Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có gì mới?

Reading Time: 6 minutes

Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, hay Nghị định 13, do Chính phủ Việt Nam ban hành đã chính thức có hiệu lực kể từ ngày 01/07/2023 với một số điểm mới nổi bật đáng chú ý dành cho doanh nghiệp.

Tổng quan về Nghị định 13

Sau hơn 02 năm kể từ khi được đề cập lần đầu tiên trong Nghị quyết số 17/NQ-CP của Chính phủ, Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân đã chính thức có văn bản hoàn chỉnh.

Xem bản đầy đủ của Nghị đinh 13 về Bảo vệ dữ liệu cá nhân do Chính phủ ban hành

Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, hay Nghị định 13 là văn bản pháp lý do Chính phủ Việt Nam ban hành ngày 17/04/2023 và chính thức có hiệu lực kể từ ngày 01/07/2023. Văn bản ra đời với mục đích tăng cường khung pháp lý và điều chỉnh các hoạt động trên không gian mạng với các quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu trong các hoạt động xử lý dữ liệu cá nhân. [1] Sau Luật An ninh mạng số 24/2018/QH14 ngày 12/06/2018 và Nghị định số 53/2022/NĐ-CP ngày 15/08/2022, Nghị định 13 là văn bản pháp lý thứ 3 được ban hành do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chịu trách nhiệm quản lý, giúp Bộ Công an thực hiện quản lý nhà nước về luật bảo vệ dữ liệu cá nhân. [2] Nghị định 13 gồm tổng cộng 4 Chương và 44 Điều, có những khái niệm và quy định rõ ràng về Dữ liệu cá nhân và các thông tin liên quan. Theo đó, dữ liệu cá nhân được chia thành hai loại: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm. >> Xem thêm Hướng dẫn tuân thủ Nghị định 13/2023 cho doanh nghiệp

Các điểm mới đáng chú ý trong Nghị định 13

Vi phạm quy định về bảo vệ dữ liệu cá nhân có thể bị xử lý hình sự

Nghị định 13 đã quy định rõ ba mức độ của hình phạt khi tổ chức và cá nhân liên quan vi phạm. Theo Điều 4, các cơ quan, tổ chức và cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ phải chịu các biện pháp xử lý cụ thể như sau:

• Xử lý kỷ luật: Áp dụng các biện pháp kỷ luật dựa theo chính sách nội bộ của công ty đối với cán bộ, nhân viên và thành viên trong tổ chức.
• Xử phạt hành chính: Áp dụng các biện pháp xử phạt hành chính, như phạt tiền hoặc hình thức xử phạt khác tương ứng tuỳ theo mức độ vi phạm mà Nghị định 13 đã quy định.
• Xử lý hình sự: Áp dụng các biện pháp xử lý hình sự theo quy định nếu có vi phạm liên quan đến tội phạm hoặc hành vi phạm tôi theo luật pháp hiện hành.

Những trường hợp đặc biệt không cần sự đồng ý của chủ thể dữ liệu

• Việc xử lý dữ liệu cá nhân với mục đích bảo vệ tính mạng của chủ thể dữ liệu hoặc người khác trong trường hợp khẩn cấp của các bên liên quan bao gồm Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, thậm chí Bên thứ ba có liên quan. Các bên này đều có trách nhiệm chứng minh lý do khẩn cấp cần sử dụng dữ liệu cá nhân của chủ thể trong trường hợp này.
• Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp khẩn cấp liên quan đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm hoạ, dịch bệnh; khi an ninh, quốc phòng có nguy cơ bị đe doạ nhưng chưa đến mức ban bố tình trạng khẩn cấp; hoặc phòng chống bạo loạn, khủng bố, tội phạm theo quy định của pháp luật.
• Việc xử lý dữ liệu cá nhân với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật, được thu thập từ hoạt động như ghi âm, ghi hình tại nơi công cộng.
• Việc công khai dữ liệu cá nhân theo quy định của luật nhằm phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành hoặc để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan.

