Triển khai tuân thủ: Các nghĩa vụ chính của Bên xử lý dữ liệu theo Nghị định 13/2023/NĐ-CP

Trong hai bài đăng trước, chúng ta đã khám phá bảy nguyên tắc cốt lõi trong xử lý dữ liệu cá nhân và 11 quyền của chủ thể dữ liệu theo Nghị định 13/2023/NĐ-CP. Giờ đây, chúng ta sẽ đi sâu vào khía cạnh quan trọng không kém: các nghĩa vụ chi tiết mà Nghị định này đặt ra cho “Bên Xử lý dữ liệu cá nhân” (Data Processor), thường là các tổ chức hoạt động theo hợp đồng với “Bên Kiểm soát dữ liệu cá nhân” (Data Controller) hoặc “Bên Kiểm soát và xử lý dữ liệu cá nhân” (Data Controller and Processor).

Việc hiểu rõ và tuân thủ các nghĩa vụ này là tối quan trọng đối với mọi doanh nghiệp, không chỉ để tránh các hình phạt pháp lý mà còn để xây dựng một nền tảng vững chắc về an ninh mạng và niềm tin của khách hàng.

I. Triển khai tuân thủ: Các nghĩa vụ chính của Bên xử lý dữ liệu (Điều 11-26)

Nghị định 13 phác thảo các nghĩa vụ rộng lớn cho “Bên Xử lý dữ liệu cá nhân”, thường hoạt động theo hợp đồng với “Bên Kiểm soát dữ liệu cá nhân” hoặc “Bên Kiểm soát và xử lý dữ liệu cá nhân”. Các trách nhiệm này được quy định chi tiết trong Điều 11 đến Điều 26 và bao gồm một loạt các khía cạnh hoạt động và quản trị.

  1. Quản lý sự đồng ý (Điều 11, 12)

Sự đồng ý là nền tảng cho hầu hết các hoạt động xử lý dữ liệu. Sự đồng ý phải tự nguyện, cụ thể và có thông tin, trong đó chủ thể dữ liệu phải nhận thức đầy đủ về loại dữ liệu, mục đích, thực thể xử lý và các quyền/nghĩa vụ của họ. Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc thông qua một hành động khác thể hiện được điều này, và phải có định dạng có thể in/sao chép. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu KHÔNG được coi là sự đồng ý. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. Đối với dữ liệu nhạy cảm, cần có thông báo rõ ràng rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

Chủ thể dữ liệu có thể rút lại sự đồng ý bất cứ lúc nào, điều này yêu cầu bên xử lý phải ngừng xử lý và thông báo cho các bên liên quan. Bên xử lý cũng phải thông báo cho chủ thể dữ liệu về những hậu quả tiềm ẩn khi rút lại sự đồng ý.

  • Ý nghĩa đối với doanh nghiệp: Các doanh nghiệp phải thiết lập các quy trình thu thập và quản lý sự đồng ý rõ ràng, có thể kiểm chứng, đặc biệt là đối với dữ liệu nhạy cảm. Hệ thống phải cho phép chủ thể dữ liệu dễ dàng rút lại sự đồng ý và đảm bảo việc ngừng xử lý dữ liệu được thực hiện kịp thời.
  1. Thông báo và minh bạch (Điều 13)

Bên xử lý phải thông báo cho chủ thể dữ liệu một lần trước khi bắt đầu xử lý. Nội dung thông báo bao gồm mục đích, loại dữ liệu, phương thức xử lý, các bên liên quan, rủi ro/thiệt hại tiềm ẩn và thời gian xử lý. Việc thông báo không bắt buộc nếu chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ nội dung trước khi thu thập dữ liệu, hoặc nếu dữ liệu được cơ quan nhà nước có thẩm quyền xử lý để phục vụ hoạt động của cơ quan nhà nước.

  • Ý nghĩa đối với doanh nghiệp: Đảm bảo các chính sách quyền riêng tư và thông báo thu thập dữ liệu của bạn rõ ràng, toàn diện và dễ tiếp cận.
  1. Cung cấp, chỉnh sửa, lưu trữ và xóa dữ liệu (Điều 14, 15, 16)

Bên xử lý phải cung cấp dữ liệu cá nhân của chủ thể dữ liệu theo yêu cầu trong vòng 72 giờ, trừ khi có miễn trừ pháp lý. Bên xử lý phải chỉnh sửa dữ liệu theo yêu cầu của chủ thể dữ liệu, hoặc thông báo cho họ trong vòng 72 giờ nếu không thể thực hiện. Bên xử lý phải lưu trữ dữ liệu một cách phù hợp và thực hiện các biện pháp bảo vệ. Bên xử lý phải xóa dữ liệu khi không còn cần thiết cho mục đích, sự đồng ý bị rút lại, hoặc có vi phạm pháp luật, thường trong vòng 72 giờ kể từ khi có yêu cầu. Việc xóa không thể khôi phục là bắt buộc khi việc xử lý hoàn tất hoặc thực thể ngừng hoạt động.

  • Ý nghĩa đối với doanh nghiệp: Cần có các hệ thống và quy trình kỹ thuật mạnh mẽ để nhanh chóng truy xuất, chỉnh sửa và xóa dữ liệu cá nhân một cách an toàn và không thể khôi phục, đáp ứng các khung thời gian nghiêm ngặt.
  1. Xử lý dữ liệu không cần sự đồng ý (Điều 17, 18)

Sự đồng ý không bắt buộc trong các trường hợp khẩn cấp (bảo vệ tính mạng/sức khỏe – có yêu cầu chứng minh từ bên xử lý), công khai dữ liệu theo quy định của pháp luật, quốc phòng/an ninh/trật tự an toàn xã hội, thực hiện nghĩa vụ hợp đồng, hoặc phục vụ hoạt động của cơ quan nhà nước. Dữ liệu từ các hoạt động ghi âm, ghi hình tại nơi công cộng có thể được xử lý cho mục đích an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp mà không cần sự đồng ý, nhưng thường yêu cầu thông báo.

  • Ý nghĩa đối với doanh nghiệp: Hiểu rõ các trường hợp ngoại lệ này để đảm bảo tuân thủ, đồng thời luôn sẵn sàng chứng minh tính hợp pháp của việc xử lý dữ liệu trong các tình huống này.
  1. Xử lý dữ liệu nhạy cảm và dữ liệu của các nhóm dễ bị tổn thương (Điều 19, 20)

Dữ liệu cá nhân nhạy cảm được định nghĩa bao gồm quan điểm chính trị/tôn giáo, tình trạng sức khỏe và đời tư, nguồn gốc chủng tộc/dân tộc, đặc điểm di truyền/sinh học, đời sống tình dục, hồ sơ tội phạm, và dữ liệu tài chính/vị trí.

Việc xử lý dữ liệu của trẻ em yêu cầu sự đồng ý của cả trẻ em (nếu từ 7 tuổi trở lên) và cha, mẹ hoặc người giám hộ, cùng với việc xác minh độ tuổi. Bên xử lý phải ngừng xử lý hoặc xóa dữ liệu nếu sự đồng ý bị rút lại hoặc nếu việc xử lý gây ảnh hưởng đến quyền và lợi ích hợp pháp của trẻ em. Dữ liệu của người bị tuyên bố mất tích hoặc đã chết yêu cầu sự đồng ý của vợ, chồng, con thành niên hoặc cha, mẹ.

  • Ý nghĩa đối với doanh nghiệp: Các doanh nghiệp xử lý dữ liệu nhạy cảm hoặc dữ liệu của trẻ em phải áp dụng các biện pháp bảo vệ tăng cường, bao gồm cơ chế đồng ý kép và quy trình xác minh độ tuổi/mối quan hệ chặt chẽ.
  1. Dữ liệu trong tiếp thị và quảng cáo (Điều 21)

Các tổ chức chỉ được sử dụng dữ liệu cá nhân của khách hàng cho dịch vụ tiếp thị/quảng cáo nếu có sự đồng ý rõ ràng của chủ thể dữ liệu, dựa trên kiến thức rõ ràng về nội dung, phương thức, hình thức và tần suất giới thiệu sản phẩm. Gánh nặng chứng minh việc sử dụng đúng quy định thuộc về tổ chức.

