Nghị định mới về Bảo vệ Dữ liệu Cá nhân tại Việt Nam và So sánh với GDPR
Vui lòng bấm vào Đây để tải về bản pdf của bài viết
Vào ngày 17/04/2023, Chính Phủ ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân (Nghị Định 13/2023). Nghị Định 13/2023 đánh dấu một cột mốc quan trọng khi là văn bản pháp lý toàn diện đầu tiên điều chỉnh việc bảo vệ dữ liệu cá nhân tại Việt Nam. So với dự thảo nghị định về bảo vệ dữ liệu cá nhân (Dự Thảo Nghị Định), Nghị Định 13/2023 đã được cải thiện đáng kể để quy định các khía cạnh chính cần thiết để bảo vệ dữ liệu cá nhân nhằm phù hợp với Quy Định Chung Về Bảo Vệ Dữ Liệu (GDPR). Trong bài đăng này, chúng tôi sẽ thảo luận về các vấn đề chính của Nghị Định 13/2023 đồng thời so sánh với Dự Thảo Nghị Định và GDPR. Bài viết này được thực hiện bởi Trịnh Phương Thảo và biên tập bởi Nguyễn Quang Vũ.
1. Những việc cần hoàn thành trước ngày 1 tháng 7 năm 2023
Lý tưởng nhất là, trước ngày 1 tháng 7 năm 2023, cả các tổ chức trong và ngoài nước liên quan đến việc thu thập và/hoặc xử lý dữ liệu cá nhân của các cá nhân Việt Nam hoặc cá nhân nước ngoài cư trú tại Việt Nam nên thực hiện những việc sau:
có được sự đồng ý thích hợp từ chủ thể dữ liệu có liên quan (xem mục 7);
nếu là bên kiểm soát dữ liệu, cần có hợp đồng với bên xử lý dữ liệu có liên quan (xem mục 4);
xác định xem mình đang xử lý dữ liệu cá nhân cơ bản hay dữ liệu cá nhân nhạy cảm;
lập và gửi báo cáo đánh giá tác động của việc xử lý dữ liệu cá nhân cho Bộ Công An (BCA) (xem mục 10);
chuẩn bị và đệ trình báo cáo đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài cho BCA (xem mục 11);
thiết lập hệ thống để bảo vệ sự an toàn và tính bảo mật của dữ liệu cá nhân mà tổ chức đó thu thập hoặc xử lý; và
thiết lập bộ phận bảo vệ dữ liệu cá nhân và nhân sự phụ trách bảo vệ dữ liệu cá nhân nếu tổ chức đó xử lý dữ liệu cá nhân nhạy cảm.
Nghị Định 13/2023 chỉ miễn trừ cho các doanh nghiệp vừa và nhỏ hoặc doanh nghiệp khởi nghiệp phải tuân thủ một số yêu cầu nhất định cho đến ngày 1 tháng 7 năm 2025.
Tuy nhiên, một yếu tố quan trọng còn thiếu là hình phạt tiềm ẩn có thể áp dụng trong trường hợp không tuân thủ. Theo đó, hiện nay Nghị Định 13/2023 chưa có hiệu lực trong việc thi hành các yêu cầu trên. Không giống như Nghị Định 13/2023, GDPR có các hình phạt và tiền phạt rõ ràng áp dụng đối với các hành vi vi phạm GDPR.
2. Phạm vi áp dụng
So với Dự Thảo Nghị Định, Điều 1.2 của Nghị Định 13/2023 đã làm rõ các đối tượng phải tuân thủ quy định của Nghị Định 13/2023, bao gồm (i) Tổ chức/cá nhân Việt Nam; (ii) Tổ chức/cá nhân Việt Nam hoạt động ở nước ngoài; (iii) Tổ chức/cá nhân nước ngoài tại Việt Nam; (iv) Tổ chức/cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Mặc dù không rõ ràng nhưng có vẻ như Nghị Định 13/2023 sẽ áp dụng cho:
Dữ liệu cá nhân của các cá nhân người Việt Nam cư trú tại Việt Nam và cư trú ở nước ngoài;
Dữ liệu cá nhân của cá nhân nước ngoài cư trú tại Việt Nam; Và
Các thực thể nước ngoài thu thập và/hoặc xử lý dữ liệu cá nhân.
