Đề xuất bảo vệ dữ liệu cá nhân trong điện toán đám mây (Hình từ Internet)
Dự thảo Nghị định quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân (dự thảo Nghị định).
 |
dự thảo Nghị định |
Theo Điều 12 dự thảo Nghị định đề xuất bảo vệ dữ liệu cá nhân trong điện toán đám mây như sau:
(1) Các cơ quan, tổ chức, cá nhân có liên quan cần áp dụng các biện pháp kỹ thuật và tổ chức để ngăn chặn dữ liệu cá nhân bị truy cập trái phép khi triển khai dịch vụ điện toán đám mây.
(2) Các tổ chức, cá nhân ký kết hợp đồng có liên quan tới xử lý dữ liệu cá nhân với các tổ chức cung cấp dịch vụ điện toán đám mây có trách nhiệm như sau:
- Nêu rõ trong nội dung hợp đồng về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân; chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
- Xác định rõ luồng xử lý dữ liệu cá nhân, vai trò các bên trong hoạt động cung cấp dịch vụ điện toán đám mây và trách nhiệm tương ứng;
- Có yêu cầu về các biện pháp bảo mật, kỹ thuật, tổ chức và được nêu rõ trong hợp đồng;
- Thông báo ngay lập tức cho các bên liên quan bất kỳ sự thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân;
- Tuân thủ thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân;
- Bảo đảm thực hiện các quyền của chủ thể dữ liệu cá nhân;
- Thực hiện đầy đủ các biện pháp kỹ thuật để bảo đảm quyền truy cập dữ liệu được phân cấp một cách hợp lý.
(3) Các tổ chức cung cấp dịch vụ điện toán đám mây:
- Chấp hành các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân, chấp hành quy định về thủ tục hành chính liên quan tới bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
- Đề nghị các nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
- Áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu cá nhân của mình.
(4) Dữ liệu cá nhân trên điện toán đám mây phải được mã hoá ở trạng thái nghỉ và truyền, kèm theo phân quyền truy cập nghiêm ngặt.
Tại Điều 6 dự thảo Nghị định đề xuất hình thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân như sau:
- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân đảm bảo minh chứng rõ ràng, chính xác về phương thức, thời gian, nội dung và xác thực chủ thể dữ liệu cá nhân.
- Các phương thức xin sự đồng ý của chủ thể dữ liệu cá nhân đảm bảo có thể kiểm chứng được tính chính xác và trách nhiệm của chủ thể dữ liệu cá nhân sau khi đã đồng ý, bao gồm:
+ Bằng văn bản;
+ Bằng giọng nói;
+ Qua tin nhắn điện thoại;
+ Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;
+ Bằng các phương thức khác phù hợp có thể kiểm chứng, xác thực được.
- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.
- Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
- Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
- Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.
- Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự 2015, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý, trừ trường hợp luật có quy định khác.
Nguyễn Thị Mỹ Quyền
21
(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
