So sánh dự thảo Nghị định hướng dẫn Luật bảo vệ DLCN và Nghị định 13/2023/NĐ-CP

Nghị định 13/2023/NĐ-CP ra đời đánh dấu bước ngoặt pháp lý đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Tuy nhiên, với việc Luật Bảo vệ dữ liệu cá nhân 2025 được ban hành, một dự thảo Nghị định mới đang được xây dựng để hướng dẫn chi tiết Luật này, nhằm kiện toàn khung pháp lý và giải quyết các vướng mắc thực tiễn mà Nghị định 13 chưa bao quát hết.

Trong bài viết này, VDPC sẽ thực hiện so sánh đối chiếu các quy định cũ và mới, từ đó chỉ ra những điểm mới then chốt cần đặc biệt lưu ý để tránh các rủi ro pháp lý trong giai đoạn chuyển tiếp này.

Căn cứ pháp lý:

• Nghị định 13/2023/NĐ-CP
• Dự thảo hướng dẫn Luật bảo vệ Dữ liệu cá nhân năm 2025

1. Quy định chung

Phạm vi điều chỉnh và đối tượng điều chỉnh

Dự thảo

Nghị định

Về phạm vi điều chỉnh: Là văn bản chức năng quy định chi tiết, làm rõ phạm vi, thủ tục, cơ chế thi hành các điều khoản luật vì đã có Luật Bảo vệ Dữ liệu cá nhân Về đối tượng áp dụng: Dự thảo Nghị định mang tính quản lý phạm vi nội địa và toàn diện về dữ liệu. Dự thảo Nghị định quy định ba nhóm đối tượng, chủ yếu giới hạn trong phạm vi lãnh thổ Việt Nam và các hoạt động dữ liệu diễn ra tại đây.

Về phạm vi điều chỉnh: Nghị định là văn bản pháp lý nền tảng trong giai đoạn chưa có luật, trực tiếp điều chỉnh toàn bộ lĩnh vực bảo vệ dữ liệu cá nhân. Về đối tượng áp dụng: Trong khi đó, Nghị định 13/2023/NĐ-CP hướng đến bảo vệ quyền riêng tư cá nhân trong cả môi trường trong nước và xuyên biên giới, mở rộng hơn khi bổ sung thêm cơ quan, tổ chức, cá nhân Việt Nam hoạt động ở nước ngoài, mở rộng hiệu lực ngoài lãnh thổ

2. Các hoạt động xử lý dữ liệu

Thời hạn phản hồi từ các chủ thể dữ liệu

Dự thảo

Nghị định

Điều 5 Dự thảo Nghị định mới đã quy định rõ về trình tự, thủ tục và thời hạn phản hồi các yêu cầu tương ứng của chủ thể dữ liệu cá nhân trong một số trường hợp mà Nghị định 13 chưa đề cập thời gian thực hiện: Xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân; đảm bảo chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền Khi nhận được yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân Khi nhận được yêu cầu xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân Khi nhận được yêu cầu cung cấp, xóa dữ liệu cá nhân

Trong Nghị định 13/2023/NĐ-CP, Điều 13 chỉ liệt kê các quyền của chủ thể dữ liệu và thời hạn trong một số trường hợp riêng lẻ, cụ thể: Quyền được biết Quyền đồng ý Quyền truy cập Quyền rút lại sự đồng ý Quyền xóa dữ liệu Quyền hạn chế xử lý dữ liệu Quyền cung cấp dữ liệu Quyền phản đối xử lý dữ liệu Quyền khiếu nại, tố cáo, khởi kiện Quyền yêu cầu bồi thường thiệt hại Quyền tự bảo vệ

