Hiện nay, dữ liệu cá nhân đang dần trở thành nguồn tài nguyên quan trọng trong nền kinh tế số. Việc khai thác, sử dụng nguồn tài nguyên này đặt ra vấn đề về cân bằng lợi ích với trách nhiệm bảo vệ quyền và lợi ích của cá nhân được dữ liệu phản ánh. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”), điều chỉnh vấn đề khai thác, quản lý và bảo vệ dữ liệu cá nhân. Nghị định này có hiệu lực từ ngày 01/7/2023, đặt ra một số yêu cầu đòi hỏi các tổ chức có liên quan, trong đó có các doanh nghiệp cần tuân thủ nhằm đảm bảo dữ liệu cá nhân không bị xâm phạm, làm thiệt hại tới quyền và lợi ích hợp pháp của chủ thể dữ liệu.
Mặc dù vậy, việc áp dụng Nghị định 13 trên thực tế vẫn còn rất mới mẻ và gần như xa lạ với nhiều doanh nghiệp. Đồng thời, Nghị định 13 cũng không quy định theo hướng các thủ tục cụ thể mà doanh nghiệp cần thực hiện, thay vào đó, Nghị định này đưa ra rất nhiều quy định buộc các bên có liên quan phải tuân thủ. Từ đó, muốn tuân thủ nghiêm ngặt các quy định của Nghị định 13, doanh nghiệp phải tự kiểm tra các quy định và đối chiếu với tình hình hoạt động tại doanh nghiệp mình để lên kế hoạch cho các công việc/thủ tục cần thực hiện.
Trong bài viết sau đây, Luật Thiên Thanh sẽ đề cập đến một số công việc/thủ tục mà doanh nghiệp cần thiết phải thực hiện để bảo đảm tuân thủ các quy định của Nghị định 13.
1. Xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân
Ngoài chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh, Nghị định 13 đưa ra một số chủ thể khác có liên quan trong quá trình xử lý dữ liệu cá nhân. Những chủ thể này bao gồm bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, và bên kiểm soát và xử lý dữ liệu cá nhân. Để có thể tuân thủ các quy định của Nghị định 13, doanh nghiệp cần xác định được vai trò của mình trong quá trình xử lý dữ liệu cá nhân. Cụ thể, hiện nay đa phần các doanh nghiệp sẽ rơi vào trường hợp là bên kiểm soát và xử lý dữ liệu cá nhân, bởi doanh nghiệp sẽ quyết định mục đích và phương tiện xử lý dữ liệu cá nhân, đồng thời cũng sẽ trực tiếp xử lý dữ liệu cá nhân. Để dễ hình dung, chúng tôi đưa ra ví dụ như sau: Công ty A cần thu thập và lưu trữ dữ liệu cá nhân của người lao động, phục vụ cho việc giao kết và thực hiện hợp đồng lao động với công ty, việc thu thập, lưu trữ được thực hiện trên hệ thống do Công ty A xây dựng và phát triển. Vì Công ty A sẽ quyết định mục đích cửa việc xử lý dữ liệu cá nhân (nhằm phục vụ cho việc giao kết và thực hiện hợp đồng lao động), đồng thời Công ty A cũng quyết định việc xử lý dữ liệu được thực hiện trên hệ thống do Bên A xây dựng (phương tiện xử lý dữ liệu). Do đó Công ty A là bên kiểm soát dữ liệu cá nhân. Mặt khác, Công ty A trực tiếp thực hiện việc thu thập và lưu trữ dữ liệu cá nhân của người lao động (thông qua việc người lao động cung cấp thông tin cá nhân trong hợp đồng lao động, các tài liệu liên quan như bằng cấp, sơ yếu lý lịch,…), do đó, Công ty A cũng là bên xử lý dữ liệu cá nhân. Tóm lại, Công ty A sẽ là bên kiểm soát và xử lý dữ liệu cá nhân.
