(KTSG) - Nghị định 13/2023/NĐ-CP (Nghị định 13) đã thiết lập một hành lang pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam. Đối với các tập đoàn đa quốc gia, đây là các tổ chức lớn của nền kinh tế, có đặc điểm là lượng dữ liệu phải xử lý rất lớn, đồng thời có trách nhiệm phải đảm bảo sự tuân thủ đối với quy định về bảo vệ dữ liệu tại tất cả quốc gia mà tập đoàn có hoạt động kinh doanh. Bài viết dưới đây trình bày một số biện pháp mà các tập đoàn này cần phải thực hiện nhằm thực thi chính sách bảo vệ dữ liệu, cũng như các gợi ý cho cơ quan ban hành và thực thi chính sách trong quá trình áp dụng pháp luật về bảo vệ dữ liệu cá nhân.
- Vi phạm dữ liệu cá nhân bị xử sao?
- Doanh nghiệp với dữ liệu cá nhân người lao động: hiểu để làm đúng!
Các khuyến nghị đối với các tập đoàn đa quốc gia nhằm thực thi chính sách
Thứ nhất, các tập đoàn đa quốc gia cần nhấn mạnh tầm quan trọng của đào tạo nội bộ. Thực tế, khi các quy định về bảo vệ dữ liệu cá nhân được ban hành bởi cơ quan nhà nước, bộ phận tuân thủ của doanh nghiệp phải tiến hành phổ biến trong nội bộ. Do vậy, doanh nghiệp cần thiết kế các chương trình đào tạo theo định kỳ hoặc theo khung thời gian, cũng như nội dung đào tạo phù hợp với từng phòng ban và vị trí cấp bậc của nhân viên để nhận thức về bảo vệ dữ liệu cá nhân đạt mức chuẩn và hiệu quả.
Thứ hai, các tập đoàn đa quốc gia cần tiến hành các cuộc thanh tra nội bộ hàng năm. Cơ chế thanh tra được thực hiện định kỳ với ít nhất sáu tháng một lần để kịp phát hiện lỗ hổng trong việc bảo vệ dữ liệu cá nhân, cập nhật cơ chế khắc phục và liên tục phát triển các biện pháp bảo vệ dữ liệu cá nhân cùng với hoạt động kinh doanh của doanh nghiệp. Các cơ chế này thường được thực hiện song song hoặc xen kẽ bởi các cơ chế kiểm soát rủi ro trong doanh nghiệp bao gồm: (i) kiểm soát nội bộ (internal control) và tự đánh giá tính tuân thủ chính sách (self-assessment); (ii) kiểm soát rủi ro trong doanh nghiệp (enterprise risk management) bằng việc phân loại, đánh giá, kiểm soát và giảm thiểu từng rủi ro đối với các công nghệ mới do doanh nghiệp đem về áp dụng cho tổ chức của mình; (iii) đánh giá tuân thủ định kỳ (compliance assessment) dựa trên thiết kế các hạng mục cốt lõi cần kiểm tra cùng với đánh giá mức độ thường xuyên xảy ra rủi ro và mức độ ảnh hưởng của rủi ro (likelihood occurrence and impact of compliance risk) dựa trên các mức độ khác nhau.
Về khía cạnh thực thi các quy định bảo vệ dữ liệu cá nhân tại Việt Nam, không ít các tổ chức, doanh nghiệp, bằng chi phí của mình, nỗ lực thực hiện tuân thủ quy định pháp luật nhưng không có được cái nhìn đúng đắn và sự hợp tác từ chính bản thân các chủ thể dữ liệu.
Thứ ba, phải đáp ứng các chứng nhận ISO, cụ thể là ISO 27001 về Hệ thống Quản lý an toàn thông tin (ISMS). Chứng nhận ISO hợp lệ là phương án thay thế cho các yêu cầu bảo vệ mọi thông tin trong doanh nghiệp, trong đó tập trung đến việc đảm bảo thông tin bảo mật và dòng chảy dữ liệu cá nhân trong doanh nghiệp được an toàn một cách bền vững, trọn vẹn và hiệu quả về chi phí tuân thủ và kiểm soát rủi ro. Cụ thể, chứng nhận ISO 27001 đảm bảo doanh nghiệp đã thiết lập, triển khai và duy trì một chương trình bảo mật thông tin bao gồm các chính sách và thủ tục, nhằm bảo vệ và lưu giữ an toàn các dữ liệu bảo mật và dữ liệu cá nhân đạt chuẩn ngành cũng như theo yêu cầu của luật pháp.
