Bộ Công an đã hoàn thành dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp của các cơ quan, tổ chức, cá nhân. Dự thảo Nghị định gồm 06 chương 30 điều, áp dụng đối với cơ quan, tổ chức, cá nhân có liên quan tới dữ liệu cá nhân.
Dự thảo Nghị định này quy định về dữ liệu cá nhân, xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, Ủy ban bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Theo đó, dự thảo Nghị định đã quy định rõ một số khái niệm như khái niệm dữ liệu cá nhân được hiểu là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân cơ bản, gồm: Họ, chữ đệm và tên khai sinh, bí danh (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Nhóm máu, giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; Trình độ học vấn; Dân tộc; Quốc tịch; Số điện thoại; Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội; Tình trạng hôn nhân; Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.
Dữ liệu cá nhân nhạy cảm gồm các dữ liệu cá nhân về quan điểm chính trị, tôn giáo; tình trạng sức khỏe; di truyền; sinh trắc học; tình trạng giới tính; tài chính; vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại; các mối quan hệ xã hội dữ liệu cá nhân về đời sống, xu hướng tình dục; dữ liệu cá nhân về tội phạm, hành vi phạm tội và các dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết…
Đối với việc xử lý dữ liệu cá nhân, Chương II của dự thảo quy định cụ thể quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân; tiết lộ dữ liệu cá nhân; hạn chế tiếp cận dữ liệu cá nhân; sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân; xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết; xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu; thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân; xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê; xử lý dữ liệu cá nhân tự động, dữ liệu cá nhân của trẻ em…
Đáng chú ý, không tiết lộ dữ liệu cá nhân của người khác trong trường hợp dữ liệu được đề cập là dữ liệu cá nhân nhạy cảm; làm tổn hại đến lợi ích hợp pháp của chủ thể dữ liệu.
Được xử lý dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp: Theo quy định của pháp luật; vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội; được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng; phục vụ điều tra, xử lý hành vi vi phạm pháp luật; thực hiện quy định cụ thể nêu rõ cho phép xử lý dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu tại thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên; xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê…
Được chia sẻ dữ liệu cá nhân hoặc cấp quyền truy cập vào dữ liệu cá nhân cho Bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu trong trường hợp: theo quy định của pháp luật hoặc thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên; bảo vệ tính mạng, sức khỏe hoặc tự do của chủ thể dữ liệu; không ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu và việc có được sự đồng ý của chủ thể dữ liệu là bất khả thi; xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê…
Đối với việc xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, các cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật. Việc xử lý vi phạm quy định bảo vệ dữ liệu cá nhân được áp dụng đối với toàn bộ các tổ chức, doanh nghiệp, cá nhân trong và ngoài nước có hoạt động kinh doanh tại Việt Nam. Ngoài mức phạt được quy định, trường hợp Bên xử lý dữ liệu cá nhân vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.
Như vậy, Điều 22 của dự thảo Nghị định quy định cụ thể mức xử phạt vi phạm hành chính đối với những hành vi vi phạm quy định về xử lý dữ liệu cá nhân, trong đó, phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với các hành vi vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân; vi phạm quy định về tiết lộ dữ liệu cá nhân; vi phạm quy định về xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết; vi phạm quy định về xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu; vi phạm quy định về xử lý dữ liệu cá nhân tự động, dữ liệu cá nhân của trẻ em; vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân.
Điều 6. Tiết lộ dữ liệu cá nhân
1. Bên xử lý dữ liệu cá nhân, Bên thứ ba có thể tiết lộ dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp:
a) Theo quy định của pháp luật;
b) Công bố thông tin là cần thiết vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội;
c) Trên phương tiện truyền thông vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng;
d) Trên phương tiện truyền thông theo quy định của Luật Báo chí, không gây thiệt hại về kinh tế, danh dự, tinh thần, vật chất cho chủ thể dữ liệu;
đ) Trong trường hợp được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng.
2. Bên xử lý dữ liệu cá nhân, Bên thứ ba chấm dứt ngay việc tiết lộ dữ liệu cá nhân khi chủ thể dữ liệu yêu cầu, trừ trường hợp quy định tại khoản 1 Điều này.
3. Không tiết lộ dữ liệu cá nhân của người khác trong trường hợp sau:
a) Dữ liệu được đề cập là dữ liệu cá nhân nhạy cảm;
b) Làm tổn hại đến lợi ích hợp pháp của chủ thể dữ liệu.
4. Việc ghi âm, ghi hình và xử lý dữ liệu thu được qua hoạt động ghi âm, ghi hình ở nơi công cộng của cơ quan nhà nước có thẩm quyền trong trường hợp pháp luật quy định được coi là đã có sự đồng ý của chủ thể dữ liệu.
a) Cơ quan thu thập có nghĩa vụ thông báo cho chủ thể dữ liệu theo cách mà chủ thể dữ liệu hiểu được việc họ đang bị ghi âm, thu hình và xử lý dữ liệu để chủ thể dữ liệu biết cách ngăn chặn nếu họ muốn;
b) Không áp dụng nghĩa vụ thông báo trong trường hợp vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng.
Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với hành vi không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân; vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm; vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới…
Toàn văn dự thảo Nghị định được đăng trên Cổng Thông tin điện tử Bộ Công an để lấy ý kiến đóng góp trong thời gian 02 tháng kể từ ngày đăng.