"Siết" nghĩa vụ đối với doanh nghiệp quản lý, sử dụng dữ liệu cá nhân

Ngày 17/4, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP bảo vệ DLCN, trong đó quy định về 11 quyền của chủ thể dữ liệu và 8 nghĩa vụ mà DN xử lý DLCN phải tuân thủ.

Cụ thể, 11 quyền của chủ thể dữ liệu bao gồm: Quyền được biết về hoạt động xử lý DLCN của mình. Quyền đồng ý hoặc không đồng ý cho phép xử lý DLCN. Quyền được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa DLCN. Quyền rút lại sự đồng ý của mình. Quyền được xóa hoặc yêu cầu xóa DLCN. Chủ thể dữ liệu được yêu cầu hạn chế sử dụng DLCN của mình, việc hạn chế được thực hiện trong 72 giờ sau khi có yêu cầu với toàn bộ DLCN được yêu cầu.

Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát và xử lý DLCN cung cấp cho bản thân DLCN của mình.

Chủ thể dữ liệu được phản đối bên kiểm soát và xử lý DLCN của mình nhằm ngăn chặn hoặc hạn chế tiết lộ DLCN hoặc sử dụng cho mục đích quảng cáo, tiếp thị.

Bên cạnh đó, chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

Có quyền yêu cầu bồi thường thiệt hại theo quy định về bảo vệ DLCN.

Hơn nữa, chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ Luật Dân sư, luật khác có liên quan và nghị định này. Hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ Luật Dân sự.

Trong khi đó, DN xử lý DLCN phải đáp ứng 8 nghĩa vụ.

Thứ nhất, bảo đảm 11 quyền của chủ thể dữ liệu.

Thứ 2, xây dựng quy định về bảo vệ DLCN trong nội bộ DN theo quy định của nghị định bảo vệ DLCN.

Thứ 3, bố trí nhân sự phụ trách bảo vệ DLCN để trao đổi thông tin với Cục A05 (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) trong trường hợp xử lý DLCN nhạy cảm.

DN siêu nhỏ, nhỏ, vừa, khởi nghiệp không trực tiếp kinh doanh dịch vụ xử lý DLCN được miễn thực hiện nghĩa vụ về bố trí nhân sự phụ trách bảo vệ DLCN này trong thời hạn 2 năm kể từ khi thành lập DN.

Thứ 4, thông báo tới Bộ Công an vi phạm về DLCN trong vòng 72 giờ sau khi xảy ra hành vi vi phạm.

Thứ 5, lập, cập nhật, gửi hồ sơ đánh giá tác động xử lý DLCN theo mẫu tới Cục A05 trong vòng 60 ngày kể từ khi thực hiện xử lý DLCN.

Thứ 6, cập nhật, gửi hồ sơ đánh giá tác động chuyền DLCN ra nước ngoài theo mẫu tới Cục A05 trong vòng 60 ngày kể từ khi thực hiện xử lý dữ liệu.

Thứ 7, ghi và lưu trữ nhật ký hệ thống xử lý DLCN.

Thứ 8, phối hợp với Bộ Công an, cơ quan Nhà nước có thẩm quyền trong bảo vệ DLCN, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật bảo vệ DLCN.

Theo Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), 8 nghĩa vụ này không chỉ áp dụng cho DN mà cho tất cả các cơ quan, tổ chức, cá nhân được xác định là bên kiểm soát DLCN, bên xử lý DLCN, bên kiểm soát và xử lý DLCN và bên thứ ba theo định nghĩa tại Điều 2, Chương I của Nghị định 13/2023/NĐ-CP.

Như vậy, các cơ quan báo chí có thực hiện thu thập, lưu trữ, phân tích, chuyển giao hay bất kỳ hoạt động xử lý DLCN nào khác của độc giả đều là đối tượng áp dụng của nghị định này.

Trong bối cảnh nhiều cơ quan báo chí đang đẩy mạnh trực tiếp thu thập dữ liệu độc giả để đưa đến người đọc những nội dung phù hợp, được cá nhân hóa tốt hơn cũng như đa dạng hóa các nguồn doanh thu, đây là nghị định mà các tòa soạn cần lưu tâm để đảm bảo an toàn dữ liệu cho độc giả và tuân thủ đúng các quy định của pháp luật.

Nghị định sẽ chính thức có hiệu lực từ ngày 1/7/2023.