Vào ngày 07/6/2023, Bộ Công an (“BCA”) đã tổ chức Hội nghị phổ biến, hướng dẫn một số nội dung của Nghị định 13/2023/NĐ-CP của Chính phủ ban hành ngày 17/4/2023 về Bảo vệ dữ liệu cá nhân (“NĐ 13/2023”) và có hiệu lực thi hành từ ngày 01/7/2023.
Thông qua bài viết này, BLawyers Vietnam sẽ trình bày 10 điểm cần lưu ý theo hướng dẫn của BCA về NĐ 13/2023.
1. Các dữ liệu cá nhân được thu nhập và xử lý trước khi NĐ 13/2023 có hiệu lực có phải chịu sự điều chỉnh của NĐ 13/2023 không?
Dữ liệu cá nhân (“DLCN”) đã được thu nhập trước khi NĐ 13/2023 có hiệu lực vẫn thuộc phạm vi điều chỉnh của NĐ 13/2023. Nhưng tổ chức, cá nhân đã thu nhập DLCN sẽ không cần xin phép lại sự đồng ý của chủ thể dữ liệu (“CTDL”) đối với DLCN đã được CTDL đó cung cấp trước khi NĐ 13/2023 có hiệu lực, tức trước ngày 01/7/2023. Ngoài ra, tổ chức, cá nhân thực hiện thu nhập DLCN phải tuân thủ quy định của NĐ 13/2023.
2. Có thể cùng lúc thực hiện báo cáo tác động dữ liệu cá nhân và báo cáo tác động chuyển dữ liệu cá nhân ra nước ngoài trong một cáo báo được không?
Hiện nay BCA đang thực hiện việc soạn thảo, chuẩn bị công bố các thủ tục hành chính liên quan để thực hiện các báo cáo dữ liệu cá nhân theo NĐ 13/2023.
Theo hướng dẫn của BCA thì hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được thực hiện thành 02 thủ tục, với 02 biểu mẫu hồ sơ khác nhau.
BCA sẽ công bố biểu mẫu, hồ sơ, công bố Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để tổ chức, cá nhân cùng thực hiện.
3. Có cần làm lại, điều chỉnh báo cáo khi có sự thay đổi về trường/ loại dữ liệu cá nhân không?
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện 01 lần đối với 01 trường hợp, loại hình gửi dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, cho tới khi có sự thay đổi. Trường hợp có sự thay đổi loại hình, hợp đồng thì tổ chức, cá nhân cập nhật, bổ sung theo mẫu hồ sơ.
4. Khi người lao động của doanh nghiệp nhập DLCN vào hệ thống của doanh nghiệp và hệ thống tự động chuyển DLCN của người lao động lên hệ thống của doanh nghiệp đó ở nước ngoài thì doanh nghiệp có cần thực hiện báo cáo kết quả chuyển dữ liệu ra nước ngoài không?
NĐ 13/2023 không quy định về hình thức chuyển dữ liệu cá nhân ra nước ngoài. Theo đó, NĐ 13/2023 yêu cầu việc chuyển dữ liệu cá nhân ra nước ngoài phải lập hồ sơ đánh giá tác động. Vì vậy, dù hệ thống tự động thực hiện chuyển dữ liệu ra nước ngoài thì Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN, Bên thứ ba vẫn phải thực hiện báo cáo tác động chuyển dữ liệu cá nhân ra nước ngoài.
5. Các DLCN đã được xử lý hoặc đã được chuyển ra nước ngoài trước khi NĐ 13/2023 có hiệu lực thì có phải nộp báo cáo cho BCA như thế nào?
Việc lập hồ sơ được tiến hành kể từ khi NĐ 13/2023 có hiệu lực, tức là trong thời gian 60 ngày kể từ khi NĐ 13/2023 có hiệu lực. Các tổ chức, cá nhân đã chuyển dữ liệu của công dân Việt Nam ra nước ngoài trước khi NĐ 13/2023 có hiệu lực phục vụ hoạt động kinh doanh vẫn tiếp tục thực hiện việc báo cáo.
Sau khi xây dựng hồ sơ đánh giá tác động xong, cơ quan chức năng sẽ nghiên cứu hồ sơ để xác định sự phù hợp về pháp luật đối với hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.
6. Theo quy định tại NĐ 13/2023, Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN phải thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu. Vậy khung thời gian 72 giờ này là giờ làm việc hay giờ bình thường?
Theo NĐ 13/2023 quy định thời gian là 72 giờ sau khi nhận được yêu cầu, tức là 72 giờ tuần tự, không phải là 72 giờ làm việc.
7. Nếu CTDL và Bên Kiểm soát và Xử lý DLCN có quan hệ hợp đồng, theo đó CTDL có nghĩa vụ cung cấp dữ liệu cho Bên Kiểm soát và Xử lý DLCN để có thể thực hiện hợp đồng thì quyền chỉnh sửa, yêu cầu chỉnh sửa, quyền xóa dữ liệu có thể bị hạn chế hay không?
