Trong thời đại công nghệ số, giao dịch điện tử lên ngôi, các thông tin, hình ảnh, dữ liệu cá nhân ("DLCN”) của chúng ta hơn bao giờ hết, luôn đứng trước nguy cơ dễ dàng bị sử dụng, khai thác vào các mục đích không đúng với nhu cầu của mình, có thể gây ra những hậu quả nặng nề cho đời sống, công việc, học tập của mỗi người. Vì vậy, việc bảo vệ DLCN cần phải được ưu tiên hàng đầu. Mặc dù vậy, Việt Nam chưa có cơ chế pháp lý rõ ràng và chuyên biệt về bảo vệ DLCN.
Sau khoảng thời gian dài chờ đợi, mới đây, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) lần đầu tiên. Nghị định này được xây dựng trên bộ Quy định chung của Liên minh châu Âu về bảo vệ DLCN, trong đó bổ sung nhiều yêu cầu đối với tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động xử lý DLCN tại Việt Nam.
Nghị định 13 đưa ra rất nhiều những quy định chặt chẽ nhằm bảo vệ quyền của chủ thể DLCN, cụ thể như sau:
1. Mọi hành vi xử lý DLCN đều phải được sự đồng ý của chủ thể dữ liệu
Theo Nghị định 13, sự đồng ý của chủ thể DLCN phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Đồng thời, khi muốn xử lý DLCN cho nhiều mục đích khác nhau thì phải phân tách các mục đích và cá nhân có quyền chọn hoặc đồng ý với tất cả các mục đích đề ra.
Nghị định 13 khẳng định “Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý”.
2. Bên xử lý DLCN có trách nhiệm chứng minh sự đồng ý của chủ thể DLCN khi phát sinh tranh chấp
Đây là một trong những nguyên tắc có lợi và đảm bảo trách nhiệm của bên xử lý DLCN, hạn chế việc tự ý sử dụng và khai thác DLCN của người khác khi chưa được chấp thuận.
3. Phải thông báo trước khi tiến hành xử lý DLCN cho chủ thể
Việc thông báo phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) là đầu mối tiếp nhận thông tin vi phạm pháp luật về bảo vệ DLCN
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an là Cơ quan chuyên trách bảo vệ DLCN.
Các tổ chức, cá nhân có thể thông báo cho cơ quan chuyên trách bảo vệ DLCN trong các trường hợp:
- Phát hiện hành vi vi phạm pháp luật đối với DLCN;
- DLCN bị xử lý sai mục đích, không đúng thỏa thuận ban đầu hoặc vi phạm quy định của pháp luật;
- Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;
- Trường hợp khác theo quy định của pháp luật.
5. Tổ chức, cá nhân kiểm soát DLCN phải áp dụng các biện pháp bảo vệ nghiêm ngặt theo từng loại DLCN
DLCN được phân loại thành DLCN cơ bản và DLCN nhạy cảm với các mức độ quản lý và bảo vệ khác nhau. Đối với DLCN nhạy cảm, ngoài các biện pháp bảo vệ đối với DLCN cơ bản, còn cần tuân thủ các yêu cầu sau:
- Chỉ định bộ phận và nhân sự phụ trách bảo vệ DLCN, và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ DLCN với Cơ quan chuyên trách bảo vệ DLCN;
- Thông báo cho chủ thể biết việc xử lý DLCN nhạy cảm.
6. Quy định chi tiết việc xử lý DLCN trong một số trường hợp đặc thù
- Không được xử lý DLCN của người bị tuyên bố mất tích, đã chết khi chưa được sự đồng ý của người thân: Nghị định 13 yêu cầu việc xử lý DLCN của họ phải được sự đồng ý của vợ/chồng hoặc con thành niên hoặc khi không có những người này thì phải được sự đồng ý của cha, mẹ. Nếu không có bất kỳ một cá nhân nào ở trên thì là trường hợp này coi như không có sự đồng ý.
- Chỉ được xử lý DLCN của trẻ em từ 7 tuổi trở lên khi được sự đồng ý của chính đứa trẻ và sự đồng ý của cha, mẹ hoặc người giám hộ. Bên xử lý dữ liệu phải xác minh tuổi của trẻ em trước khi tiến hành xử lý.
- Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng, xử lý DLCN khi được khách hàng đồng ý trên cơ sở hiểu rõ về nội dung, phương thức triển khai giới thiệu sản phẩm. Đồng thời, tổ chức, cá nhân kinh doanh phải có trách nhiệm chứng minh việc tuân thủ đúng các quy định trên.
Nghị định 13 có hiệu lực kể từ ngày 01/7/2023. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ DLCN trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.
Bình luận: