Quy định mới về bảo vệ dữ liệu cá nhân liên quan đến các tổ chức tín dụng, những vấn đề còn vướng mắc và đề xuất hoàn thiện
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (574.36 KB, 22 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC MỞ THÀNH PHỐ HỒ CHÍ MINH
QUY ĐỊNH MỚI VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
LIÊN QUAN ĐẾN CÁC TỔ CHỨC TÍN DỤNG,
NHỮNG VẤN ĐỀ CỊN VƯỚNG MẮC
VÀ ĐỀ XUẤT HỒN THIỆN
TIỂU LUẬN CUỐI KỲ
MÔN HỌC: CHUYÊN ĐỀ THỰC TIỄN
GVHD: TS. NGUYỄN THỊ MỸ HẠNH
Học viên: NGUYỄN BÌNH HẬU
Lớp: MLAW022B
MSHV: 2283801072005
TP. HỒ CHÍ MINH - 2023
1
LỜI CAM ĐOAN
Tôi đoan rằng Tiểu luận “Quy định mới về Bảo vệ dữ liệu cá nhân liên quan đến hoạt
động của các Tổ chức tín dụng” là bài nghiên cứu của chính tơi.
Ngoại trừ những tài liệu tham khảo được trích dẫn trong Tiểu luận này, tơi cam đoan
rằng toàn phần hay những phần nhỏ của Tiểu luận này chưa từng được công bố hoặc sử
dụng để nhận bằng cấp ở những nơi khác.
Khơng có sản phẩm/nghiên cứu nào của người khác được sử dụng trong Tiểu luận này
mà khơng được trích dẫn theo đúng quy định.
Tiểu luận này chưa bao giờ được nộp để nhận bất kỳ bằng cấp nào tại các trường đại
học hoặc cơ sở đào tạo nào khác
TP. HCM, tháng 08/2023
Tác giả
Nguyễn Bình Hậu
i
LỜI CẢM ƠN
Tôi xin gửi lời cảm ơn sâu sắc và tri ân đến Giáo viên hướng dẫn TS. NGUYỄN THỊ
MỸ HẠNH đã giảng dạy và hướng dẫn môn học “Chun đề thực tiễn” trong khóa học của
tơi tại trường Đại học Mở Thành phố Hồ Chí Minh. Xin gửi lời cảm ơn đến thầy
Ths.NGUYỄN HOÀNG MINH HẢI đã hướng dẫn nghiên cứu môn “ Tuân thủ pháp luật
bảo vệ bí mật cá nhân”. Với sự hướng dẫn tận tâm và kiến thức sâu sắc của Cô và Thầy đã
hỗ trợ tơi trong suốt q trình nghiên cứu đề tài trên. Các lời khuyên quý giá và hướng dẫn
chân thành của Cô và Thầy đã giúp tôi đi đúng hướng và vượt qua những khó khăn trong
q trình nghiên cứu.
Bản thân thực hiện bài thuyết trình này với tinh thần nghiêm túc và nỗ lực hết mình
trong quá trình thực hiện đề tài nghiên cứu này. Với sự chỉ dẫn tận tâm của Cơ và Thầy, tơi
đã hồn thiện bài nghiên cứu của mình theo u cầu của khóa học.
Một lần nữa, Tôi xin chân thành cảm ơn cô TS. NGUYỄN THỊ MỸ HẠNH và
Ths.NGUYỄN HỒNG MINH HẢI, chúc Cơ và Thầy nhiều sức khỏe, nhiều niềm vui và
mọi việc trong cuộc sống luôn được như ý.
TP. HCM, tháng 08/2023
Tác giả
Nguyễn Bình Hậu
ii
TÓM TẮT ĐỀ TÀI
Chúng ta đang sống trong thời đại cách mạng công nghiệp lần thứ tư, thời đại mà mọi
thứ đang dần dịch chuyển lên không gian mạng. Theo thống kê của Liên hợp quốc, tính đến
tháng 4/2023, thế giới có 5,18 tỷ người sử dụng internet (chiếm gần 65% dân số thế giới)
với gần 29 tỷ thiết bị kết nối internet1. Việt Nam cũng đang hịa mình vào xu hướng chuyển
đổi số, phát triển Chính phủ điện tử, kinh tế số, xã hội số, công dân số với hơn 77,93 triệu
người sử dụng internet (chiếm hơn 79% dân số). Cơ sở hạ tầng không gian mạng phát triển
nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh
doanh có liên quan đến dữ liệu cá nhân phát triển.
Bên cạnh các yếu tố thuận lợi, sự phát triển nhanh, mạnh của khoa học cơng nghệ đã
và đang tạo ra nhiều khó khăn, thách thức đối với công tác bảo vệ dữ liệu cá nhân. Tình
trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa
có ý thức bảo vệ dữ liệu cá nhân dẫn tới đăng tải công khai hoặc lộ, mất, bị chiếm đoạt
trong quá trình chuyển giao, lưu trữ, trao đổi. Các hành vi vi phạm pháp luật liên quan đến
lĩnh vực chưa có chế tài xử lý nghiêm minh, xứng đáng, bảo đảm tính răng đe, phịng ngừa.
Tình hình trên đã đặt ra yêu cầu bảo vệ tương xứng với việc sử dụng, khai thác dữ
liệu cá nhân đúng mục đích. Để đạt được cân bằng này, trước hết và quan trọng nhất là xây
dựng được nền tảng pháp lý căn bản về bảo vệ dữ liệu cá nhân, thống nhất cách hiểu về
khái niệm và nội hàm của “dữ liệu cá nhân”, định hình được vị trí, trách nhiệm của tổ chức,
doanh nghiệp trong các hoạt động liên quan đến xử lý dữ liệu cá nhân trên môi trường số.
Theo đó, ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ
dữ liệu cá nhân.
Việc Chính phủ Việt Nam ban hành một nghị định về bảo vệ dữ liệu cá nhân đã nói
lên tầm quan trọng của vấn đề này. Điều này yêu cầu mỗi chúng ta, từ tổ chức đến các nhân,
phải tuân thủ pháp luật “về bảo vệ dữ liệu cá nhân” trong quá trình tham gia các hoạt động
xã hội. Không nằm ngoại lệ, Tổ chức tín dụng là một tổ chức có mối liên hệ trao đổi thông
tin hầu hết với các tổ chức và cá nhân trong quá trình hoạt động của mình. Vì vậy, việc rà
sốt tn thủ là hết sức cấp bách. Cá nhân tôi, là một thành viên trong hệ thống TCTD, tôi
thực hiện đề tài này nhằm thực hiện hơn để thực hiện tốt hơn công việc của mình.
1
truy cập 9:00 AM 8/7/2023
iii
MỤC LỤC
LỜI CAM ĐOAN .......................................................................................................................................... i
LỜI CẢM ƠN ............................................................................................................................................... ii
TÓM TẮT ĐỀ TÀI ..................................................................................................................................... iii
MỤC LỤC .................................................................................................................................................... iv
DANH MỤC TỪ VIẾT TẮT ....................................................................................................................... v
CHƯƠNG 1: SỰ CẦN THIẾT BAN HÀNH QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ
NỘI DUNG CHÍNH CỦA QUY ĐỊNH ......................................................................................................1
1.1. Sự cần thiết ban hành quy định về bảo vệ dữ liệu cá nhân ...........................................................1
1.1.1. Thể chế hóa quy định về Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con
người, quyền công dân và an ninh mạng ................................................................................................1
1.1.2. Bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật ..........................................................1
1.1.3. Hài hịa với thơng lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân ...............................................2
1.1.4. Tạo nền tảng pháp lý cho hoạt động có liên quan tới dữ liệu cá nhân .........................................2
1.1.5. Xử lý nghiêm các hành vi vi phạm dữ liệu cá nhân: ....................................................................3
1.2. Nội dung chính của quy định về bảo vệ dữ liệu cá nhân................................................................4
1.2.1. Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng ................................................4
1.2.2. Xây dựng các nguyên tắc bảo vệ dữ liệu cá nhân ........................................................................4
1.2.3. Quyền và nghĩa vụ của chủ thể dữ liệu ........................................................................................5
1.2.4. Các quy định cụ thể ......................................................................................................................5
CHƯƠNG 2: NHỮNG VẤN ĐỀ CÒN VƯỚNG MẮC VÀ ĐỀ XUẤT HOÀN THIỆN ........................6
2.1. Những vấn đề vướng mắc liên quan đến đến triển khai thực hiện: .............................................6
2.1.1 Trách nhiệm cung cấp thông tin của các nhân trong tổ chức: ................................................6
2.1.2 Cấp độ quản lý về dữ liệu nhạy cơ bản hay nhạy cảm tại các TCTD: ...................................6
2.1.3 Làm gì khi xử lý dữ liệu cá nhân phục vụ cho hoạt động của các TCTD: .............................7
2.2 Những vướng mắc cần kiến nghị các cơ quan chức năng hướng dẫn: ..........................................8
2.2.1 Vấn đề về rút lại thông tin đã cung cấp: ...................................................................................8
2.2.2 Vấn đề thời hạn lưu trữ thông tin: ............................................................................................8
2.2.3 Quy định về đánh giá tác động xử lý dữ liệu cá nhân: .............................................................9
KẾT LUẬN .................................................................................................................................................10
TÀI LIỆU THAM KHẢO ............................................................................................................................ i
PHỤ LỤC: THỎA THUẬN BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI NGÂN HÀNG TMCP ĐẦU TƯ
VÀ PHÁT TRIỂN VIỆT NAM (BIDV) ..................................................................................................... ii
iv
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
CMND, CCCD
DN
GTTT
ID
KTT
NĐDTPL
NĐ-CP
NHNN
SWIFT
TCTD
Từ viết đầy đủ
Chứng minh nhân dân, Căn cước công dân
Doanh nghiệp
Giấy tờ tùy thân
Identification
Kế tốn trưởng
Người đại diện pháp luật
Nghị định Chính phủ
Ngân hàng Nhà nước
Business Identifier Codes: Mã định danh ngân hàng
Tổ chức tín dụng
v
CHƯƠNG 1: SỰ CẦN THIẾT BAN HÀNH QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU
CÁ NHÂN VÀ NỘI DUNG CHÍNH CỦA QUY ĐỊNH
1.1. Sự cần thiết ban hành quy định về bảo vệ dữ liệu cá nhân
1.1.1. Thể chế hóa quy định về Hiến pháp và pháp luật về quyền bảo vệ bí mật cá
nhân, quyền con người, quyền cơng dân và an ninh mạng
Hiến pháp khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm. Hiến pháp
còn phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về
thân thể, nhà ở, thư tín mà cịn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thơng tin
về đời sống riêng tư, bí mật cá nhân, bí mật gia đình. Mặc dù, hệ thống pháp luật Việt Nam
hiện hành chưa sử dụng cụm từ “dữ liệu cá nhân”, chưa có định nghĩa về dữ liệu cá nhân
cũng như bảo vệ dữ liệu cá nhân, nhưng, với các quy định về quyền bí mật đời sống riêng
tư, bí mật cá nhân, bí mật gia đình cùng các quy định liên quan tới “thông tin cá nhân”,
“thông tin riêng”, “thông tin số”, “thông tin cá nhân trên môi trường mạng”, “thông tin bí
mật đời tư”… trong các văn bản hiện hành, Nghị định được xây dựng tiếp cận theo hướng
“dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân” là vấn đề có liên quan đến quyền riêng tư,
được pháp luật bảo vệ, phù hợp với tinh thần của Hiến pháp. Cơng dân Việt Nam có quyền
bất khả xâm phạm, quyền giữ bí mật về dữ liệu cá nhân. Dữ liệu cá nhân được pháp luật
Việt Nam bảo vệ, các hành vi xâm phạm dữ liệu cá nhân bị xử lý nghiêm minh theo quy
định của pháp luật.
