Chào anh, Ban biên tập xin trả lời như sau:
Căn cứ theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Ngoài ra, tại Điều 3 Nghị định 13/2023/NĐ-CP quy định về các nguyên tắc bảo vệ dữ liệu cá nhân bao gồm:
- Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Theo dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng về xử phạt đối với hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân như sau:
- Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
+ Dữ liệu cá nhân được xử lý trái quy định của pháp luật;
+ Chủ thể dữ liệu không được biết và không được nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình;
+ Dữ liệu cá nhân không được xử lý đúng với mục đích được đăng ký, tuyên bố về xử lý dữ liệu cá nhân;
+ Dữ liệu cá nhân thu thập không phù hợp và không đúng giới hạn trong phạm vi, mục đích cần xử lý;
+ Dữ liệu cá nhân được cập nhật, bổ sung trái với mục đích xử lý;
+ Dữ liệu cá nhân không được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật;
+ Dữ liệu cá nhân được lưu trữ quá thời gian phục vụ mục đích xử lý dữ liệu và quy định của pháp luật có liên quan.
Đồng thời, còn áp dụng các hình thức phạt bổ sung như:
- Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng.
- Tịch thu tang vật, phương tiện vi phạm hành chính.
- Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng.
Và các biện pháp khắc phục hậu quả như:
- Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm.
- Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm
- Công khai xin lỗi chủ thể dữ liệu cá nhân đối với các hành vi vi phạm.
Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng: https://cdn.thuvienphapluat.vn/uploads/DanLuat-BanAn/2024/du-thao-nghi-dinh-xu-phat-vi-pham-hanh-chinh-trong-linh-vuc-an-ninh-mang.pdf