���㣨Leyu����������

Hành động tuân th�� cần thực hiện

Phân công trách nhiệm kèm theo quy trình cho mọi hoạt động x�� lý d�� liệu cho các đơn v�� có liên quan.

Rà soát lại việc x�� lý d�� liệu ��à k�� thuật ghi, ví d��: x�� lý theo thời gian thực, x�� lý giao dịch, x�� lý theo lô hay x�� lý đa tiến trình.

Mô t��

Tương ứng với các định nghĩa trong GDPR, Ngh�� định 13 phân biệt rõ ràng các vai trò khác nhau của những các bên tham gia ��ào x�� lý d�� liệu ��à quy định trách nhiệm riêng cho từng vai trò. C�� th��:

Bên Kiểm soát d�� liệu là t�� chức hoặc cá nhân quyết định mục đích ��à phương tiện x�� lý d�� liệu cá nhân. Bên Kiểm soát d�� liệu đóng vai trò lớn hơn trong việc thông báo ��à hợp tác với các cơ quan nếu có s�� vi phạm d�� liệu cá nhân. Bên Kiểm soát d�� liệu chịu trách nhiệm cuối cùng trước ch�� th�� d�� liệu ��à có nghĩa v�� chứng minh rằng đã có được s�� đồng ý trước cho tất c�� các hoạt động x�� lý.

Bên X�� lý d�� liệu là t�� chức hoặc cá nhân giao kết hợp đồng với Bên Kiểm soát d�� liệu v�� việc thực hiện việc x�� lý d�� liệu cá nhân dưới s�� hướng dẫn của Bên Kiểm soát d�� liệu. Bên X�� lý d�� liệu có trách nhiệm thông báo cho Bên Kiểm soát d�� liệu v�� các vi phạm cũng như phối hợp với các cơ quan có thẩm quyền trong việc điều tra khi có vi phạm.

Bên Kiểm soát ��à x�� lý d�� liệu là một vai trò kép, theo đó phải tuân th�� các nghĩa v�� của c�� Bên Kiểm soát d�� liệu lẫn Bên X�� lý d�� liệu.

Bên th�� ba là t�� chức hoặc cá nhân không phải Bên Kiểm soát d�� liệu ��à Bên X�� lý d�� liệu nhưng được phép x�� lý d�� liệu cá nhân. Định nghĩa này có th�� m�� rộng sang bất k�� ai tham gia ��ào việc x�� lý d�� liệu cá nhân, chẳng hạn như các bên cung cấp dịch v�� thanh toán, dịch v�� viễn thông, v.v.

Hành động tuân th�� cần thực hiện

Xây dựng hoặc rà soát mô hình quản lý d�� liệu nội b�� ��à quy tắc vận hành, đồng thời thiết lập h�� thống quản lý ��à phân loại d�� liệu cho các loại d�� liệu cá nhân khác nhau.

Mô t��

D�� liệu cá nhân là các thông tin liên quan đến một con người c�� th�� hoặc giúp xác định một con người c�� th�� khi các thông tin này được s�� dụng độc lập hoặc kết hợp với các thông tin khác có th�� là thông tin trực tiếp, ch�� s��, ch�� viết, hình ảnh, âm thanh, video ��à d�� liệu k�� thuật s��.

Ngh�� định 13 phân loại d�� liệu cá nhân thành hai (2) loại: (i) d�� liệu cá nhân cơ bản ��à (ii) d�� liệu cá nhân nhạy cảm; đồng thời liệt kê các d�� liệu chính yếu thuộc hai loại này.

D�� liệu cá nhân cơ bản bao gồm: thông tin định danh thông thường, như h�� ��à tên, thời gian sinh, thời gian chết, thông tin liên lạc, tình trạng hôn nhân ��à mối quan h�� gia đình, quốc tịch, hình ảnh của cá nhân, giới tính, s�� định danh cá nhân (s�� căn cước công dân, h�� chiếu, mã s�� thu��, s�� bảo hiểm xã hội/s�� th�� bảo hiểm y t��, s�� giấy phép lái xe, s�� biển s�� xe), ngoài ra còn gồm thông tin v�� nhóm máu, tài khoản s�� ��à d�� liệu cá nhân phản ánh hoạt động, lịch s�� hoạt động của cá nhân trên không gian mạng.

D�� liệu cá nhân nhạy cảm được định nghĩa là d�� liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi b�� xâm phạm s�� gây ảnh hưởng trực tiếp tới quyền ��à lợi ích hợp pháp của cá nhân, bao gồm: quan điểm chính tr�� ��à quan điểm tôn giáo, tình trạng sức khỏe ��à đời tư (ngoại tr�� nhóm máu), d�� liệu sinh trắc học, d�� liệu di truyền, khuynh hướng tình dục, d�� liệu v�� tội phạm, d�� liệu khách hàng của t�� chức tín dụng, dịch v�� trung gian thanh toán, d�� liệu v�� v�� trí của cá nhân được xác định qua dịch v�� định v�� ��à các d�� liệu cá nhân nhạy cảm khác theo quy định của pháp luật Việt Nam.

