Nghị định 13 là gì?
Vào ngày 17 tháng 4, Chính phủ Việt Nam đã thông báo về một Nghị định mới liên quan đến Bảo vệ Dữ liệu Cá nhân (Nghị định 13). Bên cạnh Luật An ninh mạng (Luật số 24/2018/QH14) ban hành vào ngày 12 tháng 6 năm 2018 và văn bản hướng dẫn thi hành đầu tiên, tức là Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022, Nghị định số 13 đánh dấu sự xuất hiện của tài liệu pháp lý thứ ba trong kế hoạch của Chính phủ để củng cố cơ sở pháp lý quản lý các hoạt động trên không gian mạng. Nghị định 13 tập trung vào việc định rõ hơn về trách nhiệm liên quan đến bảo vệ dữ liệu và an ninh mạng trong ngữ cảnh các hoạt động xử lý dữ liệu cá nhân.
Các quy định của Nghị định 13 chính thức có hiệu lực vào ngày 1 tháng 7 năm 2023. Do đó, trước ngày này, tất cả các tổ chức doanh nghiệp nên tiến hành phân tích và đánh giá sự tương thích giữa các biện pháp hiện tại để bảo vệ thông tin cá nhân và những quy định mới được đề ra trong Nghị định này.
Ai cần tuân thủ Nghị định 13?
Nghị định 13 áp dụng cho tất cả các tổ chức và cá nhân, liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam bất kể trong hoặc ngoài nước. Điều này áp dụng cho mọi đối tượng như nhân viên, khách hàng, nhà cung cấp, người dùng, và cá nhân khác. Thậm chí cả khi việc xử lý dữ liệu cá nhân xảy ra bên ngoài lãnh thổ Việt Nam.
Mặc dù có sự tương đồng với Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR), Nghị định 13 có một số điểm khác biệt quan trọng, ví dụ, trong việc chuyển dữ liệu cá nhân ra nước ngoài, việc thu thập sự đồng ý của người sở hữu dữ liệu, báo cáo đánh giá tác động, và căn cứ pháp lý cho việc xử lý dữ liệu cá nhân.
Các công ty đã áp dụng chính sách và triển khai các hoạt động quản lý quyền riêng tư dựa trên GDPR hoặc các quy định về quyền riêng tư khác không thể tự động coi là tuân thủ Nghị định 13.
Một số nội dung Nghị định 13 doanh nghiệp cần quan tâm
Dưới đây, A1 Consulting sẽ tóm tắt lại các nội dung chính trong Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.
Các định nghĩa, khái niệm mới
Một số định nghĩa, khái niệm mới trong Nghị định 13 được giải thích như sau:
- Dữ liệu cá nhân: là thông tin thể hiện dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh, hoặc dạng tương tự trên môi trường điện tử, liên quan trực tiếp hoặc có khả năng xác định một người cụ thể. Dữ liệu cá nhân bao gồm cả dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân cơ bản: là các thông tin cơ bản về một người, như tên, địa chỉ, số điện thoại, ngày tháng năm sinh, và các thông tin tương tự.
- Dữ liệu cá nhân nhạy cảm: là các thông tin nhạy cảm hơn và đòi hỏi sự bảo vệ đặc biệt. Điều này có thể bao gồm thông tin về tình trạng sức khỏe, tài chính cá nhân, thông tin về tôn giáo, vùng etnic, hoặc về tội phạm.
Nguyên tắc bảo vệ dữ liệu cá nhân
Dữ liệu cá nhân phải được xử lý dựa trên nguyên tắc tuân thủ luật pháp, minh bạch, với mục đích cụ thể, hạn chế phạm vi thu thập, đảm bảo sự chính xác, toàn vẹn, bảo mật, và tính chịu trách nhiệm.
Theo Điều 3 Nghị định 13/2023/NĐ-CP, 8 nguyên tắc bảo vệ dữ liệu cá nhân theo quy định như sau:
- Dữ liệu cá nhân được xử lý theo đúng quy định pháp luật;
- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình (trừ các trường hợp khác được quy định);
- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký và tuyên bố về xử lý dữ liệu cá nhân;
- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán trao đổi dưới mọi hình thức (trừ trường hợp có quy định);
- Dữ liệu cá nhân được cập nhật và bổ sung phù hợp với mục đích xử lý;
- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ và bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, phòng chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật;
- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu (trừ trường hợ pháp luật có quy định khác);
- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu và chứng minh sự tuân thủ của mình với các nguyên tắc này.
Thông báo xử lý dữ liệu cá nhân
Chủ thể dữ liệu cần nhận thông báo về loại dữ liệu cá nhân đang được thu thập, mục tiêu của việc thu thập và xử lý dữ liệu, cũng như danh sách các tổ chức hoặc bên thứ ba được ủy quyền truy cập dữ liệu bên cạnh thông tin khác.
