Tuân thủ Luật Bảo vệ dữ liệu cá nhân: Hướng dẫn cho doanh nghiệp

cover-personal-data-protection-law-compliance-a-guide-for-businesses.png
Tuân thủ Luật Bảo vệ dữ liệu cá nhân: Hướng dẫn cho doanh nghiệp

06.06.2023

Tuân thủ Luật Bảo vệ dữ liệu cá nhân không chỉ đơn giản là giao hết trách nhiệm cho nhà thầu và bên cung cấp dịch vụ, hay lập trình thêm vài dòng code, mà thực tế nó bao gồm cả công tác chuẩn bị nhân sự, công nghệ và quy trình. Để tránh vi phạm pháp luật và giảm thiểu rủi ro bất ngờ, bài viết này sẽ hướng dẫn cách triển khai giúp doanh nghiệp tuân thủ Luật Bảo vệ dữ liệu không chỉ ở Việt Nam mà còn trên thế giới nói chung.

2132154

Nghị định 13 về Bảo vệ dữ liệu cá nhân do Chính phủ Việt Nam ban hành có hiệu lực từ ngày 01/7/2023. Nghị định này áp dụng cho mọi tổ chức và cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, bao gồm cả trường hợp xử lý dữ liệu cá nhân của công dân Việt Nam tại nước ngoài. Do đó, các công ty cần triển khai các hoạt động quản lý quyền riêng tư để đáp ứng yêu cầu của Nghị định 13, đồng thời rà soát để đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân trên toàn thế giới như GDPR và các quy định tương tự khác.

1. So sánh PDPD và các Luật khác về bảo vệ dữ liệu cá nhân

Ngày nay, nhiều quốc gia và khu vực trên toàn cầu đã ban hành các quy định và luật về bảo vệ dữ liệu cá nhân nhằm đảm bảo quyền riêng tư và an toàn của người dùng trong việc xử lý thông tin cá nhân. Ví dụ như: 

  • Luật Bảo vệ Dữ liệu Cá nhân tại Việt Nam (PDPD - Personal Data Protection Decree), 
  • Quy định chung về Bảo vệ Dữ liệu (GDPR - General Data Protection Regulation), 
  • Đạo luật về quyền riêng tư của California (CPRA - California Privacy Rights Act), 
  • Đạo luật bảo vệ dữ liệu cá nhân của Singapore (PDPA - Personal Data Protection Act)
  • Luật Bảo vệ dữ liệu chung của Brazil (LGPD - General Data Protection Law) 
  • V.v…

Đối với các doanh nghiệp hoạt động xử lý dữ liệu ở thị trường Việt Nam và quốc tế, việc tuân thủ cả PDPD và các luật kể trên là vô cùng cần thiết. Dưới đây là một số điểm so sánh giữa PDPD và các luật về bảo vệ dữ liệu cá nhân khác:

Quyền áp dụng:

  • PDPD: Áp dụng cho việc xử lý dữ liệu cá nhân trong lãnh thổ Việt Nam, và nước ngoài (nếu xử lý dữ liệu của công dân Việt Nam).
  • GDPR: Áp dụng cho việc xử lý dữ liệu cá nhân trong lãnh thổ châu Âu, và nước ngoài (nếu xử lý dữ liệu của công dân châu Âu).
  • CPRA: Áp dụng cho việc xử lý dữ liệu cá nhân trong và ngoài Hoa Kỳ (nếu xử lý dữ liệu của công dân California). 
  • LGPD: Áp dụng cho việc xử lý dữ liệu cá nhân tại Brazil.

Phạm vi áp dụng:

  • PDPD, LGPD: Áp dụng cho cả tổ chức và cá nhân có liên quan đến việc xử lý dữ liệu cá nhân.
  • GDPR, CPRA: Thường áp dụng cho các tổ chức kinh doanh và những tổ chức có quan hệ thương mại.

Nguyên tắc cơ bản:

  • PDPD: Bao gồm các nguyên tắc như minh bạch, hợp pháp, hạn chế mục đích, tích cực, bảo mật và không chuyển dữ liệu ra nước ngoài nếu chưa đáp ứng yêu cầu.
  • GDPR, CPRA, LGPD: Cũng có các nguyên tắc tương tự như hợp pháp, công bằng và minh bạch; giới hạn mục đích; giảm thiểu dữ liệu; sự chính xác; giới hạn lưu trữ; tính toàn vẹn và bảo mật; và trách nhiệm giải trình.

Quyền của người sở hữu dữ liệu:

  • PDPD: Quyền truy cập, chỉnh sửa, xóa và phản đối việc xử lý dữ liệu cá nhân.
  • GDPR, CPRA, LGPD: Cũng bảo đảm quyền truy cập, chỉnh sửa, xóa và phản đối, cũng như quyền chuyển dữ liệu và quyền không bị quyết định tự động.

Mức phạt vi phạm:

  • PDPD: Mức phạt hành chính (cao nhất là 100 triệu đồng) cho đến hình sự (cao nhất là 7 năm tù giam).
  • GDPR, CPRA, LGPD: Có mức phạt hành chính cao hơn (theo luật GDPR là 20 triệu euro hoặc 4% doanh thu toàn cầu hằng năm).