Khi ký kết hợp đồng dân sự, các bên có liên quan tới đã quy định rõ quyền và nghĩa vụ, trách nhiệm có liên quan.
Khi đó, các thông tin mà CTDL cung cấp cho Bên Kiểm soát và Xử lý DLCN đều nhằm mục đích thực hiện các quyền và nghĩa vụ trong hợp đồng. CTDL có quyền chỉnh sửa, yêu cầu chỉnh sửa dữ liệu của mình, nhất là trong trường hợp một số thông tin của CTDL đã thay đổi, ví dụ như được cấp căn cước công dân.
Theo BCA, quyền chỉnh sửa, yêu cầu chỉnh sửa, quyền xóa dữ liệu không thể bị hạn chế về mặt pháp luật. Giả sử rằng, khi yêu cầu chỉnh sửa vượt qua giới hạn nghĩa vụ của hợp đồng, Bên Kiểm soát và Xử lý có thể thông báo cho CTDL biết việc này. Khi đó sẽ xảy ra 03 trường hợp theo pháp luật dân sự:
(1) hai bên kết thúc hợp đồng;
(2) Bên Kiểm soát và Xử lý đồng ý cho phép chỉnh sửa; hoặc
(3) CTDL rút lại yêu cầu chỉnh sửa.
8. Hoạt động như thế nào được coi là mua bán DLCN? Việc mua bán DLCN có bị cấm hoàn toàn không? Nếu mua bán DLCN mà có sự đồng ý của CTDL thì có được phép không?
Hoạt động mua bán trong “mua, bán DLCN” được hiểu theo nghĩa mua bán tài sản trong quan hệ dân sự theo quy định của Bộ luật Dân sự, hướng tới mục đích chính là sinh lợi. Mục đích chính của mua bán không nhất thiết là có mục đích kinh doanh, mà có thể nhằm các mục đích khác như tiêu dùng, tặng cho,… Chủ thể trong quan hệ mua bán là bất kỳ người nào có nhu cầu và có năng lực hành vi theo quy định của pháp luật.
Mua bán DLCN không bị cấm hoàn toàn, nếu như luật có quy định cụ thể các trường hợp được mua bán. Sự đồng ý của CTDL không phải là căn cứ để xác định được phép mua bán. Trong trường hợp này, chỉ luật mới được quy định các trường hợp được phép mua bán.
9. Có thể trình bày bằng tiếng Anh khi lập các biểu mẫu như Thông báo gửi Hồ sơ đánh giá tác động xử lý DLCN, Thông báo thay đổi nội dung Hồ sơ đánh giá tác động xử lý DLCN được không?
Theo quy định cung cấp thủ tục hành chính, các biểu mẫu hồ sơ đều được thực hiện bằng tiếng Việt. Các cá nhân, tổ chức không thể nộp bằng tiếng Anh, cũng không thể dịch sang tiếng Việt, mà cần khai trực tiếp vào biểu mẫu hồ sơ trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tài biểu mẫu nộp trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
10. “Hoạt động xử lý dữ liệu cá nhân tại Việt Nam” có thể hiểu chỉ bao gồm việc thực hiện hoạt động xử lý dữ liệu trên lãnh thổ Việt Nam hay như thế nào? Trường hợp doanh nghiệp nước ngoài thu thập DLCN người dùng tại Việt Nam (công dân Việt Nam) nhưng ngay lập tức chuyển ra nước ngoài, mọi hoạt động xử lý dữ liệu đều diễn ra tại nước ngoài, thì có thuộc phạm vi điều chỉnh của NĐ 13/2023 hay không?
Doanh nghiệp nước ngoài thu thập dữ liệu của công dân Việt Nam, doanh nghiệp chuyển dữ liệu của công dân Việt Nam ra nước ngoài, doanh nghiệp tiếp nhận dữ liệu của công dân Việt Nam đều thuộc phạm vi điều chỉnh của NĐ 13/2023, dù doanh nghiệp đó có xử lý trên lãnh thổ Việt Nam hay không. Vì vậy, các tổ chức, doanh nghiệp cần lưu ý tới yếu tố xử lý dữ liệu cá nhân của công dân Việt Nam, chú không phải địa điểm xử lý dữ liệu.
Trên đây không phải là các ý kiến tư vấn chính thức từ BLawyers Vietnam. Nếu bạn có bất kỳ câu hỏi hoặc góp ý về nội dung trên, vui lòng liên hệ với chúng tôi theo địa chỉ consult@blawyersvn.com. BLawyers Vietnam rất muốn nghe từ bạn.
Ngày: 17/10/2023
Người viết: Linh Nguyễn và Tính Nguyễn