Sự đồng ý của chủ thể dữ liệu
Sự đồng ý của chủ thể dữ liệu là điều kiện tối quan trọng khi xử lý dữ liệu cá nhân. Sự đồng ý này cần phải được thể hiện một cách rõ ràng (im lặng không được coi là sự đồng ý) và có thể bao gồm cả sự đồng ý một phần hoặc đồng ý với điều kiện đi kèm. Chủ thể dữ liệu được ủy quyền kiểm tra và yêu cầu truy cập vào dữ liệu cá nhân của họ. Trong trường hợp chủ thể dữ liệu quyết định rút lại sự đồng ý, dữ liệu cá nhân liên quan đến họ phải được xóa trong vòng 72 giờ.
Quyền yêu cầu bồi thường thiệt hại
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại trong trường hợp vi phạm các quy định được nêu trong Nghị định 13, dẫn đến tổn thất đối với quyền bảo vệ dữ liệu cá nhân của họ. Nghị định 13 cũng đặt ra quy định rõ ràng về việc thu thập, chuyển giao hoặc giao dịch dữ liệu cá nhân mà không có sự đồng ý của chủ thể, coi đây là một hành vi vi phạm luật.
Thông báo vi phạm
Trong vòng 72 giờ tính từ thời điểm xảy ra vi phạm liên quan đến bảo vệ dữ liệu cá nhân hoặc vi phạm khác, như được quy định trong Nghị định 13, Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân có nghĩa vụ thông báo cho Bộ Công an về vi phạm (kèm theo các biện pháp cần thiết để giảm thiểu tác hại) theo mẫu thông báo được đưa ra trong Nghị định 13.
Đánh giá tác động
Trong vòng 60 ngày kể từ thời điểm bắt đầu quá trình xử lý dữ liệu cá nhân, tổ chức xử lý dữ liệu phải sẵn sàng Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hồ sơ này cần phải được thực hiện theo biểu mẫu được công bố trong Nghị định và phải chứa thông tin về Bên Kiểm soát dữ liệu cá nhân cũng như Bên Kiểm soát và xử lý dữ liệu cá nhân. Việc đánh giá tác động này sẽ được thẩm định bởi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao). Hồ sơ đánh giá tác động sẽ cần phải được điều chỉnh và cập nhật để phù hợp với bất kỳ thay đổi nào trong quá trình xử lý dữ liệu cá nhân từ phía tổ chức xử lý.
Chuyển dữ liệu cá nhân ra nước ngoài
Để xuất dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, theo Nghị định 13, một quy trình cần phải được tuân theo. Quy trình này đòi hỏi việc chuẩn bị một Hồ sơ đánh giá tác động liên quan. Hồ sơ này bao gồm mô tả lý do và mục tiêu của việc chuyển dữ liệu ra nước ngoài, cùng với sự đồng ý của chủ thể dữ liệu liên quan. Hồ sơ đánh giá tác động cũng phải bao gồm một thỏa thuận bằng văn bản với tổ chức tiếp nhận dữ liệu tại quốc gia ngoài. Hồ sơ đánh giá tác động phải luôn sẵn sàng tại tổ chức chuyển dữ liệu để phục vụ việc kiểm tra. Một bản chính của hồ sơ đánh giá tác động cần phải được gửi đến Bộ Công an trong vòng 60 ngày tính từ thời điểm xử lý dữ liệu cá nhân. Nghị định cũng thiết lập các biểu mẫu cần thiết để việc chuẩn bị hồ sơ đánh giá tác động này. Tổ chức xuất dữ liệu cũng phải cập nhật hồ sơ đánh giá tác động trong trường hợp có sự thay đổi (và gửi bản cập nhật cho Bộ Công an). Bộ Công an có thẩm quyền kiểm tra việc xuất dữ liệu cá nhân ra nước ngoài và có thể ra quyết định ngừng việc này trong trường hợp không tuân thủ quy định tại Nghị định.
Biện pháp bảo vệ
Mọi tổ chức cần thiết lập quy trình nội bộ về bảo vệ dữ liệu cá nhân, tuân theo các quy định được đưa ra trong Nghị định 13. Họ cũng cần tuân thủ các yêu cầu liên quan đến an ninh mạng và khả năng xóa dữ liệu cá nhân trong thời hạn 72 giờ. Ngoài ra, Nghị định quy định các biện pháp bảo vệ cần được áp dụng ở mức độ cao hơn trong trường hợp xử lý dữ liệu nhạy cảm và xử lý dữ liệu của trẻ em.
Các hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân
Theo Điều 8 Nghị định 13 này quy định về các hành vi bị nghiêm cấm bao gồm:
- Xử lý dữ liệu cá nhân trái với quy định của pháp luật;
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa XHCN Việt Nam.
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức hoặc cá nhân khác.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân của các cơ quan có thẩm quyền.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện vi phạm pháp luật.
Chế tài
Việc không tuân thủ các quy định trong Nghị định 13 này có thể gây ra các chế tài như sau:
- Xử phạt vi phạm hành chính khi không tuân thủ các quy định của Nghị định 13.
- Xử lý hình sự trong trường hợp xảy ra các hành vi xâm phạm quyền riêng tư.
- Đình chỉ hoặc ngừng một số hoạt động cụ thể, như quyết định ngừng việc chuyển dữ liệu ra nước ngoài.
Doanh nghiệp cần làm gì để tuân thủ Nghị định 13?
Trên đây A1 Consulting đã phác thảo một số yêu cầu tuân thủ chính của Nghị định 13. Để chấp hành tốt Nghị định 13, doanh nghiệp cần thực hiện các công việc sau đây:
- Thu thập sự đồng ý của chủ thể dữ liệu
- Xây dựng Quy chế nội bộ, quy trình nội bộ phù hợp, phối hợp giữa các phòng ban, biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân
- Thành lập bộ phận chuyên trách về bảo vệ dữ liệu cá nhân
- Xây dựng thỏa thuận giữa Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân
- Xây dựng, rà soát và bổ sung Hợp đồng mẫu và các tài liệu liên quan đáp ứng yêu cầu để bảo vệ dữ liệu cá nhân;
- Tài liệu hướng dẫn nội bộ tuân thủ quy định Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân;
- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
- Chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân liên quan đến chuyển dữ liệu cá nhân ra nước ngoài.
Doanh nghiệp cần làm gì khi triển khai ERP để chấp hành đúng Nghị định 13?
Việc triển khai ERP là cần thiết cho mỗi doanh nghiệp. Để tuân thủ Nghị định 13, doanh nghiệp cần thực hiện các bước sau:
- Đánh giá yêu cầu pháp lý và hiện trạng
- Xác định các quy định cụ thể của Nghị định 13 liên quan đến quản lý dữ liệu cá nhân và bảo mật.
- Đánh giá hệ thống hiện tại để xác định khoảng cách và rủi ro liên quan đến bảo vệ dữ liệu.
- Lựa chọn giải pháp ERP phù hợp
- Ưu tiên các hệ thống ERP có khả năng tích hợp các tính năng bảo mật, mã hóa dữ liệu, kiểm soát truy cập, và tuân thủ các tiêu chuẩn quốc tế về bảo vệ dữ liệu (như GDPR hoặc ISO 27001).
- Hợp tác với các nhà cung cấp và đơn vị tư vấn có kinh nghiệm, hiểu rõ các yêu cầu pháp lý trong nước.
- Xây dựng quy trình bảo mật dữ liệu trong ERP
- Tích hợp các quy trình kiểm soát truy cập chặt chẽ, theo dõi và giám sát dữ liệu cá nhân trong hệ thống ERP.
- Thiết lập chính sách lưu trữ, xử lý và xóa dữ liệu theo quy định của Nghị định 13.
- Đào tạo nhân sự
- Tổ chức các chương trình đào tạo cho nhân viên về quy trình vận hành ERP và trách nhiệm bảo vệ dữ liệu cá nhân.
- Thường xuyên kiểm tra và cập nhật hệ thống
- Định kỳ đánh giá hệ thống ERP để đảm bảo tính tuân thủ và kịp thời cập nhật theo các thay đổi pháp lý hoặc rủi ro an ninh mới.
Kết luận
Trên đây là những thông tin chính về Nghị định 13/2023/NĐ-CP, có hiệu lực thi hành từ 1/7/2023 về Bảo vệ dữ liệu cá nhân.
Nghị định 13 yêu cầu doanh nghiệp tuân thủ chặt chẽ trong quản lý và bảo vệ dữ liệu, đặc biệt khi tích hợp các hệ thống như ERP. Điều này đòi hỏi doanh nghiệp phải lựa chọn một đơn vị tư vấn ERP uy tín, có khả năng cung cấp giải pháp tối ưu, đảm bảo an toàn dữ liệu và tuân thủ quy định pháp luật.
A1 Consulting tự hào là đối tác tin cậy, có kinh nghiệm lâu năm sẵn sàng đồng hành cùng doanh nghiệp của bạn để triển khai ERP hiệu quả và bền vững.
Để được tư vấn, giải đáp thắc mắc vui lòng liên hệ với chúng tôi ngay hôm nay.