DOANH NGHIỆP CẦN LÀM GÌ ĐỂ TRÁNH RỦI RO PHÁP LÝ THEO NGHỊ ĐỊNH 13 VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN?

Posted on by admin

Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (sau đây gọi là Nghị định 13) đã chính thức có hiệu lực, đánh dấu bước ngoặt quan trọng trong hành lang pháp lý về an toàn thông tin tại Việt Nam. Không chỉ dừng lại ở các doanh nghiệp công nghệ, Nghị định 13 đặt ra nghĩa vụ tuân thủ nghiêm ngặt cho mọi doanh nghiệp có hoạt động thu thập, xử lý thông tin khách hàng, nhân viên và đối tác. Dưới đây là những nội dung trọng yếu mà doanh nghiệp cần đặc biệt lưu ý để tránh các chế tài xử phạt nặng nề:

Picture1

Thứ nhất, bắt buộc phải có sự đồng ý của chủ thể dữ liệu trước khi xử lý

Khác với các quy định rải rác trước đây, Nghị định 13 xác lập nguyên tắc: Mọi hoạt động xử lý dữ liệu (thu thập, ghi chép, lưu trữ, phân tích, chia sẻ…) đều phải có sự đồng ý của chủ thể dữ liệu.

  • Sự đồng ý phải rõ ràng: Doanh nghiệp không được mặc định sự đồng ý (im lặng không có nghĩa là đồng ý). Sự đồng ý phải được thể hiện qua hành động cụ thể (tích vào ô đồng ý, ký văn bản, xác nhận qua tin nhắn…).
  • Quyền rút lại sự đồng ý: Chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào. Khi đó, doanh nghiệp phải dừng việc xử lý dữ liệu, trừ trường hợp luật có quy định khác.

Thứ hai, doanh nghiệp phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

Đây là nghĩa vụ hành chính quan trọng nhất và cũng là điểm mà nhiều doanh nghiệp đang còn thiếu. Theo Nghị định 13, doanh nghiệp (Bên Kiểm soát và xử lý dữ liệu) phải lập và lưu trữ Hồ sơ đánh giá tác động kể từ thời điểm bắt đầu xử lý dữ liệu.

  • Hồ sơ bao gồm: Thông tin về doanh nghiệp, mục đích xử lý, loại dữ liệu, thời gian lưu trữ, các biện pháp bảo vệ và đánh giá rủi ro…
  • Hồ sơ này phải được gửi về Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu.

Thứ ba, quy định chặt chẽ về chuyển dữ liệu cá nhân ra nước ngoài

Đối với các doanh nghiệp có vốn đầu tư nước ngoài (FDI), sử dụng server quốc tế hoặc có hoạt động gửi dữ liệu khách hàng/nhân viên cho công ty mẹ ở nước ngoài, cần đặc biệt lưu ý:

  • Doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài.
  • Phải thông báo cho Bộ Công an về việc chuyển dữ liệu và các thông tin liên hệ của tổ chức, cá nhân tiếp nhận dữ liệu tại nước ngoài.
  • Bộ Công an có quyền yêu cầu dừng chuyển dữ liệu nếu phát hiện rủi ro ảnh hưởng đến an ninh quốc gia hoặc lợi ích công cộng.

Thứ tư, đảm bảo các quyền mới của chủ thể dữ liệu

Doanh nghiệp cần rà soát và điều chỉnh quy trình vận hành hệ thống để đáp ứng các quyền của khách hàng/nhân viên, bao gồm:

  • Quyền được biết và Quyền truy cập dữ liệu của mình.
  • Quyền yêu cầu chỉnh sửa hoặc xóa dữ liệu (“Quyền được lãng quên”).
  • Quyền hạn chế xử lý dữ liệu và Quyền phản đối xử lý dữ liệu. Việc chậm trễ hoặc từ chối thực hiện các yêu cầu hợp pháp này của chủ thể dữ liệu có thể dẫn đến các khiếu nại và xử phạt hành chính.

Thứ năm, chỉ định nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu

Nghị định yêu cầu các doanh nghiệp (đặc biệt là các doanh nghiệp xử lý dữ liệu nhạy cảm) phải chỉ định bộ phận hoặc nhân sự có chức năng bảo vệ dữ liệu cá nhân (DPO – Data Protection Officer). Bộ phận này chịu trách nhiệm trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu và đảm bảo tuân thủ nội bộ.

🔎 LỜI KHUYÊN TỪ [LUẬT TRƯỜNG HẢI]: Rủi ro pháp lý từ Nghị định 13 không chỉ nằm ở mức phạt tiền (có thể lên tới 5% tổng doanh thu trong dự thảo xử phạt) mà còn là uy tín thương hiệu. Doanh nghiệp cần khẩn trương rà soát lại các mẫu hợp đồng lao động, chính sách bảo mật thông tin khách hàng và tiến hành lập hồ sơ đánh giá tác động để nộp cho cơ quan chức năng đúng hạn.

📞 Mọi vướng mắc về quy trình tuân thủ Nghị định 13, quý doanh nghiệp vui lòng liên hệ hotline của Luật Trường Hải để được hỗ trợ và tư vấn giải pháp!

Bài viết cùng chủ đề: