Quy định chi tiết về bảo vệ dữ liệu cá nhân và trách nhiệm của các bên liên quan trong Dự thảo Luật Bảo vệ dữ liệu cá nhân

1. Giải thích từ ngữ và nguyên tắc bảo vệ dữ liệu cá nhân

Dự thảo Luật dành Điều 2 để giải thích các từ ngữ quan trọng. Trong đó:

Dữ liệu cá nhân được định nghĩa tại Khoản 1 Điều 2 như sau: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”

Khoản 4 Điều 2 định nghĩa Chủ thể dữ liệu cá nhân là “cá nhân được dữ liệu cá nhân phản ánh.”

Khoản 7 Điều 2 định nghĩa Bên Kiểm soát dữ liệu cá nhân là “tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.”

Khoản 8 Điều 2 định nghĩa Bên Xử lý dữ liệu cá nhân là “tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua hợp đồng với Bên Kiểm soát dữ liệu.”

Điều 3 của Dự thảo Luật đặt ra các nguyên tắc nền tảng cho việc bảo vệ dữ liệu cá nhân:

“1. Dữ liệu cá nhân được xử lý công khai, minh bạch. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.

2. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.

3. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.

4. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.

5. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

6. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

7. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 6 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”

2. Quyền và nghĩa vụ của chủ thể dữ liệu

Chủ thể dữ liệu được Dự thảo Luật trao nhiều quyền quan trọng tại Điều 8, nhằm đảm bảo quyền kiểm soát đối với thông tin cá nhân của mình. Một số quyền tiêu biểu bao gồm:

Quyền được biết (Khoản 1): “Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.”

Quyền đồng ý (Khoản 2): “Chủ thể dữ liệu được đồng ý hoặc từ chối cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.”

Quyền xóa dữ liệu (Khoản 5): “Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.”

Quyền hạn chế (Khoản 6): “a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi nghi ngờ tính chính xác của dữ liệu, trừ trường hợp dữ liệu không thể hạn chế xử lý dữ liệu do quy định của luật; b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà Chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật khác có quy định khác.”

Quyền khiếu nại, tố cáo (Khoản 9): “Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan.”

Quyền yêu cầu bồi thường thiệt hại (Khoản 10): “Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.”

Bên cạnh các quyền, Điều 9 quy định các nghĩa vụ của chủ thể dữ liệu:

“1. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.

2. Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.

3. Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.”

3. Trách nhiệm của các bên liên quan

Điều 61 Dự thảo Luật quy định về Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân như sau:

“1. Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu, bảo đảm đúng nguyên tắc và nội dung tại Luật này.

2. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.

3. Lưu trữ và ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân bằng văn bản hoặc hình thức điện tử.

4. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 37 Luật này.

5. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.

6. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 8 Luật này.

7. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.

8. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”

Điều 62 Dự thảo Luật quy định về Trách nhiệm của Bên Xử lý dữ liệu cá nhân như sau:

“1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.

2. Xử lý dữ liệu cá nhân theo đúng hợp đồng ký kết với Bên Kiểm soát dữ liệu cá nhân.

3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Luật này và các văn bản pháp luật khác có liên quan.

4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.

5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.

6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Điều 63 Dự thảo Luật quy định về Trách nhiệm của Bên Kiểm soát và xử lý dữ liệu như sau: “Thực hiện đầy đủ các quy định về trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.”

Điều 64 Dự thảo Luật quy định về Trách nhiệm của Bên thứ Ba như sau:

“1. Thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại Luật này.

2. Có biện pháp bảo vệ dữ liệu cá nhân trước các hành vi truy cập, tiết lộ, thay đổi hoặc xóa, hủy trái phép dữ liệu cá nhân.

3. Tổ chức đào tạo và nâng cao nhận thức về bảo vệ dữ liệu cá nhân.

4. Thực hiện kiểm tra, đánh giá định kỳ các biện pháp bảo vệ dữ liệu cá nhân để tuân thủ quy định của pháp luật.

5. Xây dựng quy trình và áp dụng các biện pháp xử lý sự cố dữ liệu nhanh chóng, hiệu quả trong trường hợp xảy ra vi phạm về bảo vệ dữ liệu cá nhân.”

Việc quy định chi tiết về các nguyên tắc, quyền và nghĩa vụ của chủ thể dữ liệu và trách nhiệm của các bên liên quan sẽ góp phần thiết lập một cơ chế bảo vệ dữ liệu cá nhân toàn diện, hiệu quả, góp phần xây dựng một không gian mạng an toàn, văn minh và thúc đẩy sự phát triển bền vững.