  • Ý nghĩa đối với doanh nghiệp: Đảm bảo các hoạt động tiếp thị và quảng cáo dựa trên dữ liệu cá nhân đều có sự đồng ý rõ ràng và có thể chứng minh được.
  1. Ngăn chặn thu thập và chuyển giao dữ liệu trái phép (Điều 22)

Các bên xử lý phải thực hiện các biện pháp để ngăn chặn việc thu thập dữ liệu trái phép từ hệ thống của họ. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu là hành vi bị cấm.

  • Ý nghĩa đối với doanh nghiệp: Cấm rõ ràng việc mua bán dữ liệu cá nhân mà không có sự đồng ý thích hợp. Điều này đòi hỏi các doanh nghiệp phải đánh giá lại hoàn toàn các chiến lược kiếm tiền từ dữ liệu và đảm bảo các kênh thu thập dữ liệu của họ hoàn toàn tuân thủ và minh bạch.
  1. Thông báo vi phạm (Điều 23)

Bên xử lý dữ liệu phải thông báo cho Bên Kiểm soát dữ liệu cá nhân càng nhanh càng tốt khi phát hiện vi phạm. Bên Kiểm soát dữ liệu phải thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi phát hiện vi phạm. Nội dung thông báo bao gồm tính chất vi phạm, chi tiết liên hệ của cán bộ phụ trách bảo vệ dữ liệu, hậu quả và các biện pháp giảm thiểu.

  • Ý nghĩa đối với doanh nghiệp: Phát triển và thử nghiệm các kế hoạch ứng phó sự cố an ninh mạng mạnh mẽ, bao gồm các quy trình thông báo vi phạm rõ ràng và kịp thời cho cả Bên Kiểm soát dữ liệu và cơ quan chức năng.
  1. Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) (Điều 24)

Bên xử lý dữ liệu có nghĩa vụ lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ DPIA phải bao gồm thông tin chi tiết về bên xử lý, các hoạt động xử lý, loại dữ liệu, thời gian xử lý, chuyển dữ liệu ra nước ngoài, các biện pháp bảo vệ, hậu quả tiềm ẩn và biện pháp giảm thiểu. Hồ sơ phải được gửi cho Bộ Công an trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu cá nhân và phải được cập nhật khi có thay đổi.

  • Ý nghĩa đối với doanh nghiệp: DPIA là một yêu cầu bắt buộc, đòi hỏi các doanh nghiệp phải chủ động đánh giá rủi ro và tác động của các hoạt động xử lý dữ liệu của họ, đặc biệt là khi xử lý dữ liệu nhạy cảm hoặc thực hiện các hoạt động xử lý quy mô lớn.
  1. Chuyển dữ liệu cá nhân ra nước ngoài (Điều 25)

Việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài yêu cầu bên chuyển (bao gồm cả Bên Xử lý dữ liệu cá nhân) phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và tuân thủ các thủ tục cụ thể. Hồ sơ này phải bao gồm thông tin của các bên chuyển/nhận, mục tiêu xử lý sau khi chuyển, loại dữ liệu, các biện pháp tuân thủ, đánh giá tác động, sự đồng ý của chủ thể dữ liệu và các thỏa thuận ràng buộc. Hồ sơ phải được gửi cho Bộ Công an trong vòng 60 ngày. Bộ Công an có thể kiểm tra các hoạt động chuyển dữ liệu hàng năm và yêu cầu ngừng chuyển nếu có vi phạm hoặc sự cố rò rỉ/mất dữ liệu.

  • Ý nghĩa đối với doanh nghiệp: Các yêu cầu nghiêm ngặt đối với việc chuyển dữ liệu quốc tế đặt ra một trở ngại đáng kể cho các doanh nghiệp toàn cầu. Điều này đòi hỏi các quy trình nội bộ mạnh mẽ để thực hiện các đánh giá này, giám sát liên tục và sẵn sàng cho việc kiểm tra và can thiệp tiềm năng từ Bộ Công an.
  1. Các biện pháp bảo vệ bắt buộc (Điều 26)

Các biện pháp bảo vệ phải được áp dụng ngay từ khi bắt đầu và trong suốt toàn bộ vòng đời xử lý dữ liệu. Các biện pháp này bao gồm các biện pháp quản lý (ví dụ: quy định nội bộ, chỉ định cán bộ phụ trách bảo vệ dữ liệu, đào tạo) và các biện pháp kỹ thuật (ví dụ: mã hóa dữ liệu, tường lửa, phần mềm diệt virus cập nhật, sao lưu dữ liệu định kỳ, kiểm soát truy cập chặt chẽ và giám sát liên tục các hoạt động bất thường).