Không rõ liệu các tổ chức trong nước thu thập và xử lý dữ liệu cá nhân của các cá nhân nước ngoài cư trú bên ngoài Việt Nam có phải tuân theo Nghị Định 13/2023 hay không.
Không giống như Nghị Định 13/2023, GDPR có phạm vi áp dụng rõ ràng về phạm vi theo bản chất giao dịch và phạm vi theo lãnh thổ (xem Điều 2 và 3 của GDPR).
3. Định nghĩa về “dữ liệu cá nhân”
Theo Điều 2.1 Nghị Định 13/2023, dữ liệu cá nhân là bất kỳ thông tin nào được thể hiện dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Định nghĩa này đủ rộng để bao gồm mọi loại dữ liệu cá nhân, tương tự như cách tiếp cận của GDPR, nhằm mục đích bảo vệ quyền riêng tư dữ liệu của một người ở mức tối đa có thể.
Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Đáng chú ý, thông tin về nhóm máu của một người không được coi là dữ liệu cá nhân nhạy cảm (Điều 2.4(b) Nghị Định 13/2023).
4. Các bên liên quan đến việc xử lý dữ liệu
Lần đầu tiên, Nghị Định 13/2023 phân biệt các thuật ngữ “bên kiểm soát dữ liệu” và “bên xử lý dữ liệu” tương tự như các thuật ngữ được quy định trong GDPR. Trước đây, Dự Thảo Nghị Định chỉ sử dụng thuật ngữ “bên xử lý dữ liệu cá nhân” cho cả bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân (xem bình luận trước ở đây). Sự thay đổi này có thể sẽ tăng cường tính minh bạch trong việc phân bổ quyền và nghĩa vụ giữa các bên tham gia xử lý dữ liệu và giúp Nghị Định 13/2023 phù hợp hơn với các thông lệ quốc tế tốt nhất, đặc biệt là GDPR.
Bảng dưới đây so sánh định nghĩa của các bên chính tham gia xử lý dữ liệu giữa Nghị Định 13/2023 và GDPR.
5. Nguyên tắc xử lý dữ liệu
Điều 3 của Nghị Định 13/2023 đưa ra 8 nguyên tắc, cụ thể là: (i) tính hợp pháp; (ii) minh bạch; (iii) giới hạn mục đích; (iv) tối thiểu hóa dữ liệu; (v) tính chính xác; (vi) tính toàn vẹn và bảo mật; (vii) giới hạn lưu trữ; và (viii) trách nhiệm giải trình. Các nguyên tắc này khá giống với các nguyên tắc được nêu trong Điều 5 của GDPR đối với việc xử lý dữ liệu cá nhân. Sự khác biệt giữa Nghị Định 13/2023 và GDPR về nguyên tắc xử lý dữ liệu cá nhân bao gồm:
Nghị Định 13/2023 không bao gồm nguyên tắc “công bằng”. Theo Điều 5.1 của GDPR, dữ liệu cá nhân sẽ được xử lý công bằng; và
Về nguyên tắc “giới hạn mục đích”, Nghị Định 13/2023 quy định rõ ràng rằng không được phép mua bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp pháp luật có quy định khác.
