Xử lý dữ liệu cá nhân là nghĩa vụ của doanh nghiệp theo quy định tại Nghị định 13/2023/NĐ-CP. Vậy xử lý dữ liệu cá nhân là gì? Doanh nghiệp cần phải làm gì trước khi xử lý dữ liệu cá nhân?
Xử lý dữ liệu cá nhân là gì?
Hiện nay, khái niệm xử lý dữ liệu cá nhân được ghi nhận tại Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP, theo đó:
Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan
Như vậy, khi xử lý dữ liệu cá nhân, trách nhiệm của doanh nghiệp có thể xoay quanh bốn giai đoạn chính:
- Giai đoạn 1: Trước khi xử lý dữ liệu cá nhân
- Giai đoạn 2: Thu thập dữ liệu cá nhân
- Giai đoạn 3: Lưu trữ dữ liệu cá nhân
- Giai đoạn 4: Xóa, hủy dữ liệu cá nhân
Khái niệm xử lý dữ liệu cá nhân
Doanh nghiệp phải làm gì trước khi xử lý dữ liệu cá nhân?
Thông báo cho người lao động
Khi xử lý dữ liệu cá nhân, doanh nghiệp cần phải tuân theo một số nguyên tắc đặc thù mà pháp luật quy định. Tại khoản 2 Điều 3 Nghị định 13/2023/NĐ-CP có nói rằng: “Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác”. Đây cũng là một trong những nguyên tắc cơ bản khi tiến hành xử lý dữ liệu cá nhân.
Điều này có nghĩa là doanh nghiệp có nghĩa vụ phải thông báo trước cho người chủ dữ liệu biết về việc thu thập, ghi dữ liệu trước khi tiến hành thực hiện. Doanh nghiệp khi thực hiện nghĩa vụ thông báo cần lưu ý:
Thứ nhất, về số lần thông báo: Theo Khoản 1 Điều 13 Nghị định 13/2023/NĐ-CP thì doanh nghiệp thực hiện thông báo 01 (một) lần trước khi tiến hành xử lý dữ liệu cá nhân.
Thứ hai, về nội dung thông báo: Cũng tại Khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP thì nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân gồm:
- Mục đích xử lý;
- Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý theo quy định;
- Cách thức xử lý;
- Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý theo quy định;
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
- Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
Riêng đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm (Khoản 8 Điều 11 Nghị định 13/2023/NĐ-CP).
Thứ ba, về hình thức thông báo: Doanh nghiệp cần lưu ý không được thông báo bằng lời nói. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được theo Khoản 3 Điều 13 Nghị định 13/2023/NĐ-CP.
Bảo đảm có sự đồng ý của người lao động
Chủ thể dữ liệu được quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP. Đáng nói, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi thỏa mãn 02 điều kiện:
- Một là, chủ thể dữ liệu tự nguyện;
- Hai là, chủ thể dữ liệu biết rõ các nội dung sau:
+ Loại dữ liệu cá nhân được xử lý;
+ Mục đích xử lý dữ liệu cá nhân;
+ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
+ Các quyền, nghĩa vụ của chủ thể dữ liệu.
Song song đó, sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, có thể bằng hình thức bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Lưu ý rằng:
- Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được;
- Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
- Chủ thể dữ liệu vẫn có quyền rút lại sự đồng ý nêu trên khi việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
5 trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu
Trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu
Khi doanh nghiệp xử lý dữ liệu cá nhân buộc phải có sự đồng ý của chủ thể dữ liệu. Tuy nhiên, pháp luật có đặt ra 05 trường hợp ngoại lệ của việc thông báo đối với chủ thể dữ liệu cá nhân tại Điều 17 Nghị định 13/2023/NĐ-CP:
Một là, trường hợp khẩn cấp: Trong các trường hợp khẩn cấp như để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác mà doanh nghiệp cần xử lý ngay dữ liệu cá nhân có liên quan thì doanh nghiệp được quyền xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.
Hai là, việc công khai dữ liệu cá nhân theo quy định của luật.
Ba là, việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
Bốn là, để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
Năm là, phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. Ví dụ như hoạt động của cơ quan thuế, cơ quan bảo hiểm xã hội hay hòa giải viên lao động, tòa án nhân dân.
Trên đây là nội dung tư vấn về xử lý dữ liệu cá nhân là gì. Hy vọng qua bài viết này, bạn đọc sẽ hiểu rõ hơn về những nội dung có liên quan. Nếu còn thắc mắc, xin vui lòng liên hệ 19006192 để được hỗ trợ.