Doanh nghiệp nên quan tâm tới dự thảo quy định mới về bảo vệ dữ liệu cá nhân
Lê Đức Trung (*) - Hà Văn Minh Hoàng (**)
(TBKTSG) - Bộ Công an vừa trình Chính phủ bản dự thảo nghị định quy định về bảo vệ dữ liệu cá nhân. Quy định mới này, một khi được thông qua, sẽ có tác động mạnh đến các doanh nghiệp có hoạt động thu thập và xử lý dữ liệu của khách hàng.
Ngày càng nhiều doanh nghiệp quan tâm đến việc thu thập và xử lý dữ liệu cá nhân, nên nhiều quốc gia trên thế giới phải đưa ra các quy định pháp luật về bảo vệ dữ liệu cá nhân, trong đó quy định chung về bảo vệ dữ liệu (GDPR), do Liên minh châu Âu ban hành và có hiệu lực từ năm 2018, là một trong những văn bản có tầm ảnh hưởng nhất.
Tại Việt Nam, hệ thống văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân đã được đề cập trong hơn 10 văn bản quy phạm pháp luật khác nhau. Thực trạng này đã tạo ra khó khăn cho các chủ thể có liên quan trong việc nắm bắt và tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
Dự thảo quy định mới của Chính phủ về bảo vệ dữ liệu cá nhân do Bộ Công an soạn thảo và trình Chính phủ có thể giải quyết được bất cập nêu trên(1). Việc soạn thảo được sự ủng hộ mạnh mẽ từ chương trình “Tăng cường pháp luật và tư pháp tại Việt Nam” do Liên minh châu Âu hỗ trợ(2) và các quy định của GDPR cũng được tham khảo cho việc soạn thảo nội dung bản dự thảo này.
Quy định mới, khi được thông qua, sẽ có tác động mạnh đến các doanh nghiệp có hoạt động thu thập và xử lý dữ liệu của khách hàng (sau đây gọi tắt là doanh nghiệp xử lý dữ liệu), có thể kể đến một số vấn đề pháp lý nổi trội sau đây:
Áp dụng biện pháp kỹ thuật nhằm bảo vệ dữ liệu cá nhân
Doanh nghiệp xử lý dữ liệu phải xây dựng các quy chế, quy định nội bộ để đảm bảo các q uy định của pháp luật được tuân thủ trong đơn vị của mình cũng như các quy trình, hướng dẫn về việc tiếp nhận, trả lời các khiếu nại có thể phát sinh liên quan đến việc bảo vệ dữ liệu cá nhân. |
Khi quy định mới có hiệu lực, doanh nghiệp xử lý dữ liệu buộc phải triển khai các biện pháp quản lý, kỹ thuật, vật lý để bảo vệ dữ liệu cá nhân. Do quy định về các biện pháp kỹ thuật vẫn còn nhiều điểm chung, trước khi có quy định chi tiết hơn, doanh nghiệp xử lý dữ liệu nên ưu tiên áp dụng các tiêu chuẩn được công nhận rộng rãi trên thế giới.
Đơn cử, việc tuân thủ các biện pháp này có thể được chứng minh một phần thông qua hoạt động đánh giá tiêu chuẩn ISO 27001:2013 hoặc các tiêu chuẩn về bảo mật dữ liệu tương đương khác.
Ban hành các quy định nội bộ và thiết lập bộ phận bảo vệ dữ liệu cá nhân
Doanh nghiệp xử lý dữ liệu phải xây dựng các quy chế, quy định nội bộ để đảm bảo các quy định của pháp luật được tuân thủ trong đơn vị của mình cũng như các quy trình, hướng dẫn về việc tiếp nhận, trả lời các khiếu nại có thể phát sinh liên quan đến việc bảo vệ dữ liệu cá nhân.
Ngoài ra, doanh nghiệp xử lý dữ liệu còn phải thành lập phòng ban có chức năng bảo vệ dữ liệu cá nhân và cán bộ phụ trách bảo vệ dữ liệu cá nhân. Tham chiếu với yêu cầu tương tự trong GDPR, khi mỗi doanh nghiệp đều phải có cá nhân độc lập phụ trách về bảo mật thông tin, có thể thấy rằng đây là một yêu cầu tuân thủ hết sức cần thiết và tiệm cận với thông lệ quốc tế.
Tuy nhiên, dự thảo quy định mới vẫn cần có thêm văn bản hướng dẫn, chẳng hạn như cách thức vận hành của phòng ban có chức năng bảo vệ dữ liệu cá nhân, các điều kiện tối thiểu để bổ nhiệm và trách nhiệm của cán bộ phụ trách bảo vệ dữ liệu cá nhân trong doanh nghiệp để các doanh nghiệp xử lý dữ liệu đủ thời gian chuẩn bị và đáp ứng các yêu cầu tuân thủ này.
