Trách nhiệm của doanh nghiệp trong mỗi giai đoạn xử lý dữ liệu của chủ thể dữ liệu
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) có hiệu lực, điều này đã đặt ra nhiều trách nhiệm cho doanh nghiệp trong hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân. Dữ liệu cá nhân tại doanh nghiệp không chỉ bao gồm dữ liệu của các khách hàng hay đối tác, mà còn bao gồm cả dữ liệu thông tin cá nhân của toàn thể người lao động của doanh nghiệp. Trong phạm vi bài viết này, LexNovum Lawyers sẽ cập nhật đến Quý Khách hàng một số lưu ý trong công tác bảo vệ dữ liệu cá nhân của doanh nghiệp theo từng giai đoạn như sau, gồm: (i) trước khi thu thập; và (ii) sau khi thu thập.
1. Trước khi thu thập
Vì hoạt động thu thập cũng được xem là hoạt động xử lý dữ liệu cá nhân, do đó, trước khi tiến hành thu thập, điều tối quan trọng là doanh nghiệp phải thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu và phải nhận được sự đồng ý minh thị của chủ thể dữ liệu về việc xử lý đó. Cụ thể là:
Liên quan đến việc thông báo cho chủ thể dữ liệu, doanh nghiệp cần lưu ý:
- Việc thông báo phải được thực hiện một lần trước khi tiến hành xử lý dữ liệu cá nhân ở định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
- Trong đó, nội dung thông báo cho chủ thể dữ liệu tối thiểu phải bao gồm:
(i) Mục đích xử lý;
(ii) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý;
(iii) Cách thức xử lý;
(iv) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý;
(v) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; và
(vi) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
Liên quan đến điều kiện phải có được sự đồng ý của chủ thể dữ liệu trước khi thu thập, doanh nghiệp cần lưu ý rằng:
- Chủ thể dữ liệu được quyền đồng ý hoặc không đồng ý cho phép doanh nghiệp xử lý dữ liệu cá nhân của mình. Tuy nhiên, một số trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 17 Nghị định 13.
- Do đó, trước khi xử lý dữ liệu chủ thể dữ liệu, doanh nghiệp cần đảm bảo có được sự đồng ý của chủ thể dữ liệu thông qua văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được sự đồng ý này.
- Việc xác nhận đồng ý của chủ thể dữ liệu phải dựa trên tinh thần tự nguyện và biết rõ về các nội dung thông báo trước khi tiến hành xử lý dữ liệu cá nhân cho chủ thể dữ liệu bên cạnh các nội dung: (i) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; và (ii) Các quyền, nghĩa vụ của chủ thể dữ liệu.
- Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
- Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
2. Sau khi thu thập:
Sau khi đã thu thập dữ liệu cá nhân của chủ thể dữ liệu, doanh nghiệp cần lưu ý các vấn đề sau:
- Thứ nhất, doanh nghiệp chỉ được xử lý dữ liệu cá nhân đúng với mục đích đã được doanh nghiệp thông báo và có được sự đồng ý tương ứng của chủ thể dữ liệu.
- Thứ hai, trong trường hợp doanh nghiệp có nhu cầu thuê một đơn vị thứ ba hỗ trợ xử lý dữ liệu cá nhân, ví dụ như các phần mềm quản trị nhân sự, hệ thống lưu trữ dữ liệu,…Việc hợp tác xử lý dữ liệu cá nhân này nên được thực hiện dựa trên cơ sở là một hợp đồng xử lý dữ liệu, trong đó quy định cụ thể quyền và nghĩa vụ của mỗi bên trong công tác bảo vệ dữ liệu cá nhân.
- Thứ ba, doanh nghiệp nên thiết lập các biện pháp bảo vệ về mặt kỹ thuật để bảo vệ dữ liệu cá nhân. Chẳng hạn doanh nghiệp cài đặt bảo mật thông qua nhiều lớp khi truy cập vào dữ liệu cá nhân, thiết lập hệ thống tường lửa để ngăn chặn các hành vi xâm nhập vào hệ thống,… để đảm bảo dữ liệu cá nhân được bảo vệ chặt chẽ và có khả năng khắc phục, truy xuất khi phát hiện có hành vi xâm phạm, tiết lộ trái quy định đối với dữ liệu xảy ra.
- Thứ tư, doanh nghiệp cần chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân và nhân sự phụ trách bảo vệ dữ liệu cá nhân. Theo Nghị định 13, đối với các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp thì trách nhiệm này được miễn trừ trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. Dù vậy, LexNovum Lawyers khuyến nghị các doanh nghiệp nêu trên vẫn nên thiết lập bộ phận và nhân sự có chức năng bảo vệ dữ liệu cá nhân để sớm chủ động, thích nghi với công tác quản lý dữ liệu cá nhân trong giai đoạn đầu có hiệu lực của Nghị định 13.
- Thứ năm và cũng là khuyến nghị cuối, đó là doanh nghiệp cần lưu ý trong việc thực hiện một số thủ tục hành chính theo yêu cầu của nghị định 13, bao gồm: Đánh giá tác động xử lý dữ liệu cá nhân theo Điều 24 Nghị định 13, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Điều 25 Nghị định 13, thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân theo Điều 23 Nghị định 13. Hiện nay, việc thực hiện các thủ tục này đã có thể tiến hành trên cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân với những hướng dẫn cơ bản.
Tóm lại, Quý Khách hàng có thể thấy rằng, khi Nghị định 13 có hiệu lực, pháp luật đã cụ thể hóa trách nhiệm của doanh nghiệp trong vấn đề bảo vệ dữ liệu cá nhân một cách chặt chẽ cùng những chế tài tương ứng cho mỗi hành vi vi phạm. Trong trường hợp Quý Khách hàng có nhu cầu tư vấn chuyên sâu, hỗ trợ rà soát cơ chế bảo vệ dữ liệu cá nhân tại doanh nghiệp hoặc đại diện thực hiện các thủ tục theo yêu cầu pháp luật, rất mong Quý Khách hàng liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.
Người thực hiện: Phan Nhi – Thanh Hoàng – Ngọc Trâm