Chính phủ vừa ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân mới được ban hành và có hiệu lực từ ngày 1/7 nêu rõ 2 loại dữ liệu cá nhân được bảo vệ.
Trong đó, dữ liệu cá nhân cơ bản bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch… các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm: Quan điểm chính trị, quan điểm tôn giáo…
Theo quy định mới, chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình và dữ liệu này chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu.
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Việc xử lý dữ liệu cá nhân phải thông báo và nhận được sự đồng ý của chủ thể dữ liệu. Chủ thể dữ liệu cũng được yêu cầu bên kiểm soát dữ liệu cung cấp cho bản thân hoặc chỉnh sửa, xóa dữ liệu cá nhân của mình.
Đối với hoạt động tiếp thị, quảng cáo, tổ chức, cá nhân chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình khi có sự đồng ý của chủ thể dữ liệu.
Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh tiếp thị, giới thiệu sản phẩm phải được sự đồng ý của khách hàng, trên cơ sở biết rõ nội dung, phương thức, tần suất giới thiệu sản phẩm.
Nghị định cũng quy định rõ, tổ chức, cá nhân liên quan tới xử lý dữ liệu phải áp dụng các biện pháp bảo vệ để ngăn chặn tình trạng thu thập dữ liệu trái phép từ hệ thống, dịch vụ của mình.
Việc thiết lập các phần mềm, biện pháp kỹ thuật hoặc tổ chức thu thập, chuyển giao, mua, bán dữ liệu cá nhân khi không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Với trẻ em, việc xử lý các dữ liệu này phải có sự đồng ý của trẻ em trong trường hợp trẻ từ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ, trừ một số trường hợp đặc biệt.
Nghị định 13 đồng thời nghiêm cấm việc xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước; gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Ngoài ra, theo Nghị định, có 5 trường hợp sẽ được thu thập thông tin cá nhân mà không cần xin phép. Cụ thể là trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.
Thứ hai là công khai dữ liệu cá nhân theo quy định của luật. Tiếp nữa là xử lý dữ liệu của cơ quan Nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật…