Ngh�� định 13 áp dụng các nghĩa v�� x�� lý ��à bảo v�� b�� sung đối với việc x�� lý d�� liệu cá nhân nhạy cảm.

Hành động tuân th�� cần thực hiện

Trách nhiệm chứng minh rằng d�� liệu có được x�� lý hợp pháp hay không thuộc v�� bên x�� lý d�� liệu. 

Cần xem xét lại liệu thông l��, chính sách, các khóa đào tạo ��à nhật ký h�� thống hiện tại có th�� chứng minh việc tuân th�� quy định này hay không. Các quy tắc ��à chính sách nội b�� có th�� bao gồm những mục như: quy tắc ��à quy trình x�� lý d�� liệu cá nhân; ủy quyền cho nhân s�� x�� lý d�� liệu, quy tắc ��à quy trình trong trường hợp vi phạm quy định v�� bảo v�� d�� liệu cá nhân ��à quy trình khắc phục vi phạm này.

Cần đặt ra một cơ ch�� đ�� đảm bảo s�� đồng ý của ch�� th�� d�� liệu có th�� được in hoặc sao chép bằng văn bản (định dạng điện t�� có th�� được chấp nhận).

Cần đánh giá xem hình thức đồng ý có tuân th�� các yêu cầu tại Ngh�� định 13 hay không.

Nếu dựa ��ào các điều kiện khác đ�� x�� lý d�� liệu thì đánh giá xem ch�� th�� d�� liệu có được thông báo hay không.

Mô t��

Tương t�� GDPR, Ngh�� định 13 yêu cầu các t�� chức phải có s�� đồng ý trước t�� phía cá nhân đ�� x�� lý d�� liệu của cá nhân đó, ��à phải tuân th�� các nguyên tắc được nêu trong Điều 3, tức là: quá trình x�� lý d�� liệu phải (i) đúng quy định pháp luật; (ii) minh bạch; (iii) ch�� được thực hiện cho (các) mục đích đã tuyên b��; (iv) giới hạn trong mục đích ��à phạm vi nhất định; (v) s�� dụng d�� liệu được cập nhật, b�� sung phù hợp với mục đích; ��à (vi) phải bảo mật; đồng thời (vii) đảm bảo d�� liệu ch�� được lưu tr�� trong khoảng thời gian phù hợp ��à (viii) các t�� chức chịu trách nhiệm giải trình v�� tính tuân th�� này.

Đáng chú ý, Ngh�� định 13 nghiêm cấm việc mua bán bất k�� d�� liệu nào dưới mọi hình thức nhằm khắc phục tình trạng mua bán danh sách d�� liệu đã xảy ra trong quá kh��.

V�� cơ bản, tr�� một ��ài trường hợp ngoại l��, s�� đồng ý của ch�� th�� d�� liệu là bắt buộc đ�� có th�� x�� lý hợp pháp d�� liệu cá nhân cho mọi hoạt động, bao gồm tiếp th�� ��à quảng cáo chéo. Bên cạnh đó, mỗi khi t�� chức thay đổi phương thức x�� lý d�� liệu cá nhân thì cũng phải có được s�� đồng ý mới t�� phía ch�� th�� d�� liệu.

S�� đồng ý có giá tr�� nếu nó được đưa ra thông qua một hành động cho thấy s�� ch�� động ��à t�� nguyện của ch�� th�� d�� liệu (như ký tên, đánh dấu ��ào ô đồng ý, nhấp ��ào nút), sau khi cá nhân được cung cấp đầy đ�� thông tin v�� cách thức ��à mức đ�� x�� lý d�� liệu. Những hình thức như cài đặt mặc định, ô chọn đã được đánh dấu trước, điều khoản ��à điều kiện chung, việc im lặng hoặc không phản hồi s�� không được xem là s�� đồng ý. Cá nhân có quyền rút lại s�� đồng ý của mình bất c�� lúc nào.

