Tuân thủ Luật Bảo vệ dữ liệu cá nhân: Hướng dẫn cho doanh nghiệp

cover-personal-data-protection-law-compliance-a-guide-for-businesses.png

06.06.2023

Tuân thủ Luật Bảo vệ dữ liệu cá nhân không chỉ đơn giản là giao hết trách nhiệm cho nhà thầu và bên cung cấp dịch vụ, hay lập trình thêm vài dòng code, mà thực tế nó bao gồm cả công tác chuẩn bị nhân sự, công nghệ và quy trình. Để tránh vi phạm pháp luật và giảm thiểu rủi ro bất ngờ, bài viết này sẽ hướng dẫn cách triển khai giúp doanh nghiệp tuân thủ Luật Bảo vệ dữ liệu không chỉ ở Việt Nam mà còn trên thế giới nói chung.

2132154

Nghị định 13 về Bảo vệ dữ liệu cá nhân do Chính phủ Việt Nam ban hành có hiệu lực từ ngày 01/7/2023. Nghị định này áp dụng cho mọi tổ chức và cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, bao gồm cả trường hợp xử lý dữ liệu cá nhân của công dân Việt Nam tại nước ngoài. Do đó, các công ty cần triển khai các hoạt động quản lý quyền riêng tư để đáp ứng yêu cầu của Nghị định 13, đồng thời rà soát để đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân trên toàn thế giới như GDPR và các quy định tương tự khác.

1. So sánh PDPD và các Luật khác về bảo vệ dữ liệu cá nhân

Ngày nay, nhiều quốc gia và khu vực trên toàn cầu đã ban hành các quy định và luật về bảo vệ dữ liệu cá nhân nhằm đảm bảo quyền riêng tư và an toàn của người dùng trong việc xử lý thông tin cá nhân. Ví dụ như:

Luật Bảo vệ Dữ liệu Cá nhân tại Việt Nam (PDPD - Personal Data Protection Decree),
Quy định chung về Bảo vệ Dữ liệu (GDPR - General Data Protection Regulation),
Đạo luật về quyền riêng tư của California (CPRA - California Privacy Rights Act),
Đạo luật bảo vệ dữ liệu cá nhân của Singapore (PDPA - Personal Data Protection Act)
Luật Bảo vệ dữ liệu chung của Brazil (LGPD - General Data Protection Law)
V.v…

Đối với các doanh nghiệp hoạt động xử lý dữ liệu ở thị trường Việt Nam và quốc tế, việc tuân thủ cả PDPD và các luật kể trên là vô cùng cần thiết. Dưới đây là một số điểm so sánh giữa PDPD và các luật về bảo vệ dữ liệu cá nhân khác:

Quyền áp dụng:

PDPD: Áp dụng cho việc xử lý dữ liệu cá nhân trong lãnh thổ Việt Nam, và nước ngoài (nếu xử lý dữ liệu của công dân Việt Nam).
GDPR: Áp dụng cho việc xử lý dữ liệu cá nhân trong lãnh thổ châu Âu, và nước ngoài (nếu xử lý dữ liệu của công dân châu Âu).
CPRA: Áp dụng cho việc xử lý dữ liệu cá nhân trong và ngoài Hoa Kỳ (nếu xử lý dữ liệu của công dân California).
LGPD: Áp dụng cho việc xử lý dữ liệu cá nhân tại Brazil.

Phạm vi áp dụng:

PDPD, LGPD: Áp dụng cho cả tổ chức và cá nhân có liên quan đến việc xử lý dữ liệu cá nhân.
GDPR, CPRA: Thường áp dụng cho các tổ chức kinh doanh và những tổ chức có quan hệ thương mại.

Nguyên tắc cơ bản:

PDPD: Bao gồm các nguyên tắc như minh bạch, hợp pháp, hạn chế mục đích, tích cực, bảo mật và không chuyển dữ liệu ra nước ngoài nếu chưa đáp ứng yêu cầu.
GDPR, CPRA, LGPD: Cũng có các nguyên tắc tương tự như hợp pháp, công bằng và minh bạch; giới hạn mục đích; giảm thiểu dữ liệu; sự chính xác; giới hạn lưu trữ; tính toàn vẹn và bảo mật; và trách nhiệm giải trình.

