Bộ Công an Việt Nam gần đây đã công bố dự thảo Nghị định về Bảo vệ Dữ liệu Cá nhân (“Dự thảo”) để lấy ý kiến đóng góp cho việc sửa đổi, bổ sung. Dự thảo lần đầu tiên đề xuất quy định các quyền cụ thể của chủ thể dữ liệu, chuyển dữ liệu qua biên giới, xử lý dữ liệu cá nhân nhạy cảm và các chủ thể khác có liên quan. Trong bài viết này, SB Law sẽ nêu ra những điểm đáng chú ý sau trong dự thảo của Nghị định:
Nguyên tắc hướng dẫn trong bảo vệ dữ liệu cá nhân
Dự thảo đề cập tới tám nguyên tắc trong việc bảo vệ dữ liệu cá nhân, bao gồm:
- Tính hợp pháp: Dữ liệu cá nhân chỉ có thể được lấy trong những trường hợp cần thiết theo quy định của pháp luật.
- Hạn chế về mục đích: Dữ liệu cá nhân chỉ có thể được xử lý cho mục đích đã được đăng ký hoặc khai báo.
- Giảm thiểu dữ liệu: Dữ liệu cá nhân chỉ có thể đạt được trong phạm vi cần thiết để đạt được mục đích đã đặt ra.
- Giới hạn sử dụng: Dữ liệu cá nhân chỉ có thể được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc khi có yêu cầu của cơ quan chức năng.
- Chất lượng dữ liệu: Dữ liệu cá nhân cần được cập nhật và hoàn thiện để đảm bảo quá trình xử lý của nó.
- Biện pháp bảo vệ: Các biện pháp bảo vệ nên được áp dụng để bảo vệ dữ liệu cá nhân khỏi bị xử lý.
- Đối tượng dữ liệu được thông báo: Các chủ thể dữ liệu có quyền biết và được thông báo về các hoạt động xử lý qua dữ liệu cá nhân của họ.
- Bảo mật: Dữ liệu cá nhân cần được giữ bí mật trong khi xử lý.
Một số nguyên tắc nêu trên sẽ giống với các nguyên tắc có thể được tìm thấy trong Quy định chung về bảo vệ dữ liệu, bao gồm các quy định về giảm thiểu dữ liệu và giới hạn mục đích.
Phạm vi quản lý rộng và xuyên biên giới
Dự thảo đề xuất áp dụng cho bất kỳ tổ chức, cá nhân nào có liên quan đến dữ liệu cá nhân. Điều này có nghĩa là việc xử lý dữ liệu của công dân nước Cộng hòa xã hội chủ nghĩa Việt Nam bởi các công ty trong nước hoặc nước ngoài (có trụ sở tại Việt Nam hay không) sẽ chịu sự điều chỉnh của Nghị định này.
Các quyền cụ thể của chủ thể dữ liệu
Dự thảo Nghị định lần đầu tiên quy định các quyền cụ thể đối với việc xử lý dữ liệu cá nhân của một cá nhân. Theo đó, chủ thể dữ liệu có những quyền sau:
- Cho phép xử lý dữ liệu cá nhân của họ;
- Nhận thông báo về việc xử lý dữ liệu tại thời điểm xử lý hoặc càng sớm càng tốt;
- Yêu cầu người xử lý dữ liệu sửa, hiển thị và cung cấp bản sao dữ liệu cá nhân của họ;
- Yêu cầu người xử lý chấm dứt việc xử lý dữ liệu cá nhân của họ, giới hạn quyền truy cập vào dữ liệu cá nhân của họ, chấm dứt việc tiết lộ hoặc truy cập vào dữ liệu cá nhân của họ, xóa hoặc đóng dữ liệu cá nhân của họ;
- Khiếu nại với Ủy ban Bảo vệ Dữ liệu Cá nhân trong trường hợp dữ liệu vi phạm hoặc sử dụng sai mục đích; và
- Yêu cầu bồi thường thiệt hại do vi phạm dữ liệu cá nhân.
- Ngoài ra, Dự thảo yêu cầu sự đồng ý của chủ thể dữ liệu ở định dạng có thể in hoặc sao chép thành văn bản.
- Thành lập Ủy ban Bảo vệ Dữ liệu Cá nhân
Theo Chương IV của dự thảo Nghị định, Ủy ban Bảo vệ Dữ liệu Cá nhân sẽ được thành lập để thực hiện quy định này. Cơ quan mới này là cơ quan chính quyền độc lập thuộc Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an (Cục A05). Cục trưởng Cục A05 được đề xuất làm Chủ nhiệm Ủy ban này. Chức năng chính của Ủy ban bao gồm thẩm định chính sách quyền riêng tư của người xử lý dữ liệu trước khi công bố, xem xét và phê duyệt các đơn xin chuyển PD qua biên giới và các đơn xin xử lý dữ liệu nhạy cảm, yêu cầu Cục A05 ra quyết định thanh tra, kiểm tra dữ liệu các hoạt động bảo vệ và xử lý các khiếu nại về vi phạm hoặc sử dụng sai dữ liệu.
