Nghị định 13 về bảo vệ dữ liệu cá nhân: Các thách thức tuân thủ và giải pháp khắc phục

Ông Robert Trọng Trần, Phó tổng giám đốc, Công ty TNHH Dịch vụ An toàn Thông tin EY Việt Nam và bà Trần Thị Cẩm Thạch, Chủ nhiệm Cấp cao, Công ty Luật TNHH EY Việt Nam

Ông Robert Trọng Trần, Phó tổng giám đốc, Công ty TNHH Dịch vụ An toàn Thông tin EY Việt Nam và bà Trần Thị Cẩm Thạch, Chủ nhiệm Cấp cao, Công ty Luật TNHH EY Việt Nam

Rủi ro lớn của việc không tuân thủ

Nghị định 13 được ban hành vào ngày 17 tháng 4 năm 2023 và chính thức có hiệu lực thi hành vào ngày 1 tháng 7 năm 2023, dành cho doanh nghiệp thời hạn 2,5 tháng để chuẩn bị cho việc tuân thủ. Các yêu cầu rất mới của Nghị định, cộng với những hạn chế về nguồn lực đã khiến các doanh nghiệp gặp nhiều thách thức trong việc tuân thủ các yêu cầu được đặt ra.

Cùng với Nghị định về xử phạt vi phạm hành chính trong lĩnh vực An ninh mạng dự kiến sẽ sớm được ban hành, việc Bộ Công an cũng đã đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân và triển khai hệ thống xếp hạng tín nhiệm cho hoạt động bảo vệ dữ liệu của doanh nghiệp cho thấy quyết tâm của cơ quan quản lý trong việc siết chặt các quy định về bảo vệ dữ liệu. Các động thái này nhấn mạnh tính cấp thiết của việc doanh nghiệp nên ưu tiên đánh giá tuân thủ cũng như triển khai các biện pháp thích hợp để thu hẹp những “khoảng vênh” hiện có.

Cần lưu ý rằng tuy mức xử phạt hành chính được đề xuất là khá cao, có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam của doanh nghiệp, thì thiệt hại thực sự của việc vi phạm các quy định về bảo vệ dữ liệu cá nhân vượt xa mức này. Đó là thiệt hại về tài chính và danh tiếng, giảm niềm tin của khách hàng, mất cơ hội kinh doanh và thậm chí là gián đoạn hoạt động. Do vậy, việc tăng cường đảm bảo an toàn dữ liệu cá nhân không nên chỉ dừng ở việc đảm bảo tuân thủ quy định. Nó cần được doanh nghiệp tích hợp vào các nỗ lực quản trị rủi ro ở tầm chiến lược, xem đây như một phần quan trọng trong việc duy trì và phát triển doanh nghiệp.

Dựa trên kinh nghiệm chuyên sâu khi làm việc với khách hàng và phân tích kỹ lưỡng nghị định, chúng tôi đã xác định được bảy thách thức chính mà doanh nghiệp cần hết sức lưu ý như đánh giá lại khả năng tuân thủ của mình.

Các thách thức chính khi tuân thủ Nghị định 13

1. Xác định chính xác bức tranh tổng thể các hoạt động xử lý dữ liệu cá nhân trong doanh nghiệp: Do các hoạt động xử lý dữ liệu ngày càng phức tạp, doanh nghiệp khó có thể xác định chính xác các loại dữ liệu cá nhân được xử lý, các hoạt động xử lý và quyền sở hữu ở từng giai đoạn của vòng đời dữ liệu.

2. Thu thập sự đồng ý và thông báo cho chủ thể dữ liệu: Nguyên tắc “minh bạch” trong Nghị định 13 yêu cầu chủ thể dữ liệu phải được thông báo và đồng ý trước khi dữ liệu của họ được thu thập. Sự đồng ý phải thỏa mãn các điều kiện về các nội dung bắt buộc phải thông báo, cách thức thu thập, sự tự nguyện của chủ thể dữ liệu, mục đích sử dụng... Do đó, doanh nghiệp có thể gặp khó khăn trong việc thiết kế biểu mẫu, thiết lập cách thức thu thập sự đồng ý phù hợp (như biểu mẫu thu thập trực tuyến, thu thập qua điện thoại, qua liên lạc trực tiếp hoặc biểu mẫu giấy), quản lý và lưu lại bằng chứng của các thông tin thu thập được.

