Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) sau một thời gian dài chờ đợi. Nghị định 13 sẽ có hiệu lực từ ngày 01/7/2023. Cùng với Luật An ninh mạng (Luật số 24/2018/QH14) ngày 12 tháng 6 năm 2018 và văn bản hướng dẫn thi hành đầu tiên là Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022, Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định 13 quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. 

Ai cần phải tuân thủ?

Nghị định 13 áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam (ví dụ: nhân viên, khách hàng, nhà cung cấp, người dùng hoặc cá nhân khác), kể cả khi việc xử lý dữ liệu cá nhân được thực hiện bên ngoài Việt Nam.

Mặc dù có các yêu cầu tương tự so với Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (“GDPR”), nhưng Nghị định 13 có một số điểm khác biệt đáng kể, chẳng hạn như các yêu cầu đối với chuyển dữ liệu cá nhân ra nước ngoài, hình thức lấy sự đồng ý của chủ thể dữ liệu, báo cáo đánh giá tác động và căn cứ hợp pháp để xử lý dữ liệu cá nhân.

Các công ty đã ban hành các chính sách và triển khai các hoạt động quản lý quyền riêng tư theo GDPR hoặc theo các quy định về quyền riêng tư khác sẽ không đương nhiên được xem là đã tuân thủ theo Nghị định 13. Với việc Nghị định 13 sẽ có hiệu lực vào ngày 01/7/2023, các doanh nghiệp cần bắt đầu rà soát các chính sách nội bộ và thực tiễn quản lý quyền riêng tư của mình ngay lập tức để xác định các khoảng vênh giữa các chính sách nội bộ và hoạt động triển khai của mình với yêu cầu của Nghị định 13, để lên kế hoạch hành động tương ứng.

Cần làm gì để tuân thủ?

Chúng tôi đã phác thảo trong bảng dưới đây một số yêu cầu tuân thủ chính của Nghị định 13. Xin lưu ý rằng nhiều điều khoản trong Nghị định này được diễn đạt chung chung và việc diễn giải các điều khoản đó gặp nhiều khó khăn. Do thời gian còn lại để triển khai thực hiện Nghị định 13 khá ngắn, chúng tôi hi vọng rằng Bộ Công an sẽ sớm có hướng dẫn cụ thể hơn về cách hiểu và thi hành Nghị định 13. Những hướng dẫn này sẽ hỗ trợ các nỗ lực tuân thủ của doanh nghiệp. Chúng tôi sẽ tiếp tục theo dõi chặt chẽ và cung cấp thông tin cập nhật về việc ban hành những hướng dẫn chi tiết này. Trong thời gian chờ đợi, các doanh nghiệp có thể triển khai thực hiện ngay các công việc sau để tuân thủ Nghị định 13.