Mở rộng thêm hình thức thể hiện sự đồng ý của chủ thể dữ liệu

Dự thảo

Nghị định

Điều 6 Dự thảo cụ thể hóa thủ tục các vấn đề liên quan tới đồng ý, nhấn mạnh tầm quan trọng của minh chứng, trách nhiệm pháp lý và bảo vệ quyền chủ thể, phù hợp với xu hướng và thay đổi 1 số phương thức đồng ý để phù hợp với hình thức giao tiếp qua công nghệ phổ biến hiện nay, cụ thể Đảm bảo minh chứng rõ ràng, chính xác về phương thức, thời gian, nội dung và xác thực chủ thể dữ liệu cá nhân Các phương thức xin sự dồng ý của chủ thể dữ liệu: Bằng văn bản;  Bằng giọng nói;  Qua tin nhắn điện thoại Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;  Bằng các phương thức khác phù hợp có thể kiểm chứng, xác thực được Không được thiết lập mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu Thông báo đối với xử lý dữ liệu cá nhân nhạy cảm Hiệu lực đồng ý của chủ thể dữ liệu Trách nhiệm chứng minh đồng ý của chủ thể dữ liệu Trường hợp ủy quyền

Điều 11 Nghị định Tập trung vào nguyên tắc cơ bản, quyền chủ thể và hình thức đồng ý, nhưng chưa chi tiết về minh chứng và trách nhiệm Bên Kiểm soát, cụ thể: Phạm vi sự đồng ý của chủ thể dữ liệu Điều kiện có hiệu lực Hình thức đồng ý Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo Trường hợp xử lí dữ liệu cá nhân nhạy cảm Trách nhiệm chứng minh sự đồng ý Hiệu lực sự đồng ý của chủ thể dữ liệu Trường hợp ủy quyền

Chuyển giao dữ liệu cá nhân

Dự thảo

Nghị định

Điều 7 Dự thảo quy định chi tiết về chuyển giao dữ liệu cá nhân, bao gồm cả thỏa thuận bằng văn bản, trách nhiệm bảo vệ dữ liệu và các biện pháp bảo mật, nhấn mạnh minh bạch và hạn chế rủi ro: Xác lập thỏa thuận bằng văn bản về việc chuyển giao dữ liệu cá nhân và nội dung chi tiết văn bản thỏa thuận Biện pháp bảo mật đối với dữ liệu cá nhân nhạy cảm Quy định trong trường hợp chuyển giao dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu cá nhân hoặc để phục vụ lợi ích hợp pháp của chủ thể dữ liệu cá nhân xây dựng chính sách, quy trình kiểm soát trong trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập Khử nhận dạng dữ liệu cá nhân trước khi giao dịch trên sàn dữ liệu

Không có quy định riêng về chuyển giao dữ liệu cá nhân. Nghị định 13/2023/NĐ-CP chỉ quy định chung về xử lý dữ liệu cá nhân và quyền của chủ thể, nhưng không hướng dẫn chi tiết thủ tục, thỏa thuận, trách nhiệm, bảo mật hay chia sẻ nội bộ và giao dịch dữ liệu.

Bảo vệ dữ liệu cá nhân

[Nghị định 13/2023/NĐ-CP]

Nghị định 13/2023/NĐ-CP tập trung vào điều chỉnh khái quát các hoạt động chung nhất, không phân định lĩnh vực cụ thể mà chủ yếu quy định liên quan tới quyền và nghĩa vụ của chủ thể các bên, một số trường hợp đặc thù và một phần trình tự, thủ tục, hình thức các hoạt động, bao gồm:

• Sự đồng ý của chủ thể dữ liệu
• Rút lại sự đồng ý
• Thông báo xử lý dữ liệu cá nhân
• Cung cấp dữ liệu cá nhân
• Chỉnh sửa dữ liệu cá nhân
• Lưu trữ, xóa, hủy dữ liệu cá nhân
• Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu
• Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng
• Xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết
• Xử lý dữ liệu cá nhân của trẻ em
• Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo
• Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân
• Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

[Dự thảo]

So với Nghị định 13/2023/NĐ-CP, Dự thảo đã có sự mở rộng về phạm vi điều chỉnh, bổ sung và cụ thể hóa các quy định phù hợp với sự phát triển của công nghệ mới và xu hướng chuyển đổi số trong nhiều hoạt động quan trọng như tài chính – ngân hàng, thông tin tín dụng và các lĩnh vực mới như xử lý dữ liệu lớn, trí tuệ nhân tạo, vũ trụ ảo, công nghệ chuỗi khối và điện toán đám mây.

