Tin Hoạt Động

THÔNG BÁO VI PHẠM QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

14
Th8

Trong thời đại số hóa mạnh mẽ, dữ liệu cá nhân ngày càng trở thành tài sản quý giá, đồng thời cũng là đối tượng dễ bị xâm phạm. Việc bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm đạo đức mà còn là nghĩa vụ pháp lý theo quy định của pháp luật Việt Nam. Hiện nay, có nhiều trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân đã được phát hiện và xử lý vi phạm bằng nhiều chế tài khác nhau. Một bộ phận đã thu thập thông tin cá nhân của khách hàng mà chưa có sự đồng ý rõ ràng, hợp lệ theo quy định tại Điều 17 Nghị định 13/2023/NĐ-CP. Do đó, các tổ chức, cá nhân xử lý dữ liệu cá nhân cần đặc biệt lưu ý đến nghĩa vụ thông báo khi xảy ra vi phạm. Việc thực hiện thông báo đúng quy trình không chỉ thể hiện trách nhiệm pháp lý mà còn giúp giảm thiểu rủi ro pháp lý và bảo vệ uy tín của đơn vị. Dưới đây Luật Danh Tiếng xin phân tích các quy định pháp luật về trách nhiệm thông báo vi phạm, từ xác định chủ thể có trách nhiệm thực hiện việc thông báo, nội dung thông báo đến quy trình tiếp nhận và xử lý thông tin vi phạm. 

1. Khi nào phải thực hiện thông báo vi phạm?

Theo Điều 24 Nghị định 13/2023/NĐ-CP, tổ chức, cá nhân xử lý dữ liệu phải thông báo cho Cơ quan quản lý nhà nước về bảo vệ dữ liệu cá nhân khi xảy ra một trong các sự kiện sau:

  • Rò rỉ, mất mát, truy cập trái phép dữ liệu cá nhân;
  • Dữ liệu bị sử dụng sai mục đích, vượt quá phạm vi đã được chủ thể đồng ý;
  • Hệ thống bảo mật bị tấn công dẫn đến nguy cơ ảnh hưởng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu.

2. Chủ thể thực hiện việc thông báo

Theo quy định tại Điều 23 Nghị định 13/2023/NĐ-CP, có hai nhóm chủ thể chính có trách nhiệm thực hiện thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm:

  • Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân
  • Tổ chức, cá nhân khác.

Trách nhiệm cụ thể của các chủ thể này như sau: 

2.1 Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân

  • Bên Xử lý dữ liệu cá nhân phải thông báo cho Bên Kiểm soát dữ liệu cá nhân một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân. Như vậy, Bên Xử lý dữ liệu cá nhân không có trách nhiệm trực tiếp thông báo cho cơ quan quản lý nhà nước mà chỉ có nghĩa vụ thông báo ngay lập tức cho Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân khi phát hiện vi phạm. Việc giới hạn trách nhiệm này phản ánh đúng bản chất vai trò của Bên Xử lý dữ liệu, vốn chỉ hoạt động theo hợp đồng và hướng dẫn của Bên Kiểm soát dữ liệu mà không có quyền tự quyết về dữ liệu được xử lý;
  • Khi nhận được thông báo từ Bên Xử lý dữ liệu, hoặc khi tự phát hiện vi phạm, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải thực hiện nghĩa vụ thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân đến cơ quan quản lý nhà nước có thẩm quyền. Ngoài việc thực hiện thông báo, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải:

– Lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân;

– Phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.

