Quy định về xử lý dữ liệu cá nhân theo Nghị định 13

Xử lý dữ liệu cá nhân theo Nghị định 13 là một vấn đề quan trọng đối với cá nhân, doanh nghiệp và tổ chức tại Việt Nam. Với sự phát triển mạnh mẽ của công nghệ, việc thu thập, lưu trữ và sử dụng dữ liệu cá nhân ngày càng phổ biến. Để đảm bảo quyền riêng tư, Nghị định 13/2023/NĐ-CP (gọi tắt là “Nghị định 13”) về bảo vệ dữ liệu cá nhân đã được ban hành, quy định rõ các nguyên tắc, trách nhiệm và chế tài liên quan đến việc xử lý dữ liệu cá nhân.

Trong bài viết này, chúng ta sẽ cùng tìm hiểu chi tiết về quy định xử lý dữ liệu cá nhân theo Nghị định 13, phạm vi áp dụng, nguyên tắc, biện pháp bảo vệ và những điều doanh nghiệp cần làm để tuân thủ đúng quy định.

1. Xử lý dữ liệu cá nhân theo Nghị định 13 là gì

Khái niệm xử lý dữ liệu cá nhân theo Nghị định 13 được quy định tại Điều 2.7 như sau:

Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan

Theo đó, xử lý dữ liệu cá nhân theo Nghị định 13 bao gồm một hoặc nhiều hành vi liên quan đến thu thập, lưu trữ, sử dụng, sửa đổi, công bố, chia sẻ, chuyển giao hoặc xóa dữ liệu cá nhân.

Hoạt động xử lý dữ liệu cá nhân này có thể được thực hiện bởi các tổ chức, doanh nghiệp, cá nhân nhằm các mục đích khác nhau, từ kinh doanh, tiếp thị đến quản lý nhà nước hoặc nghiên cứu khoa học.

Phân loại dữ liệu cá nhân:

Dữ liệu cá nhân cơ bản: Họ tên, ngày sinh, số điện thoại, địa chỉ, email, …

Dữ liệu cá nhân nhạy cảm: Thông tin tài chính, sức khỏe, sinh trắc học, đời sống riêng tư, tôn giáo, …

2. Nguyên tắc xử lý dữ liệu cá nhân theo Nghị định 13

Điều 3 Nghị định 13 quy định về nguyên tắc bảo vệ dữ liệu cá nhân. Theo đó, khi xử lý dữ liệu cá nhân theo Nghị định 13, doanh nghiệp cần lưu ý những nội dung sau

2.1. Xử lý dữ liệu cá nhân theo Nghị định 13 hợp pháp và minh bạch

Tổ chức/doanh nghiệp chỉ được thu thập và xử lý dữ liệu cá nhân theo Nghị định 13 khi có căn cứ pháp lý rõ ràng hoặc được sự đồng ý của chủ thể dữ liệu.

Ngoài ra, việc thu thập dữ liệu phải được thông báo rõ ràng về phạm vi, mục đích sử dụng, thời gian lưu trữ, bên tiếp nhận dữ liệu (nếu có) để đảm bảo tính minh bạch.

2.2. Thu thập và xử lý dữ liệu cá nhân theo Nghị định 13 đúng mục đích

Dữ liệu cá nhân chỉ được thu thập và sử dụng cho mục đích đã thông báo trước. Tổ chức không được sử dụng dữ liệu cá nhân vào mục đích khác khi chưa có sự đồng ý của chủ thể dữ liệu.

Ví dụ: Nếu một công ty thu thập số điện thoại của khách hàng để xác nhận đơn hàng, họ không được sử dụng số điện thoại này để gửi tin nhắn quảng cáo nếu khách hàng chưa đồng ý.

2.3.  Bảo mật và bảo vệ dữ liệu

Tổ chức có trách nhiệm đảm bảo an toàn dữ liệu cá nhân bằng các biện pháp bảo mật phù hợp như:

- Mã hóa dữ liệu, ngăn chặn truy cập trái phép.

- Hạn chế quyền truy cập, chỉ cho phép nhân sự có thẩm quyền tiếp cận dữ liệu.

- Bảo vệ hệ thống lưu trữ dữ liệu, tránh rò rỉ hoặc đánh cắp thông tin.

2.4. Giới hạn thời gian lưu trữ

Dữ liệu cá nhân chỉ được lưu trữ trong thời gian cần thiết để đạt được mục đích thu thập. Sau thời gian này, tổ chức/doanh nghiệp cần xóa hoặc ẩn danh dữ liệu để tránh rủi ro lạm dụng thông tin cá nhân.

2.5. Đảm bảo quyền của chủ thể dữ liệu khi xử lý dữ liệu cá nhân theo Nghị định 13

Khi xử lý dữ liệu cá nhân theo Nghị định 13 Chủ thể dữ liệu có quyền:

- Yêu cầu cung cấp thông tin về việc thu thập, xử lý dữ liệu cá nhân của mình.

- Đề nghị sửa đổi, cập nhật hoặc xóa dữ liệu cá nhân.

- Phản đối hoặc rút lại sự đồng ý đối với việc xử lý dữ liệu.

- Khiếu nại nếu quyền lợi bị xâm phạm.

Do đó, doanh nghiệp cần xây dựng chính sách và quy trình tiếp nhận yêu cầu của chủ thể dữ liệu để đảm bảo tuân thủ đúng quy định.

