Trong bối cảnh chuyển đổi số diễn ra sâu rộng, dữ liệu cá nhân đã trở thành một trong những tài sản quan trọng nhất đối với doanh nghiệp. Tuy nhiên, việc thu thập và xử lý dữ liệu nếu không tuân thủ pháp luật có thể dẫn đến những hậu quả pháp lý nghiêm trọng. Trước thực tiễn đó, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, thiết lập khuôn khổ pháp lý bắt buộc cho tổ chức, cá nhân – đặc biệt là doanh nghiệp – trong việc xử lý thông tin cá nhân.
I. Bối cảnh ra đời của Nghị định 13 và vai trò của dữ liệu cá nhân
Trong kỷ nguyên công nghệ số, dữ liệu cá nhân được ví như “dầu mỏ” mới của nền kinh tế hiện đại. Việc khai thác, xử lý và phân tích dữ liệu cá nhân không chỉ giúp doanh nghiệp gia tăng hiệu quả hoạt động, nâng cao trải nghiệm người dùng mà còn mở ra nhiều cơ hội kinh doanh mới. Tuy nhiên, đi kèm với giá trị kinh tế đó là nguy cơ xâm phạm quyền riêng tư, lạm dụng thông tin cá nhân, cũng như các hành vi thu thập, chia sẻ trái phép dữ liệu, vốn đã và đang trở thành vấn đề nhức nhối tại Việt Nam trong những năm gần đây.
Nhằm thiết lập hành lang pháp lý đồng bộ, có tính ràng buộc cao, đảm bảo thực thi quyền bảo vệ dữ liệu cá nhân – một quyền hiến định theo Điều 21 Hiến pháp năm 2013, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân (sau đây gọi là “Nghị định 13”). Nghị định có hiệu lực thi hành từ ngày 01 tháng 7 năm 2023 và là văn bản pháp lý đầu tiên tại Việt Nam điều chỉnh chuyên biệt, toàn diện về dữ liệu cá nhân, bao trùm cả khu vực công và tư, với phạm vi áp dụng rộng khắp.
II. Khái niệm và phân loại dữ liệu cá nhân theo quy định pháp luật
Theo khoản 1 Điều 2 Nghị định 13, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử, có khả năng xác định danh tính của một cá nhân hoặc liên quan đến việc xác định danh tính của cá nhân đó.
Nghị định cũng phân chia dữ liệu cá nhân thành hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản bao gồm những thông tin như họ tên, ngày tháng năm sinh, giới tính, quốc tịch, số điện thoại, địa chỉ email, số chứng minh nhân dân hoặc căn cước công dân. Trong khi đó, dữ liệu cá nhân nhạy cảm là những thông tin nếu bị tiết lộ sẽ ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cá nhân, như thông tin về tình trạng sức khỏe, dữ liệu sinh trắc học, quan điểm chính trị, tôn giáo, vị trí địa lý theo thời gian thực, thói quen tiêu dùng hoặc dữ liệu tài chính cá nhân.
Việc phân loại này có ý nghĩa quyết định trong việc xác định mức độ bảo vệ, điều kiện xử lý và hậu quả pháp lý nếu có hành vi vi phạm.
III. Nguyên tắc xử lý dữ liệu cá nhân doanh nghiệp bắt buộc tuân thủ
Nghị định 13 đặt ra tám nguyên tắc xử lý dữ liệu cá nhân mà mọi tổ chức, cá nhân – trong đó có doanh nghiệp – bắt buộc phải tuân thủ. Trong đó, nguyên tắc “mục đích xác định” (Điều 3 Nghị định 13) yêu cầu doanh nghiệp chỉ được thu thập và xử lý dữ liệu cho mục đích cụ thể, rõ ràng và hợp pháp đã được thông báo trước với chủ thể dữ liệu. Ngoài ra, nguyên tắc “tối thiểu hóa” cũng yêu cầu các doanh nghiệp chỉ được phép thu thập dữ liệu trong phạm vi cần thiết, phù hợp với mục đích đã nêu.
Quan trọng không kém, nguyên tắc “đảm bảo an ninh dữ liệu cá nhân” đặt ra nghĩa vụ cho doanh nghiệp trong việc thiết lập các biện pháp bảo mật kỹ thuật và tổ chức nhằm bảo vệ dữ liệu cá nhân khỏi việc truy cập trái phép, rò rỉ hoặc bị sửa đổi.
Các nguyên tắc trên là nền tảng pháp lý nhằm đảm bảo hoạt động xử lý dữ liệu cá nhân diễn ra minh bạch, có kiểm soát và có thể truy xuất được trách nhiệm khi xảy ra vi phạm.
IV. Nghĩa vụ của doanh nghiệp trong quá trình thu thập và xử lý dữ liệu
Thứ nhất, doanh nghiệp phải thực hiện nghĩa vụ thông báo và xin sự đồng ý của chủ thể dữ liệu trước khi tiến hành thu thập, lưu trữ hoặc xử lý. Nội dung thông báo cần đảm bảo đầy đủ các yếu tố theo quy định tại Điều 13 Nghị định 13, bao gồm mục đích xử lý, loại dữ liệu được xử lý, thời gian lưu trữ, bên thứ ba được chia sẻ (nếu có) và quyền của chủ thể dữ liệu. Việc đồng ý phải là tự nguyện, rõ ràng, cụ thể cho từng mục đích xử lý và có thể được chứng minh khi có tranh chấp.
