Trang chủ

5. Quy định nghĩa vụ thông báo khi xử lý dữ liệu cá nhân (Điều 13 Nghị định)

1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.

2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân bao gồm: Mục đích xử lý; Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; Cách thức xử lý; Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.

3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Tuy nhiên, Nghị định cũng quy định không cần thực hiện thông báo khi chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ nội dung thông báo nêu trên trong quá xin sự đồng ý.

6. Quy định nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Điều 24 Nghị định)

1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

9 thành phần trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm:

a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

c) Mục đích xử lý dữ liệu cá nhân;

d) Các loại dữ liệu cá nhân được xử lý;

đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;

e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);

h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

i) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định 13/2013/NĐ-CP.

7. Quy định các biện pháp bảo vệ Dữ liệu cá nhân (Điều 26, 27, 28 Nghị định)

       1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.

2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:

a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

c) Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13/2023/NĐ-CP;

d) Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân;

e) Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân;

f) Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;

g) Thông báo cho Khách hàng biết việc dữ liệu cá nhân nhạy cảm của Khách hàng được xử lý, trừ trường hợp có quy định khác.

8. Các nội dung khuyến nghị và đề xuất để đảm bảo VDS tuân thủ quy định tại Nghị định 13/2023/NĐ-CP

1. Các Đơn vị có liên quan trong TCT cần làm rõ các dữ liệu sử dụng để phân tích thuộc loại dữ liệu cá nhân nào (cơ bản, nhạy cảm) để có các hành động pháp lý tương ứng, phù hợp.
2. Rà soát lại về tính tuân thủ của Điều khoản và điều kiện sử dụng dịch vụ và sửa đổi tương ứng (Hợp đồng viễn thông, T&C dịch vụ các dịch vụ).
3. Sửa đổi hình thức, nội dung xin sự đồng ý của khách hàng viễn thông, các dịch vụ trước khi xử lý dữ liệu (các đơn vị có sử dụng dữ liệu viễn thông cần họp thống nhất).
4. Các đơn vị cần tuân thủ các quy định tại Nghị định 13/2023/NĐ-CP liên quan tới cung cấp dữ liệu cá nhân như: Lưu trữ, xóa, hủy dữ liệu cá nhân, chỉnh sữa dữ liệu cá nhân và thực hiện các nghĩa vụ khác trong quá trình về xử lý dữ liệu cá nhân.
5. Hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, lưu trữ Hồ sơ để phục vụ cho hoạt động kiểm tra đánh giá và gửi Bộ Công an đánh giá theo quy định.
6. Các đơn vị cần rà soát lại các biện pháp Bảo vệ dữ liệu cá nhân đã đảm bảo tuân thủ theo quy định của Nghị định 13/2023/NĐ-CP hay chưa.
7. Rà soát các biện pháp để bảo đảm các quyền của chủ thể dữ liệu tại Nghị định 13/2023/NĐ-CP được thực thi như xây dựng các công cụ cho phép chủ thể dữ liệu truy cập để xem, chỉnh sửa dữ liệu cá nhân,...