Quyền của người sở hữu dữ liệu:

PDPD: Quyền truy cập, chỉnh sửa, xóa và phản đối việc xử lý dữ liệu cá nhân.
GDPR, CPRA, LGPD: Cũng bảo đảm quyền truy cập, chỉnh sửa, xóa và phản đối, cũng như quyền chuyển dữ liệu và quyền không bị quyết định tự động.

Mức phạt vi phạm:

PDPD: Mức phạt hành chính (cao nhất là 100 triệu đồng) cho đến hình sự (cao nhất là 7 năm tù giam).
GDPR, CPRA, LGPD: Có mức phạt hành chính cao hơn (theo luật GDPR là 20 triệu euro hoặc 4% doanh thu toàn cầu hằng năm).

So sánh PDPD và các Luật khác về bảo vệ dữ liệu cá nhân

Một số trường hợp bị phạt vì vi phạm quyền riêng tư khách hàng phải kể đến là:

Năm 2018, Cambridge Analytica, một công ty phân tích dữ liệu liên quan đến Tổng thống Mỹ Donald Trump, đã sử dụng thông tin cá nhân của hơn 87 triệu người dùng Facebook cho mục đích chính trị. Facebook sau đó đã thừa nhận các vi phạm bảo mật như xâm phạm dữ liệu cá nhân của hàng triệu người dùng. Sự kiện này đã dẫn đến mức phạt gần 5 tỷ USD cho Facebook, tương đương khoảng 9% doanh thu của họ trong năm 2018. [1]

Tháng 3-2021, hãng Meta - lúc đó có tên là Facebook - cũng đã phải trả 650 triệu USD vì vi phạm quyền riêng tư, liên quan đến công nghệ nhận dạng khuôn mặt trong tính năng gắn thẻ ảnh trên Facebook. [2]

Ở Pháp, vào tháng 1 năm 2022, Google bị phạt 150 triệu euro (hơn 169 triệu USD) và Facebook bị phạt 60 triệu euro (hơn 67 triệu USD) do hành vi sử dụng lịch sử hoạt động của khách hàng (cookie) để điều phối thông tin quảng cáo. [3]

Ngoài ra, hãng hàng không Cathay Pacific đã từng bị phạt 500.000 bảng Anh vì làm rò rỉ dữ liệu liên quan đến thông tin hộ chiếu khách hàng. Chuỗi khách sạn Marriott bị phạt gần 100 triệu bảng Anh vì để lọt lộ dữ liệu của 339 triệu khách hàng và British Airways bị phạt 183 triệu bảng Anh cũng từ việc lọt lộ thông tin khách hàng.

2. Năm bước xây dựng quy trình tuân thủ Luật Bảo vệ dữ liệu cá nhân

Để tuân thủ Luật Bảo vệ dữ liệu cá nhân và tránh bị phạt, các cá nhân, tổ chức và doanh nghiệp cần hiểu rõ các quy định và nguyên tắc khi xử lý dữ liệu của PDPD, GDPR và các quy định tương tự khác. Dưới đây là một lộ trình các bước xây dựng quy trình tuân thủ, sẽ rất hữu ích cho bạn:

Bước 1: Xây dựng bản đồ tham chiếu dữ liệu

Các tổ chức phải có một bộ phận giám sát việc bảo vệ dữ liệu cá nhân và (các) Cán bộ Bảo vệ Dữ liệu (DPO - Data Protection Officer). Một DPO cần phải biết chính xác dữ liệu của tổ chức đó được lưu trữ ở đâu và nội dung của dữ liệu đó là gì.

Nếu bản đồ tham chiếu dữ liệu của tổ chức chưa đầy đủ hoặc chưa hoàn chỉnh, DPO cần thảo luận với các bên liên quan trong bộ phận công nghệ thông tin (CNTT) của tổ chức để xây dựng kế hoạch quản trị dữ liệu đầy đủ.

