Một số nội dung cơ bản của dự thảo Nghị định Bảo vệ dữ liệu cá nhân
Chính phủ vừa ban hành Nghị quyết số 13/NQ-CP thông qua hồ sơ xây dựng Nghị định Bảo vệ dữ liệu cá nhân trình xin ý kiến Ủy ban Thường vụ Quốc hội. Trước đó, Ủy ban Quốc phòng và An ninh của Quốc hội cũng đã họp phiên toàn thể để thẩm tra dự thảo Nghị định. Dự thảo Nghị định Bảo vệ dữ liệu cá nhân bao gồm 4 chương, 44 điều. Việc xây dựng Nghị định đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
11 quyền, 5 nghĩa vụ của chủ thể dữ liệu
Theo dự thảo Nghị định, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Bảo vệ dữ liệu cá nhân là hoạt động tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Việc xây dựng khái niệm dữ liệu cá nhân được Chính phủ nghiên cứu trên cơ sở khái niệm dữ liệu cá nhân được quy định tại Quy định bảo vệ dữ liệu cá nhân (GDPR) của Liên minh châu Âu, Luật Bảo vệ dữ liệu cá nhân của Singapore, Nhật Bản, Úc, Đức, Pháp… bảo đảm đồng bộ, hài hòa với quy định của thế giới, phù hợp với thực tiễn của Việt Nam, tạo thuận lợi cho các doanh nghiệp trong và ngoài nước tham gia xử lý dữ liệu cá nhân.
Cũng theo dự thảo Nghị định, dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân. Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân.
Việc xây dựng các quy định này phù hợp với hệ thống pháp luật trong nước như: Luật Căn cước công dân, Bộ luật Dân sự, Luật Khám bệnh, chữa bệnh… và tính chất quan trọng của từng loại dữ liệu cá nhân. Để phù hợp với sự phát triển của khoa học công nghệ, dự thảo Nghị định coi dữ liệu cá nhân như một nguồn tài nguyên có thể kinh doanh phục vụ phát triển kinh tế, xã hội nhưng phải có sự quản lý chặt chẽ của Nhà nước và bảo đảm nguyên tắc luôn có sự đồng ý của chủ thể dữ liệu.
Dự thảo Nghị định quy định 11 quyền của chủ thể dữ liệu gồm: Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo; Quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật; Quyền tự bảo vệ.
Các quyền này được nghiên cứu, xây dựng phù hợp với các văn bản pháp luật trong nước và được quy định tại một số văn bản pháp luật của nước ngoài như: Quy định bảo vệ dữ liệu cá nhân (GDPR) của Liên minh châu Âu, Luật Bảo vệ dữ liệu cá nhân của Singapore, Nhật Bản, Úc, Đức, Pháp; khung quy tắc bảo mật xuyên biên giới ASEAN; Nguyên tắc quyền riêng tư của Tổ chức Hợp tác và phát triển kinh tế (OECD).
Cùng với 11 quyền, 5 nghĩa vụ của chủ thể dữ liệu cũng được quy định cụ thể tại dự thảo Nghị định gồm: Có trách nhiệm tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình; Tôn trọng, bảo vệ dữ liệu cá nhân của người khác; Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân; Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
5 trường hợp dữ liệu cá nhân được xử lý mà không cần sự đồng ý của chủ thể
Một trong những nội dung nhận được nhiều sự quan tâm tại dự thảo Nghị định là quy định dữ liệu cá nhân được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong 5 trường hợp. Cụ thể các trường hợp như sau: Thứ nhất, để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong tình huống khẩn cấp.
Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này. Thứ hai, việc công khai dữ liệu cá nhân theo quy định của luật.
Thứ ba, việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. Thứ tư, để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật và trường hợp thứ năm là phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Lý giải về quy định trên tại dự thảo Nghị định, Bộ Công an cho biết, những quy định trên xuất phát từ việc bảo đảm phù hợp với thông lệ quốc tế, khi nhiều quốc gia trên thế giới đã ban hành quy định về bảo vệ dữ liệu cá nhân đều quy định nội dung này đồng thời đáp ứng yêu cầu thực tiễn, cần được quy định để bảo đảm quốc phòng, an ninh, trật tự an toàn xã hội, đấu tranh phòng, chống các hoạt động vi phạm pháp luật, bảo đảm hoạt động của cơ quan nhà nước, phát triển kinh tế, xã hội.
Bên cạnh đó, quy định này cũng sẽ bảo đảm quyền con người, quyền công dân, bảo đảm quyền của chủ thể dữ liệu trong trường hợp xảy ra sự cố, không ảnh hưởng tới quyền công dân. Đồng thời phục vụ triển khai chủ trương của Đảng, Nhà nước về Chính phủ điện tử, hành chính công, phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử, chuyển đổi số quốc gia. Nếu không quy định sẽ tác động, ảnh hưởng đến chủ quyền dữ liệu, an ninh quốc gia, gây ngưng trệ một số hoạt động phát triển kinh tế - xã hội, tạo ra một số khoảng trống pháp luật.