PDPL đặt ra chuẩn mực cao hơn cho việc xử lý dữ liệu cá nhân: không chỉ cần có căn cứ pháp lý, mà còn phải đảm bảo xử lý đúng mục đích, đúng phạm vi và tuân thủ đầy đủ nghĩa vụ bảo vệ dữ liệu.

Đồng thời, PDPL lần đầu tiên đưa ra cơ chế chế tài tài chính ở mức rất cao gắn với doanh thu, cũng như yêu cầu doanh nghiệp phải thiết lập chức năng hoặc lực lượng bảo vệ dữ liệu cá nhân.

1.     Xử lý dữ liệu cá nhân thế nào là đúng luật?

Việc xử lý dữ liệu cá nhân là hợp pháp khi đồng thời đáp ứng 03 điều kiện sau:

1️⃣ Có căn cứ pháp lý hợp lệ→ Thuộc một trong các trường hợp luật cho phép (sự đồng ý của chủ thể dữ liệu hoặc căn cứ pháp luật khác).

2️⃣ Đúng mục đích, đúng phạm vi đã thông báo→ Chỉ xử lý đúng mục đích, loại dữ liệu, đối tượng, thời hạn đã công bố cho chủ thể dữ liệu.

3️⃣ Tuân thủ đầy đủ nghĩa vụ bảo vệ dữ liệu→ Bảo mật, an toàn dữ liệu;→ Thực hiện đánh giá tác động (nếu thuộc diện);→ Thông báo vi phạm trong 72 giờ (nếu phát sinh).

2.     Chế tài khi vi phạm

Quy định nguyên tắc chung: hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Đối với xử phạt hành chính, PDPL có cách quy định chế tài khác với Nghị định 13 trước đây và các đạo luật khác (mức xử phạt thường được quy định tại Nghị định về xử phạt hành chính), khi quy định cụ thể mức phạt hành chính tối đa đối với tổ chức, bao gồm:

• Mua bán dữ liệu cá nhân: phạt 10 lần khoản doanh thu từ hành vi vi phạm hoặc 3 tỷ đồng, tùy mức nào cao hơn.

• Vi phạm chuyển dữ liệu cá nhân ra nước ngoài: phạt 5% doanh thu của năm tài chính liền trước hoặc 3 tỷ đồng, tùy mức nào cao hơn.

• Các vi phạm khác: phạt tối đa 3 tỷ đồng.

👉 Hiện vẫn chưa rõ “doanh thu” được hiểu là doanh thu tại Việt Nam hay doanh thu toàn cầu.

3.     Yêu cầu phải có lực lượng bảo vệ dữ liệu cá nhân

Theo PDPL, doanh nghiệp, tổ chức bắt buộc phải:

• Thành lập bộ phận hoặc nhân sự đủ điều kiện bảo vệ dữ liệu cá nhân nội bộ; hoặc

• Thuê tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân đáp ứng tiêu chuẩn

• 
  

👉 Doanh nghiệp nhỏ, startup, hộ kinh doanh, doanh nghiệp siêu nhỏ có thể được miễn nghĩa vụ này nếu đáp ứng điều kiện nhất định.

PDPL cho thấy xu hướng quản trị dữ liệu đang chuyển từ nghĩa vụ pháp lý đơn thuần sang năng lực quản trị cốt lõi của doanh nghiệp.

Bài tiếp theo sẽ tập trung vào các quy định đặc thù mang tính xã hội và nhân văn hơn, bao gồm bảo vệ dữ liệu của nhóm yếu thế, dữ liệu trong quan hệ lao động và các lĩnh vực đặc thù.

Bài viết: Bởi LLVN.

Hình minh họa: LLVN.

-------------------------------

Lawlink Việt Nam (LLVN) là hãng Luật cung cấp các giải pháp pháp lý cho các doanh nghiệp, doanh nhân về ĐẦU TƯ, hoạt động doanh nghiệp & kinh doanh, Mua bán & Sáp nhập; Tranh tụng và Giải quyết tranh chấp. Chúng tôi cung cấp dịch vụ trọn gói từ các khâu tư vấn mô hình hoạt động, đến giấy phép, hợp đồng, cấu trúc vốn và thu xếp vốn, dịch vụ kế toán & thuế, và đại diện. Các ngành mà chúng tôi thực hành liên tục gồm: Bất động sản & Xây dựng, Hạ tầng, Xử lý rác thải & môi trường, Y & Dược, Giáo dục, Fintech, Nông nghiệp, Truyền thông & Xuất bản, Thương mại điện tử.

-------------------------------

Liên hệ chúng tôi tại:

Website: www.lawlink.com

Instagram: lawlink.vietnam

Facebook: Lawlink Vietnam

Tel: +84 908 107 788

info@lawlinkvn.com 

Văn phòng Hồ Chí Minh

Phòng 22.02, Aqua 1, Vinhomes Golden River, Số 2 Tôn Đức Thắng, HCM