1.1.2. Bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật
Dữ liệu cá nhân là vấn đề liên quan chặt chẽ đến quyền con người, quyền cơng dân,
an tồn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng
công nghiệp lần thứ tư, chính phủ điện tử, chính phủ kinh tế số. Thời gian gần đây, Đảng
và Nhà nước đã ban hành nhiều văn bản chỉ đạo về vấn đề này. Bảo vệ dữ liệu cá nhân được
tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu,
quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.
Theo thống kê, trước khi Nghị định số 13/2023/NĐ-CP(Nghị định 13) được ban hành,
Việt Nam cũng đã có nhiều văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ
liệu cá nhân tại Việt Nam. Tuy nhiên, chưa thống nhất về khái niệm và nội hàm dữ liệu cá
nhân, bảo vệ dữ liệu cá nhân. Điều này đặt ra khó khăn lớn đối với cơng tác xây dựng Nghị
1
định quy dịnh về bảo vệ dữ liệu cá nhân trong bảo đảm tính tương thích, đồng bộ với tồn
bộ nội dung các văn bản pháp luật hiện có.
1.1.3. Hài hịa với thơng lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan
tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn
triển khai thi hành để tiếp thu. Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội
khác nhau nên việc tiếp thu cần bảo đảm yếu tố hài hòa, trên cơ sở phù hợp với thực tiễn
của nước ta. Hầu hết các công ước, khuyến nghị và tiêu chuẩn khu vực về quyền riêng tư
và bảo vệ thông tin và dữ liệu cá nhân đều tuân thủ Nguyên tắc bảo mật của Tổ chức hợp
tác và phát triển kinh tế (OECD), bao gồm Công ước của Hội đồng châu Âu về bảo vệ cá
nhân liên quan đến tự động xử lý thông tin và dữ liệu cá nhân, Hướng dẫn của Liên hợp
quốc về các tệp thông tin và dữ liệu cá nhân được vi tính hóa, Khung bảo mật hợp tác kinh
tế châu Á – Thái Bình Dương, Các tiêu chuẩn quốc tế về quyền riêng tư và bảo vệ thông
tin và dữ liệu cá nhân (Nghị định Madrid), Luật của Tổ chức các quốc gia Hoa Kỳ (OAS)
về bảo vệ thông tin và dữ liệu cá nhân năm 2014, và gần đây là Quy định bảo vệ dữ liệu
chung của EU (GDPR). Hiện nay, đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp
luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân
Việt Nam. Điều nầy đặt ra yêu cầu dối với Nghị định bảo vệ dữ liệu cá nhân, bảo đảm hài
hịa với thơng lệ quốc tế nhưng cũng phải tạo mơi trường kinh doanh bình đẳng, thượng tôn
pháp luật tại Việt Nam.
1.1.4. Tạo nền tảng pháp lý cho hoạt động có liên quan tới dữ liệu cá nhân
Nước ta là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao
nhất thế giới. Theo thống kê của We Are Social và Meltwater, tính đến tháng 1 năm 2023,
Việt Nam có 77,93 triệu người dùng Internet, tương đương với 79,1% tổng dân số2. Dữ liệu
cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên
khơng gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Việc thu thập dữ liệu
cá nhân được tích hợp sâu trong từng sản phẩm, dịch vụ có khó có thể nhận biết, xác thực
đúng sai và bảo đảm mục đích sử dụng như thơng báo. Yêu cầu bảo vệ được nâng cao từ
2
truy cập lúc 3:30 PM ngày 02/8/2023
2
góc độ cá nhân tới vấn đề chủ quyền, an ninh quốc gia.
Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều
kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân
phát triển. Nước ta đang đẩy mạnh xây dựng Chính phủ điện tử, hướng tới Chính phủ số,
nền kinh tế só với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình
sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế...
Cơng nghệ thơng tin, truyền thơng, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây,
dữ liệu lớn, dữ liệu nhanh... được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội. Dữ
liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động
của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể
lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Điều này đặt ra cho Chính
phủ bài tốn phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân,
ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá
nhân tạo ra.
1.1.5. Xử lý nghiêm các hành vi vi phạm dữ liệu cá nhân:
Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng
chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển
giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương
xứng dẫn tới bị chiếm đoạt và đăng tải cơng khai.
Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai với các dữ
liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định
pháp luật. Các doanh nghiệp kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách
hàng, cho phép các đối tác thứ ba tiếp cận thông tin cá nhân nhưng khơng có u cầu, quy
định chặt chẽ, để đối tác thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu
cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà
cịn có sự tham gia của các cơng ty, tổ chức. Một số công ty được thành lập mới, đầu tư xây
dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh
doanh thu lợi nhuận, xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn
trong các trang mạng để thu thập thơng tin tự động, phân tích thành tệp dữ liệu cá nhân có
3
giá trị, tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng, tổ
chức tấn cơng, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm
đoạt dữ liệu cá nhân.
1.2. Nội dung chính của quy định về bảo vệ dữ liệu cá nhân
1.2.1. Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng
- Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh
hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp
xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu
cá nhân nhạy cảm.
- Thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động
của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con
người cụ thể.
- Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành
vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
1.2.2. Xây dựng các nguyên tắc bảo vệ dữ liệu cá nhân
Nghị định xây dựng tám nguyên tắc bảo vệ dữ liệu cá nhân, bao gồm: (1) Dữ liệu cá
nhân được xử lý theo quy định của pháp luật; (2) Chủ thể dữ liệu được biết về hoạt động
liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp có quy định khác; (3) Dữ liệu
cá nhân chỉ được xử lý đúng với mục đích đã được bên kiểm soát dữ liệu cá nhân, bên xử
lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba đăng ký, tuyên bố về
xử lý dữ liệu cá nhân; (4) Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi,
mục đích cần xử lý. Dữ liệu cá nhân khơng được mua, bán dưới mọi hình thức, trừ trường
hợp có quy định khác; (5) Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích
xử lý; (6) Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử
lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân
và phịng, chóng sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ
thuật; (7) Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích
xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác; (8) Bên kiểm soát dữ liệu, bên
kiểm soát và xử lý dữ liệu phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được
được quy định và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
4
1.2.3. Quyền và nghĩa vụ của chủ thể dữ liệu
Nghị định quy định 11 quyền của chủ thể dữ liệu, gồm: (1) Quyền được biết; (2)
Quyền đống ý; (3) Quyền truy cập; (4) Quyền rút lại sự đồng ý; (5) Quyền xóa dữ liệu; (6)
Quyền hạn chế xử lý dữ liệu; (7) Quyền cung cấp dữ liệu; (8) Quyền phản đối xử lý dữ liệu;
(9) Quyền khiếu nại, tố cáo; (10) Quyền yêu cầu bồi thường thiệt hại theo quy định của
pháp luật; (11) Quyền tự bảo vệ.
Nghị định quy định năm nghĩa vụ của chủ thể dữ liệu, gồm: (1) Có trách nhiệm tự bảo
vệ dữ liệu cá nhân của mình, yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu
cá nhân của mình; (2) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác; (3) Cung cấp đầy
đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; (4) Tham gia
tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân; (5) Thực hiện quy định của pháp
luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về
bảo vệ dữ liệu cá nhân.
1.2.4. Các quy định cụ thể
Nghị định quy định các nội dung cụ thể về bảo vệ dữ liệu cá nhân bao gồm: (1) Quy
định sự đồng ý của chủ thể dữ liệu; (2) Về rút lại dự đồng ý của chủ thể dữ liệu; (3) Về
thông báo xử lý dữ liệu cá nhân; (4) Về cung cấp dữ liệu cá nhân; (5) Chỉnh sửa dữ liệu cá
nhân; (6) Lưu trữ, xóa, hủy bỏ dữ liệu cá nhân; (7) Về xử lý dữ liệu cá nhân trong trường
hợp không cần sự đồng ý của chủ thể dữ liệu; (8) Xử lý dữ liệu cá nhân thu được từ hoạt
động ghi âm, ghi hình tại nơi cơng cộng; (9) Xử lý dữ liệu cá nhân của người bị tuyên bố
mất tích, đã chết; (10) Xử lý dữ liệu cá nhân của trẻ em; (11) Bảo vệ dữ liệu cá nhân trong
kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo; (12) Thu thập, chuyển giao,
mua, bán trái phép dữ liệu cá nhân; (13) Thông báo vi phạm quy định về bảo vệ dữ liệu cá
nhân; (14) Đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước
ngoài; (15) Biện pháp bảo vệ dữ liệu cá nhân; (16) Bảo vệ dữ liệu cá nhân cơ bản; (17) Bảo
vệ dữ liệu cá nhân nhạy cảm; (18) Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cổng
thông tin quốc gia về bảo vệ dữ liệu cá nhân; (19) Điều kiện bảo đảm hoạt động bảo vệ dữ
liệu cá nhân.
5
CHƯƠNG 2: NHỮNG VẤN ĐỀ CÒN VƯỚNG MẮC VÀ ĐỀ XUẤT HOÀN THIỆN
2.1. Những vấn đề vướng mắc liên quan đến đến triển khai thực hiện:
2.1.1 Trách nhiệm cung cấp thông tin của các cá nhân trong tổ chức:
Điều 1 Nghị định 13 quy định cung cấp dữ liệu các nhân khi giao dịch, nhưng không
quy định khi khách hàng là Tổ chức, khi đăng ký giao dịch tại các TCTD, phải đăng ký
người đại diện theo pháp luật và các cá nhân có liên quan đến tổ chức khi giao dịch với các
TCTD, những thông tin này do tổ chức khai báo, nó có ảnh hưởng và thuộc trách nhiệm
của của tổ chức đăng ký hay TCTD tiếp nhận thơng tin là chưa rõ ràng, vì vậy cần hướng
dẫn cụ thể hơn.
Ý kiến đề xuất giải pháp khi triển khai : Khi mở tài khoản của tổ chức, sẽ có các
thơng tin liên quan đến NĐDTPL, KTT, người được giới thiệu để giao dịch,…và đây là các
thông tin cụ thể của một cá nhân nên vẫn thuộc phạm vi điều chỉnh của Nghị định 13 và
phải đảm bảo các quyền của cá nhân này. Vì vậy, liên quan đến việc xử lý dữ liệu cá nhân,
TCTD phải yêu cầu các tổ chức đăng ký giao dịch cung cấp thêm việc lấy ý kiến về sự
đồng ý của các cá nhân trong tổ chức này trước khi đăng ký thông tin giao dịch.
2.1.2 Cấp độ quản lý về dữ liệu cơ bản hay nhạy cảm tại các TCTD:
Tại Điều 2 có quy định cụ thể về dữ liệu cá nhân, dữ liệu cá nhân cơ bản, dữ liệu cá
nhân nhạy cảm. Tuy nhiên, những khái niệm về nhạy cảm hay cơ bản chưa được xác định
cụ thể như thế nào, mức độ ra sao,…có thể xảy ra các tình huống như:
+ Một cá nhân có các thơng tin về Họ, chữ đệm và tên khai sinh, Số điện thoại,… bị
rò rỉ, thất thoát sẽ gây ảnh hưởng đến chủ thể dữ liệu như các cuộc gọi spam chào mời,
quảng cáo hoặc sử dụng thông tin cá nhân để làm giả giấy tờ lừa đảo,... vậy nó có nhạy cảm
khơng?
+ Điểm k khoản 3 quy định "Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân
phản ánh hoạt động, lịch sử hoạt động trên không gian mạng" là dữ liệu cá nhân cơ bản
gồm, vậy khi thu thập các bình luận trên mạng của người dùng MXH đồng thời có động
thái phân tích đánh giá các thơng tin trên là tích cực hay tiêu cực, để sử dụng vào mục đích
khác thì có nhay cảm khơng?
