(KTSG) - Trong bối cảnh số hóa ngày càng sâu rộng, bảo vệ dữ liệu cá nhân trở thành thách thức lớn đối với cả cá nhân và đặc biệt là doanh nghiệp tại Việt Nam. Mặc dù có sự phát triển trong hệ thống pháp lý, sự thiếu rõ ràng và thiếu đồng bộ vẫn khiến cho việc tuân thủ của các doanh nghiệp gặp nhiều trở ngại.
- Việt Nam trong xu hướng quy định về bảo vệ dữ liệu cá nhân của người lao động
- Bảo mật dữ liệu cá nhân: cần những chế tài mang tính răn đe hơn
Bước tiến của Việt Nam về bảo vệ dữ liệu cá nhân
Dữ liệu cá nhân là những thông tin liên quan trực tiếp đến một cá nhân, như tên, số điện thoại, giới tính, e-mail, hay thông tin tài chính. Trong thời đại số, việc bảo vệ những thông tin này không chỉ là vấn đề của quyền riêng tư mà còn là một yếu tố quan trọng để bảo vệ sự an toàn và bảo mật cho mỗi người. Với sự phát triển mạnh mẽ của công nghệ, dữ liệu cá nhân ngày càng trở nên dễ bị xâm phạm, đặc biệt khi chúng ta chia sẻ thông tin qua mạng xã hội, các dịch vụ trực tuyến, và trong các giao dịch kinh doanh hàng ngày. Chính vì vậy, bảo vệ dữ liệu cá nhân đang là vấn đề cấp bách, không chỉ đối với cá nhân mà còn với các doanh nghiệp đang lưu trữ và xử lý lượng lớn thông tin này.
Mặc dù quyền bảo vệ dữ liệu cá nhân đã được ghi nhận trong Hiến pháp 2013 và các văn bản pháp lý khác như Bộ luật Dân sự 2015, Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018, hay các quy định chuyên ngành như Thông tư 09/2020/TT-NHNN (trong lĩnh vực ngân hàng) và Thông tư 121/2020/TT-BTC (trong lĩnh vực chứng khoán), thực tế triển khai lại không đơn giản. Các quy định hiện nay còn thiếu rõ ràng, đồng bộ và cụ thể riêng biệt về bảo vệ dữ liệu cá nhân, khiến cho cả doanh nghiệp lẫn người dân gặp khó khăn trong việc tự bảo vệ thông tin của mình. Điều này đòi hỏi một hệ thống pháp luật chặt chẽ và toàn diện hơn để giúp mọi đối tượng tham gia vào việc bảo vệ dữ liệu cá nhân dễ dàng hơn.
Mặc dù các quy định vẫn đang được hoàn thiện, đặc biệt là dự thảo Luật Bảo vệ dữ liệu cá nhân đang được xây dựng, doanh nghiệp cần tiếp tục lưu tâm đến các biện pháp bảo vệ dữ liệu cá nhân phù hợp và đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân đang có hiệu lực, hiện nay là Nghị định 13, để tránh rủi ro pháp lý.
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được ban hành và có hiệu lực từ ngày 1-7-2023 (Nghị định 13) đã giải quyết phần yêu cầu của đời sống xã hội. Tuy nhiên, gần hai năm có hiệu lực cho đến nay, một số ý kiến cho rằng nghị định này mang màu sắc “quản lý nhà nước” hơn là tập trung hướng đến cung cấp một cơ chế đủ rõ ràng, đồng bộ, dễ hiểu để thực thi nhằm hướng đến việc cá nhân được bảo vệ tối ưu và tự kiểm soát tốt nhất đối với dữ liệu của chính họ.
Vấn đề đặt ra là, khi việc bảo vệ an ninh quốc gia thông qua kiểm soát và quản lý nhà nước về dữ liệu cá nhân là cần thiết và được chú trọng hơn hết, thì việc tự bảo vệ quyền riêng tư của công dân về dữ liệu cá nhân sẽ dựa trên các cơ sở pháp lý cụ thể và riêng biệt nào? Điều này khiến cho các doanh nghiệp và cá nhân gặp một số khó khăn nhất định trong việc thực thi các quy định về bảo vệ dữ liệu cá nhân của chính mình và của người khác.
Để tiếp tục hoàn thiện quy định về bảo vệ dữ liệu cá nhân, Bộ Công an đang xây dựng dự thảo Luật Bảo vệ dữ liệu cá nhân. Dự thảo luật được mong đợi tạo ra một hệ thống quy định rõ ràng, đồng bộ hơn về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Dự thảo nhằm hướng đến xây dựng một hệ thống các quy định nhất quán và tập trung điều chỉnh về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân; quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu; hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu và bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân; thay vì được điều chỉnh bằng một văn bản dưới luật như hiện nay.
Nghị định 13 là văn bản dưới luật, hay dân học thuật gọi nôm na là “nghị định không đầu” - nghĩa là Nghị định 13 được ban hành mà trên nó không có một văn bản luật trực tiếp điều chỉnh về cùng vấn đề. Nếu Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua, Nghị định 13 có thể sẽ hết hiệu lực.
