Doanh nghiệp cần làm gì để tuân thủ quy định về bảo vệ dữ liệu cá nhân?

Dữ liệu cá nhân là vấn đề liên quan chặt chẽ đến quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin trong thời đại kỷ nguyên số hiện nay. Tại Việt Nam, sự ra đời của Nghị định 13/2023/NĐ-CP có hiệu lực thi hành kể từ ngày 1/07/2023 đánh dấu một bước ngoặt quan trọng trong hoạt động về bảo vệ dữ liệu thông tin cá nhân. Vậy với quy định của Nghị định trên, doanh nghiệp cần làm gì để tuân thủ quy định về bảo vệ dữ liệu cá nhân? Bài viết dưới đây của Luật Thành Đô sẽ tư vấn cụ thể, chi tiết từ đó hỗ trợ kịp thời, nhanh chóng cho doanh nghiệp có thực hiện hoạt động xử lý dữ liệu cá nhân nắm rõ quy định, xây dựng các văn bản, quy trình nội bộ để thực hiện, nhằm tuân thủ đúng và đầy đủ các quy định tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

I. CĂN CỨ PHÁP LÝ

- Luật an toàn thông tin mạng năm 2015;

- Nghị định 13/2023/NĐ-CP ngày 17/04/2023 của Chính Phủ quy định về bảo vệ dữ liệu cá nhân;

- Văn bản pháp luật khác có liên quan.

II. CÁC CÔNG VIỆC DOANH NGHIỆP CẦN THỰC HIỆN ĐỂ TUÂN THỦ QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

2.1. Nguyên tắc bảo vệ dữ liệu cá nhân:

Theo quy định tại Điều 3 Nghị định 13/2023/NĐ-CP, việc thực hiện bảo vệ dữ liệu cá nhân phải đảm bảo những nguyên tắc sau đây:

- Dữ liệu cá nhân được xử lý theo quy định của pháp luật.

Vậy dữ liệu cá nhân gồm những thông tin nào? Mời Quý khách hàng tìm hiểu thêm để nắm rõ được thông tin.

- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.

Quý khách hàng cũng có thể tìm hiểu chi tiết Các quyền của chủ thể dữ liệu cá nhân bao gồm những gì?

- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.

- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.

- Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.

- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

- Trên cơ sở những nguyên tắc trên, các doanh nghiệp có tham gia hoạt động xử lý dữ liệu cá nhân cần phải thực hiện những biện pháp nhất định để bảo vệ dữ liệu cá nhân.

Quý khách có thể tìm hiểu thêm các hành vi bị nghiêm cấm khi tham gia hoạt động xử lý dữ liệu cá nhân tại đây

2.2. Các công việc chính doanh nghiệp cần chuẩn bị thực hiện:

Nghị định 13/2023/NĐ-CP có hiệu lực thi hành từ ngày 01/07/2023, theo đó tất cả các cơ quan, tổ chức Việt Nam và cơ quan, tổ chức nước ngoài có hoạt động xử lý dữ liệu tại Việt Nam đều phải thực hiện các công việc liên quan để bảo vệ dữ liệu cá nhân của người lao động, khách hàng, đối tác trong quá trình hoạt động kinh doanh. Cụ thể, doanh nghiệp cần thực hiện các công việc sau đây:

- Thu thập sự đồng ý của chủ thể dữ liệu:

+ Doanh nghiệp phải tiến hành thu thập được sự đồng ý hợp lệ từ các chủ thể cá nhân để xử lý dữ liệu cá nhân của họ. Theo đó sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

+ Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

Quý khách hàng có thể tìm hiểu thêm cách Phân biệt bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân

+ Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

- Xây dựng Quy chế nội bộ, quy trình nội bộ phù hợp, phối hợp giữa các phòng ban, biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân: Doanh nghiệp cần căn cứ vào tình hình thực tiễn của đơn vị, các dịch vụ, sản phẩm kinh doanh của mình để xây dựng Quy chế nội bộ, quy trình phù hợp, phối hợp giữa các phòng ban, các biện pháp kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân.