6
Ý kiến đề xuất giải pháp khi triển khai :
+ Nghị định 13 có quy định cụ thể về dữ liệu cá nhân, dữ liệu cá nhân cơ bản, dữ
liệu cá nhân nhạy cảm. Tuy nhiên, tất cả các dữ liệu trên đều ảnh hưởng trực tiếp tới quyền,
lợi ích của Chủ thể nên dù các thông tin định danh của Chủ thể như họ tên, địa chỉ, CMND,
CCCD... nằm trong danh sách các dữ liệu cơ bản nhưng khi lưu trữ tại hệ thống, TCTD nên
ghi nhận là dữ liệu cá nhân ở cùng một cấp độ là nhạy cảm.
+ Khi thu thập các bình luận trên mạng của người dùng MXH, TCTD cần phải
đánh giá các đối tác trong việc thu thập thơng tin có gắn với một con người cụ thể hay
không hoặc kể cả dữ liệu không định danh để tránh việc vi phạm khi khai thác các dữ liệu
trên liên quan đế dữ liệu cá nhân của người dùng.
2.1.3 Làm gì khi xử lý dữ liệu cá nhân phục vụ cho hoạt động của các TCTD:
Điều 11 quy định khi xử lý dữ liệu các nhân (trừ trường hợp luật có quy định khác)
đều phải có sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong
quy trình xử lý dữ liệu cá nhân. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể
dữ liệu tự nguyện và biết rõ các nội dung sau: như : a)Loại dữ liệu cá nhân được xử lý; b)
Mục đích xử lý dữ liệu cá nhân; c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; d) Các
quyền, nghĩa vụ của chủ thể dữ liệu. Như vây, khi xử lý dữ liệu khách hàng, các TCTD có
phải kê chi tiết loại dữ liệu xử lý hay chỉ cầ nêu 2 loại dữ liệu cơ bản và dữ liệu nhạy cảm
Trong trường hợp khi phát sinh bất kỳ trường dữ liệu nào được bổ sung trên chương trình,
TCTD co phải tiến hành lại bước xin chấp thuận của khách hàng để xử lý đối với trường
dữ liệu đó đúng khơng? Mục đích xử lý dữ liệu có thể quy định tổng quát hay phải quy định
chi tiết cụ thể tất cả các trường hợp sử dụng dữ liệu xử lý? Nếu quy định quá chi tiết thì
mỗi khi mục đích chi tiết có sự thay đổi TCTD có cần xác nhận của khách hàng khơng?
Ý kiến đề xuất giải pháp khi triển khai : Trước mắt, trong khi chờ có sự quy định chi
tiết nội dung này, khi làm việc với khách hàng, các TCTD nên lấy ý kiến đối với toàn bộ
dữ liệu mà chủ thể cung cấp cho TCTD hoặc TCTD thu thập được trong quá trình xử lý
giao dịch cho khách hàng... khi đó khơng phải xin chấp thuận bổ sung với các dữ liệu mới.
7
Khi xử lý dữ liệu phục vụ cho nhiều mục đích, phải liệt kê các mục đích để chủ thể dữ liệu
đồng ý với một hoặc nhiều mục đích nêu ra.
2.2 Những vướng mắc cần kiến nghị các cơ quan chức năng hướng dẫn:
2.2.1 Vấn đề về rút lại thông tin đã cung cấp:
Khoản 1, 3 Điều 12 quy định việc rút lại sự đồng ý không ảnh hưởng đến tính hợp
pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý. Đồng thời, khi nhận
yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm
soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy
ra khi rút lại sự đồng ý.
Khái niệm “không ảnh hưởng đến dữ liệu đã đồng ý trước đó” hay “thơng báo cho
chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý” rất khó xác định.
Ví dụ khách hàng đề nghị không đồng ý cho phép tiếp tục lưu thông tin tên , ngày sinh của
khách hàng thì xử lý thế nào, có xóa đi được khơng? ảnh hưởng thế nào đến các dữ liệu
trước đó đã đồng ý hay quy định thông báo hậu quả, thiệt hại có thể xảy ra có thực sự phù
hợp vì khơng thể lường trước được hậu quả/thiệt hại có thể xảy ra
Việc lưu trữ thông tin khách hàng thông thường hiện nay được thực hiện theo chính
sách chung với tất cả các khách hàng. Tuy nhiên, theo quy định tại nghị định, việc xử lý
thông tin khách hàng phải được lựa chọn theo từng cá nhân khách hàng và có thể thay đổi
theo thời gian (từng khách hàng đồng ý hay không đồng ý, được rút lại đồng ý bất kỳ lúc
nào) như vậy thiết kế hệ thống sẽ rất phức tạp, phát sinh nhiều chi phí. Các hệ thống đã
triển khai thì xử lý thế nào? Trường hợp triển khai hệ thống trên cloud sẽ phát sinh càng
nhiều vấn đề phức tạp hơn. Nên các cơ quan chức năng có liên quan cần thơng nhất khi
triển khai thực hiện.
2.2.2 Vấn đề thời hạn lưu trữ thông tin:
Khoản 7 Điều 3 quy định dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian
phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác. Tuy nhiên
Nghị định chưa nêu rõ từng loại mục đích xử lý dữ liệu, vậy thời gian phù hợp ở đây cho
từng loại dữ liệu là bao lâu? Có quy định thời gian tối đa hay khơng? Với các dữ liệu được
sử dụng trên nền tảng của một bên thứ ba, nếu bên thứ ba đã đáp ứng việc lưu trữ trong thời
8
gian phù hợp theo quy định của luật, nhưng sau thời gian đó doanh nghiệp lại tải dữ liệu về
lưu trữ tại doanh nghiệp thì có bị coi là vi phạm luật không?"