Trên thực tế, doanh nghiệp phải có chứng nhận ISO 27001 là một trong những tiêu chuẩn bắt buộc đối với các bên cung cấp dịch vụ hoặc cung cấp phần mềm dưới dạng dịch vụ (SaaS). Trong trường hợp không có chứng nhận ISO 27001 thì bên sử dụng dịch vụ hoặc bên kiểm soát dữ liệu cá nhân sẽ buộc bên cung cấp dịch vụ hoặc bên xử lý dữ liệu cá nhân thực hiện đáp ứng các yêu cầu, như thực hiện các bài đánh giá an ninh mạng hàng năm, thiết lập và duy trì các quy trình quản lý quyền truy cập để ngăn chặn truy cập trái phép, hay phải có chính sách thông báo kịp thời các kết quả điều tra từ quá trình ứng phó sự cố cho quản lý cấp cao cũng như ẩn danh tất cả dữ liệu cá nhân được sử dụng trong môi trường phát triển hoặc thử nghiệm…
Các kiến nghị đối với cơ quan ban hành và thực thi chính sách
Thứ nhất, các cơ quan lập pháp cần cân nhắc cách tiếp cận thực tế trong các khái niệm về vai trò bảo vệ dữ liệu và hoạt động xử lý dữ liệu cá nhân. Cụ thể là đưa khái niệm “bên kiểm soát dữ liệu” và “bên kiểm soát và xử lý dữ liệu” về làm một vì trong thực tế không có bên nào chỉ thực hiện kiểm soát dữ liệu mà không tiếp xúc, thu thập và xa hơn là lưu trữ dữ liệu cá nhân trong cơ sở dữ liệu của mình.
Thứ hai, về khía cạnh thực thi các quy định bảo vệ dữ liệu cá nhân tại Việt Nam, không ít các tổ chức, doanh nghiệp, bằng chi phí của mình, nỗ lực thực hiện tuân thủ quy định pháp luật nhưng không có được cái nhìn đúng đắn và sự hợp tác từ chính bản thân các chủ thể dữ liệu. Điều này vẫn xảy ra cho dù thông báo xử lý dữ liệu cá nhân và các giải thích từ trong điều khoản của văn bản đồng ý cho phép xử lý dữ liệu cá nhân từ các chủ thể dữ liệu đã được thể hiện một cách cụ thể, rõ ràng và trọn vẹn bằng ngôn ngữ thông thường. Sau một quá trình thực hiện bảo vệ dữ liệu cá nhân, nguyên nhân chính dẫn tới sự không hợp tác từ chính các chủ thể dữ liệu được đúc kết như sau: (1) tâm lý cẩn trọng, ngại thủ tục hành chính, giấy tờ; (2) mong muốn giữ các hoạt động và thủ tục như trước khi có Nghị định 13 do không muốn đọc và ký thêm bất kỳ loại văn bản nào khác; (3) không thấy được sự cần thiết và mục đích của việc bảo vệ dữ liệu cá nhân của chính bản thân chủ thể dữ liệu; hoặc (4) chưa thấy được hậu quả trực tiếp từ việc tiết lộ dữ liệu cá nhân của mình và không cần sự cam kết, đảm bảo bảo vệ từ bên nhận dữ liệu. Từ các nguyên nhân này, doanh nghiệp thật sự cần có sự hỗ trợ từ công tác truyền thông của cơ quan thực thi để nâng cao nhận thức, hiểu rõ tầm quan trọng trong việc bảo vệ dữ liệu cá nhân của các chủ thể dữ liệu. Từ đó doanh nghiệp có được sự hợp tác từ các chủ thể này và giảm thiểu được rào cản, khó khăn trong nỗ lực tuân thủ quy định về bảo vệ dữ liệu cá nhân.
Thứ ba, cũng về khía cạnh thực thi nhưng từ góc độ của các tổ chức, doanh nghiệp đóng vai trò bảo vệ dữ liệu cá nhân cũng cần được hỗ trợ từ công tác tập huấn, truyền thông hoặc trao đổi cởi mở từ cơ quan lập pháp cũng như cơ quan thực thi để hiểu rõ tinh thần, nội dung các điều luật cũng như từ đó thiết kế, áp dụng chính sách bảo vệ dữ liệu cá nhân để phù hợp với bối cảnh kinh doanh của doanh nghiệp mình, bao gồm cả đối với nội bộ doanh nghiệp, bất kỳ bên thứ ba xử lý dữ liệu cá nhân mà doanh nghiệp là bên kiểm soát dữ liệu hoặc bất kỳ bên xử lý phụ nào. Điều này cũng giúp doanh nghiệp phần nào tính toán và hoạch định chi phí tuân thủ hiệu quả và hợp lý do gia tăng đột ngột về chi phí kiểm soát đảm bảo tuân thủ Nghị định 13 so với chi phí tuân thủ chính sách bảo vệ dữ liệu cá nhân đang có, mà các chính sách này chủ yếu dựa vào GDPR và các văn bản hướng dẫn của GDPR.
(*) Legal & Compliance Lead, Asia of Adecco
(**) Giảng viên, Khoa Luật, CELG, UEH