Cần thực thi các nguyên tắc bảo vệ dữ liệu cá nhân

Các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm

Bộ Công an vừa dự thảo xong Luật Bảo vệ dữ liệu cá nhân, dự kiến trình Quốc hội xem xét cho ý kiến vào Kỳ họp thứ 9, Quốc hội khóa XV gồm 07 chương và 68 điều. Theo dự thảo Luật, để phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân thì cần tuân thủ theo “Nguyên tắc bảo vệ dữ liệu cá nhân”.

Theo dự thảo Luật, qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP thấy, hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu.

Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy, các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm, công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình.

Luật Bảo vệ dữ liệu cá nhân sẽ là cơ sở pháp lý ghi nhận các quyền của công dân đối với dữ liệu cá nhân, góp phần nâng cao nhận thức và hoàn thiện cơ chế thực thi bảo vệ các quyền công dân.

Bên cạnh đó, việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân, như: xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn về bảo vệ dữ liệu cá nhân trong các tổ chức chưa được tiến hành thường xuyên.

Việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân.

Những hạn chế, thiếu hiệu quả khi triển khai tuân thủ Nghị định số 13/2023/NĐ-CP sẽ được giải quyết thông qua việc bổ sung, chỉnh sửa các quy định trong Luật Bảo vệ dữ liệu cá nhân theo hướng đầy đủ, rõ ràng hơn và sẽ được cụ thể hóa trong các văn bản của Chính phủ hướng dẫn chi tiết thi hành Luật.

Theo Bộ Công an, trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Mặc dù Nghị định số 13/2023/NĐ-CP đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.

Các nguyên tắc bảo vệ dữ liệu cá nhân

Đáng chú ý, Điều 3 của dự thảo quy định về “Nguyên tắc bảo vệ dữ liệu cá nhân”, hoạt động liên quan đến dữ liệu cá nhân cần đảm bảo những nguyên tắc sau:

Dữ liệu cá nhân được xử lý công khai, minh bạch. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật khác có quy định khác.

Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.

Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.

Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 6 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

Những “Nguyên tắc bảo vệ dữ liệu cá nhân” nêu trên là một trong những hành lang pháp lý quan trọng về bảo vệ thông tin dữ liệu cá nhân nhằm đáp ứng yêu cầu về quyền bảo vệ dữ liệu cá nhân, và ngăn chặn các hành vi xâm phạm dữ liệu cá nhân gây ảnh hưởng đến quyền và lợi ích của cá nhân và tổ chức.