2.2 Tổ chức, cá nhân khác 

Điều 23 Nghị định 13/2023/NĐ-CP mở rộng trách nhiệm thông báo vi phạm bảo vệ dữ liệu cá nhân không chỉ đối với các tổ chức trực tiếp xử lý và kiểm soát dữ liệu mà còn bao gồm cả tổ chức, cá nhân khác khi phát hiện vi phạm. Quy định này nhằm mục đích tạo ra cơ chế giám sát bảo vệ dữ liệu cá nhân bao gồm nhiều chủ thể tham gia, góp phần tăng cường tính minh bạch và bảo vệ quyền lợi của chủ thể dữ liệu. Theo đó, tổ chức, cá nhân thông báo thực hiện việc thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân khi phát hiện các trường hợp sau:

a. Phát hiện hành vi vi phạm pháp luật đối với dữ liệu cá nhân;

b. Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận ban đầu giữa chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc vi phạm quy định của pháp luật;

c. Không bảo đảm quyền của chủ thể dữ liệu hoặc không được thực hiện đúng;

d. Trường hợp khác theo quy định của pháp luật.

3. Nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân bao gồm các nội dung sau:

  • Mô tả tính chất của việc vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm: thời gian, địa điểm, hành vi, tổ chức, cá nhân, các loại dữ liệu cá nhân và số lượng dữ liệu liên quan;
  • Chi tiết liên lạc của nhân viên được giao nhiệm vụ bảo vệ dữ liệu hoặc tổ chức, cá nhân chịu trách nhiệm bảo vệ dữ liệu cá nhân;
  • Mô tả các hậu quả, thiệt hại có thể xảy ra của việc vi phạm quy định bảo vệ dữ liệu cá nhân;
  • Mô tả các biện pháp được đưa ra để giải quyết, giảm thiểu tác hại của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

Trường hợp không thể thông báo đầy đủ các nội dung nêu trên, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.

4. Cơ quan tiếp nhận

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ được tiếp nhận, xử lý và giải quyết bởi Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an. Trong trường hợp thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân được thực hiện bởi Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, thông báo phải được gửi cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công An chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ-CP. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.

5. Trình tự thực hiện

Theo hướng dẫn tại Cổng Dịch vụ công thuộc Bộ Công an, trình tự thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân được thực hiện như sau:

  • Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc tải mẫu số 03 (Mẫu số 3a nếu chủ thể thực hiện việc thông báo là tổ chức, Mẫu số 3b nếu chủ thể thực hiện việc thông báo là cá nhân) ban hành kèm theo Nghị định số 13/2023/NĐ-CP khi phát hiện hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân;
  • Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc khai theo mẫu số 03 ban hành kèm theo Nghị định số 13/2023/NĐ-CP;
  • Bước 3: Tổ chức, cá nhân gửi thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi văn bản đã khai báo thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an;
  • Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an trao đổi kết quả tiếp nhận nội dung liên quan tới thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.

6. Thời hạn giải quyết

Thời hạn để Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an giải quyết thông báo xử lý vi phạm dữ liệu cá nhân là 10 ngày làm việc kể từ ngày cơ quan này xác nhận đã tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.

7. Khuyến nghị

  • Thiết lập quy trình phản ứng nhanh khi xảy ra vi phạm dữ liệu
  • Phân công rõ trách nhiệm thông báo trong nội bộ tổ chức
  • Lưu trữ hồ sơ thông báo để phục vụ thanh tra, kiểm tra
  • Tham vấn ý kiến pháp lý trước khi gửi thông báo để đảm bảo đầy đủ và đúng quy định.

Nếu quý tổ chức, doanh nghiệp cần hỗ trợ xây dựng quy trình thông báo vi phạm hoặc tư vấn pháp lý chuyên sâu về bảo vệ dữ liệu cá nhân, Luật Danh Tiếng sẵn sàng đồng hành và hỗ trợ.

Trên đây là bài viết của Công ty Luật TNHH Danh Tiếng. Mọi thắc mắc cần được tư vấn của quý khách hàng xin vui lòng liên hệ qua số điện thoại, email hoặc liên hệ trực tiếp tại Công ty để được hỗ trợ.

CÔNG TY LUẬT TNHH DANH TIẾNG

Địa chỉ: Tầng 3, số 372 Lê Văn Sỹ, Phường 2, Quận Tân Bình, Thành phố Hồ Chí Minh.

Hotline: 0838.612.333 – 0973.231.333

Email: luatdanhtieng@gmail.com

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *