Trong kỷ nguyên thông tin, dữ liệu cá nhân ngày càng trở thành tài sản quý giá, kéo theo đó là sự cần thiết phải bảo vệ thông tin này một cách nghiêm ngặt. Việt Nam, với việc ban hành Nghị định 13/2023/NĐ-CP (“NĐ 13”), đã đặt ra một khuôn khổ pháp lý chi tiết về nghĩa vụ và trách nhiệm của các bên tham gia trong quá trình xử lý dữ liệu cá nhân, nhằm đảm bảo sự an toàn, bảo mật và minh bạch trong từng bước xử lý thông tin. Nghị định không chỉ nhấn mạnh vai trò của người kiểm soát và xử lý dữ liệu mà còn đề cao quyền lợi và sự bảo vệ dành cho chủ thể dữ liệu.

Bài viết này sẽ phân tích sâu vào các nghĩa vụ cụ thể mà Nghị định 13/2023/NĐ-CP đã đề ra, qua đó làm rõ những yêu cầu mà pháp luật Việt Nam đặt ra đối với các tổ chức, cá nhân liên quan trong việc xử lý dữ liệu cá nhân.

1. Các bên có liên quan đến dữ liệu cá nhân

Dữ liệu cá nhân được xem là tài nguyên cốt lõi nhưng đó cũng là vấn đề riêng tư của chủ sở hữu, vì vậy khi tham gia vào bất kỳ giao dịch thương mại hay hợp tác nào thì sự rõ ràng về vai trò và trách nhiệm của các bên liên quan đến xử lý dữ liệu là điều cần thiết. Dựa trên quy định của NĐ 13, chúng tôi xác định các bên tham gia trong quá trình xử lý dữ liệu cá nhân bao gồm:

Bên Kiểm soát dữ liệu cá nhân: Đây là tổ chức hoặc cá nhân đóng vai trò quyết định về mục đích và phương tiện của việc xử lý dữ liệu cá nhân. Họ là những người đặt ra các tiêu chuẩn và chính sách xử lý, đảm bảo tính phù hợp của dữ liệu trong bối cảnh nhất định và tuân thủ quy định pháp luật hiện hành. Bên Kiểm soát dữ liệu không chỉ chịu trách nhiệm pháp lý về cách thức thu thập, sử dụng và bảo vệ thông tin mà còn phải đảm bảo tính minh bạch trong quá trình này.

Bên Xử lý dữ liệu cá nhân: Là tổ chức hoặc cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát. Họ làm việc dựa trên các hợp đồng hoặc thỏa thuận và phải tuân thủ chặt chẽ các chỉ đạo và quy định đã được Bên Kiểm soát thiết lập. Vai trò của Bên Xử lý thường bao gồm các hoạt động như thu thập, lưu trữ, phân tích và bảo vệ dữ liệu.

Bên Kiểm soát và xử lý dữ liệu cá nhân: Là những cá nhân hoặc tổ chức đóng cả hai vai trò trên; họ quyết định mục đích và phương tiện xử lý dữ liệu và đồng thời cũng trực tiếp tham gia vào các hoạt động xử lý. Điều này đòi hỏi một hệ thống quản lý nội bộ chặt chẽ để đảm bảo việc xử lý dữ liệu tuân thủ các tiêu chuẩn an ninh và bảo mật thông tin.

Bên thứ ba: Bao gồm các tổ chức và cá nhân khác không phải là Chủ thể dữ liệu, Bên Kiểm soát, hoặc Bên Xử lý dữ liệu nhưng được phép xử lý dữ liệu cá nhân dựa trên sự đồng ý của Chủ thể dữ liệu hoặc như một phần của một thỏa thuận hợp pháp. Bên thứ ba có thể bao gồm các nhà cung cấp dịch vụ, đối tác kinh doanh và các đơn vị khác được ủy quyền để thực hiện các hoạt động cụ thể liên quan đến dữ liệu cá nhân.

Sự tương tác giữa các bên này cần phải được điều chỉnh một cách chặt chẽ và minh bạch, đảm bảo rằng mọi quy trình xử lý dữ liệu đều tuân thủ pháp luật, đồng thời bảo vệ quyền lợi và quyền riêng tư của chủ thể dữ liệu. Việc phân định rõ ràng trách nhiệm giữa các bên liên quan là chìa khóa để xây dựng lòng tin và duy trì tính bảo mật của dữ liệu cá nhân trong bất kỳ tổ chức nào.

2. Thông báo xử lý dữ liệu cá nhân là gì?

Trong khuôn khổ của Nghị định 13/2023/NĐ-CP, Điều 13 là một phần quan trọng quy định về nghĩa vụ thông báo xử lý dữ liệu cá nhân. Theo quy định này, việc thông báo cho chủ thể dữ liệu về các hoạt động xử lý dữ liệu cá nhân của họ là bắt buộc và cần được thực hiện trước khi các hoạt động này diễn ra. Điều này đảm bảo tính minh bạch và cho phép người dùng hiểu rõ mục đích cũng như phương thức xử lý thông tin cá nhân của họ.

Tuy nhiên, có những trường hợp đặc biệt mà việc thông báo này không cần thiết:

• Khi chủ thể dữ liệu đã có đầy đủ thông tin và tự nguyện đồng ý với mọi khía cạnh của quá trình xử lý dữ liệu cá nhân trước khi cung cấp dữ liệu của họ. Điều này bao gồm việc họ đã được thông báo chi tiết về mục đích và cách thức xử lý, đồng thời đã xác nhận sự đồng ý của mình theo các điều khoản đã được quy định rõ trong Nghị định.
• Trong trường hợp dữ liệu cá nhân được xử lý bởi các cơ quan nhà nước có thẩm quyền, nhằm phục vụ mục đích hoạt động của cơ quan nhà nước theo quy định của pháp luật.

