Bảo vệ dữ liệu cá nhân là nội dung trọng tâm tại Nghị định 13/2023/NĐ-CP được Chính phủ ban hành ngày 17/4/2023, trong đó quy định chi tiết các nội dung bảo vệ dữ liệu cá nhân.
Cụ thể, nhằm bảo vệ dữ liệu cá nhân của công dân được pháp luật Việt Nam bảo vệ Chính phủ ban hành 05 biện pháp sau đây:
(1) 05 biện pháp bảo vệ dữ liệu cá nhân
Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện.
- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện.
- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan.
- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện.
- Các biện pháp khác theo quy định của pháp luật.
(2) Quy định về sự đồng ý của chủ thể dữ liệu
- Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
- Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
+ Loại dữ liệu cá nhân được xử lý.
+ Mục đích xử lý dữ liệu cá nhân.
+ Tổ chức, cá nhân được xử lý dữ liệu cá nhân.
+ Các quyền, nghĩa vụ của chủ thể dữ liệu.
- Sự đồng ý của chủ thề dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
- Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích đề chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
- Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
- Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
- Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
- Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
- Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
- Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thề dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
- Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự 2015, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thê dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đà biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.