THỦ TỤC THÔNG BÁO THAY ĐỔI NỘI DUNG HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Prosedur untuk memberitahukan perubahan pada isi laporan penilaian dampak pemrosesan data pribadi.

MSc, Pengacara Lai Quy Can Wakil Direktur Firma Hukum Investco

1. Proses penyusunan Keputusan Pemerintah Nomor 13/2023/ND-CP tanggal 17 April 2023, yang mengatur tentang perlindungan data pribadi.

2. Isu umum terkait pengolahan data pribadi

3. Prosedur untuk memberitahukan perubahan pada isi laporan penilaian dampak pemrosesan data pribadi .

4. Sanksi untuk pelanggaran terkait data pribadi.

======================================

1. Proses penyusunan Keputusan Pemerintah Nomor 13/2023/ND-CP tanggal 17 April 2023, yang mengatur tentang perlindungan data pribadi.

Data pribadi merupakan salah satu isu yang terkait erat dengan hak asasi manusia, hak sipil, keamanan siber, keamanan informasi, teknologi informasi, Revolusi Industri Keempat, transformasi digital, dan teknologi informasi. Ini juga merupakan isu yang mendapat perhatian serius dari organisasi internasional dan negara-negara di seluruh dunia, dan mereka jauh lebih maju daripada kita dalam mengenali realitas masalah ini dan membangun kerangka hukum untuk mengatur dan melindungi data pribadi. Namun, Vietnam belum memiliki dokumen hukum tentang perlindungan data pribadi, padahal banyak ketentuan terkait teknologi informasi, telekomunikasi, internet, keamanan siber, dan informasi pribadi diatur dalam berbagai dokumen yang berbeda. Hal ini menyebabkan peraturan yang tumpang tindih, bertentangan, dan terfragmentasi, sehingga menyulitkan penerapan dan penegakan hukum perlindungan data pribadi. Negara-negara di seluruh dunia semakin banyak menerbitkan dokumen hukum tentang perlindungan data pribadi. Isu perlindungan data pribadi telah mendapat perhatian besar dari banyak negara (seperti AS, Prancis, Jerman, Jepang, Uni Eropa...). Menurut statistik, lebih dari 80 negara kini telah menerbitkan dokumen hukum tentang perlindungan data pribadi. Menurut negara-negara tersebut, hak untuk melindungi data pribadi adalah hak atas privasi dan dilindungi oleh hukum; Perlindungan data pribadi diwujudkan dalam berbagai aspek, seperti: menjamin otonomi, privasi, dan menjaga kehormatan serta reputasi setiap individu, membantu individu mengendalikan masalah dalam kehidupan dengan lebih baik, memperkuat kepercayaan dalam masyarakat, dan menjadi salah satu faktor penting yang mendorong hak untuk berekspresi dan kebebasan berbicara. [1] Hal ini menjadikan negara-negara tersebut memiliki banyak pengalaman hukum dan praktis dalam menerapkan, menegakkan, dan melindungi data pribadi.

Vietnam diperkirakan memiliki lebih dari 64 juta pengguna internet, menjadikannya negara dengan tingkat pertumbuhan dan penggunaan internet tertinggi di dunia. Seiring dengan perkembangan yang pesat ini, kebocoran, penjualan, dan pencurian data pribadi cukup umum terjadi di dunia maya, dan pengumpulan serta analisis data pribadi untuk berbagai tujuan tanpa memberitahukan pelanggan menyebabkan pelanggaran hukum. Kementerian Keamanan Publik menyatakan bahwa data pribadi 2/3 penduduk negara kita disimpan, diunggah, dibagikan, dan dikumpulkan di dunia maya dalam berbagai bentuk dan tingkat yang berbeda. [2]

 Nguyên nhân dẫn đến tình trạng trên là do: (1) nhận thức về bảo vệ thông tin cá nhân còn hạn chế, chưa phù hợp với tình trạng thực tế; (2) Quy định của pháp luật về bảo vệ thông tin cá nhân chưa hoàn thiện, chưa có văn bản quy phạm pháp luật điều chỉnh cụ thể, chi tiết; (3) Công tác lưu trữ, bảo quản, xử lý dữ liệu cá nhân còn bộc lộ nhiều hạn chế trong thời đại cách mạng công nghiệp khoa học công nghệ; (4) Công tác tuyên truyền, phổ biến quy định của pháp luật về dữ liệu cá nhân còn chưa kịp thười, chưa đáp ứng được yêu cầu của thời đại; (5) Chế tài xử lý vi phạm còn thiếu hoặc nhẹ, chưa đủ sức răn đe.

Theo thống kê của Bộ Công an, có tổng số 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 18 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng.[3] Tuy nhiên, dù có tới 68 văn bản nhưng tất cả đều không thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân.

Trước tình trạng trên thì việc ban hành một Văn bản quy phạm pháp luật là cần thiết và phù hợp với thực trạng hiện nay của Việt Nam. Ngày 17 tháng 4 năm 2023 Chính phủ ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân nhằm nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân, mà trước hết là của bên xử lý dữ liệu đối với việc xử lý dữ liệu cá nhân. Nghị định được xây dựng theo đúng tinh thần của Hiến pháp, phù hợp với kinh tế, xã hội, an toàn, an ninh và đảm bảo đồng bộ với các Bộ luật, luật và các văn bản hiện có.