Việc xác định vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân sẽ ảnh hưởng đến quyền và nghĩa vụ của doanh nghiệp, đồng thời cũng định hình các công việc/thủ tục mà doanh nghiệp cần thực hiện.
2. Xác định loại dữ liệu cá nhân được xử lý
Nghị định 13 phân loại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Việc phân loại này có ảnh hưởng nhất định đến nghĩa vụ mà doanh nghiệp phải tuân thủ. Cụ thể, trường hợp doanh nghiệp có hoạt động xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp cần chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Để tuân thủ nghĩa vụ này, gần như doanh nghiệp phải thành lập một bộ phận có chức năng bảo vệ dữ liệu cá nhân và chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân. Đồng thời đối với nghĩa vụ trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, doanh nghiệp sẽ kê khai nội dung này trong các tài liệu được gửi đến Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao). Việc thành lập bộ phận bảo vệ dữ liệu cá nhân, chỉ định nhân sự bảo vệ dữ liệu cá nhân sẽ tốn thêm nhiều chi phí cho doanh nghiệp. Do đó, đây cũng là một vấn đề mà doanh nghiệp cần lưu ý để có sự chuẩn bị.
Trên thực tế, không ít doanh nghiệp tuyển dụng người lao động dựa vào các tiêu chí về sinh trắc học, thần số học, hay đặc biệt là các tiêu chí về bệnh án, sức khỏe. Đây đều được xem là dữ liệu cá nhân nhạy cảm. Do đó, doanh nghiệp cần rà soát lại hoạt động của mình để kiểm tra các dữ liệu cá nhân mình đang thu thập và lưu trữ có bao gồm các dữ liệu cá nhân nhạy cảm hay không, từ đó có hướng xử lý phù hợp.
3. Xây dựng quy trình, rà soát, điều chỉnh hệ thống tài liệu của doanh nghiệp
Đây gần như là công việc bắt buộc mà các doanh nghiệp cần thực hiện, bởi lẽ các quy định của Nghị định 13 liên quan đến việc người lao động, khách hàng của doanh nghiệp đồng ý cung cấp dữ liệu cá nhân cho doanh nghiệp, đồng ý cho phép doanh nghiệp xử lý dữ liệu cá nhân, rút lại sự đồng ý,… Đây hầu như đều là các quy định mới, do đó, các doanh nghiệp phải điều chỉnh hoặc xây dựng mới nhiều quy trình, quy định, biểu mẫu cho các hoạt động này. Cụ thể, đối với người lao động, doanh nghiệp có thể sẽ phải điều chỉnh các biểu mẫu hợp đồng thử việc, hợp đồng lao động, thỏa ước lao động tập thể, nội quy lao động và các quy định, quy chế nội bộ khác để thể hiện rõ ràng sự đồng ý của người lao động trong việc cung cấp cũng như trong quá trình xử lý dữ liệu cá nhân. Đồng thời xây dựng quy trình và các biểu mẫu mới về việc rút lại sự đồng ý của người lao động. Trong khi đó, đối với khách hàng, đối tác của doanh nghiệp, doanh nghiệp cần chuẩn hóa các bộ mẫu về thỏa thuận chấp thuận cung cấp và xử lý dữ liệu cá nhân để khách hàng, đối tác ký kết. Nhìn chung, nội dung của các quy định, biểu mẫu sẽ phụ thuộc vào tình hình hoạt động, mục đích sử dụng, mức độ sử dụng dữ liệu cá nhân của từng doanh nghiệp.
Ngoài ra, việc xây dựng quy trình, rà soát, điều chỉnh hệ thống tài liệu của doanh nghiệp còn nhằm mục đích thiết lập các quy định về nghĩa vụ bảo vệ dữ liệu cá nhân của doanh nghiệp và người lao động trong doanh nghiệp, từ đó định rõ trách nhiệm và chế tài xử lý trong trường
hợp vi phạm về bảo vệ dữ liệu cá nhân.