6. Quyền của chủ thể dữ liệu
Điều 9 của Nghị Định 13/2023 quy định mười một quyền của chủ thể dữ liệu bao gồm (i) quyền được biết; (ii) quyền đồng ý; (iii) quyền truy cập; (iv) quyền rút lại sự đồng ý; (v) quyền xóa dữ liệu; (vi) quyền hạn chế xử lý dữ liệu; (vii) quyền yêu cầu cung cấp dữ liệu; (viii) quyền phản đối xử lý dữ liệu; (ix) quyền khiếu nại, tố cáo, khởi kiện; (x) quyền yêu cầu bồi thường thiệt hại; và (xi) quyền tự bảo vệ. Quy định này tương tự như GDPR ngoại trừ:
GDPR không quy định quyền tự bảo vệ của chủ thể dữ liệu; Và
Nghị Định 13/2023 không điều chỉnh quyền “chuyển dữ liệu” (data portability)như quy định trong GDPR. Việc thiếu quyền này có thể ngăn chủ thể dữ liệu chuyển giao dữ liệu cá nhân của họ đến các bên kiểm soát dữ liệu khác.
7. Sự đồng ý của chủ thể dữ liệu
Nhìn chung, sự đồng ý của chủ thể dữ liệu là cơ sở quan trọng để đảm bảo tính hợp pháp của việc xử lý dữ liệu. Theo Nghị Định 13/2023, ngoại trừ một số trường hợp không cần sự đồng ý (xem 7), sự đồng ý của chủ thể dữ liệu sẽ được áp dụng đối với mọi hoạt động xử lý dữ liệu. Sự đồng ý của chủ thể dữ liệu sẽ chỉ có hiệu lực khi (i) được đưa ra một cách tự nguyện và (ii) chủ thể dữ liệu biết rõ thông tin về loại dữ liệu cá nhân, mục đích xử lý dữ liệu, các bên xử lý dữ liệu và quyền và nghĩa vụ của chủ thể dữ liệu. Ngoài ra, sự đồng ý của chủ thể dữ liệu phải:
rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Theo đó, các hình thức thỏa thuận trước do nhà cung cấp dịch vụ/chủ sở hữu trang web đặt ra như cài đặt mặc định, hộp đánh dấu trước hoặc các điều khoản và điều kiện chung có thể không được coi là sự đồng ý của chủ thể dữ liệu;
Được thực hiện cho một mục đích duy nhất. Trường hợp có nhiều mục đích, các bên tham gia xử lý dữ liệu phải liệt kê đầy đủ các mục đích để chủ thể dữ liệu lựa chọn đồng ý cho một hoặc nhiều mục đích đã nêu; và
được thể hiện ở định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
Đặc biệt, sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Cách tiếp cận này tương tự như GDPR trong đó tất cả các sự đồng ý phải là sự đồng ý chọn tham gia (nghĩa là một hành động hoặc dấu hiệu khẳng định) và việc không chọn không tham gia không phải là sự đồng ý vì nó không phải là một hành động khẳng định rõ ràng.
8. Xử lý dữ liệu cá nhân trong các trường hợp đặc biệt
Nghị Định 13/2023 quy định cụ thể một số trường hợp đặc biệt trong việc xử lý dữ liệu cá nhân bao gồm:
(1) Xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu (Điều 17). Những trường hợp này bao gồm:
Trong các trường hợp khẩn cấp cần thiết để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc những người khác;
Thực hiện việc công khai dữ liệu cá nhân theo quy định của pháp luật;
Phục vụ cho việc xử lý của cơ quan nhà nước có thẩm quyền trong các trường hợp đặc biệt (ví dụ: trường hợp khẩn cấp về quốc phòng, an ninh quốc gia, thảm họa lớn, dịch bệnh nguy hiểm,…);
Thực hiện các nghĩa vụ theo hợp đồng của chủ thể dữ liệu với các đơn vị có liên quan theo quy định của pháp luật (trừ trường hợp kinh doanh tiếp thị, quảng cáo – Điều 21.1 và 21.2 Nghị Định 13/2023); và
Phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật chuyên ngành.
