intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Thiết lập hành lang tuân thủ bảo vệ dữ liệu cá nhân trong hoạt động doanh nghiệp – Từ khung pháp lý hiện hành đến kiến nghị hoàn thiện trong tương lai

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:18

Thêm vào BST
Báo xấu
3
lượt xem 2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong phạm vi của bài viết "Thiết lập hành lang tuân thủ bảo vệ dữ liệu cá nhân trong hoạt động doanh nghiệp – Từ khung pháp lý hiện hành đến kiến nghị hoàn thiện trong tương lai", nhóm tác giả sẽ phân tích các vấn đề sau: (1) Thông lệ quốc tế về bảo vệ dữ liệu cá nhân; (2) Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; (3) Thực trạng thực thi pháp luật về bảo vệ dữ liệu cá nhân tại doanh nghiệp Việt Nam và đề xuất kiến nghị. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Thiết lập hành lang tuân thủ bảo vệ dữ liệu cá nhân trong hoạt động doanh nghiệp – Từ khung pháp lý hiện hành đến kiến nghị hoàn thiện trong tương lai

  1. THIẾT LẬP HÀNH LANG TUÂN THỦ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG DOANH NGHIỆP – TỪ KHUNG PHÁP LÝ HIỆN HÀNH ĐẾN KIẾN NGHỊ HOÀN THIỆN TRONG TƯƠNG LAI LS. Nguyễn Hữu Lộc, Ngân hàng TNHH MTV Shinhan Việt Nam LS. Huỳnh Thị Kim Thoa, Công ty Luật TNHH Sophia Tóm tắt. Mặc dù Nghị định số 13/2023/NĐ-CP đã có những bước tiến mới trong việc điều chỉnh các vấn đề liên quan đến bảo vệ dữ liệu cá nhân, song quy định này vẫn còn khá mới mẻ và gây không ít khó khăn trong thực tiễn thi hành, nhất là đối với các doanh nghiệp – chủ thể thực hiện việc kiểm soát và/hoặc xử lý dữ liệu cá nhân. Xuất phát từ vấn đề này, trong phạm vi của bài viết này, nhóm tác giả sẽ phân tích các vấn đề sau: (1) Thông lệ quốc tế về bảo vệ dữ liệu cá nhân; (2) Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân; (3) Thực trạng thực thi pháp luật về bảo vệ dữ liệu cá nhân tại doanh nghiệp Việt Nam và đề xuất kiến nghị. Từ khóa: dữ liệu cá nhân, giao dịch điện tử, môi trường số, quyền riêng tư, thông tin cá nhân Abstract. Although Decree No.13/2023/ND-CP has outstanding steps in regulating issues related to personal data protection, this regulation is still quite new and causes many difficulties in implementation, especially for enterprises - entities that act as personal data controllers and/or processors. From this issue, within the scope of this article, the authors will analyze the following issues: (1) International practices on personal data protection; (2) Current status of Vietnamese laws on personal data protection; (3) Practical application of regulations on personal data protection at Vietnamese enterprises and making recommendations. Keywords: personal data, electronic transaction, digital environment, privacy rights, personal information Đặt vấn đề: 250
  2. Trong thời đại toàn cầu hoá, thông tin được xem như là huyết mạch của các doanh nghiệp và cả quốc gia. Một khối dữ liệu lớn từ đời sống xã hội, đặc biệt là dữ liệu cá nhân đã và đang được các tổ chức, cá nhân thu thập, phân tích, sử dụng cho các mục đích hợp pháp hoặc bất hợp pháp. Bên cạnh đó, đứng trước áp lực từ sự phát triển mạnh mẽ của làn sóng hội nhập quốc tế, xu hướng chuyển đổi số, tiến bộ công nghệ ở hầu hết các lĩnh vực của đời sống xã hội và hàng loạt sự kiện rò rỉ dữ liệu cá nhân qua các vụ đánh cắp, rao bán ở quy mô quốc gia, toàn cầu xảy ra trong thời gian vừa qua, việc xây dựng hành lang pháp lý chuẩn mực để bảo vệ dữ liệu cá nhân là một yêu cầu cấp thiết được đặt ra cho Việt Nam trong thời đại số. Hiện nay, Nghị định số 13/2013/NĐ-CP ngày 17/04/2023 của Chính phủ có hiệu lực thi hành từ ngày 01/07/2023 (“Nghị định 13”) là văn bản quy phạm pháp luật đầu tiên và đặt nền tảng cho các vấn đề điều chỉnh về bảo vệ dữ liệu cá nhân ở Việt Nam. Đây được xem là bước nội luật hóa pháp luật quốc tế và đáp ứng yêu cầu của thực tiễn xã hội cần thiết phải có những quy định tiến bộ, mang tính ứng dụng cao trong vấn đề bảo vệ hiệu quả dữ liệu cá nhân. Tuy nhiên, một số quy định của Nghị định 13 còn gây khó khăn, lúng túng cho các doanh nghiệp, đặc biệt là doanh nghiệp có hoạt động xử lý dữ liệu rộng lớn và phức tạp, ví dụ như: mạng xã hội, lưu trữ dữ liệu, tài chính – ngân hàng, trung gian thanh toán, ví điện tử, siêu thị, doanh nghiệp bán lẻ, y tế, giáo dục, hàng không,… Do đó, cần thiết phải có những nghiên cứu, phản biện và đóng góp ý kiến pháp lý về vấn đề này, từ đó đảm bảo hiệu lực thực thi và tính tuân thủ của các doanh nghiệp trong vấn đề bảo vệ dữ liệu cá nhân cũng như hướng đến mục tiêu hoàn thiện các quy định pháp luật hiện hành. Thông lệ quốc tế về bảo vệ dữ liệu cá nhân Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (“GDPR”) được ban hành vào năm 2016 là luật bảo mật và quyền riêng tư nghiêm ngặt nhất trên thế giới. Mặc dù được Liên minh châu Âu (EU) soạn thảo và thông qua nhưng quy định này áp đặt nghĩa vụ thực thi đối với các cá nhân, tổ chức ở mọi nơi, miễn là mục tiêu hoặc thu thập dữ liệu được hướng đến hay liên quan đến quốc gia thành viên của EU. Quy định này có hiệu lực kể từ ngày 25 tháng 5 năm 2018. Phạm vi điều chỉnh và đối tượng áp dụng GDPR (General Data Protection Regulation) áp dụng cho việc xử lý dữ liệu cá nhân trong bối cảnh hoạt động của cơ quan kiểm soát hoặc đơn vị xử lý trong EU, bất kể việc xử lý có diễn ra trong EU hay không. Ngoài ra, quy định này áp dụng cho việc xử lý dữ liệu cá nhân của các 251