3. Xây dựng hoặc phát triển khung về bảo vệ dữ liệu: Nghị định 13 yêu cầu các bên kiểm soát hoặc xử lý dữ liệu phải xây dựng các quy định về bảo vệ dữ liệu cá nhân, nhưng hiện ở Việt Nam chưa có các thông lệ tốt hoặc tiêu chuẩn chung mà doanh nghiệp có thể tham khảo. Hơn nữa, nhiều doanh nghiệp có thể thiếu các nguồn lực cần thiết để phát triển hoặc rà soát tất cả các chính sách nội bộ liên quan đến bảo vệ dữ liệu cá nhân.

4. Vai trò của nhân sự bảo vệ dữ liệu: Lý tưởng nhất, nhân sự bảo vệ dữ liệu là người không chỉ có hiểu biết toàn diện về bảo vệ dữ liệu cá nhân và hoạt động nội bộ của doanh nghiệp, mà còn có hiểu biết về các vấn đề pháp lý hoặc kỹ thuật liên quan đến lĩnh vực trên. Tuy nhiên, do Nghị định 13 tương đối mới, thị trường hiện đang thiếu hụt nguồn nhân lực có chuyên môn để đảm nhận vai trò này.

5. Mức độ nhận thức còn thấp của nhân sự trong doanh nghiệp: Người lao động vừa là chủ thể dữ liệu vừa là bên thay mặt cho doanh nghiệp trực tiếp xử lý dữ liệu. Tuy nhiên, nhiều người lao động còn thiếu nhận thức về quy định và khung bảo vệ dữ liệu cá nhân nội bộ. Khoảng cách nhận thức này làm tăng khả năng xảy ra các vi phạm vô ý.

6. Phối hợp với các bên thứ ba: Việc này đòi hỏi doanh nghiệp phải thương lượng lại và thiết lập các thỏa thuận về xử lý dữ liệu cá nhân với cả đối tác hiện tại và đối tác tiềm năng. Quá trình này có thể mất thời gian và ảnh hưởng tới cơ hội hợp tác kinh doanh, do nhiều doanh nghiệp chưa nắm rõ Nghị định 13 và có thể lưỡng lự trong việc ký bất kỳ thỏa thuận nào.

7. Hoàn thành và nộp báo báo cáo đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và báo cáo đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (CTIA): Do các biểu mẫu báo cáo cho DPIA và CTIA trong Quyết định số 4660/QĐ-BCA-A05 ngày 04 tháng 7 năm 2023 có nhiều mục thông tin cần điền, doanh nghiệp có thể gặp khó khăn trong việc điền chính xác các thông tin vào biểu mẫu. Hơn nữa, việc thu thập tài liệu hỗ trợ từ bên xử lý dữ liệu và bên thứ ba, chẳng hạn như giấy phép, quyết định bổ nhiệm nhân sự bảo vệ dữ liệu, có thể là một thách thức. Ngoài ra, việc các tài liệu bằng tiếng nước ngoài phải được dịch sang tiếng Việt, được công chứng hoặc hợp pháp hóa lãnh sự cũng có thể gây tốn kém và mất thời gian cho các doanh nghiệp.

Các giải pháp pháp lý và công nghệ để đảm bảo tuân thủ

Trước những thách thức trên, doanh nghiệp nên áp dụng cách tiếp cận toàn diện để tuân thủ các yêu cầu của Nghị định 13 bằng cách thúc đẩy văn hóa bảo vệ quyền riêng tư, tạm chia thành ba khía cạnh có liên kết chặt chẽ với nhau.

Tăng cường khung bảo vệ dữ liệu cá nhân: Để giải quyết các thách thức (2), (3), (6) và (7), doanh nghiệp nên tăng cường khung bảo vệ dữ liệu cá nhân của mình bằng cách kết hợp các chính sách, tài liệu gồm (i) Biểu mẫu thu thập sự đồng ý và thông báo xử lý dữ liệu; (ii) Thực hiện yêu cầu của chủ thể dữ liệu; (iii) Cơ chế quản lý dữ liệu nội bộ; (iv) Chính sách ứng phó với vi phạm dữ liệu; (v) Quản lý rủi ro bên thứ ba và hợp đồng; (vi) Lưu trữ và xóa dữ liệu; (vii) Đánh giá tác động xử lý dữ liệu và đánh giá tác động chuyển dữ liệu ra nước ngoài; và (viii) Cấu trúc quản trị nội bộ.

