Theo đó, Nghị định này quy định chi tiết khoản 3 Điều 13, khoản 5 Điều 14, khoản 5 Điều 15, khoản 3 Điều 16, khoản 4 Điều 17, khoản 4 Điều 18, khoản 3 Điều 20, khoản 5 Điều 21, khoản 5 Điều 22, khoản 4 Điều 23, khoản 5 Điều 25, khoản 4 Điều 26, khoản 4 Điều 27, khoản 3 Điều 30, khoản 8 Điều 31, khoản 5 Điều 35, khoản 4 Điều 36, khoản 3 Điều 37 của Luật Dữ liệu và việc xây dựng, phát triển, bảo vệ, quản trị, xử lý, sử dụng dữ liệu; việc bảo đảm nguồn lực cho hoạt động của Trung tâm dữ liệu quốc gia; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan đến hoạt động về dữ liệu.
Xác định và quản lý rủi ro phát sinh trong xử lý dữ liệu
Đáng chú ý, tại Điều 15 Nghị định quy định về việc xác định và quản lý rủi ro phát sinh trong xử lý dữ liệu như sau:
1. Các loại rủi ro phát sinh trong xử lý dữ liệu bao gồm:
- Rủi ro quyền riêng tư xảy ra do không tuân thủ quy định của pháp luật về quyền riêng tư của chủ thể dữ liệu trong quá trình xử lý và chuyển dữ liệu;
- Rủi ro an ninh mạng xảy ra do không áp dụng các biện pháp cần thiết để bảo vệ dữ liệu không được công khai khỏi những truy cập trái phép từ các đối tượng bên ngoài hoặc dữ liệu bị rò rỉ ra bên ngoài;
- Rủi ro nhận dạng và quản lý truy cập xảy ra do không bảo đảm việc bảo vệ dữ liệu không được công khai khỏi những truy cập trái phép;
- Rủi ro khác trong xử lý dữ liệu bao gồm: rủi ro chia sẻ dữ liệu xảy ra khi không có khả năng duy trì quyền kiểm soát đối với dữ liệu đã chia sẻ; rủi ro quản lý dữ liệu xảy ra do chất lượng của dữ liệu không đảm bảo.
2. Một số biện pháp phòng ngừa rủi ro phát sinh trong xử lý dữ liệu bao gồm:
- Thực hiện sao lưu dữ liệu thường xuyên và bảo đảm an toàn;
- Định kỳ bảo trì, bảo dưỡng, nâng cấp hệ thống nhằm duy trì và cải thiện hiệu suất, tính năng, tính bảo mật và tính nhất quán của hệ thống cơ sở dữ liệu; có biện pháp ứng phó khôi phục hệ thống để bảo đảm tính liên tục của hệ thống;
- Thực hiện các biện pháp bảo vệ dữ liệu theo quy định;
- Phân cấp chặt chẽ quyền truy cập đối với từng loại dữ liệu để phòng ngừa việc truy cập dữ liệu trái phép;
- Sử dụng các hệ thống giám sát và phát hiện xâm nhập để theo dõi hoạt động mạng và phát hiện các hành vi bất thường hoặc truy cập trái phép;
- Cài đặt và duy trì các phần mềm bảo mật;
- Thực hiện đánh giá rủi ro định kỳ hàng năm để xác định các lỗ hổng trong hệ thống và áp dụng các biện pháp phòng ngừa rủi ro tương ứng;
- Xây dựng phương án, kế hoạch xử lý sự cố để chủ động, kịp thời ứng phó, khắc phục sự cố;
- Đào tạo, bồi dưỡng, tập huấn kỹ năng bảo vệ dữ liệu, cách nhận biết các mối đe dọa, cách xử lý khi phát hiện rủi ro bảo mật; thường xuyên diễn tập phòng ngừa sự cố, giám sát, phát hiện, bảo đảm kịp thời ứng phó, khắc phục sự cố;
- Các biện pháp khác theo quy định pháp luật.
Bảo vệ dữ liệu được quy định như thế nào?
Tại Điều 16 Nghị định đã quy định về việc bảo vệ dữ liệu như sau:
1. Cơ quan nhà nước có trách nhiệm tổ chức quản lý và bảo vệ dữ liệu thuộc phạm vi quản lý, bao gồm thiết lập hệ thống quản lý, giám sát, đánh giá rủi ro và cảnh báo sớm trong toàn bộ quá trình xử lý dữ liệu; thực hiện phân cấp, phân quyền truy cập phù hợp đối với các loại dữ liệu khác nhau, bảo đảm tuân thủ các chính sách chung về bảo vệ dữ liệu.
Khuyến khích các chủ quản dữ liệu không thuộc cơ quan nhà nước xây dựng các quy định riêng về bảo vệ dữ liệu do mình quản lý.
2. Việc bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng là dữ liệu cá nhân thực hiện theo quy định của Luật Dữ liệu và Nghị định này.
Trường hợp chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới và quản lý, bảo vệ dữ liệu cốt lõi, dữ liệu quan trọng là dữ liệu cá nhân thực hiện theo quy định của Điều 12 và khoản 11 Điều 17 Nghị định này; không phải đánh giá tác động theo pháp luật về bảo vệ dữ liệu cá nhân.
3. Chủ quản dữ liệu cung cấp hoặc ủy thác việc xử lý dữ liệu cốt lõi, dữ liệu quan trọng cho tổ chức, cá nhân không thuộc quy định tại Điều 12 Nghị định này phải đáp ứng những yêu cầu như sau:
- Thỏa thuận với bên nhận dữ liệu về mục đích, phương thức, phạm vi, nghĩa vụ bảo vệ an ninh thông qua hợp đồng và tiến hành giám sát việc thực hiện nghĩa vụ của bên nhận dữ liệu. Hồ sơ về việc xử lý dữ liệu quan trọng được cung cấp hoặc ủy thác cho các bên nhận dữ liệu khác phải được lưu trữ ít nhất 3 năm;
- Khi thực hiện cung cấp, ủy thác xử lý dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần thực hiện mã hóa, ký số và thực hiện các biện pháp bảo mật khác để bảo đảm tính bí mật, toàn vẹn và tính chống chối bỏ;
- Bên tiếp nhận dữ liệu cốt lõi, dữ liệu quan trọng phải thực hiện nghĩa vụ bảo vệ dữ liệu, xử lý dữ liệu cốt lõi, dữ liệu quan trọng theo đúng mục đích, phương thức, phạm vi đã thỏa thuận.
4. Các biện pháp bảo vệ dữ liệu bao gồm:
- Quản lý có liên quan đến xử lý dữ liệu gồm: xây dựng chính sách, quy chế, tiêu chí đánh giá an toàn, an ninh dữ liệu để bảo đảm tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật, quy định về bảo vệ dữ liệu và các biện pháp quản lý khác theo quy định của pháp luật;
- Biện pháp kỹ thuật có liên quan đến xử lý dữ liệu: bảo đảm an ninh vật lý, kiểm soát truy cập, kiểm tra an ninh mạng và các biện pháp kỹ thuật khác theo quy định của pháp luật;
- Quản lý nhân lực bảo vệ dữ liệu: xây dựng quy chế quản lý con người, đào tạo nhân lực bảo vệ dữ liệu;
- Các biện pháp bảo vệ dữ liệu khác theo quy định pháp luật.