  3. chủ thể dữ liệu là công dân EU bất kể bên kiểm soát hoặc bên xử lý dữ liệu, thậm chí là bên thứ ba không được thành lập trong EU miễn là các hoạt động xử lý có liên quan đến: (i) việc cung cấp hàng hóa hoặc dịch vụ, bất kể chủ thể dữ liệu có cần phải thanh toán hay không, cho các chủ thể dữ liệu đó trong EU; hoặc (ii) giám sát hành vi của chủ thể dữ liệu trong chừng mực hành vi của chủ thể dữ liệu diễn ra trong EU. Như vậy, phạm vi điều chỉnh ngoài lãnh thổ của GDPR có thể được áp dụng cho các tổ chức và cá nhân có liên quan ở Việt Nam. Nếu một tổ chức và cá nhân có liên quan ở Việt Nam thu thập dữ liệu của các chủ thể dữ liệu ở EU, dù với tư cách là bên xử lý dữ liệu, bên kiểm soát dữ liệu hay bên thứ ba đều có nghĩa vụ tuân thủ theo các quy định của GPDR trong quá trình xử lý dữ liệu. Đối tượng áp dụng của GDPR bao gồm: (i) chủ thể dữ liệu; (ii) bên kiểm soát dữ liệu; (iii) bên xử lý dữ liệu và (iii) bên thứ ba. Thứ nhất, chủ thể dữ liệu (data subject): Mặc dù GDPR không trực tiếp định nghĩa thế nào là chủ thể dữ liệu nhưng có thể xác định chủ thể này thông qua nội hàm của khái niệm “dữ liệu cá nhân” nêu tại khoản 1 Điều 4 GDPR như sau: “Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể nhận dạng được…”. Có thể hiểu, khi xác định được những thông tin nào là dữ liệu cá nhân của đối tượng thì có thể suy ra được chủ thể dữ liệu tương ứng là đối tượng đó. Thứ hai, bên kiểm soát dữ liệu (controller): Khoản 7 Điều 4 GDPR giải thích bên kiểm soát dữ liệu có nghĩa là “bất kỳ cá nhân, pháp nhân, cơ quan chức năng, tổ chức hoặc cơ quan khác có thể tự mình hoặc cùng với chủ thể khác để quyết định mục đích và phương thức xử lý dữ liệu cá nhân; trong trường hợp mục đích và phương thức xử lý đó được xác định theo luật của Liên minh hoặc quốc gia thành viên thì bên kiểm soát hoặc tiêu chí cụ thể để đề cử có thể do luật của Liên minh hoặc Quốc gia thành viên quy định”. Quy định này cho thấy bên kiểm soát dữ liệu đóng vai trò quyết định những vấn đề chính yếu nhất tác động đến tính hợp pháp của hoạt động xử lý dữ liệu cá nhân là mục đích và phương thức xử lý dữ liệu. Thứ ba, bên xử lý dữ liệu (processor) là “bất kỳ cá nhân, pháp nhân, cơ quan chức năng, tổ chức hoặc cơ quan khác xử lý dữ liệu cá nhân trên cơ sở đại diện cho bên kiểm soát dữ liệu” (Khoản 8 Điều 4 GDPR). So với bên kiểm soát dữ liệu, bên xử lý dữ liệu chịu trách nhiệm thực hiện các công việc xử lý dữ liệu trên thực tế nhưng quyền xử lý này về bản chất thuộc về bên kiểm soát dữ liệu. Thứ tư, bên thứ ba (third party) là bên gián tiếp tham gia vào quá trình xử lý dữ liệu - “bất kỳ cá nhân, pháp nhân, cơ quan chức năng, tổ chức hoặc cơ quan nào không phải là chủ thể dữ 252
  4. liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu nhưng có quyền xử lý dữ liệu cá nhân theo sự ủy quyền trực tiếp của bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu” (Khoản 10 Điều 4 GDPR). Sự đồng ý của chủ thể dữ liệu Sự đồng ý phải được đưa ra bằng một hành động khẳng định rõ ràng, thiết lập một dấu hiệu rõ ràng, cụ thể, được cung cấp thông tin và tự do về sự đồng ý của chủ thể dữ liệu đối với việc xử lý dữ liệu cá nhân liên quan đến họ, chẳng hạn như bằng một tuyên bố bằng văn bản, bao gồm cả bằng phương tiện điện tử, hoặc một tuyên bố bằng miệng. Điều này có thể bao gồm việc đánh dấu vào ô khi truy cập trang web internet, chọn cài đặt kỹ thuật cho các dịch vụ xã hội thông tin hoặc một tuyên bố hoặc hành vi khác chỉ rõ trong bối cảnh này chủ thể dữ liệu chấp nhận việc xử lý dữ liệu cá nhân của họ được đề xuất. Do đó, sự im lặng, đánh dấu trước hoặc tương tự không được coi là sự đồng ý. Sự đồng ý phải bao gồm tất cả các hoạt động xử lý được thực hiện cho cùng một hoặc nhiều mục đích. Khi quá trình xử lý có nhiều mục đích, cần có sự đồng ý cho tất cả các mục đích đó. Nếu phải đưa ra sự đồng ý của chủ thể dữ liệu sau một yêu cầu bằng phương tiện điện tử thì yêu cầu đó phải rõ ràng, ngắn gọn và không gây gián đoạn một cách không cần thiết đối với việc sử dụng dịch vụ được cung cấp. GDPR bổ sung thêm trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, ví dụ như: (i) chủ thể dữ liệu đã có thông tin; (ii) việc cung cấp thông tin đó được chứng minh là không thể hoặc sẽ đòi hỏi nỗ lực không cân xứng, đặc biệt là để xử lý cho mục đích lưu trữ vì lợi ích công cộng, mục đích nghiên cứu khoa học hoặc lịch sử hoặc mục đích thống kê; (iii) việc thu thập hoặc tiết lộ được quy định rõ ràng bởi luật của Liên minh hoặc Quốc gia thành viên mà bên kiểm soát phải tuân theo và cung cấp các biện pháp thích hợp để bảo vệ lợi ích hợp pháp của chủ thể dữ liệu; hoặc trong đó dữ liệu cá nhân phải được giữ bí mật theo nghĩa vụ bảo mật nghề nghiệp được quy định bởi luật của Liên minh hoặc Quốc gia thành viên, bao gồm nghĩa vụ giữ bí mật theo luật định. Đánh giá tác động xử lý/chuyển giao dữ liệu cá nhân GDPR chỉ yêu cầu đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp sử dụng công nghệ mới và xem xét đến bản chất, phạm vi, hoàn cảnh, mục đích của việc xử lý dữ liệu có khả năng dẫn đến rủi ro cao về quyền và sự tự do của cá nhân. Thông báo vi phạm Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, bên kiểm soát sẽ không chậm trễ quá mức và nếu khả thi, không muộn hơn 72 giờ sau khi phát hiện ra hành vi vi phạm dữ liệu cá nhân 253
  5. đó, hãy thông báo về hành vi vi phạm dữ liệu cá nhân đó cho cơ quan giám sát có thẩm quyền, trừ khi vi phạm dữ liệu cá nhân khó có thể dẫn đến rủi ro đối với các quyền và tự do của thể nhân. Trường hợp không thông báo cho cơ quan giám sát trong vòng 72 giờ thì phải kèm theo lý do chậm trễ. Luật Bảo vệ thông tin cá nhân của Cộng hòa Nhân dân Trung Hoa Luật Bảo vệ thông tin cá nhân của Cộng hòa Nhân dân Trung Hoa (“PIPL”) được thông qua tại cuộc họp lần thứ 30 của Ủy ban Thường vụ Đại hội Đại biểu Nhân dân Toàn quốc lần thứ 13 của Cộng hòa Nhân dân Trung Hoa vào ngày 20 tháng 8 năm 2021 và có hiệu lực kể từ ngày 01 tháng 11 năm 2021. So với GDPR, quy định của PIPL dường như đặt ra các nghĩa vụ nghiêm ngặt hơn, nhất là việc dịch chuyển dữ liệu cá nhân qua biên giới quốc gia. Phạm vi điều chỉnh và đối tượng áp dụng PIPL (Personal Information Protection Law of the Republic of China) được áp dụng cho việc xử lý thông tin cá nhân của thể nhân trong lãnh thổ Cộng hòa Nhân dân Trung Hoa. Luật này cũng áp dụng cho các hoạt động được thực hiện bên ngoài lãnh thổ Cộng hòa Nhân dân Trung Hoa để xử lý thông tin cá nhân của thể nhân trong lãnh thổ Cộng hòa Nhân dân Trung Hoa trong bất kỳ trường hợp nào sau đây: (i) khi mục đích là cung cấp sản phẩm hoặc dịch vụ cho các thể nhân trong nước; (ii) khi mục đích là phân tích và đánh giá hoạt động của các thể nhân trong nước; (iii) các trường hợp khác theo quy định của pháp luật và các quy định hành chính. Khi đó, các tổ chức nước ngoài phải thành lập các cơ quan được chỉ định hoặc cử đại diện có trụ sở tại Trung Quốc để chịu trách nhiệm về các vấn đề liên quan đến dữ liệu cá nhân. Khác với GDPR, PIPL không đề cập trực tiếp đến khái niệm “bên kiểm soát dữ liệu” cũng như “chủ thể dữ liệu”. PIPL chỉ đưa ra định nghĩa “bên xử lý dữ liệu” tại Điều 9. Theo đó, bên xử lý dữ liệu cá nhân phải chịu trách nhiệm xử lý dữ liệu và thực hiện các biện pháp cần thiết để đảm bảo tính bảo mật của thông tin cá nhân được xử lý. Sự đồng ý của chủ thể dữ liệu Theo Điều 15 PIPL, trong trường hợp việc xử lý thông tin cá nhân dựa trên sự đồng ý của cá nhân liên quan thì cá nhân đó có quyền rút lại sự đồng ý của mình. Bên xử lý dữ liệu cá nhân phải cung cấp các phương tiện thuận tiện để rút lại sự đồng ý. Đánh giá tác động xử lý/chuyển giao dữ liệu cá nhân 254
  6. Bên xử lý thông tin cá nhân phải tiến hành đánh giá trước tác động bảo vệ thông tin cá nhân trong các trường hợp sau và lưu giữ hồ sơ xử lý (Điều 55 PIPL): (i) xử lý thông tin cá nhân nhạy cảm; (ii) sử dụng thông tin cá nhân để đưa ra quyết định tự động; (iii) ủy thác cho người khác xử lý thông tin cá nhân, cung cấp thông tin cá nhân cho bên xử lý dữ liệu khác và tiết lộ thông tin cá nhân; (iv) cung cấp thông tin cá nhân cho bên nước ngoài; và (v) các hoạt động xử lý thông tin cá nhân khác có tác động đáng kể đến quyền và lợi ích của cá nhân. Thông báo vi phạm PIPL không quy định về thời hạn phải thông báo vi phạm. PIPL quy định phải thông báo vi phạm trong trường hợp vi phạm hoặc mất mát dữ liệu cá nhân (Điều 57 PIPL). Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân Nghị định 13 ra đời được xem là bước tiến lớn đầu tiên trong mục tiêu hoàn thiện khung pháp lý điều chỉnh vấn đề bảo vệ dữ liệu cá nhân ở Việt Nam. Lần đầu tiên nước ta có văn bản quy phạm pháp luật ghi nhận quyền được bảo vệ dữ liệu cá nhân ở mức độ chặt chẽ và có tính thực thi, giúp định hình cụ thể về dữ liệu cá nhân cũng như đề ra các quy phạm mang tính nguyên tắc, nền tảng về hoạt động xử lý dữ liệu cá nhân. Trước khi Nghị định 13 được ban hành, theo thống kê cho thấy “Việt Nam có khoảng 65 văn bản quy phạm pháp luật được rà soát có liên quan đến dữ liệu cá nhân như Hiến pháp năm 2013; Bộ luật Dân sự năm 2015; Bộ luật Hình sự năm 2015 sửa đổi, bổ sung năm 2017; Luật Tiếp cận thông tin năm 2016; Luật An toàn thông tin năm 2015; Luật An ninh mạng năm 2018; Luật Xử lý vi phạm hành chính năm 2012; Luật Giao dịch điện tử năm 2005…”. Các văn bản quy phạm pháp luật này đều hướng tới mục đích bảo vệ những giá trị cơ bản, cốt lõi của con người – quyền nhân thân nhưng chủ yếu thể hiện nội hàm của “quyền riêng tư” hay “bảo vệ quyền riêng tư” qua việc sử dụng các thuật ngữ “bí mật cá nhân, bí mật gia đình và đời sống riêng tư”, “thông tin cá nhân”, “thông tin riêng tư”, “bí mật thông tin”... Tuy nhiên, vấn đề “dữ liệu cá nhân” cũng như “bảo vệ dữ liệu cá nhân” cần thiết phải được ghi nhận bằng văn bản quy phạm chuyên biệt mang tính cụ thể hơn quyền riêng tư vì xét về bản chất “cách mạng công nghệ đã đe dọa đến quyền tự định đoạt của cá nhân theo một cách mà quyền riêng tư không thể trở thành công cụ giải quyết” và hơn hết, cần thiết phải có một văn bản quy phạm pháp luật mang tính thực thi cao, thống nhất quy định về khái niệm và nội hàm dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. 255
  7. Lưu đồ mô tả toàn bộ quy trình về xử lý dữ liệu theo Nghị định 13 Những điểm nổi bật của Nghị định 13 trước hết phải kể đến đó là chính thức định nghĩa thuật ngữ “dữ liệu cá nhân” tại khoản 1 Điều 2 như sau: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm”. Có thể thấy, khái niệm này mang tính thống nhất với xu hướng quốc tế, nhất là quy định của GDPR khi căn cứ vào tính liên quan của dữ liệu để xác định, nhận dạng một cá nhân hơn là chỉ tập trung vào chức năng định danh của dữ liệu – đã được ghi nhận trong các văn bản pháp luật khác nhau như khoản 5 Điều 4 Luật 256