Trong hoạt động tài chính ngân hàng, hoạt động thông tin tín dụng

Điều 8 Dự thảo quy định chi tiết về trách nhiệm bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng, nhấn mạnh tiêu chuẩn quốc tế và an ninh mạng nội địa, minh bạch dữ liệu và quyền chủ thể, cụ thể:

• Trách nhiệm bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế, tiêu chuẩn bảo vệ dữ liệu cá nhân, tiêu chuẩn an ninh mạng của Việt Nam
• Thông tin phải đảm bảo được nêu rõ khi xin sự đồng ý của chủ thể dữ liệu
• Trường hợp phát hiện lộ, mất thông tin

Trong xử lý dữ liệu lớn

Điều 9 Dự thảo bổ sung quy định riêng về xử lý dữ liệu lớn, cụ thể:

• Khái niệm về hoạt động xử lý dữ liệu lớn
• Các biện pháp bảo vệ khi xử lý dữ liệu lớn

Trong hệ thống trí tuệ nhân tạo, vũ trụ ảo

Điều 10 Dự thảo quy định chi tiết về các vấn đề liên quan tới hoạt động bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo, cụ thể:

• Khái niệm hệ thống trí tuệ nhân tạo
• Khái niệm vũ trụ ảo
• Quyền và nghĩa vụ khi sử dụng dữ liệu cá nhân ể nghiên cứu, phát triển các thuật toán tự học, hệ thống trí tuệ nhân tạo và các hệ thống tự động khác
• Trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích ảnh hưởng thuật toán, trí tuệ nhân tạo và các hệ thống tự động đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu
• Các biện pháp bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo
• Biện pháp đảm bảo tính minh bạch và trách nhiệm giải trình trong hoạt động của các hệ thống trí tuệ nhân tạo
• Trách nhiệm thực hiện đánh giá tác động tác động dữ liệu cá nhân trước và sau huấn luyện các thuật toán trí tuệ nhân tạo
• Thẩm quyền của cơ quan có trách nhiệm
• Trách nhiệm của tổ chức, cá nhân trong vũ trụ ảo
• Quyền của người dùng

Trong công nghệ chuỗi khối

Điều 11 Dự thảo quy định chi tiết về các vấn đề liên quan tới hoạt động bảo vệ dữ liệu cá nhân trong công nghệ chuỗi khối, cụ thể:

• Khái niệm công nghệ chuỗi khối
• Biện pháp bảo vệ

Trong điện toán đám mây

Điều 12 Dự thảo quy định chi tiết về các vấn đề liên quan tới hoạt động bảo vệ dữ liệu cá nhân trong điện toán đám mây, cụ thể:

• Trách nhiệm của cơ quan tổ chức để ngăn chặn dữ liệu cá nhân bị truy cập trái phép khi triển khai dịch vụ điện toán đám mây
• Trách nhiệm khi tiến hành ký kết hợp đồng có liên quan tới xử lý dữ liệu cá nhân với các tổ chức cung cấp dịch vụ điện toán đám mây
• Nghĩa vụ của các tổ chức cung cấp dịch vụ điện toán đám mây

Dịch vụ bảo vệ dữ liệu cá nhân

[Nghị định 13/2023/NĐ-CP]

Nghị định 13/2023/NĐ-CP chưa thiết lập cơ chế riêng về nhân sự, bộ phận hay tổ chức chuyên trách bảo vệ dữ liệu cá nhân trong các cơ quan, tổ chức. Các quy định về bảo vệ dữ liệu cá nhân trong Nghị định chủ yếu phân tán trong nghĩa vụ của bên kiểm soát, bên xử lý dữ liệu và bên thứ ba, tập trung vào nguyên tắc, quyền, nghĩa vụ và quy trình xử lý dữ liệu, mà chưa đặt ra yêu cầu bắt buộc về năng lực, tiêu chuẩn hoặc cơ cấu nhân sự chịu trách nhiệm chuyên biệt.

