CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ SÀI GÒN

SGC đáp ứng Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân

Với gần 78 triệu người sử dụng internet (chiếm hơn 79% dân số), Việt Nam hiện đang xếp thứ 12 trên thế giới về số lượng người sử dụng internet. Đi cùng sự phát triển mạnh mẽ của công nghệ và hạ tầng không gian mạng, việc bảo vệ dữ liệu cá nhân đang ngày càng trở nên đặc biệt quan trọng.

Nguy cơ xâm phạm dữ liệu cá nhân đang trong tình trạng đáng báo động

Trong thời đại công nghệ thông tin bùng nổ như hiện nay, dữ liệu cá nhân được xem là tài sản quý giá của mọi lĩnh vực. Cụ thể, dữ liệu được ứng dụng rộng rãi trong các lĩnh vực như trí tuệ nhân tạo AI, truyền thông, công nghệ thông tin, nghiên cứu khoa học, giáo dục,… Khi nguồn dữ liệu được sử dụng đúng cách, đây được xem là nền tảng tạo ra giá trị lớn cho cả cá nhân, tổ chức và xã hội, giúp cải thiện hiệu suất kinh doanh, dự báo xu hướng tương lai, phát triển khoa học,…  
 
Tuy nhiên, đi cùng tầm quan trọng của nguồn dữ liệu, việc sử dụng dữ liệu cũng đặt ra nhiều thách thức, bao gồm bảo vệ quyền riêng tư, đảm bảo nguồn dữ liệu được quản lý chặt chẽ và được khai thác một cách đúng đắn, an toàn.
 
Thực tế hiện nay, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai. Việc dữ liệu cá nhân bị xâm phạm được xem là yếu tố hỗ trợ cho các hoạt động lừa đảo, chiếm đoạt tài sản trên không gian mạng.
 
Trước thực trạng trên, việc siết chặt những quy định về bảo vệ dữ liệu cá nhân là hành động cần thiết, giúp giảm thiểu những nguy cơ và hệ lụy của các hành vi xâm phạm dữ liệu cá nhân.

Tăng cường hoạt động bảo vệ dữ liệu cá nhân với Nghị định 13/2023/NĐ-CP

Ngày 01/07/2023 Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực. Đây là văn bản pháp lý được ban hành trong kế hoạch của Chính Phủ, hướng đến mục đích tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. 
 
Nghị định 13/2023/NĐ-CP được xem là công cụ hữu hiệu nhằm bảo vệ người dùng, đồng thời tạo hành lang pháp lý đủ mạnh, đầy đủ để hỗ trợ cá nhân, tổ chức khai thác, sử dụng dữ liệu cá nhân đúng luật, an toàn và lành mạnh.

Theo Nghị định 13/2023/NĐ-CP: Dữ liệu cá nhân

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 
 
Trong đó, tại khoản 3, khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP:

3. Dữ liệu cá nhân cơ bản bao gồm:
 
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
 
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
 
c) Giới tính;
 
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
 
đ) Quốc tịch;
 
e) Hình ảnh của cá nhân;
 
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
 
h) Tình trạng hôn nhân;
 
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
 
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
 
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
 
4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
 
a) Quan điểm chính trị, quan điểm tôn giáo;
 
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
 
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
 
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
 
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
 
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
 
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
 
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
 
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
 
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.”

Nguyên tắc bảo vệ dữ liệu cá nhân

Nguyên tắc bảo vệ dữ liệu cá nhân được quy định cụ thể tại Điều 3 Nghị định 13/2023/NĐ-CP như sau: 
 
Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
 
1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
 
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
 
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
 
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
 
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
 
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
 
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
 
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”

Trách nhiệm của các bên kiểm soát và xử lý dữ liệu cá nhân

Trách nhiệm của các bên kiểm soát và xử lý dữ liệu cá nhân như Viettel IDC cơ bản bao gồm: bảo đảm quyền của chủ thể dữ liệu; thực hiện các biện pháp an toàn, bảo mật phù hợp để bảo vệ dữ liệu; ghi lại và lưu trữ nhật ký xử lý dữ liệu; xử lý dữ liệu cá nhân theo hợp đồng ký kết; chịu trách nhiệm trước chủ thể dữ liệu; xóa, trả lại toàn bộ dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu; phối hợp với Bộ Công an bảo vệ dữ liệu cá nhân.
 
Trong đó, Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân được quy định cụ thể tại Điều 38 Nghị định 13/2023/NĐ-CP; Trách nhiệm của Bên Xử lý dữ liệu cá nhân được quy định cụ thể tại Điều 39 Nghị định 13/2023/NĐ-CP. 
 
“Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
 
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
 
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
 
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
 
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
 
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
 
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
 
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
 
Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
 
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
 
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
 
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
 
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
 
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
 
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”
 
Nghị định 13/2023/NĐ-CP được ban hành và áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, kể cả khi việc xử lý dữ liệu cá nhân được thực hiện bên ngoài Việt Nam.
 
Như vậy, với việc Nghị định 13/2023/NĐ-CP có hiệu lực, các doanh nghiệp, bao gồm cả Môi Trường SGC cần rà soát lại các chính sách nội bộ, thực hiện quản lý quyền riêng tư về dữ liệu để lên kế hoạch triển khai, hành động tương xứng.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ SÀI GÒN

Điện thoại: 1900 1713      

Email: info@hsevn.com.vn  

Website: http://hsevn.com.vn

Trụ sở: Tầng 14, Tòa nhà HM Town, 412 Nguyễn Thị Minh Khai, P. 5, Q. 3, TP. HCM.

VPĐD: Số 65/17 Đường Thới An 21, P. Thới An, Q. 12, TP. HCM.

LIÊN HỆ TƯ VẤN

Visited 30 times, 1 visit(s) today