  8. Giao dịch điện tử năm 2005, khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015, khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước và khoản 16 Điều 3 Nghị định số 72/2013/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng. Bên cạnh đó, các định nghĩa về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm cũng được đề cập tại khoản 3 và khoản 4 Điều 2 của Nghị định 13, giúp xác định rõ hơn phạm vi và đối tượng bảo vệ đối với dữ liệu cá nhân. Một điểm đáng lưu ý khác là Điều 3 Nghị định 13 đã đặt ra các nguyên tắc bảo vệ dữ liệu cá nhân đồng bộ, hài hòa với các nguyên tắc xử lý dữ liệu của GDPR, làm cơ sở định hướng để thực thi các vấn đề bảo vệ dữ liệu cá nhân được thuận lợi và chặt chẽ hơn. Ngoài ra, Nghị định 13 cũng đề cao điều kiện tiên quyết về việc tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu về loại dữ liệu cá nhân được xử lý; mục đích xử lý dữ liệu cá nhân; tổ chức, cá nhân được xử lý dữ liệu cá nhân và các quyền, nghĩa vụ của chủ thể dữ liệu. Quyền của chủ thể dữ liệu cũng được quy định cụ thể để làm căn cứ thực hiện hoạt động bảo vệ dữ liệu cá nhân, bao gồm: (i) quyền được biết; (ii) quyền đồng ý; (iii) quyền truy cập; (iv) quyền rút lại sự đồng ý; (v) quyền xóa dữ liệu; (vi) quyền hạn chế xử lý dữ liệu; (vii) quyền cung cấp dữ liệu; (viii) quyền phản đối xử lý dữ liệu; (ix) quyền khiếu nại, tố cáo, khởi kiện; (x) quyền yêu cầu bồi thường thiệt hại và (xi) quyền tự bảo vệ. Nghị định 13 loại trừ sự đồng ý ngầm định của chủ thể dữ liệu: “Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý” (Khoản 6 Điều 11) và yêu cầu sự đồng ý này phải được thể hiện một cách rõ ràng, cụ thể ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Tương tự với pháp luật quốc tế, pháp luật Việt Nam cũng cho phép chủ thể dữ liệu có thể rút lại sự đồng ý bất cứ lúc nào nhưng “không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý” (Khoản 1 Điều 12 Nghị định 13). Điều này giúp bảo vệ dữ liệu cá nhân một cách tối đa và hiệu quả khi chủ thể dữ liệu nhận thấy có bất kỳ mối đe dọa hoặc hành vi xâm phạm nào đối với dữ liệu cá nhân của mình nhưng cũng bảo vệ được quyền và lợi ích hợp pháp của bên kiểm soát hoặc bên xử lý dữ liệu miễn là quá trình xử lý dữ liệu cá nhân được diễn ra hợp pháp. Đối với vấn đề chuyển dữ liệu cá nhân qua biên giới, Việt Nam tiếp cận theo hướng tạo điều kiện “tự do dữ liệu” nhưng Bên chuyển dữ liệu ra nước ngoài phải giải trình đáp ứng đầy đủ các điều kiện dưới sự phê duyệt của cơ quan có thẩm quyền – Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao). Cách tiếp cận này có phần tương đồng với mô hình quản lý theo Luật An ninh mạng của Trung Quốc và có phần nghiêm ngặt hơn quy định GDPR ở chỗ, theo GDPR việc truyền dữ liệu sang quốc gia khác chỉ được phép thực hiện khi quốc gia đó đảm bảo “mức độ bảo vệ thích hợp” theo luật nội bộ hoặc các cam kết quốc tế của mình, 257
  9. nếu không có sự đảm bảo về mức độ bảo vệ thích hợp, quốc gia cho phép chuyển dữ liệu sẽ ký kết với người kiểm soát dữ liệu một thỏa thuận bao gồm các đảm bảo liên quan đến việc bảo vệ quyền riêng tư và quyền tự do cơ bản của những thể nhân này. Ngoài ra cũng cần lưu ý trong trường hợp chuyển dữ liệu cá nhân ra nước ngoài, tuy Nghị định 13 không yêu cầu dữ liệu cá nhân phải được lưu trữ tại Việt Nam nhưng Nghị định số 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng đã bắt buộc nội địa hóa dữ liệu đối với việc chuyển dữ liệu cá nhân ra nước ngoài. Thực trạng thực thi pháp luật về bảo vệ dữ liệu cá nhân tại doanh nghiệp Việt Nam và đề xuất giải pháp Thực trạng thực thi quy định về bảo vệ dữ liệu cá nhân tại các doanh nghiệp Với đối tác Theo yêu cầu của Nghị định 13, trước khi tiến hành hoạt động xử lý dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được yêu cầu phải thông báo xử lý dữ liệu cá nhân và được sự đồng ý của chủ thể dữ liệu. Theo quan điểm của Bộ Công an tại Hội nghị phổ biến, hướng dẫn Nghị định 13 ngày 07/6/2023, đối với việc thông báo dữ liệu đã được chủ thể dữ liệu cung cấp trước ngày 01/7/2023, Nghị định 13 đã quy định rõ về thời điểm có hiệu lực từ 01/7/2023, chỉ áp dụng loại trừ quy định về sự đồng ý, tức là dữ liệu đã thu thập đúng quy định của pháp luật thì không cần xin ý kiến lại nhằm đạt được sự đồng ý của chủ thể dữ liệu. Các nghĩa vụ khác vẫn thực hiện bình thường nếu như tiếp tục xử lý dữ liệu cá nhân của của chủ thể dữ liệu đã thu thập. Quy định này dẫn đến khó khăn cho việc xử lý dữ liệu của các đối tác đã thiết lập quan hệ hợp tác với các Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trước ngày 01/7/2023 trong việc thực hiện trách nhiệm thông báo đến chủ thể dữ liệu đã thiết lập mối quan hệ với doanh nghiệp trước ngày 01/7/2023. Thực tế hiện nay cho thấy Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập sự đồng ý của chủ thể dữ liệu thông qua các hình thức ký tay, website, app, dấu hiệu sinh trắc học (ví dụ: vân tay, giọng nói,…). Tuy nhiên, đối với tổ chức, hiện nay, tình trạng áp dụng thu thập sự đồng ý của chủ thể dữ liệu là cá nhân có liên quan đến tổ chức phát sinh 03 thực trạng áp dụng như sau: (i) thu thập sự đồng ý của tất cả các cá nhân có liên quan của tổ chức; (ii) thu thập sự đồng ý của người đại diện theo pháp luật của tổ chức và yêu cầu người này phải thu thập sự đồng ý của những người còn lại; (iii) thu thập sự đồng ý của tổ chức và yêu cầu tổ chức phải thu thập sự đồng ý của những người còn lại. 258