Những trường hợp này khá giống với những trường hợp được cung cấp theo GDPR, mặc dù có một sự khác biệt đáng chú ý. GDPR bao gồm một trường hợp bổ sung, có lợi cho bên kiểm soát dữ liệu hoặc bên thứ ba, khi việc xử lý là cần thiết vì lợi ích hợp pháp mà bên kiểm soát hoặc bên thứ ba theo đuổi (Điều 6.1(f))). Tuy nhiên, “lợi ích hợp pháp” đó không được lấn át lợi ích hoặc các quyền và tự do cơ bản của chủ thể dữ liệu mà yêu cầu phải được bảo vệ dữ liệu cá nhân;
(2) Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng nhằm bảo vệ an ninh quốc gia, trật tự, an toàn xã hội và quyền, lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật (Điều 18);
(3) Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích hoặc đã chết. Cần lưu ý rằng việc xử lý dữ liệu cá nhân trong trường hợp này cần có sự đồng ý của các thành viên gia đình họ (ví dụ: vợ/chồng, cha mẹ) và nếu người chết/mất tích không có thành viên gia đình thì coi như không có sự đồng ý và do đó, việc xử lý có thể không được thực hiện (Điều 19). Trong khi đó, GDPR không áp dụng cho dữ liệu của những người đã qua đời và để luật của Quốc Gia Thành Viên quy định về vấn đề này (Recital 27); và
(4) Xử lý dữ liệu cá nhân của trẻ em (Điều 20). Ngoại trừ các trường hợp nêu tại (1), khi trẻ từ 7 tuổi trở lên, bất kỳ bên nào tham gia vào việc xử lý dữ liệu cá nhân phải được sự đồng ý của cả trẻ em và cha mẹ hoặc người giám hộ của trẻ.
9. Nghĩa vụ thông báo trong trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân
Theo Điều 23 Nghị Định 13/2023, khi phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải thông báo cho Bộ Công an (BCA) (Cục An ninh mạng và phòng chống tội phạm công nghệ cao) (A05) trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm theo mẫu quy định có nội dung bắt buộc (ví dụ: Mô tả các biện pháp đã áp dụng để giải quyết, giảm thiểu tác hại của hành vi vi phạm đó). Trường hợp thông báo sau 72 giờ phải nêu rõ lý do chậm, thông báo muộn. Nghĩa vụ này phù hợp với nghĩa vụ được quy định trong Điều 33.1 của GDPR.
10. Đánh giá tác động của việc xử lý dữ liệu cá nhân
Theo Điều 24 Nghị Định 13/2023, trong mọi trường hợp, kể từ khi bắt đầu xử lý dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động của việc xử lý dữ liệu cá nhân. Cụ thể,
Hồ sơ do bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập phải bao gồm nhiều nội dung, trong số những nội dung khác, các trường hợp chuyển dữ liệu cá nhân ra nước ngoài; đánh giá tác động của việc xử lý dữ liệu cá nhân; các hậu quả và/hoặc thiệt hại tiềm ẩn và không mong muốn, và các biện pháp giảm thiểu hoặc loại bỏ chúng;
Trường hợp có bên xử lý dữ liệu cá nhân thay mặt bên kiểm soát dữ liệu cá nhân thì bên xử lý dữ liệu cá nhân đó còn phải lập hồ sơ đánh giá riêng về tác động của việc xử lý dữ liệu cá nhân với các nội dung theo yêu cầu; và
Hồ sơ phải luôn có sẵn để Bộ Công An kiểm tra, đánh giá và 01 bản chính của hồ sơ phải được nộp cho A05 trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu cá nhân.
Trước đó, Dự Thảo Nghị Định chỉ yêu cầu báo cáo đánh giá tác động trong trường hợp dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra nước ngoài Nghĩa vụ mới này theo Nghị Định 13/2023 sẽ tạo ra gánh nặng đáng kể cho tất cả các bên kiểm soát dữ liệu và bên xử lý dữ liệu, chẳng hạn như các nhà cung cấp dịch vụ trong khi xử lý dữ liệu trong quá trình thực hiện hợp đồng. Theo Điều 35.1 của GDPR, đánh giá tác động bảo vệ dữ liệu chỉ được yêu cầu trong trường hợp quá trình xử lý sử dụng công nghệ mới và có khả năng dẫn đến rủi ro cao đối với quyền và tự do của thể nhân.