X�� lý d�� liệu mà không có s�� đồng ý ch�� được giới hạn cho các trường hợp sau:

a. đ�� bảo v�� tính mạng, sức khỏe của ch�� th�� d�� liệu hoặc người khác

b. công khai d�� liệu cá nhân nhằm thực hiện theo quy định của luật

c. x�� lý d�� liệu thực hiện bởi cơ quan nhà nước trong trường hợp (i) tình trạng khẩn cấp hoặc khi có nguy cơ đe dọa đến quốc phòng, an ninh quốc gia; phòng, chống bạo loạn, khủng b��, phòng, chống tội phạm ��à vi phạm pháp luật; hoặc (ii) nhằm phục v�� cho hoạt động của cơ quan theo quy định.

d. ghi âm, ghi hình ��à x�� lý d�� liệu cá nhân thu được t�� hoạt động ghi âm, ghi hình tại nơi công cộng (có thông báo trước) bởi cơ quan, t�� chức có thẩm quyền với mục đích bảo v�� an ninh quốc gia, trật t�� an toàn xã hội, quyền ��à lợi ích hợp pháp của t�� chức, cá nhân;

e. đ�� thực hiện nghĩa v�� theo hợp đồng (tr�� trường hợp phục v�� tiếp th�� ��à quảng cáo cho mục đích kinh doanh) của ch�� th�� d�� liệu theo quy định của luật.

Ngoài yêu cầu v�� s�� đồng ý chung, quy định còn đặt ra các yêu cầu v�� s�� đồng ý c�� th�� t�� các bên liên quan trong các trường hợp sau:

a. x�� lý d�� liệu của tr�� em t�� đ�� 7 tuổi tr�� lên phải có s�� đồng ý của tr�� ��à người giám h��;

b. đối với d�� liệu của người b�� tuyên b�� là mất tích hoặc người đã chết s�� cần có s�� đồng ý của người thân.

Hành động tuân th�� cần thực hiện

Đánh giá ��à cập nhật các cơ ch�� hiện hành đ�� đảm bảo quyền này; đào tạo nhân s�� chịu trách nhiệm x�� lý các yêu cầu của ch�� th�� d�� liệu ��à nâng cao nhận thức bảo v�� d�� liệu cá nhân.

Khi s�� đồng ý được s�� dụng làm cơ s�� pháp lý đ�� x�� lý d�� liệu cá nhân, cần có cơ ch�� đ�� các cá nhân rút lại s�� đồng ý của h�� ��à cho phép việc rút lại có th�� được in hoặc sao chép khi cần.

H�� thống phải có kh�� năng thông báo cho cá nhân v�� hậu qu�� hoặc thiệt hại có th�� xảy ra khi rút lại s�� đồng ý.

Mô t��

Khi có yêu cầu rút lại s�� đồng ý phát sinh, t�� chức cần phải thông báo cho cá nhân v�� hậu qu�� hoặc thiệt hại có th�� xảy đến t�� việc rút lại s�� đồng ý.

Hành động tuân th�� cần thực hiện

Rà soát ��à cập nhật các chính sách bảo mật hiện có hoặc xây dựng các chính sách bảo mật mới bao gồm tối thiểu các yêu cầu theo quy định của Ngh�� định 13 đ�� cung cấp cho các cá nhân trong thời gian sớm nhất.

Tham khảo ý kiến của c�� vấn pháp lý đ�� đảm bảo việc tuân th��.

Mô t��

Ngh�� định 13 yêu cầu các t�� chức cung cấp thông báo tuân th�� cho các cá nhân trước khi x�� lý d�� liệu cá nhân của h��.

Thông báo v�� quyền riêng tư s�� cần bao gồm loại, mục đích ��à phương pháp x�� lý; danh tính của Bên x�� lý d�� liệu cá nhân hoặc bên th�� ba có liên quan; rủi ro trong quá trình x�� lý, thời gian x�� lý.

Hành động tuân th�� cần thực hiện

Một h�� thống mà thông qua đó ch�� th�� d�� liệu có th�� thực hiện các quyền của h�� ��à nhân s�� ph�� trách có th�� nhận, đánh giá, xác thực ��à phản hồi các yêu cầu này.

Mô t��

Ngh�� định 13 đưa ra một s�� quyền nhất định của ch�� th�� d�� liệu (ví d�� như: quyền truy cập, quyền hạn ch�� x�� lý d�� liệu, quyền phản đối x�� lý d�� liệu, quyền chỉnh sửa d�� liệu, quyền xóa d�� liệu, v.v.) ��à yêu cầu bên ph�� trách d�� liệu phải đảm bảo các quyền này. 

Mọi yêu cầu hạn ch�� hoặc phản đối x�� lý d�� liệu được thực hiện trong 72 gi�� sau khi có yêu cầu của ch�� th�� d�� liệu.

Hành động tuân th�� cần thực hiện

B�� nhiệm nhân s�� ph�� trách bảo v�� d�� liệu cá nhân hoặc ch�� định b�� phận có chức năng tương t��.

Mô t��

Thời gian ân hạn 2 năm ch�� áp dụng cho trường hợp thành lập doanh nghiệp siêu nh��, doanh nghiệp nh��, doanh nghiệp vừa, công ty khởi nghiệp không trực tiếp tham gia cung cấp dịch v�� x�� lý d�� liệu cá nhân. Ngoài ra, các t�� chức đều được yêu cầu b�� nhiệm nhân s�� ph�� trách bảo v�� d�� liệu cá nhân.