3. Quy trình xử lý dữ liệu cá nhân theo Nghị định 13

Việc xử lý dữ liệu cá nhân theo Nghị định 13 cần tuân theo một quy trình chặt chẽ, bao gồm các bước sau:

Bước 1: Xác định mục đích thu thập và xử lý dữ liệu, loại dữ liệu cần xử lý, phương thức xử lý, thời gian xử lý

Xác định rõ lý do cần thu thập dữ liệu cá nhân.

Đảm bảo mục đích sử dụng hợp pháp, minh bạch.

Kiểm tra xem có cần sự đồng ý của chủ thể dữ liệu không.

Bước 2: Thông báo và xin sự đồng ý của chủ thể dữ liệu

Gửi thông báo chi tiết về phạm vi thu thập, mục đích sử dụng, thời gian lưu trữ và quyền lợi của chủ thể dữ liệu.

Xin sự đồng ý rõ ràng trước khi tiến hành thu thập dữ liệu (nếu cần).

Ghi nhận và lưu trữ sự đồng ý để đảm bảo tính pháp lý.

Bước 3: Thu thập và lưu trữ dữ liệu an toàn

Áp dụng biện pháp bảo mật phù hợp để bảo vệ dữ liệu khỏi rủi ro bị truy cập trái phép.

Chỉ lưu trữ dữ liệu trong hệ thống có cơ chế mã hóa và kiểm soát quyền truy cập.

Bước 4: Xử lý, sử dụng dữ liệu theo đúng phạm vi đã cam kết

Chỉ sử dụng dữ liệu vào mục đích đã thông báo.

Hạn chế chia sẻ với bên thứ ba trừ khi có sự đồng ý của chủ thể dữ liệu.

Bước 5: Kiểm tra, cập nhật hoặc xóa dữ liệu khi cần thiết

Kiểm tra định kỳ dữ liệu cá nhân đang lưu trữ.

Xóa hoặc ẩn danh dữ liệu sau khi hết thời gian cần thiết.

Cung cấp cơ chế cho chủ thể dữ liệu yêu cầu xóa hoặc chỉnh sửa thông tin cá nhân.

(ảnh minh hoạ)

4. Các biện pháp bảo vệ dữ liệu cá nhân theo Nghị định 13

Để đảm bảo tuân thủ xử lý dữ liệu cá nhân theo Nghị định 13, doanh nghiệp cần triển khai các biện pháp bảo vệ dữ liệu cá nhân nhằm hạn chế rủi ro rò rỉ, đánh cắp hoặc lạm dụng thông tin cá nhân. Dưới đây là những biện pháp quan trọng:

4.1. Biện pháp kỹ thuật 

- Mã hóa dữ liệu: Sử dụng công nghệ mã hóa để bảo vệ dữ liệu cá nhân trong quá trình lưu trữ và truyền tải.

- Xác thực nhiều lớp: Áp dụng xác thực hai yếu tố (2FA) để tăng cường bảo mật truy cập.

- Giới hạn quyền truy cập: Chỉ những cá nhân có thẩm quyền mới được phép truy cập dữ liệu.

- Sao lưu dữ liệu định kỳ: Đảm bảo có bản sao dữ liệu an toàn để khôi phục khi xảy ra sự cố.

- Giám sát hệ thống: Áp dụng phần mềm giám sát để phát hiện và ngăn chặn các cuộc tấn công mạng.

4.2. Biện pháp quản lý nội bộ

- Xây dựng chính sách bảo vệ dữ liệu cá nhân: Doanh nghiệp cần có quy chế nội bộ về quản lý và xử lý dữ liệu cá nhân theo Nghị định 13 để đảm bảo nhân viên tuân thủ đúng quy định.

- Đào tạo nhân viên: Nâng cao nhận thức cho nhân viên về xử lý dữ liệu cá nhân theo Nghị định 13, tránh rò rỉ thông tin.

- Thiết lập quy trình phản ứng khi có vi phạm dữ liệu: Có kế hoạch xử lý khi xảy ra rò rỉ thông tin, bao gồm việc thông báo kịp thời cho cơ quan chức năng và khách hàng.

4.3. Biện pháp pháp lý

- Ký kết thỏa thuận bảo mật (NDA) với nhân viên và đối tác để hạn chế rủi ro rò rỉ thông tin.

- Báo cáo vi phạm dữ liệu ngay lập tức nếu phát hiện hành vi xâm phạm dữ liệu cá nhân.

- Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Nghị định 13.

- Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định.

- Thành lập bộ phận bảo vệ dữ liệu cá nhân và bổ nhiệm người đứng đầu bộ phận.

- Tuân thủ chính sách bảo vệ dữ liệu quốc tế nếu doanh nghiệp hoạt động xuyên biên giới.

Việc tuân thủ xử lý dữ liệu cá nhân theo Nghị định 13 không chỉ giúp doanh nghiệp tránh rủi ro pháp lý mà còn nâng cao uy tín, xây dựng lòng tin với chính người lao động trong doanh nghiệp, khách hàng, đối tác. Với sự gia tăng các vụ vi phạm dữ liệu, việc áp dụng các biện pháp bảo vệ dữ liệu cá nhân sẽ trở thành một tiêu chuẩn bắt buộc đối với mọi tổ chức.

Xem thêm tại: Trách nhiệm bảo vệ dữ liệu cá nhân trên không gian mạng