Trong thời đại số hóa hiện nay, việc bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu nhạy cảm trở thành một vấn đề cấp thiết đối với toàn xã hội nói chung và phạm vi trường học nói riêng. Dữ liệu nhạy cảm mà trường học chịu trách nhiệm quản lý bao gồm thông tin về sức khỏe, tôn giáo, hồ sơ học tập,… Các dữ liệu này nếu không được bảo vệ và xử lý theo đúng quy định có thể gây ra nguy cơ bị lạm dụng, ảnh hưởng nghiêm trọng đến quyền riêng tư và tương lai của học sinh, cán bộ nhân viên tại trường học.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Trường học có trách nhiệm như thế nào đối với những dữ liệu cá nhân nhạy cảm, dựa trên các quy định hiện hành của pháp luật.

1. Chủ thể dữ liệu cá nhân của trường học

Căn cứ: Khoản 1 Điều 2, Nghị định 13/2023/NĐ-CP

              Khoản 6 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

– Chủ thể dữ liệu là dữ liệu cá nhân được phản ánh

2. Áp dụng vào trường học, Chủ thể dữ liệu cá nhân là những ai?

– Học sinh, sinh viên

• Thông tin như họ tên, ngày sinh, địa chỉ, điểm số, hồ sơ y tế, hình ảnh….

– Giáo viên, nhân viên

• Thông tin như họ tên, thông tin liên lạc, bằng cấp, hợp đồng lao động, lương thưởng….

– Phụ huynh học sinh

• Thông tin liên hệ, nghề nghiệp, thu nhập (trong một số trường hợp)….

3. Dữ liệu cá nhân trường học có thể xử lý những vấn đề gì?

Căn cứ: Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP

             Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cơ bản:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán…;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số chứng minh nhân dân, số hộ chiếu, số giấy phép lái xe…;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
• Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.

– Dữ liệu nhạy cảm

Là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân.

Khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích của cá nhân gồm:

• Quan điểm chính trị, quan điểm tôn giáo;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
• Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
• Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
• Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản,….
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là cần thiết.

4. Trách nhiệm của trường học trong việc bảo vệ dữ liệu cá nhân nhạy cảm 

Căn cứ: Điều 38 Nghị định 13/2023/NĐ-CP
             Điều 42 Nghị định 13/2023/NĐ-CP

– Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp:

• Chứng minh các hoạt động xử lý dữ liệu được thực hiện theo quy định của pháp luật.
• Rà soát và cập nhật các biện pháp khi cần thiết.

– Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.

– Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại.

– Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.

– Bảo đảm các quyền của chủ thể dữ liệu theo quy định.

– Bên Kiểm soát chịu trách nhiệm trước chủ thể về thiệt hại do quá trình xử lý gây ra.

– Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

– Có biện pháp bảo vệ dữ liệu cá nhân của mình, chịu trách nhiệm về tính chính xác.

– Thực hiện quy định về bảo vệ dữ liệu cá nhân tại Nghị định này.

– Thông báo kịp thời cho Bộ Công an về những vi phạm liên quan tới bảo vệ dữ liệu.

– Phối hợp với Bộ Công an trong xử lý những vi phạm liên quan tới bảo vệ dữ liệu.

5. Biện pháp bảo vệ dữ liệu cá nhân

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

– Biện pháp bảo vệ dữ liệu được áp dụng từ khi bắt đầu và trong quá trình xử lý.

– Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:

• Biện pháp quản lý. 
• Biện pháp kỹ thuật.
• Biện pháp do cơ quan quản lý nhà nước. 
• Biện pháp điều tra, tố tụng.
• Các biện pháp khác theo quy định của pháp luật.

6. Bảo vệ dữ liệu cá nhân cơ bản

Căn cứ: Điều 27 Nghị định 13/2023/NĐ-CP

Nội dung bảo vệ dữ liệu cá nhân cơ bản bao gồm:

– Tuân thủ các biện pháp bảo vệ dữ liệu.

– Xây dựng và ban hành quy định nội bộ.

– Khuyến khích áp dụng tiêu chuẩn.

– Kiểm tra an ninh mạng.

7. Bảo vệ dữ liệu cá nhân nhạy cảm

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

– Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này.

– Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.

– Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm được xử lý.

8. Sự đồng ý của chủ thể dữ liệu cá nhân

Căn cứ: Điều 20 Nghị định 13/2023/NĐ-CP

– Xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền, lợi ích tốt nhất của trẻ em.

– Việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em.

– Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong trường hợp:

+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác;

+ Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác;

+ Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Kết luận:

Như vậy, Trường học không chỉ có trách nhiệm đảm bảo việc thu thập và lưu trữ thông tin một cách an toàn, mà còn cần minh bạch trong việc sử dụng dữ liệu và tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. Đồng thời, trường học cần phải xây dựng các chính sách bảo mật rõ ràng và đẩy mạnh nâng cao ý thức cộng đồng về tầm quan trọng của việc bảo vệ dữ liệu.

Trên đây là nội dung tư vấn về Trường học có trách nhiệm như thế nào đối với những dữ liệu cá nhân nhạy cảm. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Trách nhiệm bảo vệ dữ liệu cá nhân của Trung tâm tư vấn du học
• Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
• Đối tượng phải đánh giá tác động xử lý dữ liệu cá nhân