2.2.3 Quy định về đánh giá tác động xử lý dữ liệu cá nhân:
Khoản 1, 2 Điều 24. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm
soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân
nhưng không hướng dẫn rõ nội dung khai báo đối với “Thông tin và chi tiết liên lạc của
Bên kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu
cá nhân” là cá nhân/đơn vị nào: (i) thông tin cá nhân của cán bộ tham gia xử lý giao
dịch (có thể có nhiều cán bộ tham gia (giao dịch viên/kiểm soát viên)) hay (ii) thơng
tin của đơn vị phịng/ban/chi nhánh, hay (iii) thơng tin của TCTD?
Đối với nội dung tại điểm đ Điều 24 “Tổ chức, cá nhân nhận dữ liệu cá nhân, bao
gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam” do đặc thù nghiệp vụ và tập quán quốc tế,
TCTD khó xác định và kiểm sốt được thơng tin của tất cả tổ chức, cá nhân nêu trên vì điện
Swift có thể được ngân hàng đại lý của Ngân hàng chuyển tiếp qua nhiều ngân hàng trung
gian để chuyển được đến ngân hàng của người hưởng cuối cùng. Vì vậy cũng cần có quy
định hướng dẫn cụ thể để xử lý khi triển khai thực hiện.
9
KẾT LUẬN
Với việc ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đánh
dấu bước tiến lớn đầu tiên trong nổ lực xây dựng hành lang pháp lý nhằm bảo vệ dữ liệu cá
nhân tại Việt Nam một cách hiệu quả, giảm thiểu tối đa những nguy cơ và hệ quả của các
hành vi xâm phạm dữ liệu cá nhân, chung tay với cộng đồng quốc tế trong xử lý các nguy
cơ, thách thức đến từ không gian mạng.
Tuy nhiên, sau khi được ban hành, trong q trình nghiên cứu áp dụng, các tổ chức
tín dụng cịn vướng phải nhiều thắc mắc, có nhiều cách hiểu khác nhau xuất phát từ những
nội dung quy định chưa thực sự rõ ràng. Do vậy, học viên đã kiến nghị Bộ Công an sớm
ban hành thông tin hướng dẫn áp dụng để các tổ chức tín dụng có thể vừa tuân thủ quy định
pháp luật, vừa không ảnh hưởng đến quá trình hoạt động kinh doanh.
10
TÀI LIỆU THAM KHẢO
1. Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
2. Bộ luật Dân sự năm 2015;
3. Luật các Tổ chức tín dung 2010, sửa đổi năm 2017;
4. Luật An ninh mạng năm 2018;
5. Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
i
PHỤ LỤC: THỎA THUẬN BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI NGÂN HÀNG
TMCP ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM (BIDV)
Hôm nay, ngày [●] (“Ngày ký”), tại [●], chúng tôi gồm có:
BÊN A: Ngân Hàng TMCP Đầu Tư và Phát Triển Việt Nam (BIDV)
(a)
Địa chỉ: Tháp BIDV, 35 Hàng Vôi, Quận Hoàn Kiếm, Hà Nội, Việt Nam.
(b)
Điện thoại: [●]
Mã số thuế [●]
(c)
Đại diện hợp pháp: [●]
Chức danh: [●]
Fax: [●]
(Theo Giấy ủy quyền số: [●])
và
BÊN B: [●] [Tên Công Ty]
(a)
Địa chỉ: [●]
(b)
Điện thoại: [●]
(c)
Đại diện hợp pháp: [●]
Mã số thuế [●]
Fax: [●]
Chức danh:
[●]
(Theo Giấy ủy quyền số: [●])
(Bên A và Bên B sau đây được gọi riêng là “Bên” và gọi chung là “Các Bên”).
CƠ SỞ XÁC LẬP THỎA THUẬN
-
XÉT VÌ, mỗi Bên ký kết Thỏa Thuận này đồng ý rằng, Các Bên đã, đang và sẽ ký kết, thực
hiện các hợp đồng, thỏa thuận (“Hợp Đồng”) với nhau, các Bên có thể có sự trao đổi, chuyển
giao Dữ liệu cá nhân; Việc xác lập thỏa thuận về các điều khoản về bảo vệ Dữ liệu cá nhân là
cần thiết để bảo đảm quyền và lợi ích hợp pháp của các Bên, khách hàng của các Bên cũng như
bảo đảm phù hợp với Nghị định 13/2023/NĐ-CP ngày 17/04/2023 của Chính Phủ về bảo vệ
dữ liệu cá nhân (“Nghị Định 13”) và các quy định pháp luật liên quan;
-
VÌ VẬY, NAY, Các Bên cùng thống nhất ký Thỏa thuận về bảo vệ dữ liệu cá nhân này (sau
đây gọi chung là “Thỏa thuận”), cụ thể như sau:
Điều 1.GIẢI THÍCH TỪ NGỮ
1.1
“Dữ Liệu Cá Nhân”:
a)
Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự
trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người
cụ thể.
Dữ Liệu Cá Nhân được đề cập trong Thỏa Thuận này có thể là dữ liệu của khách hàng cá
nhân của Bên A và/hoặc Bên B, của cá nhân đại diện của từng Bên và/hoặc cá nhân bất kỳ
có liên quan đến Hợp Đồng (sau đây gọi chung là “Chủ Thể Dữ Liệu”) mà trong quá trình
b)
ii
ký kết, thực hiện, triển khai Hợp Đồng giữa Các Bên có thể trao đổi, chuyển giao Dữ Liệu
Cá Nhân này cho nhau.
1.2
“Xử lý Dữ Liệu Cá Nhân”: Là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân,
như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy
xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa,
hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
1.3
“Bên Kiểm Sốt Dữ Liệu Cá Nhân”: là tổ chức, cá nhân quyết định mục đích và phương
tiện xử lý dữ liệu cá nhân.
“Bên Xử Lý Dữ Liệu Cá Nhân”: là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt
cho Bên Kiểm sốt dữ liệu, thơng qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ
liệu.