Thứ hai, doanh nghiệp có nghĩa vụ áp dụng các biện pháp kỹ thuật, tổ chức để đảm bảo an toàn dữ liệu cá nhân theo Điều 26 Nghị định 13. Việc này bao gồm việc xây dựng quy trình nội bộ, phân quyền truy cập, mã hóa dữ liệu, cũng như triển khai biện pháp giám sát, ghi nhận hoạt động xử lý. Đặc biệt, trong trường hợp xảy ra sự cố rò rỉ dữ liệu, doanh nghiệp phải thông báo cho Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông trong vòng 72 giờ kể từ khi phát hiện sự cố (Điều 23).
Thứ ba, doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý trên quy mô lớn phải bổ nhiệm cán bộ phụ trách bảo vệ dữ liệu cá nhân (Điều 28). Người phụ trách này chịu trách nhiệm kiểm tra, giám sát hoạt động xử lý dữ liệu, làm đầu mối phối hợp với cơ quan nhà nước và tiếp nhận phản ánh từ chủ thể dữ liệu.
Thứ tư, nếu doanh nghiệp có hoạt động truyền dữ liệu cá nhân ra nước ngoài thì phải đáp ứng các điều kiện nghiêm ngặt theo Điều 30 và 31 Nghị định 13. Cụ thể, doanh nghiệp phải bảo đảm rằng quốc gia, vùng lãnh thổ nơi đặt máy chủ tiếp nhận dữ liệu có mức độ bảo vệ tương đương với Việt Nam; đồng thời phải đăng ký việc truyền dữ liệu với Bộ Công an và có được sự đồng ý của chủ thể dữ liệu. Việc truyền dữ liệu ra nước ngoài mà không tuân thủ các điều kiện trên sẽ bị xử lý theo quy định pháp luật.
V. Chế tài pháp lý đối với hành vi vi phạm
Nghị định 13 hiện chưa quy định cụ thể mức xử phạt hành chính cho từng hành vi vi phạm. Tuy nhiên, theo Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân (được Bộ Công an công bố lấy ý kiến), hành vi xử lý trái phép dữ liệu cá nhân có thể bị phạt tiền lên đến 100 triệu đồng đối với cá nhân, và đến 200 triệu đồng đối với tổ chức. Trường hợp dữ liệu bị sử dụng sai mục đích, truyền ra nước ngoài trái phép hoặc làm rò rỉ dữ liệu quy mô lớn, doanh nghiệp có thể bị tước quyền sử dụng giấy phép, bị buộc đình chỉ hoạt động xử lý dữ liệu hoặc bị truy cứu trách nhiệm hình sự nếu gây hậu quả nghiêm trọng.
Theo Điều 288 Bộ luật Hình sự 2015 (sửa đổi, bổ sung năm 2017), hành vi đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông có thể bị phạt tiền đến 1 tỷ đồng hoặc phạt tù từ 1 đến 7 năm, tùy thuộc mức độ nghiêm trọng.
VI. Khuyến nghị dành cho doanh nghiệp
Trước những ràng buộc pháp lý ngày càng chặt chẽ, doanh nghiệp cần chủ động xây dựng hệ thống tuân thủ nội bộ toàn diện. Việc đầu tiên là rà soát toàn bộ quy trình xử lý dữ liệu đang thực hiện để đảm bảo phù hợp với các nguyên tắc của Nghị định 13. Tiếp đến, doanh nghiệp nên xây dựng chính sách bảo vệ dữ liệu cá nhân rõ ràng, ban hành quy chế nội bộ và tổ chức đào tạo nhận thức cho người lao động.
Trong những trường hợp có hoạt động xử lý dữ liệu ở quy mô lớn, liên quan đến dữ liệu nhạy cảm hoặc truyền dữ liệu ra nước ngoài, doanh nghiệp nên chủ động tham vấn ý kiến từ luật sư hoặc chuyên gia pháp lý để đảm bảo không vi phạm quy định hiện hành.
Như vậy, việc bảo vệ dữ liệu cá nhân không chỉ là yêu cầu về mặt tuân thủ pháp lý mà còn là tiêu chuẩn đạo đức, là yếu tố cốt lõi để xây dựng lòng tin của khách hàng và đối tác trong kỷ nguyên số. Nghị định 13/2023/NĐ-CP là bước đi quan trọng của Việt Nam trong việc hội nhập các chuẩn mực quốc tế về quyền riêng tư. Doanh nghiệp cần tiếp cận vấn đề này với tinh thần chủ động, minh bạch và chuyên nghiệp nhằm đảm bảo phát triển bền vững và tránh rủi ro pháp lý không đáng có.
————————————————
Liên hệ Luật sư tư vấn:
Luật TLA là một trong những đơn vị luật sư hàng đầu, với đội ngũ luật sư, cán bộ nhiều kinh nghiệm trong các lĩnh vực hình sự, dân sự, doanh nghiệp, hôn nhân và gia đình,… Chúng tôi sẵn sàng hỗ trợ, giải đáp mọi thắc mắc về pháp lý của bạn. Nếu bạn còn thắc mắc về nội dung này, hãy liên hệ ngay với chúng tôi để được giải đáp thắc mắc.
1. Luật sư Vũ Thị Phương Thanh, Giám đốc Công ty Luật TNHH TLA, Đoàn Luật sư Hà Nội,
email: vtpthanh@tlalaw.vn;
2. Luật sư Trần Mỹ Lê, Chủ tịch HĐTV Công ty Luật TNHH TLA, Đoàn Luật sư Hà Nội;
email: tmle@tlalaw.vn
Công ty Luật TNHH TLA
Địa chỉ: Tầng 7, số 6 Dương Đình Nghệ, Yên Hòa, Cầu Giấy, Hà Nội
Website: https://tlalaw.com
Đinh Phương Thảo