Doanh nghiệp có nghĩa vụ bảo vệ dữ liệu cá nhân từ 1/7/2023
Ngày 29/6, Hội truyền thông số Việt Nam (VDCA) kết hợp Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) tổ chức Tọa đàm nhằm cung cấp thông tin giúp doanh nghiệp chuẩn bị thực thi nghĩa vụ bảo vệ dữ liệu cá nhân.
Mới đây, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, có hiệu lực thi hành kể từ ngày 1/7/2023. Nghị định quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan tổ chức, cá nhân có liên quan.
Dữ liệu cá nhân (DLCN) là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. DLCN bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Theo Nghị định, các doanh nghiệp có hoạt động thu thập, lưu trữ, phân tích DLCN phải thực hiện các nghĩa vụ mới nhằm bảo vệ DLCN. Bộ Công an là cơ quan có thẩm quyền quản lý, kiểm tra, thanh tra hoạt động bảo vệ DLCN tại các doanh nghiệp kể từ ngày Nghị định có hiệu lực. Các nghĩa vụ mới này đòi hỏi doanh nghiệp Việt Nam lần đầu tiên phải chuẩn bị về nhân sự, quy trình tổ chức và kĩ thuật để bảo vệ DLCN.
Nếu vi phạm những nghĩa vụ trong Nghị định, doanh nghiệp có khả năng bị xử lý vi phạm hành chính. Vì vậy, ông Nguyễn Quang Đồng, Viện trưởng Viện nghiên cứu chính sách và phát triển Truyền thông (IPS) cho biết để tránh rủi ro, doanh nghiệp cần quan tâm 5 vấn đề sau:
- Doanh nghiệp cần ưu tiên rà soát các loại dữ liệu cá nhân đang thu thập, xử lý, đồng thời củng cố các quy trình và thủ tục nội bộ của đơn vị.
- Việc thực hiện các nghĩa vụ đòi hỏi thời gian, nguồn lực và có thể ảnh hưởng đến hoạt động vận hành bình thường của doanh nghiệp, đặc biệt là doanh nghiệp siêu nhỏ, nhỏ và vừa chưa có nhân sự và giải pháp công nghệ để quản trị dữ liệu nội bộ. Do đó, doanh nghiệp cần chú ý đến các nghĩa vụ được nêu tại điều 11, 12, 13, 14, 15, 16 và khoản 8 điều 9 của Nghị định.
- Đối với doanh nghiệp có hoạt động chuyển dữ liệu ra nước ngoài, cần lưu ý nghĩa vụ lập hồ sơ và đánh giá tác động. Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài cần có sự đồng ý của chủ thể, văn bản ràng buộc trách nhiệm giữa bên chuyển và bên nhận, chuyển bản sao dữ liệu cá nhân. Bộ Công an có thể kiểm tra và xử lý vi phạm nếu doanh nghiệp không đáp ứng đầy đủ nghĩa vụ khi chuyển dữ liệu.
- Bộ Công an cung cấp kết quả đánh giá công tác bảo vệ DLCN của cơ quan, tổ chức, cá nhân có liên quan trên Cổng thông tin quốc gia về bảo vệ DLCN. Có thể hiểu, Bộ Công an sẽ thực hiện đánh giá, xếp hạng mức độ tín nhiệm về bảo vệ DLCN tại Việt Nam. Nếu kết quả đánh giá thấp, hình ảnh, uy tín và hoạt động kinh doanh của doanh nghiệp có thể bị ảnh hưởng.
- Bộ Công an có trách nhiệm xây dựng tiêu chuẩn bảo vệ DLCN và các khuyến nghị áp dụng, do đó doanh nghiệp cần thường xuyên cập nhật thông tin về tiêu chuẩn bảo vệ DLCN để có thể chủ động thực thi các tiêu chuẩn và khuyến nghị, tự đánh giá mức độ an toàn hệ thống thông tin của doanh nghiệp mình so với mức độ tiêu chuẩn của Bộ Công an.
Viện trưởng Viện IPS khuyến nghị các doanh nghiệp xem xét công ty có đang thu thập các loại DLCN không? Nếu thu thập, vậy doanh nghiệp cần có một chính sách bảo vệ dữ liệu.
Ngoài ra, doanh nghiệp cần xác định đơn vị của mình là bên kiểm soát dữ liệu, bên xử lý dữ liệu hay thực hiện cả hai phần? Có bản đánh giá tác động của xử lý dữ liệu cá nhân chưa? Nếu công ty muốn đánh giá tác động thì cần nghiên cứu Nghị định. Tuy nhiên, các doanh nghiệp start-up và hoạt động chưa quá 2 năm không cần thực hiện công việc này.
Để tuân thủ tốt Nghị định, doanh nghiệp cần có chính sách và công bố chính sách về quyền riêng tư, điều khoản người dùng; Có quy định và quy trình nội bộ; Có cán bộ dữ liệu nếu xử lý dữ liệu nhạy cảm.
Trường hợp nhân viên trong công ty lưu trữ tên, số điện thoại, email của khách hàng, cần làm rõ thêm việc lưu trữ là do công ty quyết định hay là việc cá nhân của nhân viên. Nếu lưu trữ dữ liệu cá nhân phục vụ doanh nghiệp, do doanh nghiệp chịu trách nhiệm thì doanh nghiệp cần nói rõ với đối tác là thông tin của họ được lưu trữ để phục vụ liên lạc, trao đổi công việc. Tuy nhiên, dữ liệu đăng ký kinh doanh là dữ liệu công khai nên các đơn vị có quyền lấy mà không vi phạm Nghị định.
Bảo vệ dữ liệu là nghĩa vụ pháp lý, đồng thời cũng là uy tín kinh doanh. Vì vậy, các doanh nghiệp cần có chính sách về quyền riêng tư/ bảo vệ dữ liệu; cụ thể hóa vào điều khoản người dùng hoặc chính sách quyền riêng tư. Đồng thời, các công ty cần thu thập dữ liệu và giảm bớt dựa vào dữ liệu của bên thứ 3.