Lưu ý rằng nếu tổ chức thuê và chuyển giao dữ liệu cá nhân cho các nhà thầu hoặc bên cung cấp dịch vụ thứ ba như dịch vụ đám mây hoặc công ty lưu trữ dữ liệu, bản đồ tham chiếu dữ liệu và yêu cầu tuân thủ Luật bảo vệ dữ liệu cá nhân cũng áp dụng cho các nhà thầu đó.

Bước 2: Xác định loại dữ liệu cá nhân được xử lý

Ngoài việc biết rõ dữ liệu cá nhân của khách hàng được phục vụ hiện được lưu trữ ở đâu, các tổ chức và doanh nghiệp cần hiểu rõ bản chất của dữ liệu đó. Nghị định Bảo vệ Dữ liệu Cá nhân 2023 phân loại dữ liệu cá nhân thành hai loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Các tổ chức cần phải hiểu và đảm bảo việc thu thập, xử lý và lưu trữ dữ liệu này tuân thủ các ràng buộc pháp lý.

Bước 3: Đảm bảo sự đồng ý của khách hàng

Sự đồng thuận của chủ thể dữ liệu là yếu tố quan trọng trong việc lưu trữ và chuyển giao dữ liệu cá nhân của họ. Các tổ chức cần cung cấp thông tin rõ ràng và minh bạch cho khách hàng để xin phép sự đồng thuận cho việc lưu trữ và xử lý dữ liệu cá nhân.

Mỗi cá nhân có quyền biết dữ liệu cá nhân của mình được lưu trữ ở đâu và được xử lý như thế nào. Họ cũng có quyền khiếu nại nếu tổ chức lưu trữ thông tin không chính xác và yêu cầu sửa chữa hoặc xóa thông tin đã được lưu trữ.

Lưu ý rằng việc đồng thuận không chỉ dừng ở việc xử lý dữ liệu cá nhân. Nghị định 13 cũng tương tự như GDPR: yêu cầu tuân thủ các nguyên tắc, bao gồm quá trình xử lý dữ liệu phải (i) đúng quy định pháp luật; (ii) minh bạch; (iii) chỉ được thực hiện cho (các) mục đích đã tuyên bố; (iv) giới hạn trong mục đích và phạm vi nhất định; (v) sử dụng dữ liệu được cập nhật, bổ sung phù hợp với mục đích; và (vi) phải bảo mật; đồng thời (vii) đảm bảo dữ liệu chỉ được lưu trữ trong khoảng thời gian phù hợp và (viii) các tổ chức chịu trách nhiệm giải trình về tính tuân thủ này.

Bước 4: Bảo vệ dữ liệu và thông báo/báo cáo sự cố, vi phạm

Tổ chức, doanh nghiệp cần có các hoạt động hỗ trợ kỹ thuật để đảm bảo an ninh thông tin và ngăn chặn việc rò rỉ thông tin cá nhân của khách hàng. Tuy nhiên, nếu xảy ra việc lộ thông tin, sự cố đó phải được thông báo cho cả doanh nghiệp và các cá nhân bị ảnh hưởng.

Tương tự như quy định trong GDPR, Luật Bảo vệ dữ liệu cá nhân Việt Nam cũng yêu cầu các doanh nghiệp phải báo cáo việc lộ thông tin cho các cơ quan có thẩm quyền trong vòng 72 giờ kể từ khi phát hiện việc lộ thông tin.

Bước 5: Giám sát việc chuyển giao dữ liệu

Cũng như GDPR, PDPD đặt ra yêu cầu cao về hạn chế việc chuyển giao dữ liệu cá nhân. Các doanh nghiệp cần có các quy định và biện pháp để ngăn chặn việc chuyển giao dữ liệu không hợp pháp. Việc chuyển giao dữ liệu ra nước ngoài phải tuân thủ theo quy định của Nghị định 13 và các quy định về truy xuất nội dung dữ liệu.