11. Chuyển dữ liệu cá nhân ra nước ngoài
Điều 25 Nghị Định 13/2023 quy định thủ tục mà bên chuyển dữ liệu phải tuân thủ đối với việc chuyển dữ liệu cá nhân ra nước ngoài như sau:
Bên chuyển dữ liệu phải lập hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài với các nội dung bắt buộc bao gồm, trong số những nội dung khác, mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
Bên chuyển dữ liệu phải luôn lưu trữ hồ sơ để Bộ Công an kiểm tra, đánh giá và 01 bản chính của hồ sơ phải được gửi cho A05 trong thời hạn 60 ngày kể từ ngày xử lý dữ liệu cá nhân; và
Bên chuyển dữ liệu thông báo và gửi A05 thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân chịu trách nhiệm bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
Ngoại trừ các trường hợp yêu cầu bên chuyển dữ liệu ngừng chuyển dữ liệu cá nhân ra nước ngoài (Điều 25.8 Nghị định 13/2023), Nghị Định 13/2023 không đặt ra các hạn chế đối với việc chuyển dữ liệu cá nhân sang các nước thứ ba như GDPR. Theo GDPR, việc chuyển dữ liệu cá nhân sang nước thứ ba bị hạn chế trừ khi (i) Ủy ban Châu Âu quyết định rằng quốc gia thứ ba đó đảm bảo mức độ bảo vệ dữ liệu phù hợp; hoặc (ii) bên kiểm soát/xử lý dữ liệu đã thực hiện các biện pháp bảo vệ thích hợp; hoặc (iii) một miễn trừ hoặc sự cho phép không tuân thủ luật (derogation)được áp dụng (Điều 45, 46, 48 và 49 của GDPR).
12. Các biện pháp bảo đảm bảo vệ dữ liệu cá nhân
Theo Điều 26 của Nghị định 13/2023, các biện pháp bảo đảm bảo vệ dữ liệu cá nhân phải được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp này bao gồm (i) các biện pháp quản lý và kỹ thuật được thực hiện bởi các thực thể liên quan đến xử lý dữ liệu cá nhân; (ii) các biện pháp do cơ quan có thẩm quyền thực hiện; (iii) các biện pháp điều tra và tố tụng được thực hiện bởi cơ quan có thẩm quyền; và (iv) các biện pháp khác theo quy định của pháp luật. Các biện pháp như vậy khá chung chung và do đó, có thể hiểu rằng các bên liên quan xử lý dữ liệu cá nhân có thể quyết định các biện pháp thích hợp tùy theo từng trường hợp cụ thể.
Đối với từng loại dữ liệu cá nhân, Nghị Định 13/2023 sẽ yêu cầu các biện pháp cụ thể ngoài các biện pháp được quy định tại Điều 26 (ví dụ: Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân hoặc chỉ định người phụ trách bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm).
13. Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân
So với Dự Thảo Nghị Định, Nghị Định 13/2023 đã bỏ khái niệm Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân và tất cả các điều khoản liên quan. Theo Điều 29 của Nghị Định 13/2023, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an (A05) sẽ đóng vai trò là cơ quan chuyên trách về bảo vệ dữ liệu cá nhân. Việc chọn Bộ Công An làm cơ quan chịu trách nhiệm bảo vệ dữ liệu cá nhân dường như cho thấy Việt Nam coi việc bảo vệ dữ liệu cá nhân là một vấn đề an ninh chứ không phải là vấn đề quyền công dân.
Điều này khác với Điều 51 của GDPR yêu cầu mỗi Quốc gia Thành viên thiết lập một hoặc nhiều các cơ quan công quyền độc lập chịu trách nhiệm giám sát việc áp dụng GDPR liên quan đến việc xử lý dữ liệu cá nhân trong phạm vi Liên Minh Châu Âu.