4. Thực hiện các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân
Theo quy định của Nghị định 13, ngoài các biện pháp quản lý, doanh nghiệp còn cần thiết lập các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân. Mặc dù Nghị định này không quy định rõ về các biện pháp kỹ thuật này, tuy nhiên, có thể hiểu đây là các biện pháp bảo vệ về mặt kỹ thuật, phân biệt với các biện pháp quản lý đã nêu ở trên. Ví dụ thiết lập hệ thống tường lửa để ngăn chặn các hành vi xâm nhập vào hệ thống dữ liệu cá nhân, sử dụng hệ thống bảo mật nhiều lớp cho việc truy cập dữ liệu cá nhân,… Việc thực hiện các biện pháp kỹ thuật này có thể giúp cho doanh nghiệp thuận lợi cho việc giải trình khi thực hiện thủ tục đánh giá tác động xử lý dữ liệu cá nhân và cà thủ tục khác có liên quan.
5. Thực hiện các thủ tục hành chính
Một trong những vấn đề mà rất nhiều doanh nghiệp quan tâm hiện nay là liệu rằng doanh nghiệp mình có phải thực hiện thủ tục hành chính nào liên quan đến Nghị định 13 hay không. Như đã nêu, Nghị định 13 hầu như tác động đến tất cả các doanh nghiệp đang hoạt động, các doanh nghiệp đa phần sẽ là một bên trong hoạt động xử lý dữ liệu cá nhân. Do đó, việc thực hiện các thủ tục hành chính có thể được xem là bắt buộc đối với các doanh nghiệp.
Theo quy định, doanh nghiệp cần lưu ý để thực hiện một số thủ tục, bao gồm: Đánh giá tác động xử lý dữ liệu cá nhân (gần như toàn bộ doanh nghiệp), đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (dành cho các doanh nghiệp có hoạt động chuyển dữ liệu ra nước ngoài, thường là các doanh nghiệp có công ty mẹ ở nước ngoài, các doanh nghiệp thương mại điện tử,…), thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân (gần như toàn bộ doanh nghiệp). Ngày 04/7/2023, Bộ Công an cũng đã ban hành Quyết định số 4660/QĐ-BCA-A05, theo đó công bố 5 thủ tục hành chính liên quan đến hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, hiện nay, việc thực hiện thủ tục hành chính trực tuyến vẫn chưa được triển khai bởi Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân vẫn chưa hoàn thiện. Do đó, việc thực hiện các thủ tục hành chính này vẫn thông qua phương thức trực tiếp hoặc qua đường bưu điện.
Nhìn chung, Nghị định 13 ra đời là một sự bổ sung phù hợp cho pháp luật Việt Nam trong bối cảnh mà vấn đề bảo mật thông tin, bảo vệ dữ liệu cá nhân đang vô cùng cấp thiết, do đó chứa đựng nhiều điều kiện, yêu cầu mà doanh nghiệp phải tuân thủ. Để đảm bảo tuân thủ các điều kiện đó, doanh nghiệp cần thực sự nhận thức được tầm quan trọng của việc bảo vệ dữ liệu cá nhân, nghiên cứu kỹ quy định của pháp luật về quy trình, cách thức xây dựng biện pháp bảo vệ dữ liệu cá nhân hợp pháp; về các nghĩa vụ quan trọng như thu thập sự đồng ý từ chủ thể dữ liệu, nghĩa vụ thông báo hay nghĩa vụ xử lý dữ liệu cá nhân đúng phạm vi, mục đích được phép. Đó là những vấn đề nền tảng mà doanh nghiệp cần bắt đầu chú trọng thiết lập, xây dựng trong hoạt động của mình. Vì có khá nhiều yêu cầu và điều kiện, việc tuân thủ trên thực tế sẽ gặp một số khó khăn và bất cập. Theo đó, chúng tôi cho rằng yếu tố cốt lõi mà Nghị định này hướng đến vẫn là nâng cao ý thức bảo vệ dữ liệu cá nhân và sự chặt chẽ, nỗ lực hết sức của doanh nghiệp trong bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu cá nhân của người lao động.