[Dự thảo]

Dự thảo mở rộng phạm vi điều chỉnh so với Nghị định 13/2023/NĐ-CP, thiết lập khung pháp lý điều chỉnh các vấn đề về nhân sự, bộ phận chuyên trách của các cơ quan tổ chức, các cá nhân, tổ chức thực hiện dịch vụ bảo vệ dữ liệu cá nhân độc lập và tổ chức chuyên trách thực hiện hoạt động đào tạo trong lĩnh vực bảo vệ dữ liệu cá nhân

Điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

Điều 13 Dự thảo quy định về điều kiện của nhân sự và bộ phận thực hiện hoạt động bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức, cụ thể:

• Hình thức chỉ định nhân sự
• Điều kiện về năng lực của nhân sự được chỉ định
• Điều kiện về năng lực của nhân sự trong bộ phận bảo vệ dữ liệu cá nhân
• Trách nhiệm của cơ quan tổ chức
• Trách nhiệm bảo mật và các trường hợp miễn trừ trách nhiệm của nhân sự

Nhiệm vụ của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

Điều 14 Dự thảo quy định về nhiệm vụ của nhân sự và bộ phận bảo vệ dữ liệu cá nhân trong cơ quan tổ chức, cụ thể:

• Nhiệm vụ của nhân sự bảo vệ dữ liệu cá nhân
• Chức năng nhiệm vụ của bộ phận bảo vệ dữ liệu cá nhân

Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân

Điều 15 Dự thảo quy định về các vấn đề liên quan tới cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân, cụ thể:

• Khái niệm cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
• Điều kiện trở thành cá nhân cung cấp dịch vụ
• Trách nhiệm của cá nhân cung cấp dịch vụ
• Trách nhiệm của cơ quan tổ chức tiến hành thuê cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân

Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân

Điều 16 Dự thảo quy định về các vấn đề liên quan tới tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân, cụ thể:

• Khái niệm và điều kiện của tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân
• Trách nhiệm xây dựng hồ sơ năng lực chứng minh khả năng bảo vệ dữ liệu cá nhân và cung cấp cho cơ quan, tổ chức có nhu cầu sử dụng dịch vụ
• Trách nhiệm của Cơ quan, tổ chức có nhu cầu thuê dịch vụ bảo vệ dữ liệu cá nhân
• Quyền của cơ quan tổ chức có nhu cầu thuê dịch vụ bảo vệ dữ liệu cá nhân
• Nghĩa vụ thực hiện theo thỏa thuận của tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân
• Trách nhiệm chung của tổ chức cung cấp dịch vụ bảo vệ dữ liệu

Tổ chức đủ năng lực đào tạo về bảo vệ dữ liệu cá nhân

Điều 17 Dự thảo quy định về các vấn đề liên quan tới tổ chức đào tạo bảo vệ dữ liệu cá nhân, cụ thể:

• Điều kiện đáp ứng tiêu chuẩn đào tạo về bảo vệ dữ liệu cá nhân
• Điều kiện năng lực giảng viên
• Yêu cầu về chương trình đào tạo
• Thẩm quyền tổ chức kiểm tra, đánh giá trình độ cá nhân đã được chứng nhận hoàn thành khóa học
• Thẩm quyền tổ chức tập huấn chuyên môn đào tạo cho cá nhân có nhu cầu giảng dạy

3. Hồ sơ, trình tự, thủ tục về Dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Dự thảo

Nghị định

Điều 20 quy định các vấn đề liên quan tới hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm trình tự, thủ tục, thành phần hồ sơ với phạm vi rộng hơn so với quy định tại Nghị định 13/2023/NĐ-CP, cụ thể: Liệt kê chi tiết thành phần hồ sơ, bổ sung nhiều tài liệu khác nhau như sơ đồ luồng dữ liệu cá nhân, sơ đồ hệ thống, mô tả tính năng hệ thống, chi tiết các hoạt động xử lý, kết quả tự đánh giá tuân thủ quy định, tiêu chuẩn bảo vệ dữ liệu áp dụng, hợp đồng và tài liệu chứng minh nghĩa vụ giữa các bên Yêu cầu thông tin liên lạc của bên thứ ba  Hình thức xác lập hồ sơ Thời điểm lập hồ sơ và trách nhiệm lưu giữ Trách nhiệm bổ sung hoàn thiện khi hồ sơ chưa đúng quy định

