Những điểm mới nổi bật của Dự thảo Luật Bảo vệ dữ liệu cá nhân so với Nghị định 13/2023/NĐ-CP

Bản tin pháp luật

Những điểm mới nổi bật của Dự thảo Luật Bảo vệ dữ liệu cá nhân so với Nghị định 13/2023/NĐ-CP

LexNovum Lawyers

LexNovum Lawyers

22/10/2024

Tiếp nối Nghị định 13/2023/NĐ-CP (“Nghị định 13”) về bảo vệ dữ liệu cá nhân, Bộ Công an vừa “trình làng” Dự thảo Luật Bảo vệ dữ liệu cá nhân (“Dự thảo Luật BVDLCN”) với mục đích “hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội”. Qua so sánh dự thảo Luật BVDLCN với Nghị định 13, LNV nhận thấy có một số điểm mới nổi bật trong quy định pháp luật như sau:

Thứ nhất, tại điểm i khoản 4 Điều 2 Dự thảo Luật BVDLCN đã bổ sung quy định về dữ liệu cá nhân nhạy cảm, trong đó, thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất được xem là dữ liệu cá nhân nhạy cảm.

Thứ hai, khoản 4 Điều 3 Dự thảo Luật BVDLCN bổ sung thêm nội dung quy định về nguyên tắc bảo vệ dữ liệu cá nhân. Theo đó, công ty mẹ, công ty con và mỗi công ty trong thành viên tập đoàn kinh tế, tổng công ty có trách nhiệm bảo vệ dữ liệu cá nhân độc lập theo quy định của pháp luật. Sự đồng ý của chủ thể dữ liệu đối với một công ty không đồng nghĩa với việc đồng ý cho toàn bộ các công ty trong thành viên tập đoàn kinh tế, tổng công ty xử lý dữ liệu cá nhân.

Thứ ba, khoản 1 Điều 6 Dự thảo Luật BVDLCN quy định chi tiết hơn về nguyên tắc áp dụng giữa Luật BVDLCN và luật khác, đảm bảo thống nhất việc áp dụng các quy định liên quan đến bảo vệ dữ liệu cá nhân. Theo đó, Luật khác có quy định về bảo vệ dữ liệu cá nhân thì không được trái với quy định tại Luật BVDLCN. Trường hợp luật khác không quy định hoặc có quy định về bảo vệ dữ liệu cá nhân mà khác với quy định của Luật này thì áp dụng theo quy định của Luật BVDLCN.

Thứ tư, khoản 6 và khoản 7 Dự thảo Luật BVDLCN bổ sung thêm hai hành vi bị nghiêm cấm là (i) Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái phép và mua bán dữ liệu cá nhân và (ii) Chuyển giao dữ liệu cá nhân cho các tổ chức, cá nhân không phù hợp với mục đích xử lý dữ liệu.

Thứ năm, Điều 11 Dự thảo Luật BVDLCN bổ sung nội dung quy định chi tiết về sự đồng ý của chủ thể dữ liệu. Cụ thể, không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập, chủ thể dữ liệu có quyền từ chối điều kiện này. Đồng thời, sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng.

Thứ sáu, Dự thảo Luật BVDLCN bổ sung những nội dung mới quy định về bảo vệ dữ liệu cá nhân trong các lĩnh vực như: Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể; Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn; Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo; Bảo vệ dữ liệu cá nhân trong điện toán đám mây; Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động; Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng; Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm. Đồng thời, bổ sung quy định về dữ liệu vị trí, dữ liệu sinh trắc học, ký kết hợp đồng với chủ thể dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của các tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT).

Thứ bảy, Dự thảo Luật BVDLCN thay đổi “tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân” thành “Tổ chức bảo vệ dữ liệu cá nhân”. Theo đó, Tổ chức bảo vệ dữ liệu cá nhân là tổ chức được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm bộ phận bảo vệ dữ liệu cá nhân.

Tổ chức bảo vệ dữ liệu cá nhân bao gồm: (i) Tổ chức đủ năng lực công nghệ và pháp lý về bảo vệ dữ liệu cá nhân; (ii) Tổ chức đủ năng lực công nghệ về bảo vệ dữ liệu cá nhân; và (iii) Tổ chức đủ năng lực pháp lý về bảo vệ dữ liệu cá nhân.

Thứ tám, Dự thảo Luật BVDLCN không còn quy định “nhân viên bảo vệ dữ liệu cá nhân” như Nghị định 13 mà sửa đổi thành “Chuyên gia bảo vệ dữ liệu cá nhân”. Theo đó, Chuyên gia bảo vệ dữ liệu cá nhân là người được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm nhân sự bảo vệ dữ liệu cá nhân.

Chuyên gia bảo vệ dữ liệu cá nhân bao gồm: (i) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý; (ii) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ; và (iii) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.

Thứ chín, Dự thảo Luật BVDLCN không quy định cụ thể cơ quan chuyên trách bảo vệ dữ liệu cá nhân là “Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao)” như Nghị định 13 mà chỉ gọi chung là “Cơ quan chuyên trách bảo vệ dữ liệu cá nhân”.

Thứ mười, Dự thảo Luật BVDLCN thay đổi thời gian gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là 60 ngày làm việc, thay vì 60 ngày theo quy định của Nghị định 13.

Mười một, Điều 46 Dự thảo Luật bổ sung quy định về cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, cụ thể Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được cập nhật định kỳ 06 tháng một (01) lần khi có sự thay đổi. Các trường hợp thay đổi cần cập nhật ngay, gồm:

  • Khi công ty giải thể, sáp nhập;
  • Khi có sự thay đổi thông tin về Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân;
  • Khi phát sinh ngành nghề, dịch vụ kinh doanh mới hoặc ngừng kinh doanh các dịch vụ, sản phẩm liên quan tới dữ liệu cá nhân đã đăng ký trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Để có một cái nhìn tổng quan và toàn vẹn hơn các quy định được sửa đổi, bổ sung trong Dự thảo Luật Bảo vệ dữ liệu cá nhân so với Nghị định 13/2023/NĐ-CP, Quý khách hàng có thể theo dõi qua bảng so sánh tại đây.

Trên đây là những đánh giá sơ bộ ban đầu của LexNovum Lawyers đối với Dự thảo Luật Bảo vệ dữ liệu cá nhân đang được ban hành ngày 24/9/2024. Trường hợp có nhu cầu tư vấn pháp lý chuyên sâu, kính mong Quý Khách hàng liên hệ với LexNovum Lawyers để được hỗ trợ.

Ngoài ra, để đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân hiện hành, Quý Khách hàng cũng có thể tham khảo thêm về các dịch vụ liên quan đến Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân trên website của LexNovum. Liên quan đến dịch vụ tư vấn tuân thủ Nghị định 13, LexNovum Lawyers hiện nay cung cấp 03 gói dịch vụ, cụ thể là dịch vụ (1) tư vấn tuân thủ; (2) tư vấn thực hiện thủ tục; và (3) tư vấn giải quyết vi phạm, tranh chấp liên quan đến Nghị định 13. Chúng tôi tin rằng bằng kinh nghiệm, kiến thức chuyên môn, phong cách làm việc chuyên nghiệp, LexNovum Lawyers sẽ mang đến sự hài lòng cho Quý khách khi sử dụng dịch vụ tư vấn pháp lý của chúng tôi.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage