vậy, xử lý dữ liệu cá nhân được hiểu là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

3. Biện  pháp và thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

3.1 Biện pháp bảo vệ dữ liệu cá nhân

Biện pháp bảo vệ dữ liệu cá nhân được quy định tại Khoản 2 Điều 26 Nghị định 13/2023/NĐ-CP bao gồm:

- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;

- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;

- Các biện pháp khác theo quy định của pháp luật.

3.2 Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ quy định tại Khoản 6 Điều 24 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao). Hồ sơ gồm:

3.2.1 Hồ sơ dành cho cá nhân

a. Thông báo thay đổi nội dung hồ sơ (dành cho cá nhân) – 01 bản chính theo Mẫu số 05b Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP;

b. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-01;

c. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-02;

d. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên thứ Ba) – 01 bản chính theo Mẫu Đ24-DLCN-03;

e. Các văn bản, tài liệu có liên quan tới việc bổ sung hồ sơ. 

3.2.2  Hồ sơ dành cho tổ chức

a. Thông báo thay đổi nội dung hồ sơ (dành cho tổ chức) – 01 bản chính theo Mẫu số 05a Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP;

b. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-01;

c. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-02;

d. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên thứ Ba) – 01 bản chính theo Mẫu Đ24-DLCN-03;

e. Các văn bản, tài liệu có liên quan tới việc bổ sung hồ sơ. 

4. Biện pháp xử lý vi phạm liên quan đễ dữ liệu cá nhân

Căn cứ Điều 4 Nghị định 13/2023/NĐ-CP quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân như sau:

“Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.”[4]

Như vậy, theo quy định trên thì đối với hành vi vi phạm về dữ liệu cá nhân sẽ có 03 hình thức xử lý sau: (1) Xử lý kỷ luật; (2) Xử phạt vi phạm hành chính; (3) Xử lý hình sự. Theo đó, tùy theo tính chất và mức độ vi phạm mà tổ chức, cá nhân thực hiện hành vi vi phạm về dữ liệu cá nhân sẽ có hình thức xử lý tương ứng và cao nhất là xử lý hình sự.

 

Xem tại đây:

 - Toàn văn Nghị định 13/2023 ngày 17 tháng 04 năm 2023 về Bảo vệ dữ liệu cá nhân

- Biểu mẫu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân DD24-DLCN-01. 02. 03

                      

CÔNG TY LUẬT TNHH MTV INVESTCO