  10. Mặc dù thu thập sự đồng ý của tất cả các cá nhân có liên quan của tổ chức là phương thức phù hợp nhất nhưng phương thức này dẫn đến một số khó khăn và vướng mắc như sau: (i) doanh nghiệp rất khó để xác định những cá nhân nào của Đối tác là cá nhân được doanh nghiệp tiến hành xử lý dữ liệu theo các thỏa thuận, điều khoản và điều kiện chi phối mối quan hệ giữa Khách hàng/Đối tác với doanh nghiệp; (ii) doanh nghiệp rất khó để tiếp cận các chủ thể dữ liệu vì doanh nghiệp thực hiện ký kết hợp đồng với Khách hàng/Đối tác chứ không phải thực hiện ký kết hợp đồng với chủ thể dữ liệu và thậm chí nhiều trường hợp chủ thể dữ liệu là các nhà đầu tư, các cổ đông, chủ sở hữu hưởng lợi của Đối tác thuộc nhóm đối tượng mà Nghị định 13 yêu cầu thu thập sự đồng ý về việc xử lý dữ liệu nhưng ở ngoài lãnh thổ Việt Nam; (iii) doanh nghiệp rất khó để giám sát và theo dõi danh sách chủ thể dữ liệu được doanh nghiệp xử lý khi có phát sinh sự thay đổi. Trên thực tế, thông tin liên hệ doanh nghiệp thường đề cập đến thông tin về một cá nhân có liên quan đến hoạt động kinh doanh như tên, chức vụ, số điện thoại, email, v.v. Đây đều là những thông tin được sử dụng rất phổ biến trong hoạt động kinh doanh của mọi doanh nghiệp. Theo ý kiến của nhóm tác giả, doanh nghiệp cần phải được sự đồng ý của người lao động để tiết lộ thông tin liên hệ kinh doanh của họ trong hợp đồng hoặc các hoạt động kinh doanh khác để tuân thủ yêu cầu tại Nghị định 13 và cần ràng buộc kỹ nội dung này trong các hợp đồng. Không thể phủ nhận rằng Nghị định 13 định hướng doanh nghiệp đề cao và tôn trọng quyền riêng tư, bảo mật và an toàn thông tin cá nhân. Đồng thời, thiết lập cơ chế để mỗi doanh nghiệp luôn nỗ lực bảo vệ thông tin cá nhân, quyền riêng tư của các chủ thể dữ liệu và tuân thủ quy định pháp luật Việt Nam thông qua những biện pháp bảo vệ dữ liệu cá nhân đáp ứng và phù hợp với các tiêu chuẩn quốc tế. Phụ thuộc vào vai trò của doanh nghiệp trong từng tình huống cụ thể là (i) Bên Kiểm soát dữ liệu cá nhân; (ii) Bên Xử lý dữ liệu cá nhân; hoặc (iii) Bên Kiểm soát và xử lý dữ liệu, doanh nghiệp; hoặc (iv) Bên thứ ba, doanh nghiệp sẽ thực hiện các quyền hạn và trách nhiệm tương ứng theo yêu cầu cụ thể mà Nghị định 13 đặt ra đối với từng vai trò cụ thể trong hoạt động xử lý dữ liệu. Như đã nêu, Nghị định 13 cho phép chủ thể dữ liệu có các quyền sau đây: (i) Quyền được biết; (ii) Quyền đồng ý; (iii) Quyền truy cập; (iv) Quyền rút lại sự đồng ý; (v) Quyền xóa dữ liệu; (vi) Quyền hạn chế xử lý dữ liệu; (vii) Quyền cung cấp dữ liệu; (viii) Quyền phản đối xử lý dữ liệu; (ix) Quyền khiếu nại, tố cáo, khởi kiện; (x) Quyền yêu cầu bồi thường thiệt hại; (xi) Quyền tự bảo vệ và các quyền có liên quan khác theo quy định của pháp luật. Trong trường hợp chủ thể dữ liệu thực hiện rút lại sự đồng ý của mình, yêu cầu xóa dữ liệu và/hoặc thực hiện các quyền có liên quan khác đối với bất kỳ hoặc tất cả các dữ liệu cá nhân hoàn toàn có thể ảnh 259
  11. hưởng đến việc sử dụng/cung cấp các sản phẩm, dịch vụ của Khách hàng/Đối tác với doanh nghiệp hoặc việc thực hiện hợp đồng của các bên. Như vậy, nếu việc thực hiện theo yêu cầu của chủ thể dữ liệu dẫn đến doanh nghiệp không thể tiếp tục thực hiện hợp đồng hoặc đơn phương chấm dứt hợp đồng thì rất có khả năng dẫn đến sự vi phạm nghĩa vụ hoặc các cam kết theo hợp đồng giữa các bên. Khi đó, bên nào sẽ chịu trách nhiệm đối với bên bị thiệt hại cho các tổn thất và thiệt hại phát sinh xuất phát từ việc giới hạn, hạn chế, tạm ngừng, hủy bỏ, ngăn cản hoặc cấm đoán xử lý dữ liệu của chủ thể dữ liệu? Ví dụ, nếu Khách hàng mua bảo hiểm đề nghị công ty bảo hiểm điều chỉnh thông tin tuổi mua bảo hiểm (từ tuổi đủ điều kiện mua bảo hiểm sang tuổi không đủ điều kiện mua bảo hiểm) thì công ty bảo hiểm có nghĩa vụ thực hiện quyền này của Khách hàng hay không? Trả lời vấn đề này, Bộ Công an tại Hội nghị phổ biến, hướng dẫn Nghị định 13 ngày 07/6/2023 cho rằng khách hàng có quyền chỉnh sửa, yêu cầu chỉnh sửa dữ liệu của mình, nhất là trong trường hợp một số thông tin khách hàng đã thay đổi, ví dụ như cấp căn cước công dân. Tuy nhiên, việc quyền chỉnh sửa, yêu cầu chỉnh sửa, quyền xóa dữ liệu không thể bị hạn chế về mặt pháp luật. Khi yêu cầu chỉnh sửa vượt qua giới hạn nghĩa vụ của hợp đồng, Công ty bảo hiểm có thể thông báo cho khách hàng biết việc này. Khi đó sẽ xảy ra 03 trường hợp theo pháp luật dân sự, một là kết thúc hợp đồng, hai là Công ty bảo hiểm đồng ý cho phép chỉnh sửa, hoặc khách hàng rút lại yêu cầu chỉnh sửa. Ngoài ra, khoản 5 Điều 9 của Nghị định 13 quy định như sau: “Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác”. Theo quy định này, doanh nghiệp phải thực hiện xoá dữ liệu theo yêu cầu của chủ thể dữ liệu trừ khi có một văn bản ở cấp độ luật (mà không phải là nghị định hay thông tư) quy định về trách nhiệm lưu trữ của doanh nghiệp. Tuy nhiên, phần lớn các quy định về lưu trữ dữ liệu hiện nay nằm ở văn bản dưới luật (ví dụ: Nghị định 174/2016/NĐ-CP đề cập đến lưu trữ trong kế toán, Thông tư 53/2017/TT-BYT đề cập đến lưu trữ trong y tế …). Vì vậy, trên thực tế sẽ xảy ra tình huống nếu chủ thể dữ liệu yêu cầu xoá dữ liệu nhưng quy định của pháp luật về kế toán quy định phải lưu trữ tối thiểu 10 năm thì sẽ dẫn đến tình huống nếu tuân thủ Nghị định 13 thì sẽ không tuân thủ các quy định của pháp luật chuyên ngành về lưu trữ. Bên cạnh đó, Nghị định 13 yêu cầu doanh nghiệp phải thực hiện quyền của chủ thể dữ liệu trong vòng 72 giờ tuần tự, điều này đặt doanh nghiệp phải bố trí nhân sự túc trực phù hợp và điều này sẽ góp phần tăng chi phí vận hành của doanh nghiệp đối với việc bố trí nhân sự ngoài giờ ban đêm và làm vào ngày nghỉ, ngày lễ để tuân thủ Nghị định 13. Ngoài ra, việc định danh được chủ thể dữ liệu là một trong số các thách thức đặt ra đối với các doanh nghiệp hiện nay khi chủ thể dữ liệu có thể thực hiện quyền của mình thông qua các hình thức gián tiếp. 260
