Cập Nhật Pháp Luật Số 02 | Tháng 04 Năm 2023

Ngày 17/4/2023, Chính phủ ban hành Nghị định 13/2023/NĐ-CP (“Nghị định 13/2023”) về bảo vệ dữ liệu cá nhân. Nghị định này là khung pháp lý mới nhất về bảo vệ dữ liệu cá nhân và sẽ ảnh hưởng rất lớn đến các doanh nghiệp có nhu cầu thu thập, xử lý dữ liệu cá nhân của khách hàng hoặc người tiêu dùng. Nghị định 13/2023 áp dụng đối với mọi cá nhân, cơ quan, tổ chức Việt Nam hoặc nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam và có các nội dung quan trọng sau:

 1. Lần đầu giới thiệu những khái niệm mới về dữ liệu cá nhân

Điểm đặc biệt của Nghị định 13/2023 là Nghị định này lần đầu tiên giới thiệu nhiều khái niệm pháp lý mới về dữ liệu cá nhân.

a. Dữ liệu cá nhân

Về tổng thể, dữ liệu cá nhân (DLCN) được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Xa hơn thế, Nghị định 13/2023 giới thiệu hai khái niệm mới hình thành DLCN bao gồm DLCN cơ bản và DLCN nhạy cảm.

DLCN cơ bản bao gồm họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…

DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, như: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án; các thông tin liên quan đến nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục; dữ liệu về vị trí được xác định qua dịch vụ định vị; thông tin khách hàng của tổ chức tín dụng…

Như vậy, DLCN cơ bản gần gũi với cách hiểu thông thường về thông tin cá nhân trực tiếp xác định một người, trong khi DLCN nhạy cảm rộng hơn, thể hiện cả xu hướng, quan điểm, thói quen, thậm chí là vị trí địa lý, …. mà những thông tin này hiện nay ít doanh nghiệp coi đó là thông tin cá nhân và ít quan tâm về pháp lý trong việc thu thập, xử lý và sử dụng các thông tin này.

b. Chủ thể dữ liệu

Chủ thể dữ liệu cũng là một khái niệm mới được giới thiệu trong Nghị định 13/2023. Chủ thể dữ liệu được định nghĩa là cá nhân được DLCN phản ánh. Như vậy, thông tin về doanh nghiệp sẽ không được coi là DLCN. Nói cách khác, chỉ có thông tin của cá nhân mới được điều chỉnh, và bảo vệ theo Nghị định 13/2023.

Với tư cách là chủ thể dữ liệu, cá nhân có 11 quyền trong Nghị định 13/2023, bao gồm: (1) Quyền được biết; (2) Quyền đồng ý; (3) Quyền truy cập; (4) Quyền rút lại sự đồng ý; (5) Quyền xóa dữ liệu; (6) Quyền hạn chế xử lý dữ liệu; (7) Quyền cung cấp dữ liệu; (8) Quyền phản đối xử lý dữ liệu; (9) Quyền khiếu nại, tố cáo, khởi kiện; (10) Quyền yêu cầu bồi thường thiệt hại; và (11) Quyền tự bảo vệ. Với những quyền chi tiết như trên, chủ thể dữ liệu có quyền rộng rãi hơn với các DLCN của mình, ở chiều ngược lại, các doanh nghiệp (được coi là Bên Kiểm soát và xử lý DLCN) sẽ khó khăn hơn rất nhiều trong việc thu thập, xử lý, chuyển giao DLCN. Ví dụ, chủ thể dữ liệu được phản đối Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN xử lý DLCN của mình nhằm ngăn chặn hoặc hạn chế tiết lộ DLCN hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác. Trong trường hợp đó, bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.

2. Các biện pháp bảo vệ DLCN

Bảo vệ DLCN là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN theo quy định của pháp luật. Nghị định 13/2023 nêu rõ, biện pháp bảo vệ DLCN được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý DLCN, bao gồm 5 biện pháp sau đây:

1. Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý DLCN thực hiện;
2. Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý DLCN thực hiện;
3. Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định 13/2023 và pháp luật có liên quan;
4. Biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; và
5. Các biện pháp khác theo quy định của pháp luật.

Các biện pháp bảo vệ DLCN sẽ được áp dụng tùy vào hình thức của DLCN là DLCN cơ bản hay DLCN nhạy cảm. Một cổng thông tin quốc gia về bảo vệ DLCN sẽ được thành lập, ngoài mục đích cung cấp thông tin về các quy định pháp luật liên quan đến bảo vệ DLCN, cổng còn là nơi tiếp nhận thông báo vi phạm quy định về bảo vệ DLCN.

3. Chỉ được sử dụng DLCN để tiếp thị, quảng cáo nếu được khách hàng đồng ý

Theo Điều 21 của Nghị định 13/2023, các tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng DLCN của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu. Đồng thời, việc xử lý DLCN của khách hàng để kinh doanh dịch vụ tiếp thị, quảng cáo cũng phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.

4. Thu thập, chuyển giao, mua, bán DLCN mà không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật

Điều 3.4 và Điều 22.2 của Nghị định 13/2023 không cho phép tổ chức, cá nhân mua bán DLCN dưới mọi hình thức. Do đó, việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán DLCN mà không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Tùy theo mức độ vi phạm quy định bảo vệ DLCN, các cơ quan, tổ chức, cá nhân có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, hoặc xử lý hình sự theo quy định.

5. Chuyển DLCN ra nước ngoài

DLCN của công dân Việt Nam được chuyển ra nước ngoài phải có văn bản đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Đồng thời, phải có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận DLCN của Công dân Việt Nam về việc xử lý DLCN.

Để chuyển DLCN ra nước ngoài, Bên chuyển dữ liệu (gồm Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN, Bên thứ ba) phải lập Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài theo quy định và gửi đến Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN. Nếu có yêu cầu cập nhật, bổ sung hồ sơ thì Bên chuyển dữ liệu phải hoàn thiện trong thời gian 10 ngày kể từ ngày yêu cầu.

Sau khi việc chuyển dữ liệu diễn ra thành công, Bên chuyển dữ liệu gửi văn bản thông báo đến Bộ Công an thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách.

Nghị định 13/2023 sẽ có hiệu lực từ ngày 01/7/2023.

source https://gvlawyers.com.vn/cap-nhat-phap-luat-so-02-thang-04-nam-2023/

Legal Alert No.02 | April 2023

On 17 April 2023, the Government issued Decree 13/2023/ND-CP (“Decree 13/2023”) on personal data protection. This Decree is the latest legal framework on personal data protection and will greatly affect enterprises in need of collecting and processing personal data from customers or consumers. Decree 13/2023 applies to all Vietnamese or foreign individuals, agencies and organisations directly involved in or related to personal data processing activities in Vietnam and contains important details as follows:

1. Introducing new concepts on personal data for the first time

A special feature of Decree 13/2023 is that this Decree introduces many new legal concepts on personal data for the first time.

a. Personal data

Collectively, personal data (PD) is understood as information in the form of symbols, letters, numbers, images, sounds or the likes existing in the electronic environment and associated with a particular person or helping to identify a particular person. Further, Decree 13/2023 introduces two new concepts on the creation of PD, including basic PD and sensitive PD.

Basic PD include the last name, middle name and birth name, other name (if any); date of birth; date of a person’s death or missing; sex; place of birth, place of birth registration, permanent residence, temporary residence, current residence, hometown, contact address; nationality; image of an individual; phone number, identity card number, personal identification number, passport number, driver’s license number, license plate number, personal tax identification number, social insurance number, health insurance card number …

Sensitive PD mean PD associated with an individual’s privacy that, when violated, will directly affect such individual’s legitimate rights and interests, such as: political and religious viewpoints; health status and private life recorded in the medical records; information related to racial origin, genetic characteristics, sex life; location data determined via location services; customer information kept by credit institutions…

Thus, basic PD are close to the conventional understanding of personal information that directly identifies a person, while sensitive PD are a broader concept showing trends, opinions, habits, even geographical location, etc. which few enterprises consider as personal information and their legal aspect enterprises do not care much about when collecting, processing and using this information.

b. Data subject

Data subject is also a new concept introduced in Decree 13/2023. Data subject is defined as the individual referred to by the PD. As such, information about an enterprise will not be considered PD. In other words, only personal information is regulated and protected under Decree 13/2023.