Điều 24 Nghị định 13/2023/NĐ-CP quy định với phạm vi hẹp hơn và các thành phần hồ sơ mang tính khái quát, chưa chi tiết hóa yêu cầu. Nghị định có chia hồ sơ thành hai nhóm: của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và của Bên Xử lý dữ liệu cá nhân trong trường hợp xử lý theo hợp đồng. Tuy nhiên, nội dung cho từng loại hồ sơ còn ngắn và thiên về mô tả chung, thiếu các tiêu chí cụ thể về mức độ rủi ro, tiêu chuẩn kỹ thuật bảo mật hay yêu cầu đánh giá tác động theo từng loại dữ liệu

Chuyển dữ liệu cá nhân xuyên biên giới/ra nước ngoài

[Nghị định 13/2023/NĐ-CP]

Điều 25 của Nghị định giới hạn ở dữ liệu cá nhân của công dân Việt Nam, không mở rộng sang các nhóm khác

Hồ sơ tại Điều 25 Nghị định mang tính tinh giản hơn nhiều, không yêu cầu sơ đồ hệ thống, không yêu cầu đánh giá mức độ bảo vệ của bên nhận dữ liệu, và cũng không yêu cầu chứng minh tuân thủ hay mô tả luồng xử lý chi tiết như Dự thảo

[Dự thảo]

Trong khi đó, Điều 18 và Điều 19 của Dự thảo mở rộng hơn cả về phạm vi chủ thể, phạm vi dữ liệu, và thành phần hồ sơ

• Dự thảo không chỉ áp dụng cho dữ liệu cá nhân của công dân Việt Nam, mà còn bao gồm người gốc Việt chưa có quốc tịch nhưng đã được cấp giấy chứng nhận căn cước xuyên biên giới, đồng thời bổ sung nhiều trường hợp ngừng chuyển dữ liệu cá nhân xuyên biên giới và các trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
• Điều 19 yêu cầu hồ sơ phức tạp và chi tiết hơn: có sơ đồ luồng dữ liệu, sơ đồ hệ thống tiếp nhận, quy trình chia sẻ cho bên thứ ba, kết quả tự đánh giá tuân thủ, tài liệu bảo đảm quyền chủ thể dữ liệu, đánh giá mức độ bảo vệ của bên nhận dữ liệu và hợp đồng ràng buộc trách nhiệm xử lý xuyên biên giới
• Dự thảo bổ sung cơ chế ngừng chuyển dữ liệu khi có rủi ro an ninh hoặc vi phạm Điều 19, và quy định rõ hơn danh mục trường hợp không phải đánh giá tác động

Dịch vụ xử lý dữ liệu cá nhân

[Nghị định 13/2023/NĐ-CP]

Nghị định 13/2023/NĐ-CP không có quy định riêng về dịch vụ xử lý dữ liệu cá nhân như một ngành nghề kinh doanh có điều kiện, cũng không có hướng dẫn chi tiết về điều kiện tổ chức, trách nhiệm quản trị rủi ro, đánh giá mức độ tín nhiệm, hồ sơ cấp giấy phép, gia hạn, thu hồi hoặc thông báo vi phạm

[Dự thảo]

Trong khi đó, các Điều 22 đến 25 của Dự thảo quy định rõ ràng khái niệm dịch vụ xử lý dữ liệu cá nhân, điều kiện kinh doanh, trách nhiệm, hồ sơ cấp giấy phép, gia hạn, thu hồi

Khái niệm dịch vụ xử lý dữ liệu cá nhân

Điều 22 quy định những hoạt động của dịch vụ xử lý dữ liệu cá nhân, cụ thể như:

• Vận hành hệ thống/phần mềm để xử lý thay cho bên kiểm soát
• Chấm điểm và đánh giá tín nhiệm; thu thập và xử lý dữ liệu từ web, ứng dụng, mạng xã hội
• Xử lý dữ liệu y tế, giáo dục có yếu tố giám sát
• Phân tích – khai thác dữ liệu
• Mã hóa dữ liệu
• Xử lý tự động bằng AI, big data, blockchain, metaverse
• Cung cấp dữ liệu vị trí cá nhân

Đồng thời, đây là một ngành nghề kinh doanh có điều kiện cần được cấp Giấychứng nhận đủ điều kiện kinh doanh