  12. Tại Việt Nam, có thể kể đến một số vụ việc rò rỉ dữ liệu cá nhân điển hình như sau: Tháng 7/2016, cùng với các cuộc tấn công mạng tại sân bay Nội Bài và sân bay Tân Sơn Nhất, nhóm hacker “1973cN” cũng tấn công website và cơ sở dữ liệu của Vietnam Airlines. Theo đó, ở cuối website của hãng xuất hiện đường dẫn đến website chia sẻ thông tin của hơn 400.000 thành viên tham gia chương trình Bông Sen Vàng, bao gồm tên, ngày sinh, địa chỉ và thậm chí cả chức vụ, cơ quan làm việc, số điện thoại của một số khách hàng. Vào tháng 11/2019, một gói dữ liệu bao gồm thông tin của hơn hai triệu khách hàng của Ngân hàng TMCP Hàng Hải Việt Nam (MSB) đã được đăng tải trên Raidforums.com. Dữ liệu bị rò rỉ là tên người dùng, số ID (ví dụ: chứng minh nhân dân), số điện thoại, địa chỉ, ngày sinh, giới tính, địa chỉ email và nghề nghiệp. Ngoài ra, trong năm 2023, tình hình tội phạm lừa đảo chiếm đoạt tài sản trên không gian mạng diễn biến phức tạp, các đối tượng lừa đảo bằng tin nhắn nhờ chuyển tiền, đặc biệt còn sử dụng thủ đoạn tinh vi hơn, lợi dụng công nghệ Deepfake làm giả cuộc gọi video nhằm chiếm đoạt tài sản. Như vậy có thể thấy rằng, rò rỉ và xâm phạm dữ liệu cá nhân tại Việt Nam đã và đang diễn ra với quy mô rất lớn. Với ứng viên (trong tuyển dụng) và người lao động (trong quá trình làm việc) Trong hoạt động tuyển dụng, thông thường, một doanh nghiệp thường thực hiện hoạt động tuyển dụng bằng cách tìm kiếm nguồn thông tin ứng viên theo các nguồn khác nhau: (i) giới thiệu từ các tổ chức, cá nhân có liên quan; (ii) từ các nguồn thông tin ứng viên có nhu cầu tìm việc trên các trang mạng việc làm (như: Vietnamwork, Career Builder, Jobstreet,…) hoặc website tuyển dụng nội bộ; (iii) mạng xã hội nghề nghiệp (như: Linkedin…). Như vậy, với các yêu cầu nghiêm ngặt tại Nghị định 13, trước khi tiến hành xử lý dữ liệu của ứng viên cho các trao đổi hoặc phỏng vấn, doanh nghiệp được yêu cầu phải kiểm tra về việc có sự đồng ý về việc xử lý dữ liệu của ứng viên trước khi có các trao đổi hoặc phỏng vấn. Tuy nhiên, đối với các nguồn thông tin ứng viên (i) và (iii) thì việc tuân thủ chặt chẽ quy định tại Nghị định 13 là rất khó khả thi trên thực tế bởi vì nếu phòng nhân sự của doanh nghiệp thực hiện gọi để trao đổi với ứng viên hoặc nhắn tin trên nền tảng Linkedin thì được xem là hoạt động xử lý dữ liệu của ứng viên mà chưa có sự đồng ý của chủ thể dữ liệu. Trong suốt quá trình làm việc, thông tin của người lao động của doanh nghiệp (ví dụ: tổng giám đốc, kế toán trưởng hoặc thông tin liên hệ của bên phụ trách) sẽ thể hiện trên hợp đồng được ký kết bởi các bên hoặc người lao động chấm công bằng dấu hiệu sinh trắc học: thu thập vân tay, tròng mắt,… để ghi nhận thời gian làm việc. Điều này đặt ra yêu cầu cho các doanh nghiệp cần xây dựng chính sách thu thập sự đồng ý của người lao động trong quá trình làm việc để 261
  13. phục vụ cho một số hoạt động nhất định của doanh nghiệp nhằm tránh rủi ro vi phạm về việc thu thập sự đồng ý của chủ thể dữ liệu hoặc bị khiếu kiện. Trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Đây cũng là vấn đề các doanh nghiệp phải lưu ý, nhất là đối với các công ty của cùng hệ thống tập đoàn sở hữu chung hệ sinh thái thông tin toàn cầu, bao gồm thông tin của người lao động. Với cơ quan nhà nước Theo quy định tại Nghị định 13, Quyết định 4660/QĐ-BCA-A05 ngày 04/7/2023 và thông tin trên Cổng Dịch vụ công Quốc gia, hiện nay, có 05 thủ tục hành chính liên quan đến dữ liệu cá nhân, bao gồm: (i) Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân, (ii) Thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, (iii) Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, (iv) Thông báo gửi Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và (v) Thông báo thay đổi nội dung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Tuy nhiên, để thực hiện được thủ tục này một cách hiệu quả, doanh nghiệp được yêu cầu cần phải kiểm soát được các loại dữ liệu cá nhân và danh sách những bên xử lý dữ liệu bị thay đổi trong quá trình hợp đồng. Điều này đòi hỏi doanh nghiệp cần hiểu rất rõ quy định của pháp luật về bảo vệ dữ liệu cá nhân và thiết lập hàng loạt các quy trình nội bộ trong việc rà soát các yếu tố có thể phát sinh làm phát sinh trách nhiệm thực hiện thủ tục hành chính, bao gồm hoạt động kiểm soát dữ liệu ở khâu đầu vào và ở khâu đầu ra. Với bên thứ ba Điều 18 Nghị định 13 cho phép cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật mà không cần có sự đồng ý của chủ thể. Khi thực hiện việc ghi âm, ghi hình, cơ quan, tổ chức có thẩm quyền có trách nhiệm thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác. Điều này đặt ra yêu cầu cho các tổ chức, cá nhân có thiết lập hệ thống camera an ninh cần thực hiện trách nhiệm thông báo cho bên thứ ba biết về việc xử lý dữ liệu tại nơi công cộng. Tuy nhiên, hiện nay, Nghị định 13 chưa có định nghĩa về nơi công cộng và điều này gây khó khăn cho doanh nghiệp trong quá 262
