Nghị định số 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân được áp dụng từ 1/7/2023

Nghị định số 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của tổ chức, cơ quan, cá nhân liên quan có hiệu lực thi hành từ 1/7/2023. Cùng EFY-eCONTRACT tìm hiểu một số quy định quan trọng trong nghị định này nhé.

1. Giải thích thuật ngữ về bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân là gì?

Theo Điều 2 Nghị định 13/2023/NĐ-CP, định nghĩa các từ ngữ được quy định cụ thể như sau

1.1. Dữ liệu cá nhân là gì?

Dữ liệu cá nhân là thông tin được thể hiện dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên mội trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân được bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

1.2. Thông tin dữ liệu cá nhân cơ bản

Thông tin để xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định. Các thông tin này bao gồm:

- Họ, chữ đệm, tên khai sinh và tên gọi khác (nếu có);

- Ngày, tháng, năm, sinh hoặc ngày, tháng, năm chết/mất tích;

- Giới tính;

- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán và địa chỉ liên hệ;

- Quốc tịch;

- Hình ảnh cá nhân;

- SĐT, số CMND, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số MST cá nhân, số BHXH, sổ thẻ BHYT;

- Tình trạng hôn nhân;

- Thông tin về mối quan hệ gia đình như cha mẹ, con cái;

- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động và lịch sử hoạt động trên không gian mạng;

- Các thông tin khác gắn liền với một con người cụ thể hoặc xác định một con người cụ thể không thuộc quy định tại Khoản 4 Điều này về thông tin dữ liệu cá nhân nhạy cảm.

1.3. Dữ liệu cá nhân nhạy cảm là gì?

Theo Khoản 4 Điều 2 Nghị định này, định nghĩa về dữ liệu cá nhân nhạy cảm theo quy định như sau: Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.

Các thông tin về dữ liệu cá nhân nhạy cảm bao gồm:

- Quan điểm chính trị, tôn giáo;

- Tình trạng sức khỏe, đời tư được ghi trong hồ sơ bệnh án (không bao gồm thông tin về nhóm máu);

- Các thông tin liên quan đến nguồn gốc chủng gốc, dân tộc;

- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng;

- Thông tin về đời sống tình dục, xu hướng tình dục;

- Dữ liệu về tội phạm, hành vi phạm tội được thu thập và lưu trữ bởi các cơ quan thực thi pháp luật;

- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán và các tổ chức khác được cho phép;

- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và có biện pháp bảo mật cần thiết.

Bảo vệ dữ liệu cá nhân theo Khoản 5 Điều 2 Nghị định bảo vệ dữ liệu được định nghĩa là hoạt động phòng ngừa, phát hiện, ngăn chặn và xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.

2. Nguyên tắc bảo vệ dữ liệu cá nhân

Nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13

Theo Điều 3 Nghị định 13/2023/NĐ-CP, 8 nguyên tắc bảo vệ dữ liệu cá nhân theo quy định như sau:

(1) Dữ liệu cá nhân được xử lý theo đúng quy định pháp luật;

(2) Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình (trừ các trường hợp khác được quy định);

(3) Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký và tuyên bố về xử lý dữ liệu cá nhân;

(4) Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán trao đổi dưới mọi hình thức (trừ trường hợp có quy định);

(5) Dữ liệu cá nhân được cập nhật và bổ sung phù hợp với mục đích xử lý;

(6) Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ và bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, phòng chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật;

(7) Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu (trừ trường hợ pháp luật có quy định khác);

(8) Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu và chứng minh sự tuân thủ của mình với các nguyên tắc này.

3. Cơ quan chịu trách nhiệm bảo vệ dữ liệu cá nhân

Các đơn vị chịu trách nhiệm bảo vệ dữ liệu cá nhân

Nghị định nêu rõ, cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.

Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân; cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân; tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng; cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Bên cạnh đó, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân; cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật; xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

4. Quyền và nghĩa vụ của chủ thể dữ liệu

Quyền & Nghĩa vụ của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân

4.1. Quyền của chủ thể dữ liệu

Căn cứ theo Điều 9 Nghị định này, quyền của chủ thể dữ liệu như sau:

- Quyền được biết - Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình (trừ trường hợp có quy định khác);

- Quyền đồng ý - Chủ thể dữ liệu được đồng ý hoặc không cho phép xử lý dữ liệu cá nhân của mình (trừ trường hợp được quy định khác);

- Quyền rút lại sự đồng ý - Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình (trừ trường hợp khác được quy định);

- Quyền hạn chế xử lý dữ liệu - Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ, sau khi có yêu cầu của chủ thể dữ liệu.