As a data subject, an individual has 11 rights as provided for in Decree 13/2023, including: (1) Right to know; (2) Right to consent; (3) Right of access; (4) Right to withdraw consent; (5) Right to delete data; (6) Right to restrict data processing; (7) Right to provide data; (8) Right to object to data processing; (9) Right to complain, denounce and initiate lawsuits; (10) Right to claim damages; and (11) Right to self-defend. With specific rights as aforesaid, data subjects have more rights with respect to their PD, in the opposite direction, enterprises (regarded as the PD Controller and Processor) will find it much more difficult to collect, process and transfer PD. For example, the data subject may object to the PD Controller, the PD Controller and Processor’s processing of its PD in order to prevent or limit the disclosure of PD or the use of PD for advertising and marketing purposes, unless otherwise provided for by law. In that case, the PD Controller, or the PD Controller and Processor must fulfill the request of the data subject within 72 hours after receiving the request, unless otherwise provided for by law.

2. Measures to protect PD

PD protection means activities to prevent, detect, ward off and handle violations related to PD in accordance with law. Decree 13/2023 clearly states that PD protection measures are applied from the very beginning of and throughout the processing of PD, including the following 5 measures:

1. Management measure taken by organisations and individuals involved in PD processing;
2. Technical measure taken by organisations and individuals involved in PD processing;
3. Measure taken by competent state management agencies in accordance with Decree 13/2023 and relevant laws;
4. Investigative and procedural measure taken by competent State agencies; and
5. Other measures as prescribed by law.

PD protection measures will be applied depending on whether the PD are of basic or sensitive nature. A national portal on protection of PD will be established, in addition to providing information on legal regulations on PD, the portal is also a place to receive reports of violations of the regulations on PD protection.

3. PD can only be used for marketing and advertising with the customer consent

According to Article 21 of Decree 13/2023, organisations and individuals providing marketing and advertising services are only allowed to use PD of customers that they collect through their business activities to provide marketing and advertising services after the data subject’s consent has been obtained. At the same time, the processing of customers’ PD to provide marketing and advertising services must also be conducted with the customer’s consent on the basis that the customer knows the content, method, form and frequency of product advertising.

4. It is illegal to collect, transfer, buy and sell PD without the consent of the data subject

Articles 3.4 and 22.2 of Decree 13/2023 do not allow organisations and individuals to buy and sell PD in any form. Therefore, it is illegal to set up software systems, technical measures or organise activities to collect, transfer, buy and sell PD without the consent of the data

subject. Depending on the severity of violation of PD protection, agencies, organisations and individuals may be subject to disciplinary actions, administrative or criminal sanctions in accordance with law.

5. Transferring PD abroad

PD of Vietnamese citizens can only be transferred abroad with the written consent of the data subject on the basis that the data subject clearly knows how to feedback and complain in case of incidents or claims. At the same time, there must be a document reflecting the responsibility of, and binding on, organisations and individuals who transfer and receive PD of Vietnamese citizens.

In order to transfer PD abroad, the data transfer party (including the PD Controller, the PD Controller and Processor, the PD Processor, the Third Parties) must prepare a document on evaluation of the impact of transferring PD abroad as required by law and send it to the Ministry of Public Security (Division of Cyber Security and High-Tech Crime Prevention and Control) within 60 days of processing PD. If the data transfer party is requested to update or supplement the dossier, it must fulfill it within 10 days of request.

After PD are transferred successfully, the data transfer party must notify the Ministry of Public Security in writing of the data transfer and contact details of the organisation or individual in charge.

Decree 13/2023 will take effect from 01 July 2023.

source https://gvlawyers.com.vn/legal-alert-no-02-april-2023/