“Bên Kiểm Soát Và Xử Lý Dữ Liệu Cá Nhân”: là tổ chức, cá nhân đồng thời quyết định
mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
“Bên Thứ Ba”: là tổ chức, cá nhân ngoài Chủ Thể Dữ Liệu, Bên Kiểm soát dữ liệu cá nhân,
Bên Xử lý dữ liệu
1.4
1.5
1.6
Các thuật ngữ được sử dụng tại Thỏa Thuận này và trong quá trình thực hiện các Hợp đồng,
thỏa thuận giữa các Bên liên quan đến việc bảo vệ dữ liệu cá nhân được hiểu và giải thích
theo Nghị Định 13 và các văn bản hướng dẫn, sửa đổi, bổ sung trong từng thời kỳ.
Điều 2.NỘI DUNG THỎA THUẬN
2.1. Khi bất kì bên nào giữ vai trị là Bên Kiểm Soát Dữ Liệu, Bên Kiểm Soát Và Xử Lý Dữ Liệu
thì Bên đó có trách nhiệm:
2.1.1. Thơng báo việc xử lý Dữ Liệu Cá Nhân cho Chủ Thể Dữ Liệu và phải có xác nhận
đồng ý xử lý Dữ Liệu Cá Nhân của Chủ Thể Dữ Liệu theo đúng quy định tại Nghị
định 13 và Chỉ được chỉnh sửa Dữ Liệu Cá Nhân sau khi được Chủ Thể Dữ Liệu đồng
ý.
2.1.2. Cung cấp bằng chứng về sự đồng ý của Chủ Thể Dữ Liệu khi Bên Kiểm soát dữ liệu,
Bên Kiểm soát và xử lý dữ liệu yêu cầu Bên xử lý dữ liệu thực hiện việc chỉnh sửa
dữ liệu.
2.1.3. Ngừng xử lý/ hạn chế/ xoá dữ liệu cá nhân và yêu cầu các tổ chức, cá nhân có liên
quan ngừng xử lý/ hạn chế/ xoá dữ liệu cá nhân khi nhận được yêu cầu của Chủ Thể
Dữ Liệu về việc ngừng xử lý/ hạn chế/ xoá dữ liệu do Chủ Thể Dữ Liệu đã rút lại sự
đồng ý theo đúng quy định tại Nghị định 13 và quy định của Bên Kiểm soát dữ liệu,
Bên Kiểm soát và xử lý dữ liệu.
2.1.4. Cung cấp cho Bên xử lý dữ liệu, Bên thứ ba bằng chứng chứng minh việc Chủ Thể
Dữ Liệu không thoả mãn điều kiện để được chỉnh sửa dữ liệu/ ngừng xử lý/ hạn chế/
xoá dữ liệu cá nhân.
2.1.5. Thực hiện việc lưu trữ Dữ Liệu Cá Nhân theo hình thức phù hợp với hoạt động của
mình và có biện pháp bảo vệ Dữ Liệu Cá Nhân theo quy định của pháp luật.
2.1.6. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý Dữ Liệu Cá Nhân.
2.1.7. Đánh giá tác động xử lý Dữ Liệu Cá Nhân, Đánh giá tác động chuyển dữ liệu cá nhân
ra nước ngoài theo đúng quy định tại Nghị định 13 và hướng dẫn của Bộ Công an
trong từng thời kỳ (nếu có)
iii
2.1.8. Lưu trữ bằng chứng chứng minh việc tuân thủ nguyên tắc bảo vệ Dữ Liệu Cá Nhân
theo quy định tại Điều 3 Nghị định 13.
2.1.9. Các trách nhiệm khác theo quy định tại Nghị định 13.
2.2. Khi bất kỳ bên nào giữ vai trò là Bên xử lý dữ liệu, Bên thứ ba thì Bên đó có trách nhiệm:
2.2.1. Thực hiện chỉnh sửa dữ liệu cá nhân theo yêu cầu của Bên Kiểm soát dữ liệu, Bên
kiểm soát và xử lý dữ liệu sau khi nhận được bằng chứng về việc Chủ thể dữ liệu đã
đồng ý việc chỉnh sửa dữ liệu cá nhân.
2.2.2. Trường hợp phát sinh yêu cầu ngừng xử lý/ hạn chế/ xoá dữ liệu do Chủ thể dữ liệu
đã rút lại sự đồng ý:
− Trường hợp nhận được yêu cầu từ Chủ thể dữ liệu, Bên xử lý dữ liệu, Bên thứ ba
có trách nhiệm:
▪ Thơng báo cho Bên Kiểm sốt dữ liệu, Bên Kiểm soát và xử lý dữ liệu về yêu
cầu cầu ngừng xử lý/ hạn chế/ xoá dữ liệu của Chủ thể dữ liệu;
▪ Việc ngừng xử lý/hạn chế/xoá dữ liệu chỉ được thực hiện khi có chấp thuận
của Bên Kiểm sốt dữ liệu, Bên Kiểm soát và xử lý dữ liệu.
− Trường hợp nhận được yêu cầu từ Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử
lý dữ liệu: thực hiện đúng theo các yêu cầu đó.
2.2.3. Thực hiện việc lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình
và có biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
2.2.4. Xóa/ trả lại tồn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết
thúc xử lý dữ liệu.
2.2.5. Đánh giá tác động xử lý Dữ Liệu Cá Nhân, Đánh giá tác động chuyển dữ liệu cá nhân
ra nước ngoài theo đúng quy định tại Nghị định 13 và hướng dẫn của Bộ Công an
trong từng thời kỳ (nếu có).
2.2.6. Trường hợp Bên xử lý dữ liệu có sử dụng nhà thầu phụ thì Bên xử lý dữ liệu phải bảo
đảm rằng nhà thầu phụ cũng phải tuân thủ đầy đủ trách nhiệm của Bên xử lý dữ liệu
theo Thỏa thuận này; Bên xử lý dữ liệu có trách nhiệm làm việc trực tiếp với nhà thầu
phụ; thu thập các thông tin, bằng chứng từ nhà thầu phụ để cung cấp cho Bên Kiểm
soát dữ liệu nhằm đáp ứng yêu cầu Nghị định 13.
