Xử lý dữ liệu cá nhân là gì? Doanh nghiệp cần phải làm gì trước khi xử lý dữ liệu cá nhân để đảm bảo tuân thủ theo quy định tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân?
Xử lý dữ liệu cá nhân là gì?
Theo Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP thì xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Như vậy, việc thu thập, lưu trữ thông tin cá nhân cũng xem là hoạt động xử lý dữ liệu cá nhân.
Doanh nghiệp cần phải làm gì trước khi xử lý dữ liệu cá nhân?
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ra đời, đã ghi nhận 11 quyền của cá nhân (tức chủ thể dữ liệu). Trong đó một số quyền nổi bật như: cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình, có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, có quyền rút lại sự đồng ý của mình, có quyền xóa dữ liệu,…
Đồng thời, cũng đặt ra yêu cầu đơn vị kiểm soát, xử lý dữ liệu cá nhân phải bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này. (Căn cứ Điều 40, Khoản 5 Điều 38 Nghị định 13/2023/NĐ-CP)
Một trong những công việc đầu tiên mà doanh nghiệp cần thực hiện đó chính là đảm bảo sự đồng ý của chủ thể dữ liệu trước khi doanh nghiệp tiến hành thu nhập, lưu trữ dữ liệu cá nhân và tiến hành các hoạt động xử lý dữ liệu khác. Doanh nghiệp nên rà soát lại các biểu mẫu, hợp đồng của doanh nghiệp để xem đã có thoả thuận nào về việc cá nhân đồng ý cho doanh nghiệp xử lý dữ liệu hay chưa, nếu chưa thì nên tiến hành điều chỉnh kịp thời.
Khi điều chỉnh biểu mẫu, hợp đồng, doanh nghiệp cần lưu ý 2 vấn đề sau:
Thứ nhất, về hình thức thể hiện sự đồng ý
Theo Khoản 8 Điều 2 và Điều 11 Nghị định 13/2023/NĐ-CP thì sự đồng ý của chủ thể dữ liệu là phải thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân.Việc đồng ý phải thực hiện cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Lưu ý:
- Sự đồng ý phải đáp ứng điều kiện có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
- Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý nên các điều khoản chứa nội dung này cần phải được sửa đổi.
Thứ hai, về hiệu lực của sự đồng ý
Tại Khoản 2, 4 Điều 11 Nghị định 13/2023/NĐ-CP quy định sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
- Loại dữ liệu cá nhân được xử lý;
- Mục đích xử lý dữ liệu cá nhân;
- Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
- Các quyền, nghĩa vụ của chủ thể dữ liệu.
Lưu ý:
- Trường hợp dữ liệu cá nhân được sử dụng cho nhiều mục đích thì phải liệt kê các mục đích để cá nhân đồng ý với một hoặc nhiều mục đích nêu ra.
- Cá nhân có thể đồng ý một phần và kèm theo điều kiện.
Hi vọng các thông tin trên hữu ích đối với bạn!