Nghị định 13/2023/NĐ-CP (“Nghị định 13”) về bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực hơn một năm nay, tuy nhiên, các doanh nghiệp tại Việt Nam vẫn gặp phải không ít khó khăn trong quá trình lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu/hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài. Thấu hiểu những khó khăn mà doanh nghiệp thường gặp phải, Asia Legal đã phối hợp cùng Hội Hành chính Nhân sự Khu Công nghiệp Thăng Long (“GA-HR/TLIP”) tổ chức Hội thảo giải đáp các vướng mắc khi tuân thủ nghị định 13/2023/NĐ-CP.
Với sự tham gia của Luật sư Lưu Vĩnh và Luật sư Trần Đại Phong, Hội thảo nhấn mạnh tầm quan trọng của việc xác định rõ phạm vi, giới hạn và mục đích xử lý dữ liệu cá nhân trước khi tiến hành bất kỳ hoạt động nào có liên quan. Các nguyên tắc cần tuân thủ theo Nghị định 13 cũng được sắp xếp lại theo một thứ tự dễ tiếp cận và gắn liền với toàn bộ hoạt động xử lý dữ liệu cá nhân của doanh nghiệp từ thu thập, phân loại, lưu trữ đến trích xuất, cung cấp, xóa, hủy dữ liệu cá nhân,… Ngoài ra, Hội thảo cũng giới thiệu sơ lược Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân nhằm góp phần giúp các doanh nghiệp nhận diện rủi ro và thiết lập lộ trình tuân thủ trước khi Luật Bảo vệ dữ liệu cá nhân được ban hành.
Theo thông tin từ Bộ Tư Pháp, vào khoảng tháng 5/2024, nội dung dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đã được công bố, trong đó quy định nhóm các hành vi sẽ bị coi là “Vi phạm quy định về bảo vệ dữ liệu cá nhân”. Một số hành vi có liên quan trực tiếp đến doanh nghiệp bao gồm: xử lý dữ liệu cá nhân vượt quá giới hạn, mục đích đã được tuyên bố, công khai; không thông báo cho chủ thể dữ liệu; không chứng minh được dữ liệu cá nhân của khách hàng được thu thập từ hoạt động kinh doanh,… với mức xử phạt từ 10-100 triệu VNĐ và cao nhất là 3-5% tổng doanh thu của năm tài chính liền trước tại Việt Nam.
Dữ liệu cá nhân là tài sản của doanh nghiệp. Càng có nhiều khách hàng, đối tác thì khối lượng dữ liệu cá nhân mà doanh nghiệp xử lý càng lớn, trách nhiệm bảo vệ dữ liệu cá nhân theo đó cũng cần phải được chú trọng nâng cao. Tuy nhiên, vấn đề đầu tiên mà các doanh nghiệp thường gặp phải đó là không xác định được thế nào là dữ liệu cá nhân và tại sao doanh nghiệp của mình cần phải xử lý dữ liệu cá nhân, bởi đây là hoạt động thường ngày, quá đỗi quen thuộc và thậm chí việc truyền tai nhau, đồn đoán, chia sẻ cho nhau về những thông tin gắn liền với một người cụ thể còn là văn hóa, tập quán của người Việt Nam.
Trên thực tế, doanh nghiệp thường tối đa hóa phạm vi, mục đích xử lý dữ liệu, dẫn đến khó khăn khi chứng minh tính phù hợp của hệ thống thông tin, cơ sở dữ liệu, tính hợp lý của việc áp dụng các biện pháp bảo vệ, bảo mật. Ngược lại, nếu doanh nghiệp thu hẹp phạm vi, mục đích xử lý dữ liệu thì mỗi khi cần bổ sung thêm loại dữ liệu mới, thay đổi phương pháp bảo vệ, quy trình xử lý dữ liệu,… thì doanh nghiệp sẽ phải thực hiện thủ tục thay đổi hồ sơ đã thông báo tới Bộ Công an.
Việc xác định rõ ràng phạm vi, giới hạn, mục đích xử lý dữ liệu cá nhân ngay từ ban đầu sẽ giúp doanh nghiệp đánh giá khả năng tự mình xử lý dữ liệu cá nhân, cân nhắc sử dụng dịch vụ của Bên Xử lý dữ liệu/Bên thứ ba, xác định nhu cầu đối với các thiết bị chuyên dụng để thu thập dữ liệu cá nhân, phân tích rủi ro và lập kế hoạch tài chính, dự toán các chi phí có thể phát sinh cho mục đích tuân thủ Nghị định 13.
Các nguyên tắc được chia sẻ tại Hội thảo, kèm theo các kinh nghiệm và ví dụ thực tiễn là cơ sở để các doanh nghiệp tham khảo, xây dựng lộ trình tuân thủ Nghị định 13. Sự thành công của Hội thảo đã tiếp tục củng cố thêm mối quan hệ thân thiết giữa GA-HR/TLIP và Asia Legal, là động lực mạnh mẽ để Asia Legal tiếp tục đồng hành, cung cấp các giải pháp pháp lý và hỗ trợ các doanh nghiệp trong Khu công nghiệp Thăng Long.