Về quản lý bên thứ ba, doanh nghiệp phải đảm bảo rằng các thỏa thuận về chuyển dữ liệu cá nhân giữa doanh nghiệp và các bên liên quan luôn được thực hiện trước khi chia sẻ dữ liệu.

Nhân sự: Để giải quyết các thách thức (4) và (5), cần tổ chức các buổi đào tạo, tập huấn định kỳ về Nghị định 13 và tất cả các khung bảo vệ dữ liệu cá nhân nội bộ. Việc đào tạo nhằm đảm bảo người lao động hiểu rõ về trách nhiệm của họ cũng như các quy trình xử lý trong những tình huống nhất định, ví dụ thu thập sự đồng ý, ứng phó với vi phạm dữ liệu, lưu trữ hoặc xóa dữ liệu.. Chúng tôi khuyến nghị rằng các khóa đào tạo, tập huấn này nên được thiết kế để nhắm đến các nhóm đối tượng khác nhau, ví dụ, các nhân sự bảo vệ dữ liệu và người lao động khác.

Khi chỉ định Bộ phận Bảo vệ dữ liệu cá nhân hoặc nhân sự bảo vệ dữ liệu, việc bổ nhiệm nên được lập thành văn bản, trong đó nêu rõ các quyền và nghĩa vụ. Quyền và nghĩa vụ có thể bao gồm nhưng không giới hạn ở việc chấp hành yêu cầu tuân thủ, xây dựng các chính sách, phát triển và cải tiến các quy trình, quản lý các mối quan hệ với chủ thể dữ liệu, tiến hành các thủ tục hành chính, nâng cao nhận thức và giám sát tuân thủ.

Công nghệ: Công nghệ đóng vai trò quan trọng trong việc tích hợp khung bảo vệ dữ liệu cá nhân vào hoạt động hàng ngày, nâng cao hiệu quả và tinh giản các quy trình. Giải pháp công nghệ có thể hỗ trợ đáng kể cho các tổ chức trong việc giải quyết các thách thức (1), (2), (3), (5) và đáp ứng các mục tiêu khác: xác định và phân loại dữ liệu cá nhân; thu thập và quản lý sự đồng ý; bảo vệ dữ liệu khỏi bị truy cập trái phép; hạn chế tiết lộ dữ liệu cá nhân; mã hóa dữ liệu nhạy cảm; theo dõi và ứng phó với các vi phạm dữ liệu; quản lý việc lưu giữ dữ liệu; giảm thiểu rủi ro về quyền riêng tư và hướng dẫn cho người lao động về các thông lệ tốt nhất và yêu cầu về quyền riêng tư dữ liệu.

Tóm lại, các doanh nghiệp nên tiến hành đánh giá toàn diện hiện trạng xử lý dữ liệu cá nhân của họ. Những đánh giá này là nền tảng quan trọng giúp doanh nghiệp xác định những khó khăn, thiếu sót và rủi ro tiềm ẩn trong việc không đảm bảo tuân thủ các quy định mới.

Những phân tích chuyên sâu rút ra từ những đánh giá này sẽ giúp doanh nghiệp có thể đề ra và thực hiện các giải pháp khắc phục bằng cách huy động nguồn lực nội bộ, tham khảo ý kiến các cơ quan hữu quan cũng như tìm kiếm sự hỗ trợ từ các chuyên gia tư vấn bên ngoài. Những khuyến nghị về các cải thiện về khung chính sách, nhân sự và công nghệ, đều nhằm mục đích giảm thiểu các rủi ro được xác định ở mọi giai đoạn trong vòng đời của dữ liệu.

(Quan điểm được phản ánh trong bài viết này là của các tác giả và không nhất thiết phản ánh quan điểm của tổ chức EY toàn cầu hoặc các công ty thành viên).

Robert Trọng Trần - Trần Thị Cẩm Thạch