Bảo vệ dữ liệu cá nhân: Quá khó để doanh nghiệp tuân thủ quy định

Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (Dự thảo nghị định) được ban hành trên cơ sở đáp ứng yêu cầu cần thiết có một văn bản xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, đặc biệt trong bối cảnh vấn đề bảo vệ dữ liệu cá nhân đang chiếm nhiều sự quan tâm của doanh nghiệp và người dân.

Thực tế ghi nhận cho thấy, Nghị định 13 vẫn còn mới mẻ đối với nhiều doanh nghiệp, kể cả với các cơ quan quản lý nhà nước, trong khi một số quy định tại Dự thảo nghị định cũng chưa thật sự rõ ràng.

Nhiều điểm chưa rõ ràng

Minh chứng cho điều này là sự không thống nhất giữa các quy định tại Nghị định 13 và Dự thảo nghị định. Theo đó, Điểm e khoản 1 điều 14 của Dự thảo nghị định yêu cầu bên kiểm soát dữ liệu cá nhân và bên kiểm soát và xử lý dữ liệu cá nhân phải xóa dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu trong vòng 48 giờ.

Tuy nhiên, theo quy định tại khoản 5 điều 16 Nghị định 13/2023/NĐ-CP, thời hạn thực hiện nghĩa vụ này có thể được kéo dài lên đến 72 giờ. Sự mâu thuẫn này không chỉ gây ra nhầm lẫn về thời hạn xử lý yêu cầu mà còn gây khó khăn cho các bên liên quan trong việc tuân thủ quy định pháp luật.

Hệ quả là có thể xảy ra việc vi phạm quy định một cách không đáng có, dẫn đến các vụ tranh chấp và khiếu nại không cần thiết. Để giải quyết vấn đề này, cần thiết phải xem xét và điều chỉnh các quy định trong Dự thảo nghị định sao cho phù hợp và thống nhất với Nghị định 13.

Đồng thời, liên quan đến yêu cầu xóa dữ liệu khi mục đích thu thập ban đầu không còn cần thiết, việc xác định rõ ràng mục đích thu thập này là thách thức lớn đối với doanh nghiệp. Hiện tại, Dự thảo nghị định không cung cấp các giới hạn định lượng cụ thể để xác định mục đích thu thập dữ liệu, gây khó khăn trong việc tuân thủ nghĩa vụ này và có nguy cơ khiến doanh nghiệp bị xử phạt vi phạm hành chính.

Cụ thể, điểm đ khoản 1 điều 14 của Dự thảo nghị định quy định rằng bất cứ khi nào dữ liệu cá nhân không được xóa theo yêu cầu của chủ thể dữ liệu hoặc khi mục đích thu thập dữ liệu ban đầu không còn cần thiết, hành vi này bị xem là vi phạm và bị xử phạt từ 20 triệu đồng đến 40 triệu đồng (áp dụng đối với doanh nghiệp).

Trong bối cảnh doanh nghiệp thường xuyên xử lý dữ liệu cá nhân của khách hàng và người lao động, việc đáp ứng mọi yêu cầu xóa dữ liệu ngay lập tức và xác định chính xác khi nào mục đích thu thập dữ liệu không còn cần thiết là không dễ dàng. Doanh nghiệp có thể cần lưu trữ dữ liệu cá nhân để phục vụ cho các mục đích khác nhau trong một thời gian dài sau khi mối quan hệ với khách hàng hoặc người lao động chấm dứt. Việc buộc phải xóa dữ liệu theo yêu cầu mà không xét đến các yếu tố khác có thể gây ra rủi ro cho doanh nghiệp, bao gồm việc chứng cứ hoặc dữ liệu quan trọng không còn được lưu trữ nếu có tranh chấp phát sinh.

Ngoài ra, một vấn đề khác tại Dự thảo nghị định cũng cần được lưu tâm đó là quy định xử phạt khi lưu trữ dữ liệu cá nhân mà không có hợp đồng hoặc không có văn bản của cơ quan nhà nước có thẩm quyền quy định về chức năng, nhiệm vụ được giao phù hợp với việc lưu trữ dữ liệu cá nhân (điểm b khoản 1 điều 20 Dự thảo nghị định) – doanh nghiệp có thể bị xử phạt vi phạm hành chính nếu lưu trữ dữ liệu cá nhân mà không có hợp đồng.

Có thể hiểu quy định này xuất phát từ việc doanh nghiệp có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu (người lao động, khách hàng, đối tác…) để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

Tuy nhiên, nếu căn cứ vào quy định tại Dự thảo nghị định, trường hợp doanh nghiệp thu thập và lưu trữ các thông tin về một công ty đại chúng khác (đã được công bố thông tin và bao gồm các thông tin về những cá nhân trong ban lãnh đạo của công ty đó) nhằm phục vụ cho mục đích riêng của doanh nghiệp, doanh nghiệp vẫn có khả năng bị xử phạt do không có hợp đồng với công ty đại chúng/cá nhân những người lãnh đạo nói trên.

