Từ tháng 7/2023: Hành vi bị nghiêm cấm tuyệt đối, nếu vi phạm sẽ bị xử lý hình sự

Kể từ tháng 7/2023, Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân chính thức có hiệu lực, tạo hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam một cách hiệu quả, giảm thiểu tối đa những nguy cơ và hệ quả của các hành vi xâm phạm dữ liệu cá nhân.

Nghị định được Chính phủ ban hành ngày 17/4/2023 với nhiều quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Dữ liệu cá nhân gồm những thông tin nào?

Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Những dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng…

Những dữ liệu nhạy cảm là những thông tin mang tính riêng tư nhất, một khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Ví dụ như quan điểm tôn giáo,  quan điểm chính trị, tình trạng sức khỏe, chủng tộc, dân tộc, đặc điểm di truyền, sinh học, đời sống tình dục, dữ liệu vị trí, tội phạm, thông tin khách hàng của tổ chức tín dụng lưu trữ...

Hành vi nào bị nghiêm cấm về bảo vệ dữ liệu cá nhân?

Việc bảo vệ dữ liệu cá nhân ngày càng được đề cao, nhất là khi xã hội xuất hiện rất nhiều những vụ liên quan đến lộ thông tin cá nhân trên nền tảng mạng.

Điều 8 của Nghị định quy định các hành vi bị nghiêm cấm, bao gồm:

- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân

- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại nhà nước

- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng an ninh quốc gia, trật tự xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác

- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền

- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật

Đáng chú ý, Nghị định đã quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo.

Theo đó, tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu.

Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.

Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại nghị định này.

Vi phạm về dữ liệu cá nhân sẽ bị xử phạt như thế nào?

Theo điều 17 của Nghị định quy định rõ, trong trường hợp xử lý dữ liệu cá nhân mà không đồng ý của chủ thể dữ liệu bao gồm:

- Trường hợp khẩn cấp, cần xử lý ngay để bảo vệ tính mạng, sức khỏe chủ thể dữ liệu hoặc của người khác

- Công khai dữ liệu cá nhân theo quy định của luật pháp

Bên cạnh đó còn một số trường hợp liên quan đến tình huống khẩn cấp về an ninh quốc phòng, trật tự an toàn xã hội, dịch bệnh, thảm họa lớn, phòng chống bạo loạn, khủng bố, tội phạm hay các hành vi vi phạm pháp luật.

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định. Tùy theo tính chất và mức độ vi phạm mà tổ chức, cá nhân thực hiện hành vi vi phạm về dữ liệu cá nhân sẽ có hình thức xử lý tương ứng. Cao nhất là xử lý hình sự.