1. Hài hòa với các quy định khác
Trước khi có Dự Thảo Nghị Định, đã có những quy định khác về xử lý dữ liệu cá nhân. Do các quy định này còn rời rạc, nên Dự Thảo Nghị Định được kỳ vọng sẽ đóng vai trò là văn bản quy phạm pháp luật toàn diện. Tuy nhiên, có một số vấn đề mà Dự Thảo Nghị Định chưa giải quyết được. Ví dụ,
(i) Không rõ Dự thảo Nghị định giải quyết việc xử lý dữ liệu cá nhân đã được công khai như thế nào. Dự Thảo Nghị Định không đề cập trực tiếp đến vấn đề này. Thay vào đó, Dự Thảo Nghị Định quy định rằng không cần có sự đồng ý từ chủ thể dữ liệu khi luật pháp khác cho phép. Theo Điều 70.4(a) của Nghị Định 52/2014/NĐ-CP thu thập thông tin cá nhân đã được tiết lộ công khai trên trang web thương mại điện tử không phải nhận được sự đồng ý từ cá nhân đó. Tuy nhiên, bài viết này chỉ áp dụng cho thông tin trên các trang web thương mại điện tử. Đáng chú ý là theo GDPR, trong khi một người có thể thu thập dữ liệu cá nhân công khai mà không cần có thêm sự đồng ý, người đó phải thông báo cho chủ thể dữ liệu ý định xử lý dữ liệu của họ.
(ii) Hiện chưa rõ việc xử lý dữ liệu cá nhân của các tổ chức tín dụng được đề cập như thế nào trong Dự Thảo Nghị Định. Một tổ chức tín dụng khi xử lý thông tin tài chính của khách hàng có thể phải được Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân chấp thuận (như được định nghĩa tại 5.2). Yêu cầu này có thể gây khó khăn cho hoạt động kinh doanh của các tổ chức tín dụng.
2. Các điểm đáng chú ý khác
a. Nguyên tắc xử lý dữ liệu cá nhân.
Dự Thảo Nghị Định đưa ra các nguyên tắc xử lý dữ liệu cá nhân như sau:
(i) Nguyên tắc về tính hợp pháp của quá trình xử lý. Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật;
(ii) Nguyên tắc giới hạn mục đích. Dữ liệu cá nhân chỉ được xử lý theo đúng mục đích đã đăng ký, tuyên bố về việc xử lý thông tin cá nhân;
(iii) Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định;
(iv) Nguyên tắc sử dụng hạn chế: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được phép của cơ quan có thẩm quyền theo quy định của pháp luật;
(v) Nguyên tắc chính xác: Dữ liệu cá nhân phải được cập nhật và đầy đủ để đảm bảo mục đích xử lý dữ liệu;
(vi) Nguyên tắc an ninh: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ trong quá trình xử lý dữ liệu cá nhân;
(vii) Nguyên tắc cá nhân: Chủ thể dữ liệu biết và nhận thông báo về các hoạt động của họ liên quan đến việc xử lý dữ liệu cá nhân; và
(viii) Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu.
b. Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân. Theo Dự Thảo Nghị Định, Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân (Ủy Ban) sẽ được thành lập. Ủy Ban phụ trách, ngoài các việc khác, việc đánh giá các đơn đăng ký xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân xuyên biên giới.
c. Dữ liệu cá nhân của trẻ em. Việc xử lý thông tin trẻ em phải tuân theo các yêu cầu nghiêm ngặt hơn.
d. Chuyển dữ liệu cá nhân xuyên biên giới. Các yêu cầu sau phải được đáp ứng khi chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam:
(i) Chủ thể dữ liệu đồng ý với việc chuyển giao;
(ii) Dữ liệu gốc được lưu trữ tại Việt Nam;
(iii) Quốc gia/vùng lãnh thổ nơi dữ liệu được chuyển đến có quy định về bảo vệ dữ liệu cá nhân ở mức tương đương hoặc cao hơn quy định tại Dự Thảo Nghị Định; và
PDPC chấp thuận việc chuyển giao này.