- Quyền cung cấp dữ liệu - Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân cung cấp dữ liệu cá nhân của mình (trừ trường hợp theo quy định của pháp luật);

- Quyền phản đối xử lý dữ liệu - Chủ thể được  phản đối các bên có thẩm quyền xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thụ (trừ trường hợp theo quy định khác);

- Quyền khiếu nại, tố cáo, khởi kiện;

- Quyền yêu cầu bồi thường thiệt hại - Chủ thể có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình (trừ trường hợp khác theo quy định);

- Quyền tự bảo vệ.

4.2. Nghĩa vụ của chủ thể dữ liệu

Chủ thể dữ liệu phải tự bảo vệ dữ liệu cá nhân của mình hoặc yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân. Bên cạnh đó, chủ thể phải trôn trọng, bảo vệ dữ liệu cá nhân của người khác. Cung cấp đầy đủ và chính xác dữ liệu cá nhân khi đồng ý cho phép xử lỹ dữ liệu cá nhân.

Chủ thể dữ liệu phải tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

5. Quy định về lưu trữ và xóa, hủy dữ liệu cá nhân

Quy định về lưu trữ, xóa, hủy dữ liệu cá nhân 

5.1. Xóa, hủy dữ liệu cá nhân

Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân xóa dữ liệu của mình trong các trường hợp được quy định cụ thể sau:

- Nhận thấy dữ liệu không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;

- Rút lại sự đồng ý sử dụng dữ liệu;

- Phản đối việc xử lý dữ liệu và các Bên liên quan không có ký do chính đáng để tiếp tục xử lý;

- Dữ liệu cá nhân được xử lý không đúng với mục đích đã dồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;

- Dữ liệu cá nhân phải xóa theo quy định của pháp luật;

Ngoài ra, các trường hợp không được xóa dữ liệu kể cả khi có đề nghị của chủ thể dữ liệu trong các trường hợp cụ thể:

- Pháp luật quy định không được phép xóa dữ liệu;

- Dữ liệu cá nhân được xử lý bởi cơ quan Nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan Nhà nước;

- Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;

- Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học hay thống kê theo quy định;

- Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn hay dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;

- Dữ liệu sử dụng để ứng phó với các tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.

Việc xóa dữ liệu được thực hiện trong vòng 72 giờ, sau khi yêu cầu của chủ thể với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được (trừ trường hợp khác theo quy định).

Ngoài ra, các trường hợp doanh nghiệp chia, tách, sáp nhập, hợp nhất hay giải thể thì dữ liệu cá nhân sẽ được chuyển giao theo quy định của pháp luật.

5.2. Lưu trữ dữ liệu cá nhân

Theo khoản 6 Điều 16 về Lưu trữ và xóa, hủy dữ liệu cá nhân, bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân.

Dữ liệu do các Bên kiểm soát, Bên thứu ba xóa không thể khôi phục được trong các trường hợp:

- Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể đồng ý;

- Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của các bên kiểm soát, xử lý dữ liệu cá nhân và bên thứ ba;

- Các bên kiểm soát, xử lý dữ liệu cá nhân và bên thứ ba bị giải thể, không còn hoạt động, tuyên bố phá sản hoặc bị chấm dứt hoạt động kinh doanh.

6. Các hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân

Các hành vi bị nghiêm cấm trong sử dụng dữ liệu cá nhân

Theo Điều 8 Nghị định này quy định về các hành vi bị nghiêm cấm bao gồm:

(1) Xử lý dữ liệu cá nhân trái với quy định của pháp luật;

(2) Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa XHCN Việt Nam.

(3) Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức hoặc cá nhân khác.

(4) Cản trở hoạt động bảo vệ dữ liệu cá nhân của các cơ quan có thẩm quyền.

(5) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện vi phạm pháp luật.

Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ 1/7/2023. Bạn đọc cần nắm rõ các quy định liên quan đến dữ liệu cá nhân để đảm bảo thực hiện theo đúng quy định của pháp luật.

Để được tư vấn, giải đáp thắc mắc và báo giá cụ thể, vui lòng đăng ký TẠI ĐÂY.

✅ Hoặc ngay để được hỗ trợ trực tiếp

Tổng đài: 19006142 / 19006139

KV Miền Bắc - (Mr Hưng): 0911670826 - (Ms Hằng): 0911 876 893

KV Miền Nam - (Ms Thùy): 0911 876 899 / (Ms Thơ): 0911 876 900

Hợp đồng điện tử EFY-eCONTRACT - Bỏ ký tay, thay ký số

ThuongNTH