Dữ liệu cá nhân nhạy cảm là gì? Trường hợp xử lý dữ liệu cá nhân nhạy cảm có buộc phải thông báo cho chủ thể dữ liệu không?
Dữ liệu cá nhân nhạy cảm là gì?
Căn cứ tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP định nghĩa như liệu cá nhân nhạy cảm như sau:
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
- Đầu tiên là quan điểm chính trị, quan điểm tôn giáo.
- Thứ hai là tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu.
- Thứ ba là thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc.
- Tiếp theo là thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân.
- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân.
- Ngoài ra còn có thông tin về đời sống tình dục, xu hướng tình dục của cá nhân.
- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật.
- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm:
+ thông tin định danh khách hàng theo quy định của pháp luật.
+ thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán.
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị.
- Cuối cùng là dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Dữ liệu cá nhân nhạy cảm là gì? Trường hợp xử lý dữ liệu cá nhân nhạy cảm có buộc phải thông báo cho chủ thể dữ liệu không? (Hình từ Internet)
Trường hợp xử lý dữ liệu cá nhân nhạy cảm có buộc phải thông báo cho chủ thể dữ liệu không?
Căn cứ tại khoản 8 Điều 11 Nghị định 13/2023/NĐ-CP quy định như sau:
Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
9. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
10. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
11. Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.
Như vậy theo quy định trên trường hợp xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
Lực lượng nào có trách nhiệm bảo vệ dữ liệu cá nhân?
Căn cứ tại khoản 1 Điều 30 Nghị định 13/2023/NĐ-CP quy định như sau:
Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân
1. Lực lượng bảo vệ dữ liệu cá nhân:
a) Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
b) Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
c) Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
d) Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
3. Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Như vậy theo quy định trên lực lượng nào có trách nhiệm bảo vệ dữ liệu cá nhân bao gồm:
- Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
- Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân.
- Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.
- Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/07/2023.
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.