- Thành lập bộ phận chuyên trách, chỉ định người đứng đầu bộ phận bảo vệ dữ liệu cá nhân để thực hiện các nhiệm vụ tại doanh nghiệp nhằm tuân thủ quy định về bảo vệ dữ liệu cá nhân.

-  Xây dựng thỏa thuận giữa Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân:

+ Căn cứ vào trình độ kỹ thuật, chi phí thực hiện, tính chất, phạm vi, bối cảnh và mục đích của việc Xử Lý Dữ Liệu Cá Nhân, khả năng xảy ra hành vi vi phạm và mức độ nghiêm trọng của hành vi vi phạm đối với các quy định về bảo vệ Dữ Liệu Cá Nhân,

+ Bên Kiểm soát dữ liệu và bên Xử Lý Dữ Liệu sẽ thực hiện các biện pháp kỹ thuật và có cách thức triển khai Xử Lý Dữ Liệu Cá Nhân phù hợp. Trên cơ sở kết hợp các biện pháp trên nhằm đảm bảo việc Xử Lý Dữ Liệu Cá Nhân nhằm tuân thủ quy định của Pháp Luật Việt Nam về bảo vệ dữ liệu cá nhân và hạn chế tối đa khả năng xảy ra hành vi vi phạm và giảm thiểu mức độ nghiêm trọng của hành vi vi phạm các quy định về bảo vệ Dữ Liệu Cá Nhân.

- Xây dựng, rà soát và bổ sung Hợp đồng mẫu và các tài liệu liên quan đáp ứng yêu cầu để bảo vệ dữ liệu cá nhân;

- Tài liệu hướng dẫn nội bộ tuân thủ quy định Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân;

- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo cần chuẩn bị để nộp và lưu trữ 01 bộ tại doanh nghiệp để đáp ứng quá trình kiểm tra của Bộ Công an).

- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân liên quan đến chuyển dữ liệu cá nhân ra nước ngoài ((theo cần chuẩn bị để nộp và lưu trữ 01 bộ tại doanh nghiệp để đáp ứng quá trình kiểm tra của Bộ Công an).

2.3. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân, tổ chức xử lý dữ liệu  phải chuẩn bị Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hồ sơ này phải được chuẩn bị theo biểu mẫu được ban hành kèm theo Nghị định này, bao gồm thông tin của Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Việc đánh giá tác động do Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thẩm định. Hồ sơ đánh giá tác động cần được điều chỉnh/cập nhật cho phù hợp trong trường hợp có bất kỳ thay đổi nào đối với dữ liệu cá nhân mà các tổ chức xử lý.

Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:

- Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

- Mục đích xử lý dữ liệu cá nhân;

- Các loại dữ liệu cá nhân được xử lý;

- Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;

- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);

- Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

- Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

2.4. Các chế tài xử lý vi phạm của doanh nghiệp khi vi phạm quy định về xử lý dữ liệu cá nhân

Việc không tuân thủ các quy định về bảo vệ dữ liệu cá nhân có thể dẫn đến các chế tài sau:

- Xử phạt vi phạm hành chính.

- Xử lý hình sự đối với một số hành vi xâm phạm quyền riêng tư.

- Đình chỉ một số hoạt động nhất định, ví dụ như quyết định ngừng chuyển dữ liệu cá nhân ra nước ngoài.

2.5. Các thủ tục hành chính về bảo vệ dữ liệu cá nhân

Nghị định đã quy định rõ có 05 thủ tục hành chính cấp Trung ương được công bố liên quan tới bảo vệ dữ liệu cá nhân, bao gồm:

- Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;

- Lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;

- Thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;

- Lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ra nước ngoài.

Bạn cũng có thể tham khảo thêm các bài viết khác cùng chủ đề tại tư vấn doanh nghiệp

Trên đây là bài viết về “Doanh nghiệp cần làm gì để tuân thủ quy định về bảo vệ dữ liệu cá nhân” của Luật Thành Đô. Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này xin vui lòng liên hệ trực tiếp với Luật Thành Đô để được tư vấn và sử dụng dịch vụ. Với đội ngũ Luật sư nhiều kinh nghiệm, chúng tôi tin tưởng sẽ làm Quý Khách hài lòng khi sử dụng dịch vụ của Luật Thành Đô.