Cập nhật Pháp luật về Bảo vệ Dữ liệu Cá nhân

Ngày 07 tháng 02 năm 2023, Chính phủ đã ban hành Nghị quyết số 13/NQ-CP thông qua bản dự thảo mới nhất của Nghị định bảo vệ dữ liệu cá nhân ("Nghị định BVDLCN") và báo cáo tiếp thu ý kiến từ Ủy ban thường vụ Quốc hội ("UBTVQH"). Nghị quyết này tiếp tục chỉ định Bộ Công an (cơ quan được giao nhiệm vụ soạn thảo Nghị định BVDLCN) cập nhật bản dự thảo Nghị định BVDLCN sau khi xin ý kiến của UBTVQH, trước khi gửi lại để UBTVQH phê duyệt. Tuy nhiên, thời hạn chính thức và bản dự thảo Nghị định BVDLCN mới nhất vẫn chưa được công bố.

Nghị quyết tiếp tục mở rộng các quy định cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu mà không cần sự đồng ý của chủ thể dữ liệu, cụ thể:

1. nhằm bảo vệ sức khỏe hoặc tính mạng của chủ thể dữ liệu hoặc người khác;
2. khi việc công khai dữ liệu được quy định theo pháp luật;
3. trong trường hơp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia; trật tự và an toàn xã hội; thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa nhưng chưa đến mức ban bố tình trạng khẩn cấp hoặc phòng, chống bạo loạn, khủng bố, và vi phạm pháp luật;
4. khi cần thiết cho việc thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu;
5. khi được yêu cầu bởi cơ quan nhà nước có thẩm quyền theo quy định của pháp luật chuyên ngành.

Những nội dung cải tiến quan trọng của Nghị quyết này so với bản dự thảo trước đó là:

1. bổ sung sự cần thiết cho việc thực hiện nghĩa vụ theo hợp đồng là một căn cứ cho việc xử lý dữ liệu mà không cần có chấp thuận;
2. giới thiệu các khái niệm về “bên xử lý dữ liệu”, “bên kiểm soát dữ liệu” và “bên kiểm soát và xử lý dữ liệu”; bản dự thảo Nghị định BVDLCN được công bố trước đó đã quy định về trách nhiệm pháp lý và các yêu cầu cần tuân thủ mà chưa có sự phân biệt giữa các vai trò khác nhau mà bên xử lý dữ liệu có thể có.

Những thay đổi nói trên cho thấy đang có những cuộc thảo luận và trao đổi về chính sách nhằm tạo ra sự tương thích giữa luật bảo vệ dữ liệu của Việt Nam và luật của các khu vực tài phán khác. Chúng tôi dự đoán rằng bản thảo cuối cùng, mặc dù giữ lại hầu hết các điểm chính của bản thảo được công bố trước đó, vẫn sẽ có thêm những sửa đổi quan trọng. Hiện chưa có mốc thời gian chính thức cho việc ban hành Nghị định BVDLCN, nhưng các báo cáo chỉ ra rằng việc ban hành Nghị định này có thể diễn ra vào thời điểm đầu tháng 3 năm 2023 và có hiệu lực vào tháng 7 năm 2023.

Các doanh nghiệp đang quan tâm đến sự phát triển của các quy định pháp luật của Việt Nam hoặc đã tuân thủ theo các luật bảo vệ dữ liệu khác (ví dụ như GDPR (General Data Protection Regulation) - quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu) và mong muốn đánh giá việc tuân thủ các luật đó, vẫn sẽ cần thực hiện một số bước bao gồm việc cập nhật chính sách bảo mật, cơ chế cho phép xử lý dữ liệu cá nhân, và các chính sách tuân thủ nội bộ về dữ liệu. Đối với các doanh nghiệp hoạt động bên ngoài lãnh thổ Việt Nam hoặc có thể xuất dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam, điều quan trọng là cần phải xem xét đến việc Nghị định BVDLCN có phạm vi áp dụng ngoài lãnh thổ Việt Nam hay không và thực hiện các cơ chế thích hợp cho việc chuyển giao dữ liệu xuyên biên giới. Mặc dù bản dự thảo Nghị định BVDLCN mới nhất vẫn chưa được công bố, các doanh nghiệp nên bắt đầu có sự chuẩn bị vì quá trình chuyển đổi dự kiến sẽ sớm diễn ra, và các cơ quan có thẩm quyền sẽ chủ động áp dụng các quy định mới.

Xin vui lòng liên hệ chúng tôi để được hỗ trợ về các quy định bảo vệ dữ liệu tại Việt Nam hoặc bất kỳ câu hỏi nào khác liên quan đến việc chế độ bảo vệ dữ liệu của Việt Nam có thể ảnh hưởng đến hoạt động của doanh nghiệp như thế nào.