Luật Bảo vệ Dữ liệu Cá nhân tại Việt Nam: Hướng dẫn Tuân thủ Nghị định PDPD

Pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam: Hướng dẫn tuân thủ PDPD

Lời mở đầu

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPD) của Việt Nam, có hiệu lực từ ngày 01/7/2023, đã thiết lập khung pháp lý toàn diện đầu tiên về bảo vệ dữ liệu cá nhân tại quốc gia. Đối với các doanh nghiệp hoạt động tại Việt Nam hoặc hướng đến thị trường Việt Nam, việc tuân thủ hiện nay là yêu cầu bắt buộc.

Phạm vi và đối tượng áp dụng

Ai phải tuân thủ?

Tất cả các tổ chức xử lý dữ liệu cá nhân của các cá nhân tại Việt NamCả các tổ chức Việt Nam và nước ngoàiÁp dụng bất kể nơi xử lý dữ liệu diễn ra

Dữ liệu cá nhân là gì?

Dữ liệu cá nhân cơ bản: Họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, email, quốc tịch, số căn cước, hình ảnh.

Dữ liệu cá nhân nhạy cảm: Quan điểm chính trị, niềm tin tôn giáo, dữ liệu sức khỏe, dữ liệu tài chính, xu hướng giới tính, dữ liệu sinh trắc học, dữ liệu di truyền, tiền án tiền sự, dữ liệu vị trí.

Các nghĩa vụ chính

1. Sự đồng ý

Phải có được sự đồng ý rõ ràng trước khi xử lý dữ liệu cá nhânSự đồng ý phải được cung cấp đầy đủ thông tin, cụ thể và tự nguyệnĐối với dữ liệu nhạy cảm: sự đồng ý phải được tách bạch và rõ ràngPhải có khả năng chứng minh rằng sự đồng ý đã được thu thập

2. Thỏa thuận xử lý dữ liệu

Bắt buộc đối với mọi hoạt động xử lý dữ liệu. Phải bao gồm:

Mục đích xử lýLoại dữ liệu được xử lýThời hạn xử lýCác biện pháp bảo mậtQuyền của chủ thể dữ liệu

3. Đánh giá tác động xử lý dữ liệu cá nhân

Bắt buộc khi:

Xử lý dữ liệu cá nhân nhạy cảmXử lý dữ liệu của trẻ emChuyển dữ liệu xuyên biên giớiSử dụng công nghệ mới để xử lýXử lý dữ liệu phục vụ ra quyết định tự động

4. Thông báo về vi phạm dữ liệu

Thông báo cho Bộ Công an trong vòng 72 giờThông báo cho các chủ thể dữ liệu bị ảnh hưởng không chậm trễ quá mứcLập hồ sơ tất cả các vi phạm bất kể nghĩa vụ thông báo

Quyền của chủ thể dữ liệu

Các cá nhân có quyền:

Được thông báo về việc thu thập và xử lý dữ liệuĐồng ý hoặc từ chối việc xử lý dữ liệuTruy cập dữ liệu cá nhân của mìnhChỉnh sửa dữ liệu không chính xácXóa dữ liệu của mìnhHạn chế việc xử lýPhản đối việc xử lýKhả năng dịch chuyển dữ liệu — nhận dữ liệu theo định dạng có cấu trúcKhiếu nại với cơ quan có thẩm quyềnYêu cầu bồi thường thiệt hại do vi phạm

Chuyển dữ liệu xuyên biên giới

Yêu cầu

Chuyển dữ liệu cá nhân ra ngoài Việt Nam đòi hỏi:

Sự đồng ý của chủ thể dữ liệuĐánh giá tác động xử lý dữ liệu cá nhânThông báo cho Bộ Công anTổ chức chuyển dữ liệu vẫn chịu trách nhiệm về bảo vệ dữ liệuThỏa thuận bằng văn bản với bên tiếp nhận

Bản địa hóa dữ liệu

Không có yêu cầu bản địa hóa dữ liệu chungCác lĩnh vực cụ thể (ngân hàng, viễn thông) có thể có quy định về bản địa hóaDữ liệu của cơ quan nhà nước phải được lưu trữ tại Việt Nam

Chế tài

Phạt hành chính: lên đến 100 triệu đồng cho mỗi hành vi vi phạmTrách nhiệm hình sự: có thể áp dụng đối với các vi phạm nghiêm trọngTrách nhiệm dân sự: yêu cầu bồi thường thiệt hại từ các cá nhân bị ảnh hưởngVận hành: tạm đình chỉ hoạt động xử lý dữ liệu

Lộ trình tuân thủ

Các bước cần thực hiện ngay

Rà soát thực tiễn xử lý dữ liệu hiện tại: Quý vị thu thập dữ liệu gì, vì mục đích gì, và lưu trữ ở đâu?Cập nhật chính sách bảo mật: Phiên bản tiếng Việt và tiếng AnhTriển khai cơ chế lấy sự đồng ý: Rõ ràng, cụ thể, có hồ sơ lưu trữBổ nhiệm chuyên viên bảo vệ dữ liệu: Khuyến nghị đối với các tổ chức xử lý khối lượng lớn

Tuân thủ liên tục

Đánh giá tác động xử lý dữ liệu cá nhân định kỳĐào tạo nhân viên về xử lý dữ liệuThẩm định pháp lý đối với các bên xử lý dữ liệuKế hoạch ứng phó sự cố cho các vi phạm dữ liệuRà soát tuân thủ hàng năm

Kết luận

PDPD của Việt Nam đánh dấu một bước tiến đáng kể trong việc tiệm cận các chuẩn mực quốc tế về bảo vệ dữ liệu cá nhân. Việc tuân thủ sớm không chỉ giúp tránh các chế tài mà còn xây dựng được niềm tin với người tiêu dùng và đối tác kinh doanh Việt Nam.

Liên hệ Luật sư Võ Thiên Hiền tại Apolo Lawyers để được tư vấn về tuân thủ pháp luật bảo vệ dữ liệu cá nhân.