Điều kiên của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân

Điều 23 Dự thảo quy định về khái niệm cũng như điều kiện để tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân có thể hoạt động, cụ thể là điều kiện về nhân sự

Trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân

Điều 24 quy định các trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân trong quá trình hoạt động, cụ thể gồm: 

• Tuân thủ đầy đủ pháp luật bảo vệ dữ liệu
• Xây dựng khung quản trị rủi ro và đánh giá tuân thủ mức độ tín nhiệm định kỳ hằng năm
• Áp dụng tiêu chuẩn an ninh dữ liệu và an ninh mạng; thiết lập quy định nội bộ về quyền – trách nhiệm trong xử lý dữ liệu
• Bảo đảm xử lý đúng mục đích và ngăn chặn truy cập, tiết lộ trái phép
• Trong trường hợp khi là bên xử lý dữ liệu, tổ chức phải yêu cầu bên kiểm soát xin sự đồng ý hợp lệ của chủ thể dữ liệu và bảo đảm họ được biết về phạm vi xử lý
• Thực hiện xác thực danh tính theo quy định về định danh điện tử

Hồ sơ, trình tự thủ tục cấp giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân

Điều 25 quy định hồ sơ, trình tự và điều kiện để được cấp, cụ thể:

• Thành phần cấu tạo hồ sơ
• Nội dung đề án xin cấp phép
• Thời hạn thẩm định, xem xét, phê duyệt hồ sơ
• Thời hạn hiệu lực của Quyết định phê duyệt
• Hồ sơ gia hạn
• Điều kiện thu hồi giấy chứng nhận đủ điều kiện kinh doanh

Thông báo vi phạm

[Nghị định 13/2023/NĐ-CP]

Điều 23 Nghị định đặt ra khung nghĩa vụ thông báo vi phạm dữ liệu cá nhân với nội dung và thời hạn tương tự Điều 26 Dự thảo. Tuy nhiên chưa có sự phân biệt theo mức độ nhạy cảm của từng loại dữ liệu như Điều 27 Dự thảo và vẫn là cơ sở chung áp dụng cho tất cả các hoạt động xử lý dữ liệu cá nhân

[Dự thảo]

Nội dung thông báo vi phạm

Điều 26 quy định về nội dung khi thông báo vi phạm, cụ thể:

• Nội dung bắt buộc trong thông báo vi phạm
• Cơ quan tiếp nhận thông báo vi phạm

Thông báo vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học

Điều 27 đưa ra cơ chế thông báo vi phạm chặt chẽ hơn dữ liệu cá nhân thông thường đối với dữ liệu vị trí và dữ liệu sinh trắc học do tính nhạy cảm của loại dữ liệu, cụ thể:

• Nghĩa vụ thông báo
• Nội dung thông báo
• Trường hợp không thể thông báo đúng hạn
• Xử phạt khi vi phạm nghĩa vụ thông báo vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học

4. Thực thi công tác bảo vệ dữ liệu cá nhân

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân

[Nghị định 13/2023/NĐ-CP]

Cơ quan chuyên trách

Điều 29 Nghị định không có sự phân cấp, chủ yếu phân làm trực tiếp và trực tuyến, cụ thể:

• Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân
• Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân

Kinh phí bảo đảm

Điều 31 Nghị định 13/2023/NĐ-CP quy định tương đồng với trong Dự Thảo

Hợp tác quốc tế

Nghị định 13/2023/NĐ-CP thiếu quy định chuyên biệt về trách nhiệm hợp tác quốc tế của cơ quan nhà nước. Điều 7 Nghị định quy định về khung chiến lược và nội dung hợp tác thay vì tổ chức và phân công trách nhiệm, nhiệm vụ

Kiểm tra hoạt động bảo vệ dữ liệu cá nhân

Trong khi đó, Nghị định chưa có quy định cụ thể nào về kiểm tra hoạt động bảo vệ dữ liệu cá nhân

[Dự thảo]

Cơ quan chuyên trách 

Điều 28 có sự phân cấp trong quy định cơ quan chuyên trách bảo vệ dữ liệu cá nhân, cụ thể: 

• Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, giúp Bộ Công An thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân
• Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao các tỉnh, thành phố trực thuộc trung ương, có trách nhiệm giúp Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thực hiện các nhiệm vụ theo phân cấp thẩm quyền

