08 nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP (Hình từ Internet)
Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Theo Điều 3 Nghị định 13/2023/NĐ-CP thì nguyên tắc bảo vệ dữ liệu cá nhân như sau:
(1) Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
(2) Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
(3) Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
(4) Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
(5) Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
(6) Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
(7) Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
(8) Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ (1) tới (7) và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Quy định về thông báo xử lý dữ liệu cá nhân theo Điều 13 Nghị định 13/2023/NĐ-CP như sau:
- Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
- Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
+ Mục đích xử lý;
+ Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP;
+ Cách thức xử lý;
+ Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP;
+ Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
+ Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
- Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
- Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều 13 Nghị định 13/2023/NĐ-CP trong các trường hợp sau:
+ Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định 13/2023/NĐ-CP;
+ Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.