Việc xử lý dữ liệu cá nhân nhạy cảm phải được đăng ký
Dữ liệu cá nhân nhạy cảm cũng được định nghĩa tại dự thảo quy định mới, xoay quanh các dữ liệu cá nhân về tôn giáo, chính trị, tình trạng sức khỏe, di truyền, sinh trắc học, giới tính, tình dục, tội phạm, tài chính, vị trí địa lý, các mối quan hệ xã hội...
Việc xử lý các thông tin này phải được đăng ký trước khi doanh nghiệp tiến hành xử lý dữ liệu, ngoại trừ một số ít các trường hợp phục vụ cho mục đích hình sự, tư pháp, hoặc các mục đích khác của cơ quan nhà nước. Để thực hiện việc đăng ký, doanh nghiệp phải báo cáo đánh giá tác động khi xử lý dữ liệu cá nhân nhạy cảm và thời gian đăng ký sẽ kéo dài ít nhất 20 ngày.
Chuyển dữ liệu cá nhân qua biên giới
Hiện nay, một tỷ trọng không nhỏ doanh nghiệp cung cấp dịch vụ trong và ngoài nước đều thu thập dữ liệu cá nhân của công dân Việt Nam, tiến hành phân tích, xử lý để tạo ra dữ liệu mới phục vụ cho mục đích kinh tế. Một số doanh nghiệp lưu trữ dữ liệu này ở nước ngoài mà không đăng ký, không chấp hành quy định của pháp luật Việt Nam, dẫn tới tình trạng lộ, lọt hoặc các hành vi gây tổn hại tới vật chất, tinh thần của cơ quan, tổ chức, cá nhân.
Do vậy, dự thảo quy định mới của Chính phủ cũng yêu cầu việc chuyển dữ liệu cá nhân qua biên giới phải được chấp thuận của chủ thể dữ liệu và Ủy ban Bảo vệ dữ liệu cá nhân bằng văn bản, có văn bản chứng minh nơi dữ liệu được chuyển đến có luật bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn quy định này, và dữ liệu gốc phải được lưu trữ ở Việt Nam.
Có thể thấy rõ trong thời gian sắp tới, các doanh nghiệp chuyển dữ liệu cá nhân ra nước ngoài sẽ gặp nhiều rào cản pháp lý vì các điều kiện trên trong dự thảo vẫn còn mang tính khái quát.
Để giải quyết vấn đề trên, tham khảo GDPR, cơ quan quản lý chuyên ngành nên sớm hệ thống hóa và ban hành danh sách các quốc gia, lãnh thổ có quy định bảo vệ dữ liệu cá nhân và cách thức lưu trữ dữ liệu phù hợp theo quy định pháp luật Việt Nam để hỗ trợ các hoạt động chuyển dữ liệu qua biên giới trên cơ sở phù hợp quy định pháp luật và góp phần hỗ trợ tháo gỡ các vướng mắc liên quan cho các đối tượng có thực hiện hoạt động này.
Mặc dù vẫn còn một số điểm cần cụ thể hóa và hướng dẫn thi hành nhưng sự ra đời của dự thảo quy định mới của Chính phủ về bảo vệ dữ liệu cá nhân là một tín hiệu đáng mừng cho thấy bảo mật dữ liệu cá nhân đang được quan tâm đúng mức, tiệm cận với bối cảnh quốc tế và các quốc gia khác như hiện nay.
Qua đó, hướng đến việc xây dựng được các quy định phù hợp với tình hình thực tiễn, có tính dự báo về dữ liệu cá nhân, chủ dữ liệu cá nhân, quyền cơ bản của chủ dữ liệu cá nhân cũng như quy định rõ các khái niệm thống nhất công tác bảo vệ dữ liệu cá nhân, quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm, quy định về cấp phép chuyển giao dữ liệu cá nhân của công dân Việt Nam ra nước ngoài... Đồng thời, góp phần nâng cao nhận thức của chính các chủ sở hữu cá nhân về quyền lợi của mình và quy định trách nhiệm của các chủ thể khác về vấn đề bảo mật dữ liệu cá nhân tại Việt Nam.
(*) Thạc sĩ luật, trường Đại học Liverpool John Moores University
(**) Certified Data Protection Officer
(1) http://bocongan.gov.vn/van-ban/van-ban-du-thao/du-thao-nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-240.html#parentHorizontalTab1
(2) https://mic.gov.vn/mic_2020/Pages/TinTuc/145907/Nganh-Cong-an-va-tu-phap-phoi-hop-bao-ve-du-lieu-ca-nhan-tai-Viet-Nam.html