Kinh phí bảo đảm

Điều 31 quy định về kinh phí thực hiện bảo vệ dữ liệu cá nhân của cơ quan nhà nước và các tổ chức,  cụ thể:

• Nguồn gốc kinh phí
• Việc quản lý, sử dụng kinh phí

Hợp tác quốc tế

Điều 29 quy định về trách nhiệm hợp tác quốc tế trong lĩnh vực bảo vệ dữ liệu cá nhân của các cơ quan nhà nước, cụ thể: 

• Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân có trách nhiệm giúp Bộ Công an thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân
• Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao
• Ủy ban nhân dân cấp tỉnh thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao

Kiểm tra hoạt động bảo vệ dữ liệu cá nhân

Điều 30 quy định về kiểm tra hoạt động bảo vệ dữ liệu cá nhân, cụ thể:

• Việc kiểm tra được tiến hành thường xuyên, định kỳ hoặc đột xuất khi có hành vi vi phạm pháp luật hoặc để thực hiện công tác quản lý nhà nước
• Đối tượng kiểm tra: các cơ quan, tổ chức, cá nhân xử lý dữ liệu cá nhân, tổ chức kinh doanh dịch vụ xử lý dữ liệu, các tổ chức thực hiện đánh giá tác động dữ liệu cá nhân và tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân
• Nội dung kiểm tra: Hiện trạng tuân thủ, hoạt động đánh giá tác động và chứng nhận năng lực
• Vấn đề liên quan tới ban hành Quyết định kiểm tra và thông báo

5. Tổ chức thực hiện

Quy định miễn trừ

Dự thảo

Nghị định

Điều 32 tập trung vào quy định các trường hợp cụ thể không áp dụng quyền miễn trừ: Tổ chức nhỏ, tổ chức khởi nghiệp: Kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên. Hộ kinh doanh và tổ chức siêu nhỏ: Kinh doanh dịch vụ xử lý dữ liệu cá nhân theo quy định tại Điều Nghị định này, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 500 nghìn chủ thể dữ liệu cá nhân trở lên.

Trong khi đó, Điều 43 của Nghị định không chỉ quy định trường hợp cụ thể không được miễn trừ nghĩa vụ trong hoạt động xử lý dữ liệu cá nhân mà còn đề cập thêm trường hợp được miễn trừ: Cho doanh nghiệp, cho phép doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong 2 năm đầu kể từ khi thành lập  Loại trừ các doanh nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân khỏi quyền miễn trừ

KẾT LUẬN

Tổng kết lại, Dự thảo Nghị định hướng dẫn Luật bảo vệ DLCN  không chỉ kế thừa các giá trị cốt lõi của Nghị định 13/2023/NĐ-CP mà còn mở rộng và thắt chặt các quy định để tương thích với Nghị định 13/2023/NĐ-CP. Tổ chức, cá nhân cần chủ động rà soát lại hệ thống xử lý dữ liệu ngay từ bây giờ để sẵn sàng cho những thay đổi pháp lý sắp tới, tránh rủi ro không đáng có.

Trên đây là So sánh dự thảo Nghị định hướng dẫn Luật bảo vệ DLCN và Nghị định 13/2023/NĐ-CP. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Quyền và nghĩa vụ của bên xử lý dữ liệu cá nhân.
• Trách nhiệm của Phòng khám Chuyên khoa Da liễu khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ
• Quyền và nghĩa vụ của Bên thứ ba đối với xử lý dữ liệu cá nhân
• Quyền và nghĩa vụ của Bên kiểm soát và xử lý dữ liệu cá nhân
• Trách nhiệm của Phòng khám Chuyên khoa Răng-Hàm-Mặt khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ
• Trách nhiệm của Bên kiểm soát và xử lý dữ liệu trong khử nhận dạng và bảo vệ dữ liệu cá nhân
• Trách nhiệm của Phòng khám Chuyên khoa Nhi khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ
• Trách nhiệm Hợp tác xã vận tải khi thay đổi bên phụ trách xử lý dữ liệu cá nhân
• Trách nhiệm của Phòng khám Chuyên khoa tâm lý khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