Nếu quy định này có hiệu lực trên thực tế, rủi ro vi phạm pháp luật sẽ hiện hữu đối với rất nhiều doanh nghiệp, bởi lẽ việc thu thập những thông tin đã được công bố công khai của các công ty đại chúng (bao gồm dữ liệu cá nhân) là điều cần thiết và quan trọng, phục vụ cho nhiều mục đích của doanh nghiệp mà không ảnh hưởng đến công ty đại chúng, đơn cử như việc phân tích hoạt động điều hành, quản trị của công ty đại chúng trước khi quyết định đầu tư. Theo quan điểm của chúng tôi, quy định này cần được cân nhắc cẩn trọng hơn trước khi quyết định áp dụng trên thực tế.

Hướng đi nào cho doanh nghiệp?

Ngoài những nội dung trên, cả Dự thảo nghị định và Nghị định 13 vẫn còn chứa đựng rất nhiều nội dung, quy định chưa rõ ràng, gây khó khăn cho doanh nghiệp trong việc nắm bắt và tuân thủ. Đồng thời cũng tiềm ẩn nhiều rủi ro bị xử phạt vi phạm hành chính cho doanh nghiệp.

Tại thời điểm này, không ít doanh nghiệp vẫn đang trong tình trạng hoang mang về các quy định liên quan đến vấn đề bảo vệ dữ liệu cá nhân. Chúng tôi cho rằng để hạn chế đến mức thấp nhất các rủi ro có thể gặp phải, doanh nghiệp nên sớm triển khai các hành động cần thiết để tuân thủ quy định về bảo vệ dữ liệu cá nhân, một số công việc cần thiết mà doanh nghiệp có thể cân nhắc để thực hiện bao gồm:

Thứ nhất, doanh nghiệp cần thiết phải rà soát mọi hoạt động của mình có liên quan đến việc thu thập và xử lý dữ liệu cá nhân. Đồng thời, qua đó doanh nghiệp cần xác định chính xác vai trò của mình trong mối quan hệ đó, có thể là bên kiểm soát dữ liệu cá nhân, hoặc bên xử lý dữ liệu cá nhân, hoặc vừa kiểm soát vừa xử lý dữ liệu cá nhân. Việc xác định đúng vai trò của mình giúp doanh nghiệp tuân thủ đầy đủ và đúng các nghĩa vụ của mình theo quy định, bao gồm cả việc thực hiện các thủ tục hành chính với Bộ Công an.

Thứ hai, doanh nghiệp nên thực hiện việc đánh giá tính tuân thủ trong hoạt động của mình đối với các quy định về bảo vệ dữ liệu cá nhân. Công việc của doanh nghiệp là tìm kiếm, phát hiện các sai sót, vi phạm của doanh nghiệp đối với các quy định về bảo vệ dữ liệu cá nhân, đánh giá mức độ vi phạm, rủi ro gặp phải và tìm kiếm phương án xử lý phù hợp.

Thứ ba, doanh nghiệp cần nhanh chóng rà soát, ban hành mới hoặc điều chỉnh đối với các quy định nội bộ về bảo vệ dữ liệu cá nhân. Các quy định này có thể đến từ nhiều nguồn văn bản khác nhau, đơn cử như Thỏa ước lao động tập thể, Nội quy lao động, Hợp đồng lao động,… Do đó, việc rà soát toàn bộ các văn bản này là điều mà doanh nghiệp cần ưu tiên trong thời gian sớm nhất. Song song với đó, doanh nghiệp cũng nên xây dựng quy trình, chính sách đặc biệt về bảo vệ dữ liệu cá nhân, đây là căn cứ để doanh nghiệp tiến hành các hoạt động khác như đào tạo, phổ biến các quy định về bảo vệ dữ liệu cá nhân.

Thứ tư, doanh nghiệp cần đề cao việc kiểm soát tuân thủ trong nội bộ doanh nghiệp. Việc kiểm soát tuân thủ có thể giúp doanh nghiệp sớm phát hiện các sai sót, vi phạm cũng như nhanh chóng có hướng giải quyết cụ thể, hạn chế rủi ro phát sinh.

Cuối cùng, một hoạt động mà doanh nghiệp cũng nên cân nhắc để sớm triển khai trong thời gian tới là việc đào tạo, phổ biến các chính sách, quy định về bảo vệ dữ liệu cá nhân cho đội ngũ nhân viên, quản lý tại doanh nghiệp mình. Hoạt động này góp phần nâng cao nhận thức của mỗi người lao động về tầm quan trọng của bảo vệ dữ liệu cá nhân, cũng như hậu quả từ các hành vi vi phạm của doanh nghiệp.

Tóm lại, trong bối cảnh những quy định của Nghị định 13 và Dự thảo nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng vẫn còn tồn tại nhiều nội dung chưa rõ ràng, thách thức cho các doanh nghiệp trong việc tuân thủ các quy định này là rất lớn. Mặc dù vậy, bảo vệ dữ liệu cá nhân là vấn đề chính yếu trong thời đại kinh tế số hiện nay, do đó, các doanh nghiệp cũng cần có những hành động kịp thời để bảo đảm thích ứng nhanh chóng với những quy định pháp luật mới, có phạm vi điều chỉnh rộng và sâu đến gần như mọi khía cạnh hoạt động của doanh nghiệp.

(*) Công ty Luật TNHH HM&P