Dưới đây là nội dung chính của Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ ngày 01/07/2023 (“Nghị định 13/2023”).
I. Một số khái niệm cơ bản (Chương I, Nghị định 13/2023)

Chương I quy định về định nghĩa các thuật ngữ liên quan đến bảo vệ dữ liệu cá nhân.

1. Quy định về định nghĩa của Dữ liệu cá nhân (Điều 2 Nghị định 13/2023)
Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Dữ liệu cá nhân bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

(a) Dữ liệu cá nhân cơ bản: là thông tin định danh thông thường

Bao gồm: họ và tên, thời gian sinh, thời gian chết, giới tính, thông tin liên lạc, quốc tịch, hình ảnh của cá nhân, tình trạng hôn nhân, mối quan hệ gia đình, số định danh cá nhân (số căn cước công dân, hộ chiếu, mã số thuế, số bảo hiểm xã hội/số thẻ bảo hiểm y tế, số giấy phép lái xe, số biển số xe), ngoài ra còn gồm thông tin về nhóm máu, tài khoản số và dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động của cá nhân trên không gian mạng.

(b) Dữ liệu cá nhân nhạy cảm: là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.

Bao gồm: quan điểm chính trị và quan điểm tôn giáo, tình trạng sức khỏe và đời tư (ngoại trừ nhóm máu), dữ liệu sinh trắc học, dữ liệu di truyền, khuynh hướng tình dục, dữ liệu về tội phạm, dữ liệu khách hàng của tổ chức tín dụng, dịch vụ trung gian thanh toán, dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị và các dữ liệu cá nhân nhạy cảm khác theo quy định của pháp luật Việt Nam.

2. Quy định về các Chủ thể tham gia vào xử lý dữ liệu cá nhân (Điều 2 Nghị định 13/2023)

(a) Chủ thể dữ liệu: là cá nhân được dữ liệu cá nhân phản ánh;

(b) Bên Kiểm soát dữ liệu: là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân;

(c) Bên Xử lý dữ liệu cá nhân: là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu;

(d) Bên Kiểm soát và xử lý dữ liệu: là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân;

(e) Bên thứ ba: là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.

3. Quy định về các hình thức xử lý dữ liệu cá nhân (Điều 2 Nghị định 13/2023)
Nghị định quy định về các hình thức xử lý dữ liệu cá nhân như sau:

(a) Xử lý dữ liệu cá nhân: là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

(b) Xử lý dữ liệu cá nhân tự động: là hình thức xử lý dữ liệu cá nhân được thực hiện bằng phương tiện điện tử nhằm đánh giá, phân tích, dự đoán hoạt động của một con người cụ thể, như: thói quen, sở thích, mức độ tin cậy, hành vi, địa điểm, xu hướng, năng lực và các trường hợp khác.

(c) Chuyển dữ liệu cá nhân ra nước ngoài: là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam.

II. Về quyền và nghĩa vụ của chủ thể dữ liệu (Mục 1 Chương II, Nghị định 13/2023)
Mục 1 Chương II quy định về quyền và nghĩa vụ của chủ thể dữ liệu.
1. Quy định về quyền của chủ thể dữ liệu (Điều 9 Nghị định 13/2023)
Chủ thể dữ liệu có các quyền đối với dữ liệu cá nhân của mình như sau:

(a) Quyền được biết;

(b) Quyền đồng ý;

(c) Quyền truy cập;

(d) Quyền rút lại sự đồng ý;

(e) Quyền xóa dữ liệu;

(f) Quyền hạn chế xử lý dữ liệu;

(g) Quyền cung cấp dữ liệu;

(h) Quyền phản đối xử lý dữ liệu;

(i) Quyền khiếu nại, tố cáo, khởi kiện;

(j) Quyền tự bảo vệ.

2. Quy định về nghĩa vụ của chủ thể dữ liệu (Điều 10 Nghị định 13/2023)
Chủ thể dữ liệu có nghĩa vụ như sau:

(a) Tự bảo vệ và yêu cầu các bên có liên quan bảo vệ dữ liệu cá nhân của mình;

(b) Tôn trọng, bảo vệ dữ liệu cá nhân người khác;

(c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý;

(d) Tham gia tuyên truyền, phổ biến kĩ năng bảo vệ dữ liệu cá nhân;

(e) Thực hiện quy định pháp luật và phòng chống hành vi vi phạm về bảo vệ dữ liệu cá nhân.

III. Quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân (Mục 2 Chương II, Nghị định 13/2023)
Mục 2 Chương II quy định về những phương thức để thực hiện việc bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân như sau:
1. Sự đồng ý (Điều 11 Nghị định 13/2023)
Việc chủ thể dữ liệu thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của mình. Chủ thể cần đảm bảo các điều kiện sau:

(a) Được ghi nhận bằng văn bản, giọng nói, cú pháp tin nhắn, đánh dấu vào ô đồng ý, chọn cá thiết lập kĩ thuật đồng ý hoặc một hành động khác thể hiện được điều này.

(b) Sự đồng ý chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ 04 nội dung sau: (i) Loại dữ liệu cá nhân được xử lý; (ii) Mục đích xử lý dữ liệu cá nhân; (iii) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; (iv) Các quyền, nghĩa vụ của chủ thể dữ liệu.

(c) Lưu ý:

(i) Một sự đồng ý chỉ được tiến hành cho một mục đích.
(ii) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
(iii) Có thể đồng ý một phần hoặc đồng ý với điều kiện kèm theo.
2. Rút lại sự đồng ý (Điều 12 Nghị định 13/2023)
Khi chủ thể dữ liệu muốn rút lại sự đồng ý về xử lý dữ liệu cá nhân của mình, chủ thể dữ liệu phải đảm bảo quy định sau:

(a) Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được;

(b) Sau khi chủ thể yêu cầu, các bên liên quan cần thông báo cho chủ thể về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý; ngừng và yêu cầu các tổ chức, cá nhân liên quan ngừng xử lý dữ liệu đã được rút lại sự đồng ý.

3. Thông báo xử lý dữ liệu cá nhân (Điều 13 Nghị định 13/2023)

(a) Trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải thực hiện việc thông báo một lần đến chủ thể dữ liệu, với các quy định như sau:

(i) Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được;
(ii) Nội dung thông báo gồm: mục đích, loại dữ liệu được sử dụng, cách thức xử lý, thông tin về tổ chức, cá nhân khác có liên quan, hậu quả, thiệt hại không mong muốn có thể xảy ra, thời gian bắt đầu và kết thúc xử lý.

(b) Không cần thực hiện thông báo nếu:

(i) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với các nội dung trên trước khi đồng ý cho phép tiến hành thu thập dữ liệu cá nhân, hoặc
(ii) Dữ liệu cá nhân được xử lý nởi cơ quan nhà nước có thẩm quyền để phục vụ hoạt động của cơ quan nhà nước.
4. Quy định về 5 trường hợp dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể dữ liệu (Điều 17 Nghị định 13/2023)

(a) Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.

(b) Việc công khai dữ liệu cá nhân theo quy định của luật.

(c) Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.

(d) Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

(e) Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
5. Quy định về các trường hợp được xóa và không được xóa dữ liệu cá nhân (Điều 16 Nghị định 13/2023)

(a) Chủ thể dữ liệu được yêu cầu Bên Kiểm soát, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân trong các trường hợp sau:

(i) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;
(ii) Rút lại sự đồng ý;
(iii) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;
(iv) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
(v) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

(b) Các trường hợp không được xóa:

(i) Pháp luật quy định không cho phép xóa dữ liệu;
(ii) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
(iii) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
(iv) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
(v) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
(vi) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.
6. Quy định về các biện pháp bảo vệ dữ liệu cá nhân (Điều 26 Nghị định 13/2023)
Các biện pháp bảo vệ dữ liệu cá nhân gồm:

(a) Các biện pháp do tổ chức, cá nhân có liên quan đến xử lý dữ liệu cá nhân thực hiện, gồm: (i) Biện pháp quản lý và (ii) Biện pháp kỹ thuật.

(b) Các biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện, gồm: (i) các biện pháp được ghi nhận tại Nghị định, (ii) Biện pháp điều tra, tố tụng.

Mức độ bảo vệ dữ liệu cá nhân được chia thành (i) Bảo vệ dữ liệu cá nhân cơ bản và (ii) Bảo vệ dữ liệu cá nhân nhạy cảm.
7. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Điều 29 Nghị định 13/2023)
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
IV. Quy định về các thủ tục hành chính
Nghị định 13/2023 có quy định hướng dẫn về các thủ tục hành chính sau đây:

(a) Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân (Điều 23);

(b) Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Điều 24);

(c) Thông báo gửi Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Điều 25).

Trên đây là những điểm đáng chú ý của Nghị định 13/2023. Chúng tôi hy vọng những thông tin trên đây sẽ hữu ích cho bạn.

AN Legal sẽ tiếp tục chuỗi bài viết cập nhật những vấn đề pháp lý thú vị trong các bài đăng tiếp theo. Hãy theo dõi để không bỏ lỡ những thông tin quan trọng!

Cảm ơn bạn đã quan tâm đến bài viết của AN Legal.