Trong trường hợp chuyển dữ liệu cá nhân vi phạm lợi ích hoặc an ninh quốc gia, Bộ Công an có quyền ngăn chặn mọi hoạt động chuyển dữ liệu cá nhân ra nước ngoài.

the pdpd like the gdpr establishes stringent requirements for restricting the transfer of personal data

3. Giải pháp công nghệ của R Digital có thể giúp gì cho doanh nghiệp

Khi Nghị định Bảo vệ dữ liệu cá nhân 2023 có hiệu lực, các công ty cần không chỉ chuẩn bị hồ sơ và thủ tục để đáp ứng yêu cầu của Nghị định, mà còn cần thay đổi công nghệ để phù hợp với hoạt động quản lý và kinh doanh của tổ chức. Đây là một bước quan trọng và cần thiết để đảm bảo tuân thủ các quy định và giảm thiểu rủi ro pháp lý cũng như tác động tiêu cực đến danh tiếng của tổ chức.

R Digital hỗ trợ doanh nghiệp triển khai công nghệ mã nguồn mở (open source) ưu tiên quyền riêng tư và bảo vệ dữ liệu người dùng. Bao gồm:

Công nghệ phân tích AesirX Analytics

AesirX Analytics là giải pháp thay thế Google Analytics tốt nhất hiện nay và hoàn toàn miễn phí.

Google Analytics (GA) cũng cung cấp một công cụ phân tích miễn phí, tuy nhiên, các cơ quan bảo vệ dữ liệu tại nhiều quốc gia cho rằng công cụ này không thể được sử dụng nữa vì nó không tuân thủ các tiêu chuẩn Quy định chung về bảo vệ dữ liệu (GDPR).

Hơn nữa, GA sử dụng cookie để thu thập thông tin và báo cáo số liệu thống kê. Việc cookie đang ngày càng bị cấm và chặn bởi nhiều trình duyệt đã dẫn đến việc GA bị thiếu dữ liệu và phân tích không hiệu quả do khách truy cập từ chối quyền và không cho phép theo dõi.

Trong khi đó, giải pháp AesirX Analytics do R Digital cung cấp tuân thủ đầy đủ các quy định GDPR, CPRA, v.v… Đặc biệt, AesirX Analytics thu thập dữ liệu bên thứ nhất (first-party data), phân tích hợp pháp và có hiệu quả hơn 30% so với các công cụ thông thường.

Công nghệ đăng nhập một lần AesirX Single Sign On (SSO)

Giải pháp SSO mang lại lợi ích bảo vệ dữ liệu cho cá nhân và tổ chức theo một số cách. Chẳng hạn như: chỉ một lần đăng nhập có thể truy cập vào nhiều website/ứng dụng, giúp hạn chế việc quên mật khẩu và khuyến khích người dùng sử dụng mật khẩu mạnh hơn, bảo mật hơn. Cải thiện năng suất và giảm thời gian đăng nhập. Giảm chi phí và khối lượng công việc cho đội ngũ nhân sự và CNTT. Nâng cao khả năng bảo mật và cung cấp trải nghiệm khách hàng tốt hơn.

Giải pháp định danh AesirX WEB3 ID

Giải pháp AesirX WEB3 ID sử dụng công nghệ bảo mật Concordium zero knowledge và blockchain để bảo vệ dữ liệu cá nhân. Đây là một giải pháp xác minh danh tính mới, tập trung vào quyền riêng tư, giúp người dùng xác minh danh tính của họ mà không cần tiết lộ thông tin cá nhân.

Tuân thủ Luật Bảo vệ dữ liệu cá nhân là một yêu cầu cấp bách đối với doanh nghiệp. Từ việc thu thập, lưu trữ đến xử lý thông tin cá nhân trên Internet, cần áp dụng các biện pháp phù hợp. R Digital hiểu tầm quan trọng của quyền riêng tư dữ liệu và các quy định hiện hành. Chúng tôi sẵn sàng hỗ trợ doanh nghiệp tiếp cận công nghệ hợp pháp mới và cải tiến giải pháp kỹ thuật số hiện tại. Hãy liên hệ R Digital để nhận tư vấn miễn phí và kiểm tra mức độ tuân thủ Luật bảo vệ dữ liệu cá nhân của website và giải pháp thương mại điện tử của bạn.

TƯ V ẤN MIỄN PHÍ VÀ KIỂM TRA TUÂN THỦ

Have the same challenge?