Chuyển dữ liệu xuyên biên giới
Nghị định sẽ là công cụ đầu tiên điều chỉnh cụ thể lĩnh vực này. Các yêu cầu đề xuất đối với việc truyền dữ liệu xuyên biên giới bao gồm (i) sự đồng ý của chủ thể dữ liệu; (ii) dữ liệu gốc được lưu trữ tại Việt Nam; (iii) có bằng chứng bằng văn bản cho thấy khu vực tài phán nơi dữ liệu được nhận cung cấp mức độ bảo vệ dữ liệu tương đương hoặc cao hơn so với Việt Nam; và (iv) Ủy ban Bảo vệ Dữ liệu Cá nhân đã ban hành văn bản chấp thuận cho việc chuyển giao.
Đơn xin chuyển dữ liệu qua biên giới phải bao gồm: (i) biểu mẫu có thông tin chi tiết về bộ xử lý dữ liệu, căn cứ pháp lý để chuyển, mục đích chuyển, loại dữ liệu được chuyển, nguồn dữ liệu, vị trí và điều kiện chuyển , mô tả chi tiết các biện pháp bảo vệ; (ii) báo cáo đánh giá tác động của việc chuyển giao dữ liệu xuyên biên giới, bao gồm mô tả về việc chuyển giao, mục đích của việc chuyển giao, đánh giá rủi ro và tác hại và các biện pháp để giảm thiểu hoặc loại bỏ các rủi ro hoặc tác hại đó; (iii) tài liệu liên quan đến thông tin trong ứng dụng và báo cáo đánh giá tác động để xử lý dữ liệu nhạy cảm. Ủy ban Bảo vệ Dữ liệu Cá nhân có thể thực hiện các bước để xác minh thông tin trong ứng dụng.
Dữ liệu cá nhân nhạy cảm
Dự thảo quy định cụ thể các loại thông tin được coi là những dữ liệu nhạy cảm: Ý kiến chính trị, tôn giáo; dữ liệu sức khỏe cá nhân; dữ liệu di truyền cá nhân; dữ liệu sinh trắc học cá nhân; dữ liệu cá nhân về tình trạng giới tính, cuộc sống, xu hướng tình dục; dữ liệu cá nhân về tội phạm và tội phạm do cơ quan pháp luật thu thập và lưu trữ; dữ liệu tài chính cá nhân; dữ liệu vị trí cá nhân; dữ liệu cá nhân về các mối quan hệ xã hội; dữ liệu cá nhân khác theo quy định của pháp luật để yêu cầu các biện pháp bảo mật cần thiết.
Việc xử lý dữ liệu nhạy cảm cũng phải được Ủy ban bảo vệ dữ liệu cá nhân phê duyệt, với đơn đăng ký bao gồm biểu mẫu và báo cáo đánh giá tác động có nội dung tương tự như đối với việc chuyển dữ liệu xuyên biên giới.
Xử phạt vi phạm
Dự thảo Nghị định đề xuất áp dụng mức phạt tiền từ 50 triệu đồng đến 80 triệu đồng (khoảng 2.170 USD đến 3.480 USD) đối với các hành vi vi phạm liên quan đến quyền của chủ thể dữ liệu, lưu trữ, tiêu hủy, tiết lộ, xử lý dữ liệu, độ chính xác và dữ liệu liên quan đến trẻ em. Mức phạt tiền sẽ được nâng lên từ 80 triệu đồng đến 100 triệu đồng (khoảng từ 3.480 USD đến 4.350 USD) đối với các hành vi vi phạm liên quan đến chuyển dữ liệu cá nhân qua biên giới, xử lý dữ liệu nhạy cảm và không áp dụng các biện pháp kỹ thuật. Đối với những vi phạm sau này, các biện pháp trừng phạt bổ sung cũng có thể bao gồm đình chỉ xử lý dữ liệu từ một đến ba tháng và thu hồi quyền xử lý dữ liệu nhạy cảm và chuyển giao xuyên biên giới. Đối với hành vi vi phạm nhiều lần có thể bị phạt tiền 5% trên tổng doanh thu của người vi phạm.
Ngoài những điều trên, dự thảo Nghị định còn bao gồm các ý kiến khác như:
- Các trường hợp mà dữ liệu cá nhân có thể được xử lý hoặc tiết lộ mà không có sự đồng ý trước của chủ thể dữ liệu, xử lý tự động dữ liệu cá nhân;
- Các biện pháp an ninh kỹ thuật cần thiết và công bố các chính sách bảo vệ dữ liệu cá nhân;
- Lưu trữ, xóa và phá hủy dữ liệu cá nhân;
- Xử lý dữ liệu cá nhân liên quan đến trẻ em;
Có một số lĩnh vực trong dự thảo Nghị định dường như bị trùng lặp với các nghị định khác (ví dụ: Nghị định số 52/2013 / NĐ-CP ngày 16 tháng 5 năm 2013 về Thương mại điện tử và Nghị định số 72/2013 / NĐ-CP ngày 15 tháng 7 năm 2013 về Quản lý, Cung cấp và Sử dụng Dịch vụ Internet và Thông tin Trực tuyến) và dự thảo nghị định hướng dẫn thi hành Luật An ninh mạng Việt Nam đang chờ phê duyệt. Bộ Công an đặt mục tiêu hoàn thiện dự thảo và trình Chính phủ trong quý đầu tiên của năm 2021.