Dự Thảo Nghị Định Quy Định Chi Tiết Luật Bảo Vệ Dữ Liệu Cá Nhân

Theo Dự thảo Nghị định quy định chi tiết một số Điều của Luật Bảo vệ Dữ liệu cá nhân thì Dự thảo có một số điểm đáng chú ý sau:

-         Bổ sung thêm các loại dữ liệu cá nhân nhạy cảm so với Nghị định 13/2023/NĐ-CP, cụ thể: (i) Quan điểm về tín ngưỡng; (ii) Danh tính điện tử của cá nhân; (iii) Dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông; (iv) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng; (v) Dữ liệu cá nhân khác do tổ chức, cá nhân xác định cần có biện pháp bảo mật chặt chẽ.

-         Bổ sung quy định Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân; đảm bảo chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền của chủ thể dữ liệu.

-         Quy định rõ về thời hạn phản hồi các yêu cầu của chủ thể dữ liệu cá nhân trong một số trường hợp như ngừng xử lý dữ liệu cá nhân; rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; hạn chế xử lý dữ liệu cá nhân; phản đối xử lý dữ liệu cá nhân; xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; cung cấp, xóa dữ liệu cá nhân.

-         Quy định 5 cách thức thể hiện sự đồng ý của chủ thể dữ liệu: (i) Bằng văn bản; (ii) Bằng giọng nói; (iii) Qua tin nhắn điện thoại; (iv) Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý; (v) Bằng các phương thức khác phù hợp có thể kiểm chứng, xác thực được.

-         Bổ sung quy định về chuyển giao dữ liệu cá nhân. Theo đó, doanh nghiệp khi chuyển giao dữ liệu cá nhân trong một số trường hợp cụ thể phải xác lập thỏa thuận bằng văn bản.

-         Bổ sung về trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức phải xây dựng chính sách, quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.

-         Bổ sung quy định dảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng. Theo đó, Doanh nghiệp hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế, tiêu chuẩn bảo vệ dữ liệu cá nhân, tiêu chuẩn an ninh mạng của Việt Nam; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân.

Trong thời gian chậm nhất 72 giờ sau khi phát hiện lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng, tổ chức, cá nhân lưu trữ, khai thác dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu cá nhân.

-         Bổ sung quy định về tiêu chuẩn nhân sự bảo vệ dữ liệu cá nhân trong doanh nghiệp, cụ thể:

Nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

(i) Có trình độ đại học trở lên;

(ii) Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp đại học) liên quan đến một trong các lĩnh vực: pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, quản lý tuân thủ;

(ii) Có chứng nhận hoàn thành khóa học bồi dưỡng kiến thức, kỹ năng cơ bản về bảo vệ dữ liệu cá nhân do tổ chức đủ năng lực đào tạo tại Việt Nam cấp;

(iv) Đạt trình độ theo chương trình đánh giá chuyên môn bảo vệ dữ liệu cá nhân của Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân;

(v) Am hiểu quy định pháp luật về bảo vệ dữ liệu cá nhân và hoạt động xử lý dữ liệu cá nhân của cơ quan, tổ chức.

Doanh nghiệp ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, có thể thỏa thuận về các trường hợp miễn trừ trách nhiệm khi xảy ra vi phạm hoặc thiệt hại đối với dữ liệu cá nhân được bảo vệ.