  14. trình tuân thủ. Theo quan sát của nhóm tác giả, không nhiều doanh nghiệp thực hiện tuân thủ quy định này trong quá trình ghi âm, ghi hình tại nơi công cộng. Khó khăn và thách thức trong quá trình tuân thủ quy định bảo vệ dữ liệu cá nhân của doanh nghiệp Trong quá trình nghiên cứu để thiết lập các lộ trình tuân thủ các quy định về bảo vệ dữ liệu cá nhân cho một số doanh nghiệp, nhóm tác giả nhận thấy rằng một trong số các vướng mắc và bất cập đó là hiện nay Nghị định 13 là khung pháp lý gần như trọng yếu nhất liên quan đến bảo vệ dữ liệu cá nhân. Mặc dù, Bộ Công an đã tổ chức rất nhiều buổi hội thảo với các hiệp hội để giải thích và làm rõ hơn các thắc mắc liên quan đến Nghị định 13. Tuy nhiên, không nhiều doanh nghiệp có thông tin và cơ hội để tiếp cận được các buổi hội thảo và các hướng dẫn chuyên sâu từ Bộ Công an; từ đó dẫn đến việc thiếu thông tin và định hướng để tuân thủ trong khi Nghị định 13 và Quyết định 4660/QĐ-BCA-A05 ngày 04/7/2023 trong khi quy định khá chung chung và còn khá nhiều điểm chưa thật sự rõ ràng cũng như còn gây tranh cãi. Đối với các doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm, theo Nghị định 13, doanh nghiệp được yêu cầu chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Mặc dù các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp nhưng quy định này đã đặt ra các bài toán về chi phí cho các doanh nghiệp, đặc biệt là sau các đợt suy thoái kinh tế sau đại dịch Covid-19. Mặc dù hệ thống công nghệ thông tin của doanh nghiệp đạt mức độ tiên tiến và bảo mật nhưng sẽ không tránh khỏi các hạn chế, các thiệt hại không mong muốn có khả năng xảy ra (bao gồm nhưng không giới hạn như rò rỉ dữ liệu hoặc xử lý dữ liệu không phù hợp gây tổn hại đến quyền và lợi ích hợp pháp của chủ thể dữ liệu). Vì vậy, bên cạnh biện pháp quản lý và biện pháp kỹ thuật, các tổ chức có liên quan được yêu cầu xây dựng hệ thống công nghệ thông tin tiên tiến nhằm thực hiện trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của pháp luật hiện hành với các phương pháp bảo mật tốt nhất theo tiêu chuẩn quốc tế và thường xuyên xem xét và cập nhật các biện pháp quản lý và kỹ thuật khi xử lý dữ liệu cá nhân (nếu có). Tuy nhiên, hiện nay, pháp luật Việt Nam chưa quy định rõ ràng, thiếu các quy định chi tiết về các tiêu chuẩn kỹ thuật tối thiểu mà doanh nghiệp cần tuân thủ. Điều này dẫn đến tình trạng không có cơ sở để 263
  15. xác định mức độ an toàn thông tin tối thiểu mà doanh nghiệp cần phải đảm bảo trong quá trình bảo vệ dữ liệu. Mặt khác, Nghị định 13 yêu cầu doanh nghiệp phải thực hiện quyền của chủ thể dữ liệu trong vòng 72 giờ tuần tự. Trong trường hợp thời điểm mà chủ thể thực hiện quyền của mình vào ngày nghỉ, ngày lễ theo quy định của pháp luật, nếu tuân thủ theo yêu cầu này thì doanh nghiệp cần phải bố trí nhân sự xử lý dữ liệu làm việc trong ngày nghỉ, ngày lễ theo quy định của pháp luật để thực hiện quyền của chủ thể dữ liệu, thường sẽ là nhân sự phụ trách bảo vệ dữ liệu cá nhân. Tuy nhiên, đối với hoạt động của mỗi doanh nghiệp, việc đánh giá hướng xử lý và đưa ra quyết định về thực hiện quyền của chủ thể dữ liệu thường sẽ không thuộc về nhân sự phụ trách bảo vệ dữ liệu cá nhân mà phải tham khảo ý kiến của các phòng ban và cấp có thẩm quyền. Vì vậy, việc quy định doanh nghiệp phải thực hiện quyền của chủ thể dữ liệu trong vòng 72 giờ tuần tự thay vì giờ làm việc là không thật sự hợp lý. Đề xuất giải pháp Để bảo vệ dữ liệu cá nhân hiệu quả, việc đưa ra các giải pháp nhằm hoàn thiện về mặt thực tiễn trong quá trình áp dụng pháp luật vào việc điều chỉnh các vấn đề liên quan đến bảo vệ dữ liệu cá nhân đóng vai trò rất quan trọng và không thể thiếu. Từ những bất cập như đã được nêu trên, nhóm tác giả đề xuất một số giải pháp sau: Một là, đẩy mạnh công tác tuyên truyền, giáo dục pháp luật về bảo vệ dữ liệu cá nhân cho các chủ thể khác nhau trong xã hội. Tuyên truyền, phổ biến, giáo dục pháp luật là một trong những giải pháp đóng vai trò rất quan trọng trong việc góp phần nâng cao nhận thức của các chủ thể trong xã hội về giá trị, vai trò và ý nghĩa của bảo vệ dữ liệu cá nhân đối với mỗi người bởi pháp luật chỉ thực sự đi vào cuộc sống, là chuẩn mực trong cách ứng xử của con người nếu mọi người đều biết đến nó. Bộ Công an nên có nhiều buổi hội thảo và chương trình tập huấn cho các doanh nghiệp nhằm giúp các doanh nghiệp tuân thủ chặt chẽ quy định về Nghị định 13. Hai là, kiên quyết xử lý các hành vi xâm phạm bảo vệ dữ liệu cá nhân. Có thể thấy rằng tại Việt Nam hệ thống các quy định pháp luật điều chỉnh về việc bảo vệ và xử phạt các hành vi xâm phạm bảo vệ dữ liệu cá nhân là không thiếu. Tuy nhiên trên thực tế, việc xử lý các hành vi xâm phạm bảo vệ dữ liệu cá nhân chưa thật sự triệt để và có tính răn đe mạnh. Hiện nay, số lượng các vụ việc tố giác những hành vi xâm phạm dữ liệu cá nhân đến các cơ quan chức năng không nhiều, các vụ án thường được đưa ra khi thiệt hại đã xảy ra với hàng chục nghìn người và ở cấp độ quốc gia. 264
