Nhà nước đã ban hành chính sách bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP, ghi nhận quyền, nghĩa vụ của cá nhân cũng như doanh nghiệp trong hoạt động bảo vệ dữ liệu cá nhân. Như vậy, doanh nghiệp cần làm gì để thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP?
Doanh nghiệp cần làm gì để thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP?
Để thực hiện theo Nghị định 13/2023/NĐ-CP, doanh nghiệp nên xem xét thực hiện các công việc sau:
1. Rà soát, bổ sung, điều chỉnh các tài liệu, các thỏa thuận, hợp đồng có yêu cầu khách hàng, người lao động cung cấp thông tin, dữ liệu để phù hợp với yêu cầu Nghị định 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân, trong đó lưu ý về sự đồng ý của chủ thể dữ liệu tại Điều 11 Nghị định 13/2023/NĐ-CP, thông báo cho chủ thể dữ liệu biết về việc xử lý về dữ liệu cá nhân nhạy cảm Điều 12 Nghị định 13/2023/NĐ-CP.
Lưu ý: Doanh nghiệp không cần phải có sự đồng ý của chủ thể dữ liệu khi xử lý dữ liệu cá nhân khi thuộc các trường hợp Điều 17 Nghị định 13/2023/NĐ-CP, cụ thể:
- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
- Việc công khai dữ liệu cá nhân theo quy định của luật.
- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
- Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
2. Chỉ định bộ phận, nhân sự bảo vệ dữ liệu dữ liệu cá nhân nhạy cảm
Nếu doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm thì phải thực hiện chỉ định bộ, nhân sự phụ trách việc bảo vệ dữ liệu cá nhân nhạy cảm này.
Ngoài việc chỉ định bộ phận, nhân sự, công ty cần cung cấp, trao đổi thông tin về bộ phận, cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (tức Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an) theo Khoản 2 Điều 28, 29 Nghị định 13/2023/NĐ-CP.
3. Xem xét lại cơ chế xử lý khi khách hàng thực hiện rút lại quyền đồng ý hoặc yêu cầu xóa dữ liệu hoặc các quyền khác tại Điều 9, 15, 16 Nghị định 13/2023/NĐ-CP
4. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân tại doanh nghiệp
Đây là công việc phải thực hiện theo quy định tại Khoản 2 Điều 27 và Khoản 1 Điều 28 Nghị định 13/2023/NĐ-CP.
Doanh nghiệp cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân (dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm), trong đó quy định nêu rõ những việc doanh nghiệp cần thực hiện theo quy định Nghị định 13/2023/NĐ-CP.
5. Đánh giá tác động xử lý dữ liệu cá nhân và gửi thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao theo Điều 24 Nghị định 13/2023/NĐ-CP
6. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân Điều 23 Nghị định 13/2023/NĐ-CP.
Hi vọng thông tin trên hữu ích đối với bạn!