Thách thức cho doanh nghiệp khi “giải bài toán pháp lý” về bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân không chỉ là yêu cầu pháp lý mà còn là trách nhiệm quan trọng của các doanh nghiệp trong kỷ nguyên số. Mặc dù các quy định vẫn đang được hoàn thiện, đặc biệt là dự thảo Luật Bảo vệ dữ liệu cá nhân đang được xây dựng, doanh nghiệp cần tiếp tục lưu tâm đến các biện pháp bảo vệ dữ liệu cá nhân phù hợp và đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân đang có hiệu lực, hiện nay là Nghị định 13, để tránh rủi ro pháp lý.
Thứ nhất, bảo vệ dữ liệu cá nhân của người lao động. Trong môi trường doanh nghiệp, dữ liệu cá nhân liên quan nhiều đến thông tin của người lao động. Để đảm bảo tuân thủ pháp luật và giảm thiểu rủi ro, việc bảo vệ dữ liệu cá nhân cần được triển khai xuyên suốt từ khi tuyển dụng, khi kết thúc hợp đồng lao động và kể cả sau khi đã chấm dứt quan hệ lao động, làm việc. Một trong những bước quan trọng đầu tiên là thông báo rõ cho người lao động về việc thu thập và xử lý dữ liệu của họ, đồng thời yêu cầu sự đồng ý của người lao động một cách minh bạch, có thể bằng văn bản hoặc điện tử về việc đồng ý cho phép thu thập, xử lý dữ liệu của họ.
Sự đồng ý của người lao động không chỉ phải tự nguyện mà còn phải rõ ràng và có thể xác minh được. Đáng chú ý là, Nghị định 13 cho phép người lao động có quyền rút lại sự đồng ý này bất cứ lúc nào mà không ảnh hưởng đến tính hợp pháp của các hành động đã thực hiện trước đó. Doanh nghiệp cần thiết lập quy trình thu thập và xử lý dữ liệu rõ ràng, phân quyền cho các bộ phận có trách nhiệm, và thực hiện các biện pháp kiểm tra thường xuyên để tránh việc lạm dụng dữ liệu.
Bên cạnh đó, để tăng cường hiệu quả bảo vệ dữ liệu cá nhân, doanh nghiệp có thể duy trì mối quan hệ đối thoại định kỳ với tổ chức đại diện người lao động tại cơ sở. Điều này giúp đảm bảo quyền lợi của người lao động và xây dựng một môi trường bảo vệ dữ liệu hợp lý. Thêm vào đó, các quy định kỷ luật lao động cũng cần được tinh chỉnh tương thích với các quy định liên quan đến vi phạm bảo mật dữ liệu. Không chỉ ngăn ngừa vi phạm, các quy định này còn tạo ra cơ sở pháp lý để doanh nghiệp xử lý các vi phạm về dữ liệu cá nhân một cách công bằng và minh bạch.
Thứ hai, tuân thủ Nghị định 13 và hợp tác với cơ quan nhà nước để tránh rủi ro pháp lý và tài chính. Cụ thể, doanh nghiệp cần chỉ định bộ phận phụ trách bảo vệ dữ liệu cá nhân, đặc biệt nếu có xử lý các dữ liệu cá nhân nhạy cảm. Các chính sách bảo vệ dữ liệu cần được rà soát và xây dựng để áp dụng cho nhân sự, khách hàng và đối tác, đồng thời thực hiện các biện pháp kỹ thuật như phần mềm bảo vệ, tường lửa và phân quyền truy cập, quy trình tiếp nhận và xử lý các yêu cầu của các chủ thể này về dữ liệu cá nhân như chỉnh sửa hoặc xóa dữ liệu.
Một điểm không thể thiếu trong quá trình tuân thủ là việc lấy ý kiến đồng ý của khách hàng và đối tác trước khi xử lý dữ liệu cá nhân. Doanh nghiệp phải đảm bảo sự đồng ý được thể hiện rõ ràng và có thể xác minh, chẳng hạn qua văn bản, tin nhắn hoặc thiết lập chức năng trên trang web, phần mềm để họ xác nhận sự đồng ý. Trước khi xử lý, doanh nghiệp cũng cần thông báo cho các chủ thể này về mục đích, loại dữ liệu và các tổ chức liên quan tới việc xử lý.
Khi thực hiện việc xử lý dữ liệu, doanh nghiệp phải đảm bảo chỉ sử dụng dữ liệu trong phạm vi đã thông báo và nhận sự đồng ý từ khách hàng và đối tác. Dữ liệu cần được lưu trữ trong thời gian phù hợp với mục đích sử dụng và phải tuân thủ các yêu cầu hợp pháp từ các chủ thể này. Trường hợp xảy ra bất kỳ vi phạm quy định bảo vệ dữ liệu cá nhân như bị tấn công mạng hay rò rỉ dữ liệu, doanh nghiệp cần thông báo ngay cho Bộ Công an trong vòng 72 giờ.