Đối với cá nhân tác giả, trong nhiều năm hành nghề luật sư đã trực tiếp tư vấn, giải quyết nhiều vụ việc liên quan đến dữ liệu, thông tin cá nhân mặc dù dữ liệu cá nhân được nhắc đến nhiều trong văn bản pháp luật nhưng chưa có văn bản nào quy định cụ thể về khai niệm “dữ liệu cá nhân” hay trình tự, thủ tục xử lý khi vi phạm về dữ liệu cá nhân dẫn đến việc áp dụng pháp luật còn chồng chéo, mâu thuẫn, khó thực hiện. Nghị định 13/2023 ra đời tạo một bước phát triển phù hợp với an ninh, an toàn trật tự xã hội, bảo vệ quyền của cá nhân, cơ quan tổ chức. Tuy nhiên, tác giả mong muốn rằng trong tương lai việc bảo vệ dữ liệu cá nhân cần xây dựng thành Luật Bảo vệ dữ liệu cá nhân để điều chỉnh các quan hệ xã hội sâu rộng hơn, toàn diện và đây đủ hơn. Nghị định 13/2023/NĐ-CP là một Nghị định mới nên việc áp dụng để giải quyết vụ việc cụ thể còn nhiều cá nhân, tổ chức chưa hiểu cặn kẽ về đối tượng áp dụng hay trình tự thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Chính vì vậy, trong bài viết này, tác giả chỉ tập trung hướng dẫn thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân một cách ngắn gọn và các biểu mẫu cần thiết để các cá nhân, tổ chức và khách hàng được hiểu và áp dụng.

2. Những vấn đề chung về xử lý dữ liệu cá nhân

2.1 Dữ liệu cá nhân là gì?

Căn cứ quy định tại Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP có giải thích về dữ liệu cá nhân như sau:

“1. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”

Theo đó, căn cứ Khoản 3 và Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, cụ thể:

Dữ liệu cá nhân cơ bản:

- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

- Giới tính;

- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

- Quốc tịch;

- Hình ảnh của cá nhân;

- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

- Tình trạng hôn nhân;

- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu cá nhân nhạy cảm quy định tại Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

- Quan điểm ​​chính trị, quan điểm tôn giáo;

- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

- Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị.

2.2 Xử lý dữ liệu cá nhân là gì?

“Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.” - Căn cứ quy định tại Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP.

Như vậy, xử lý dữ liệu cá nhân được hiểu là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

3. Biện  pháp và thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

3.1 Biện pháp bảo vệ dữ liệu cá nhân

Biện pháp bảo vệ dữ liệu cá nhân được quy định tại Khoản 2 Điều 26 Nghị định 13/2023/NĐ-CP bao gồm:

- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;

- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;

- Các biện pháp khác theo quy định của pháp luật.

3.2 Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ quy định tại Khoản 6 Điều 24 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao). Hồ sơ gồm:

3.2.1 Hồ sơ dành cho cá nhân

a. Thông báo thay đổi nội dung hồ sơ (dành cho cá nhân) – 01 bản chính theo Mẫu số 05b Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP;

b. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-01;

c. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-02;

d. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên thứ Ba) – 01 bản chính theo Mẫu Đ24-DLCN-03;

e. Các văn bản, tài liệu có liên quan tới việc bổ sung hồ sơ. 

3.2.2  Hồ sơ dành cho tổ chức

a. Thông báo thay đổi nội dung hồ sơ (dành cho tổ chức) – 01 bản chính theo Mẫu số 05a Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP;

b. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-01;

c. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Xử lý dữ liệu cá nhân) – 01 bản chính theo Mẫu Đ24-DLCN-02;

d. Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên thứ Ba) – 01 bản chính theo Mẫu Đ24-DLCN-03;

e. Các văn bản, tài liệu có liên quan tới việc bổ sung hồ sơ. 

4. Biện pháp xử lý vi phạm liên quan đễ dữ liệu cá nhân

Căn cứ Điều 4 Nghị định 13/2023/NĐ-CP quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân như sau:

“Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.”[4]

Như vậy, theo quy định trên thì đối với hành vi vi phạm về dữ liệu cá nhân sẽ có 03 hình thức xử lý sau: (1) Xử lý kỷ luật; (2) Xử phạt vi phạm hành chính; (3) Xử lý hình sự. Theo đó, tùy theo tính chất và mức độ vi phạm mà tổ chức, cá nhân thực hiện hành vi vi phạm về dữ liệu cá nhân sẽ có hình thức xử lý tương ứng và cao nhất là xử lý hình sự.

 

Xem tại đây:

 - Toàn văn Nghị định 13/2023 ngày 17 tháng 04 năm 2023 về Bảo vệ dữ liệu cá nhân

- Biểu mẫu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân DD24-DLCN-01. 02. 03

                      

CÔNG TY LUẬT TNHH MTV INVESTCO