Hành động tuân th�� cần thực hiện

Tùy theo vai trò của đơn v�� ph�� trách d�� liệu, h�� thống phát hiện, ph�� trách ��à thông báo cho các cơ quan có liên quan ��à ch�� th�� d�� liệu b�� ảnh hưởng trong trường hợp vi phạm quy định tại Ngh�� định 13.

Rà soát các hợp đồng với Bên X�� lý d�� liệu cá nhân đ�� kiểm tra xem hợp đồng đó có các nghĩa v�� ��à trách nhiệm liên quan đến bảo v�� ��à bảo mật d�� liệu hay không ��à làm rõ cách phân b�� trách nhiệm pháp lý giữa các bên.

Mô t��

Ngh�� định 13 yêu cầu Bên Kiểm soát d�� liệu cá nhân ��à Bên Kiểm soát ��à x�� lý d�� liệu cá nhân phải đảm bảo an toàn d�� liệu cá nhân ��à thông báo cho cơ quan chức năng v�� bất k�� vi phạm quy định v�� bảo v�� d�� liệu cá nhân trong vòng 72 gi�� sau khi xảy ra hành vi vi phạm. Mặt khác, Bên X�� lý d�� liệu cá nhân phải thông báo cho Bên Kiểm soát d�� liệu cá nhân một cách nhanh nhất có th�� sau khi nhận thấy có s�� vi phạm quy định v�� bảo v�� d�� liệu cá nhân đ�� h�� có th�� đáp ứng yêu cầu 72 gi�� này. Trường hợp thông báo chậm thì Bên Kiểm soát d�� liệu cá nhân phải đưa ra lý do.

Hành động tuân th�� cần thực hiện

Rà soát mẫu đánh giá tác động bảo v�� d�� liệu cá nhân ��à đánh giá rủi ro hiện có hoặc phát triển theo mẫu của Ngh�� định 13. Các báo cáo s�� cần được lưu tr�� ��à sẵn sàng khi có yêu cầu kiểm tra.

Có cơ ch�� đ�� đảm bảo rằng các báo cáo này được lập ��à nộp mỗi khi hoạt động x�� lý trong vòng 60 ngày k�� t�� ngày tiến hành x�� lý d�� liệu cá nhân hoặc khi có s�� thay đổi đối với hoạt động x�� lý.

Mô t��

C�� Bên Kiểm soát d�� liệu ��à Bên X�� lý d�� liệu đều phải tiến hành đánh giá tác động bảo v�� d�� liệu cá nhân đối với tất c�� các hoạt động x�� lý của mình, bao gồm t�� x�� lý d�� liệu cá nhân cơ bản ��à nhạy cảm hoặc bằng cách ký hợp đồng với bên x�� lý d�� liệu cá nhân hoặc cung cấp thông tin cho bên th�� ba hoặc chuyển d�� liệu cá nhân ra nước ngoài ��à gửi trong vòng 60 ngày k�� t�� khi bắt đầu hoạt động x�� lý d�� liệu.

H�� sơ đánh giá tác động x�� lý d�� liệu cá nhân phải bao gồm: thông tin của c�� Bên Kiểm soát d�� liệu cá nhân ��à Bên X�� lý d�� liệu cá nhân ��à nhân s�� ph�� trách x�� lý d�� liệu cá nhân nội b�� của h��, người nhận d�� liệu cá nhân ��à quốc tịch của h��, loại ��à mục đích của d�� liệu cá nhân được x�� lý, thời gian lưu gi��, các biện pháp bảo v�� d�� liệu ��à đánh giá rủi ro ��à các biện pháp giảm thiểu rủi ro đối với hoạt động x�� lý. Đơn v�� ph�� trách d�� liệu s�� cần đảm bảo rằng các báo cáo đánh giá tác động luôn có sẵn đ�� B�� Công an xem xét ��à được cập nhật, b�� sung trong trường hợp có bất k�� thông tin nào trong đó thay đổi.

Nếu phát hiện có vi phạm hoặc nếu việc chuyển d�� liệu cá nhân vi phạm lợi ích hoặc an ninh quốc gia, B�� Công an có toàn quyền ngăn chặn mọi hoạt động chuyển d�� liệu cá nhân ra nước ngoài.

Hành động tuân th�� cần thực hiện

Có cơ ch�� ��à nhân s�� được giao nhiệm v�� giải quyết các yêu cầu thanh tra, kiểm tra của các cơ quan chức năng.

Mô t��

Ngh�� định 13 trao cho các cơ quan quyền hành khá rộng trong việc tiến hành thanh tra ��à kiểm tra các hoạt động ��à chính sách quản lý d�� liệu cá nhân của bất k�� đơn v�� x�� lý d�� liệu nào trên cơ s�� hàng năm hoặc nhiều hơn khi cần thiết.