  • Ý nghĩa đối với doanh nghiệp: Bảo vệ dữ liệu không chỉ là chức năng của công nghệ thông tin mà còn là trách nhiệm toàn diện của tổ chức. Các doanh nghiệp phải áp dụng một cách tiếp cận toàn diện và tích hợp đối với an ninh dữ liệu, bao gồm cả chính sách nội bộ, đào tạo nhân viên và quản trị mạnh mẽ.

II. Tác động đối với An ninh mạng và Doanh nghiệp

Các nghĩa vụ được quy định trong Điều 11-26 của Nghị định 13/2023/NĐ-CP có tác động sâu sắc đến cách các doanh nghiệp vận hành và quản lý an ninh mạng:

  • Yêu cầu về quản trị dữ liệu toàn diện: Các doanh nghiệp không chỉ cần có các giải pháp kỹ thuật mà còn phải xây dựng các chính sách, quy trình nội bộ rõ ràng, phân công trách nhiệm cụ thể và tiến hành đào tạo nhân viên thường xuyên.
  • Tăng cường đầu tư vào an ninh mạng: Các yêu cầu về bảo mật dữ liệu, thông báo vi phạm và các biện pháp bảo vệ bắt buộc đòi hỏi các doanh nghiệp phải đầu tư đáng kể vào công nghệ an ninh mạng tiên tiến, bao gồm mã hóa, tường lửa, hệ thống phát hiện xâm nhập và các giải pháp sao lưu dữ liệu.
  • Quản lý rủi ro chủ động: Việc bắt buộc thực hiện Đánh giá tác động bảo vệ dữ liệu (DPIA) và Đánh giá tác động chuyển dữ liệu quốc tế (DTIA) thúc đẩy các doanh nghiệp chủ động xác định, đánh giá và giảm thiểu rủi ro liên quan đến xử lý dữ liệu.
  • Minh bạch và trách nhiệm giải trình: Các doanh nghiệp phải có khả năng chứng minh sự tuân thủ của mình thông qua tài liệu chi tiết, hồ sơ kiểm toán và các báo cáo định kỳ cho cơ quan chức năng.
  • Thách thức đối với hoạt động quốc tế: Các quy định nghiêm ngặt về chuyển dữ liệu ra nước ngoài có thể ảnh hưởng đến kiến trúc luồng dữ liệu toàn cầu và yêu cầu lập kế hoạch pháp lý và kỹ thuật cẩn thận.

III. Kết Luận: Xây Dựng Tương Lai Kỹ Thuật Số An Toàn tại Việt Nam

Nghị định 13/2023/NĐ-CP đại diện cho một bước tiến đáng kể trong cam kết của Việt Nam đối với việc bảo vệ dữ liệu cá nhân. Nó thiết lập một khung pháp lý vững chắc, trao quyền cho các cá nhân và đặt ra các nghĩa vụ rõ ràng, toàn diện cho các tổ chức.

Đối với các doanh nghiệp, việc tuân thủ không chỉ là một thủ tục pháp lý mà còn là một yêu cầu chiến lược, đòi hỏi các biện pháp chủ động, khả năng thích ứng liên tục và sự hiểu biết sâu sắc về các sắc thái của luật pháp Việt Nam.

Bằng cách áp dụng các quy định này, Việt Nam đặt mục tiêu thúc đẩy một môi trường kỹ thuật số an toàn và đáng tin cậy hơn, đồng thời thúc đẩy quyền riêng tư cá nhân và đổi mới có trách nhiệm.

Tuyên bố miễn trừ trách nhiệm: Ấn phẩm này chỉ nhằm mục đích cập nhật thông tin chung. Đây không được coi là tư vấn chuyên môn cho bất kỳ trường hợp, tổ chức hoặc cá nhân cụ thể nào.