Xem thêm: Ảnh hưởng của Nghị định 13 đối với nhóm doanh nghiệp vừa và nhỏ

Các doanh nghiệp nhỏ và khởi nghiệp được miễn trừ 2 năm

“Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp.”

Như vậy, nếu tổng thời gian thành lập của doanh nghiệp là dưới 02 năm tính đến ngày 01/07/2023, doanh nghiệp sẽ được miễn trừ tuân thủ trong khoảng thời gian 02 năm, tức Nghị định 13 sẽ chính thức có hiệu lực với các đối tượng doanh nghiệp kể trên từ ngày 01/07/2025. Tuy nhiên, các doanh nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không được áp dụng điều này.

Một số thay đổi trong việc chuyển dữ liệu cá nhân ra nước ngoài

Khác với Dự thảo Bảo vệ dữ liệu cá nhân, Nghị định 13 đã bỏ yêu cầu đăng ký chuyển dữ liệu cá nhân ra nước ngoài, bao gồm cả dữ liệu cá nhân nhạy cảm. Thay vào đó, một số điều kiện khác đã được đặt ra cho bên chuyển dữ liệu, theo Điều 25:

• Có sự đồng ý của chủ thể dữ liệu trước khi chuyển tiếp dữ liệu cá nhân ra nước ngoài.
• Lập và lưu giữ “Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài”, đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Gửi 01 bản chính hồ sơ tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an theo mẫu trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
• Có trách nhiệm báo cáo cho Bộ Công an khi có bất kỳ cập nhật hoặc thay đổi nào đối với “Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài”
• Sau khi chuyển dữ liệu thành công, cần gửi văn bản thông báo đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, nêu rõ nội dung chuyển dữ liệu và thông tin liên hệ của tổ chức hoặc cá nhân chịu trách nhiệm.

Bộ Công an có quyền yêu cầu bên chuyển dữ liệu cá nhân ra nước ngoài tạm dừng hoạt động trong trường hợp:

• Phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam

• Không tuân thủ yêu cầu của Bộ Công an về việc sửa đổi Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
• Để xảy ra sự cố rò rỉ, mất dữ liệu cá nhân của công dân Việt Nam.

Nội địa hóa dữ liệu đối với việc chuyển dữ liệu cá nhân ra nước ngoài: Nghị định 13 không yêu cầu dữ liệu cá nhân phải được lưu trữ tại Việt Nam trong trường hợp chuyển dữ liệu cá nhân ra nước ngoài. Tuy nhiên, trong Nghị định 53/2022/NĐ-CP Quy định chi tiết một số điều của Luật An ninh mạng, Chính phủ Việt Nam có yêu cầu liên quan đến vấn đề này. Vì vậy, doanh nghiệp vẫn cần lưu giữ các dữ liệu cá nhân của chủ thể, đảm bảo đáp ứng yêu cầu của các văn bản pháp luật Việt Nam hiện hành.

>> Có thể bạn quan tâm: Bảo mật thông tin khách hàng

Kết luận

Nghị định 13 đã đánh dấu cột mốc mới quan trọng trong việc bảo vệ dữ liệu cá nhân và tôn trọng quyền riêng tư tại Việt Nam. Với những thay đổi đáng lưu ý này, tuân thủ và đáp ứng các yêu cầu của Nghị định vừa là thách thức cũng vừa là cơ hội to lớn để để xây dựng hình ảnh và thương hiệu của doanh nghiệp trong mắt khách hàng. Hiện nay, CyStack đã hoàn thành bộ giải pháp hoàn chỉnh giúp doanh nghiệp đảm bảo tuân thủ Nghị định 13 về Bảo vệ dữ liệu cá nhân của Chính phủ. Hãy liên hệ với chúng tôi ngay để được tư vấn chi tiết.

Tài liệu tham khảo

[1] Ban Biên tập Bộ Công an (2023), Từ 01/7/2023 bắt đầu áp dụng quy định về bảo vệ dữ liệu cá nhân.

[2] Văn Toản (2023), Nghị định về bảo vệ dữ liệu cá nhân chính thức có hiệu lực.