2.2.7. Lưu trữ bằng chứng chứng minh việc tuân thủ nguyên tắc bảo vệ Dữ Liệu Cá Nhân
theo quy định tại Điều 3 Nghị định 13 và cung cấp bằng chứng về việc tuân thủ khi
có yêu cầu của Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu.
2.2.8. Các trách nhiệm khác theo quy định tại Nghị định 13.
Điều 3. ĐIỀU KHOẢN CHUNG
3.1. Các tranh chấp phát Luật Điều Chỉnh và Giải Quyết Tranh Chấp
(a)
Thỏa Thuận này được điều chỉnh và giải thích theo quy định pháp luật Việt Nam.
(b)
Bất kỳ tranh chấp nào phát sinh từ hoặc liên quan đến Thỏa Thuận này, bao gồm bất
kỳ vấn đề nào liên quan đến sự tồn tại, hiệu lực hoặc chấm dứt Thỏa Thuận, sẽ được
đưa ra giải quyết chung thẩm bởi Trung tâm Trọng tài Quốc tế Việt Nam (“VIAC”)
phù hợp với quy tắc trọng tài của VIAC đang có hiệu lực tại thời điểm đó.
Việc xét xử trọng tài sẽ được thực hiện bởi hội đồng gồm 03 (ba) trọng tài viên và
ngôn ngữ trọng tài là tiếng Việt. Địa điểm tiến hành xét xử trọng tài sẽ là Việt Nam.
3.2. Thông Báo
iv
(a)
Trừ khi có quy định khác rõ ràng trong Thỏa Thuận này, tất cả các thông báo và
trao đổi khác được đưa ra theo Thỏa Thuận này phải được lập thành văn bản
bằng tiếng Việt và gửi (i) bằng thư bảo đảm trả trước, (ii) bằng chuyển thư tay,
hoặc (iii) qua fax (và bản gốc phải được gửi qua bưu điện trong vịng 2 (hai)
Ngày Làm Việc sau đó) tới địa chỉ nêu dưới đây:
(i)
Tới BIDV: [●]
(ii)
(a)
-
Địa chỉ: [●]
-
Người nhận: [●]
-
Email: [●]
-
Điện thoại: [●] Fax: [●]
Tới Công Ty: [●] [Tên Công Ty]
-
Địa chỉ: [●]
-
Người nhận: [●]
-
Email: [●]
-
Tel: [●]
Fax: [●]
Tất cả các thông báo và trao đổi sẽ ngay lập tức có hiệu lực sau khi nhận được
(i) từ bưu điện, (ii) bằng chuyển thư tay, hoặc (iii) bằng fax bởi người nhận dự
kiến tại địa chỉ hoặc số fax nêu tại Điểm (a) trên đây.
Mỗi Bên tùy từng thời điểm sẽ thông báo cho Bên kia về bất kỳ sự thay đổi nào
đối với thông tin liên lạc được quy định tại Điểm (a) trên đây.
Việc ký kết Thỏa thuận này không ảnh hưởng đến Thỏa thuận bảo mật thông tin đã ký giữa
các Bên (nếu có) hoặc các điều khoản Bảo mật thông tin tại Hợp đồng, thỏa thuận cụ thể
khác giữa hai bên. Trong trường hợp có sự mâu thuẫn giữa Thỏa thuận này và các Hợp đồng,
thỏa thuận khác giữa các Bên liên quan đến việc bảo vệ dữ liệu cá nhân thì các điều khoản
tại Thỏa thuận này có hiệu lực thi hành.
Mọi vấn đề liên quan đến bảo vệ Dữ Liệu Cá Nhân chưa được quy định tại Thỏa Thuận này
được áp dụng theo Nghị định 13 và các quy định pháp luật sửa đổi, bổ sung, có liên quan
trong từng thời kỳ.
Mọi sửa đổi, bổ sung Thỏa Thuận này do các Bên thỏa thuận và phải được lập thành văn bản
có đầy đủ chữ ký của đại diện có thẩm quyền của các Bên và là bộ phận không tách rời của
Thỏa Thuận này.
Thỏa Thuận này có hiệu lực kể từ ngày ký như nêu tại phần đầu Thỏa Thuận và chấm dứt
khi hai Bên khơng cịn bất kỳ quan hệ hợp tác nào và đã hoàn thành tất cả các nghĩa vụ phát
sinh theo các Hợp đồng đã ký, trừ trường hợp Các Bên có thỏa thuận khác. Sau khi Thỏa
Thuận này chấm dứt, mỗi Bên có nghĩa vụ tiếp tục thực hiện đúng và đầy đủ các trách nhiệm
liên quan tương ứng với vai trị của mình theo Nghị Định 13 hoặc quy định của pháp luật về
bảo vệ dữ liệu cá nhân được ban hành, sửa đổi, bổ sung trong từng thời kỳ.
(b)
3.3.
3.4.
3.5.
3.6.
v
3.7. Thỏa Thuận này được lập thành [●] ([●]) bản gốc bằng tiếng Anh và [●] ([●]) bản gốc bằng
tiếng Việt có hiệu lực pháp lý như nhau, mỗi Bên giữ [●] ([●]) bản gốc bằng tiếng Anh và
[●] ([●]) bản gốc bằng tiếng Việt. Trong trường hợp có sự mẫu thuận giữa bản tiếng Anh và
bản tiếng Việt thì bản tiếng Việt sẽ được ưu tiên áp dụng.
ĐƯỢC KÝ BỞI đại diện hợp pháp của Các Bên:
Ngân hàng Thương Mại Cổ Phần Đầu Tư và
Phát Triển Việt Nam
[Tên Công Ty]
____________________________________
Họ và Tên:
Chức Danh:
____________________________________
Họ và Tên:
Chức Danh:
vi