  16. Ba là, tăng cường hợp tác quốc tế để học hỏi, tiếp thu kinh nghiệm trong vấn đề xây dựng, triển khai và áp dụng các quy định pháp luật về bảo vệ dữ liệu cá nhân. Đây sẽ là biện pháp hữu hiệu để “đẩy mạnh quá trình hội nhập quốc tế thông qua đồng bộ hóa các quy định pháp luật về bảo vệ dữ liệu cá nhân tương thích với tiêu chuẩn chung quốc tế cũng như thúc đẩy các hoạt động dịch chuyển dữ liệu cá nhân trong đa dạng các lĩnh vực một cách dễ dàng, thuận tiện hơn khi hợp tác với các quốc gia khác”. Tuy nhiên, trước khi áp dụng chính thức, nhóm tác giả khuyến nghị cơ quan nhà nước nên xây dựng mô hình tuân thủ thí điểm trong một số lĩnh vực trọng yếu về bảo vệ dữ liệu cá nhân (ví dụ: ngân hàng, chứng khoán,…) trước khi áp dụng chính thức cho tất cả các ngành nghề, lĩnh vực. Bốn là, ban hành các văn bản hướng dẫn thi hành Nghị định 13 chi tiết và cụ thể để các chủ thể, nhất là các doanh nghiệp đóng vai trò là Bên kiểm soát, Bên xử lý dữ liệu dễ dàng thực thi. Đặc biệt cần sớm ban hành văn bản ở cấp độ luật - Luật Bảo vệ dữ liệu cá nhân hoàn chỉnh để gia tăng hiệu lực thực thi. Trong đó, đối với những quy định về bảo vệ dữ liệu cá nhân gây khó khăn cho các doanh nghiệp trong việc tuân thủ, nhà nước có thể phân chia thành nhiều mốc thời gian tuân thủ đối với từng nhóm nghĩa vụ trọng yếu. Cuối cùng, theo quan điểm của nhóm tác giả, nên gỡ bỏ và thiết lập lộ trình tuân thủ về bảo vệ dữ liệu cá nhân cho các nhà đầu tư nước ngoài để khuyến khích việc đầu tư vào Việt Nam và cũng không nên tạo gánh nặng quá mức cho các tổ chức tham gia xử lý dữ liệu với chi phí tuân thủ cao hơn so với yêu cầu ở các quốc gia khác; đồng thời, khuyến nghị Nhà nước cân nhắc và đánh giá thận trọng những ảnh hưởng của hoạt động đầu tư vào Việt Nam nếu việc xử phạt vi phạm dựa trên doanh thu theo Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng có hiệu lực chính thức. Kết luận: Sự ra đời của Nghị định 13 ghi nhận và đánh dấu sự nỗ lực của Nhà nước trong việc thiết lập khung pháp lý vững chắc đầu tiên về quyền riêng tư và cho thấy Việt Nam rất coi trọng và đề cao vấn đề bảo vệ dữ liệu cá nhân. Đây cũng là cách thức để bắt kịp xu hướng chuyển đổi số trên thế giới trên cơ sở bảo vệ quyền công dân, tạo ra giá trị mới cho phát triển kinh tế quốc gia và nâng cao năng lực cạnh tranh của các doanh nghiệp cũng như thu hút đầu tư nước ngoài trong lĩnh vực chuyển đổi số. Tuy nhiên, phần lớn doanh nghiệp Việt Nam có đặc điểm là doanh nghiệp nhỏ và vừa và hướng tiếp cận các quy định về dữ liệu cá nhân còn đang ở giai đoạn khởi đầu, do đó, các doanh nghiệp gặp không ít những khó khăn và thách thức trong vấn đề thực thi, cần có một lộ trình cụ thể từ kế hoạch cho tới triển khai cả về công nghệ và nguồn 265
  17. lực để phù hợp với thực trạng hoạt động và bối cảnh phát triển kinh tế số nói chung ở nước ta. Hiện nay, nhiều quốc gia trong và ngoài khu vực đã có đạo luật riêng điều chỉnh vấn đề bảo vệ dữ liệu cá nhân và đã chứng minh được tính hiệu quả, ứng dụng cao. Điều này cũng sẽ thôi thúc pháp luật Việt Nam cần nghiên cứu và sớm ban hành Luật Bảo vệ dữ liệu cá nhân cũng như các chính sách, văn bản hướng dẫn thi hành để các quy định pháp luật dễ dàng đi vào đời sống một cách khả thi và hiệu quả trong thời gian sớm nhất. Danh mục tài liệu tham khảo Hiến pháp Việt Nam năm 2013. Bộ luật Dân sự năm 2015. Luật An ninh mạng năm 2018. Luật An toàn thông tin mạng năm 2015. Luật Giao dịch điện tử năm 2005. Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước. Nghị định số 72/2013/NĐ-CP ngày 15/07/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng. Nghị định số 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ về bảo vệ dữ liệu cá nhân Quyết định 4060/QĐ-BCA-A05 ngày 04/7/2023. GPDR (General Data Protection Regulation). Personal Information Protection Law of the Republic of China. Nguyễn Thị Long (2022), Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong thời kỳ hội nhập, Tạp chí Khoa học Kiểm sát, số 03-2022, tr. 30-38. Trần Thị Thu Hằng (2022), Vấn đề bảo vệ dữ liệu cá nhân theo pháp luật Liên minh Châu Âu và Hoa Kỳ - Đề xuất cho Việt Nam, Khóa luận tốt nghiệp, Trường Đại học Luật Thành phố Hồ Chí Minh, tr. 24. Viện Nghiên cứu chính sách và Phát triển truyền thông, Dữ liệu xuyên biên giới và vấn đề bảo vệ dữ liệu cá nhân, https://ips.org.vn/thu-vien/du-lieu-xuyen-bien-gioi-va-van-de-bao-ve-du- lieu-ca-nhan-ct225.html, tuy cập ngày 25/09/2023. 266
  18. What is GDPR, the EU’s new data protection law?, https://gdpr.eu/what-is-gdpr/, truy cập ngày 20/09/2023. Personal Information Protection Law of the People’s Republic of China, https://personalinformationprotectionlaw.com/, truy cập ngày 20/09/2023. Manh Hung Tran, Cross-border transfer of personal data: How Vietnam is positioning itself in the global regulatory tendency, https://www.connectontech.com/cross-border-transfer-of- personal-data-how-vietnam-is-positioning-itself-in-the-global-regulatory-tendency/, truy cập ngày 25/09/2023. Dương Tiếng Thu – Hà Anh Thư, Bảo vệ dữ liệu cá nhân của người lao động như thế nào?, https://thesaigontimes.vn/bao-ve-du-lieu-ca-nhan-cua-nguoi-lao-dong-nhu-the-nao/, truy cập ngày 25/09/2023. https://www.qdnd.vn/giao-duc-khoa-hoc/cac-van-de/cuoc-goi-lua-dao-deepfake-la-gi-hoat- dong-nhu-the-nao-723568, truy cập ngày 26/9/2023. https://cand.com.vn/Su-kien-Binh-luan-thoi-su/Tai-sao-1937cN-co-the-lien-tuc-tan-cong-cac- website-cua-Viet-Nam-i399102/, truy cập ngày 26/9/2023. https://vnexpress.net/hacker-tung-du-lieu-hai-trieu-nguoi-dung-ngan-hang-len-mang- 4016020.html, truy cập ngày 26/9/2023. 267
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2