Nghĩa vụ thông báo này thuộc về Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân, những đơn vị có quyền quyết định và trực tiếp xử lý thông tin cá nhân. Sự rõ ràng trong quy định này không chỉ giúp bảo vệ quyền lợi của chủ thể dữ liệu mà còn củng cố tính hợp pháp và chuyên nghiệp trong quản lý và xử lý dữ liệu cá nhân, tạo dựng lòng tin và đảm bảo tuân thủ pháp lý trong mọi hoạt động liên quan đến dữ liệu cá nhân.

3. Làm gì khi một bên nhận thấy có vi phạm quy định về bảo vệ dữ liệu cá nhân

Theo quy định, ngay khi phát hiện ra hành vi vi phạm bảo vệ dữ liệu cá nhân, Bên Kiểm soát và Bên Kiểm soát và xử lý dữ liệu cá nhân cần thông báo ngay lập tức cho Bộ Công an, cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, không quá 72 giờ sau khi vi phạm được phát hiện. Điều này không chỉ thể hiện tính cấp bách và khẩn trương trong việc xử lý các vi phạm mà còn nhấn mạnh tầm quan trọng của việc phối hợp chặt chẽ với các cơ quan thực thi pháp luật để đảm bảo hậu quả của việc vi phạm được giảm thiểu một cách hiệu quả nhất.

Mặt khác, Bên Xử lý dữ liệu cá nhân cũng có trách nhiệm thông báo ngay lập tức cho Bên Kiểm soát dữ liệu cá nhân về bất kỳ hành vi vi phạm nào mà họ nhận thức được. Điều này không chỉ giúp củng cố hệ thống phản ứng nhanh chóng trước các sự cố mà còn đảm bảo tính minh bạch và trách nhiệm giải trình giữa các bên liên quan.

Quy định trên đây cho thấy Việt Nam đang nỗ lực xây dựng một hệ thống pháp lý vững chắc, khuyến khích sự phối hợp giữa các tổ chức và cá nhân liên quan với nhà nước, qua đó tạo nền tảng vững chắc để bảo vệ dữ liệu cá nhân trong kỷ nguyên số hiện nay. Các biện pháp này không chỉ cải thiện đáng kể tính an toàn và bảo mật dữ liệu mà còn phản ánh sự quan tâm sâu sắc của chính phủ đối với quyền riêng tư cá nhân, một yếu tố ngày càng trở nên quan trọng trong xã hội hiện đại.

4. Trách nhiệm của các bên có liên quan đến dữ liệu cá nhân

Trong khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân, trách nhiệm của các cơ quan, tổ chức và cá nhân được quy định một cách chi tiết và nghiêm ngặt, từ việc thực hiện các biện pháp bảo mật đến trách nhiệm phối hợp với các cơ quan nhà nước, nhằm đảm bảo an toàn cho dữ liệu cá nhân trong mọi hoạt động xử lý.

Bên Kiểm soát dữ liệu cá nhân, có trách nhiệm trong việc áp dụng các biện pháp kỹ thuật và tổ chức để đảm bảo tính pháp lý của các hoạt động xử lý dữ liệu. Đặc biệt, việc lưu trữ nhật ký quá trình xử lý dữ liệu không chỉ phục vụ cho việc kiểm tra và giám sát mà còn là công cụ quan trọng trong việc phát hiện và thông báo các hành vi vi phạm. Các quy định này không chỉ nhằm bảo vệ dữ liệu mà còn củng cố trách nhiệm giải trình, yêu cầu Bên Kiểm soát phải lựa chọn Bên Xử lý dữ liệu thích hợp và bảo đảm quyền lợi của chủ thể dữ liệu, cụ thể:

• Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết;
• Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân;
• Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định;
• Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp;
• Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này;
• Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Bên Xử lý dữ liệu cá nhân, NĐ 13 quy định rõ trách nhiệm của bên được quyền xử lý dữ liệu cá nhân như sau:

• Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân;
• Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân;
• Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan;
• Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
• Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu;
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu, thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.

Trách nhiệm của Bên thứ Ba, thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Nghị định này.

Trách nhiệm của tổ chức, cá nhân có liên quan:

• Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác của dữ liệu cá nhân do mình cung cấp.
• Thực hiện quy định về bảo vệ dữ liệu cá nhân. tại Nghị định này.
• Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.
• Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới hoạt động bảo vệ dữ liệu cá nhân.

Qua việc những phân tích ở trên, chúng ta có thể thấy sự nghiêm ngặt trong việc đảm bảo an toàn, bảo mật và tuân thủ pháp lý trong mọi hoạt động liên quan đến dữ liệu cá nhân. Bằng cách củng cố trách nhiệm của từng bên từ Bên Kiểm soát đến Bên Xử lý dữ liệu cá nhân, nghị định không chỉ tăng cường bảo vệ cho chủ thể dữ liệu mà còn góp phần tạo dựng một môi trường sống động, minh bạch và an toàn trong kỷ nguyên số. Sự chắc chắn và minh bạch này không chỉ là bảo đảm cho sự tuân thủ pháp luật mà còn là nền tảng vững chắc cho sự phát triển bền vững và hiệu quả của mọi tổ chức, cá nhân trong xã hội hiện đại.

Thời gian viết bài: 18/07/2024

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Cập nhật mới nhất 2024 về điều kiện Nhà đầu tư nước ngoài kinh doanh dich vụ du lịch tại Việt Nam
• Tổng hợp tất cả vướng mắc của nhà đầu tư nước ngoài khi kinh doanh nhà hàng tại Việt Nam
• Những thông tin nào của người lao động được hiểu là dữ liệu cá nhân