So sánh PDPD và các Luật khác về bảo vệ dữ liệu cá nhân

Một số trường hợp bị phạt vì vi phạm quyền riêng tư khách hàng phải kể đến là:

Năm 2018, Cambridge Analytica, một công ty phân tích dữ liệu liên quan đến Tổng thống Mỹ Donald Trump, đã sử dụng thông tin cá nhân của hơn 87 triệu người dùng Facebook cho mục đích chính trị. Facebook sau đó đã thừa nhận các vi phạm bảo mật như xâm phạm dữ liệu cá nhân của hàng triệu người dùng. Sự kiện này đã dẫn đến mức phạt gần 5 tỷ USD cho Facebook, tương đương khoảng 9% doanh thu của họ trong năm 2018. [1]

Tháng 3-2021, hãng Meta - lúc đó có tên là Facebook - cũng đã phải trả 650 triệu USD vì vi phạm quyền riêng tư, liên quan đến công nghệ nhận dạng khuôn mặt trong tính năng gắn thẻ ảnh trên Facebook. [2]

Ở Pháp, vào tháng 1 năm 2022, Google bị phạt 150 triệu euro (hơn 169 triệu USD) và Facebook bị phạt 60 triệu euro (hơn 67 triệu USD) do hành vi sử dụng lịch sử hoạt động của khách hàng (cookie) để điều phối thông tin quảng cáo. [3]

Ngoài ra, hãng hàng không Cathay Pacific đã từng bị phạt 500.000 bảng Anh vì làm rò rỉ dữ liệu liên quan đến thông tin hộ chiếu khách hàng. Chuỗi khách sạn Marriott bị phạt gần 100 triệu bảng Anh vì để lọt lộ dữ liệu của 339 triệu khách hàng và British Airways bị phạt 183 triệu bảng Anh cũng từ việc lọt lộ thông tin khách hàng. 

2. Năm bước xây dựng quy trình tuân thủ Luật Bảo vệ dữ liệu cá nhân

Để tuân thủ Luật Bảo vệ dữ liệu cá nhân và tránh bị phạt, các cá nhân, tổ chức và doanh nghiệp cần hiểu rõ các quy định và nguyên tắc khi xử lý dữ liệu của PDPD, GDPR và các quy định tương tự khác. Dưới đây là một lộ trình các bước xây dựng quy trình tuân thủ, sẽ rất hữu ích cho bạn:

Bước 1: Xây dựng bản đồ tham chiếu dữ liệu

Các tổ chức phải có một bộ phận giám sát việc bảo vệ dữ liệu cá nhân và (các) Cán bộ Bảo vệ Dữ liệu (DPO - Data Protection Officer). Một DPO cần phải biết chính xác dữ liệu của tổ chức đó được lưu trữ ở đâu và nội dung của dữ liệu đó là gì.

Nếu bản đồ tham chiếu dữ liệu của tổ chức chưa đầy đủ hoặc chưa hoàn chỉnh, DPO cần thảo luận với các bên liên quan trong bộ phận công nghệ thông tin (CNTT) của tổ chức để xây dựng kế hoạch quản trị dữ liệu đầy đủ. 

Lưu ý rằng nếu tổ chức thuê và chuyển giao dữ liệu cá nhân cho các nhà thầu hoặc bên cung cấp dịch vụ thứ ba như dịch vụ đám mây hoặc công ty lưu trữ dữ liệu, bản đồ tham chiếu dữ liệu và yêu cầu tuân thủ Luật bảo vệ dữ liệu cá nhân cũng áp dụng cho các nhà thầu đó. 

Bước 2: Xác định loại dữ liệu cá nhân được xử lý

Ngoài việc biết rõ dữ liệu cá nhân của khách hàng được phục vụ hiện được lưu trữ ở đâu, các tổ chức và doanh nghiệp cần hiểu rõ bản chất của dữ liệu đó. Nghị định Bảo vệ Dữ liệu Cá nhân 2023 phân loại dữ liệu cá nhân thành hai loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Các tổ chức cần phải hiểu và đảm bảo việc thu thập, xử lý và lưu trữ dữ liệu này tuân thủ các ràng buộc pháp lý.

Bước 3: Đảm bảo sự đồng ý của khách hàng 

Sự đồng thuận của chủ thể dữ liệu là yếu tố quan trọng trong việc lưu trữ và chuyển giao dữ liệu cá nhân của họ. Các tổ chức cần cung cấp thông tin rõ ràng và minh bạch cho khách hàng để xin phép sự đồng thuận cho việc lưu trữ và xử lý dữ liệu cá nhân.

Mỗi cá nhân có quyền biết dữ liệu cá nhân của mình được lưu trữ ở đâu và được xử lý như thế nào. Họ cũng có quyền khiếu nại nếu tổ chức lưu trữ thông tin không chính xác và yêu cầu sửa chữa hoặc xóa thông tin đã được lưu trữ.

Lưu ý rằng việc đồng thuận không chỉ dừng ở việc xử lý dữ liệu cá nhân. Nghị định 13 cũng tương tự như GDPR: yêu cầu tuân thủ các nguyên tắc, bao gồm quá trình xử lý dữ liệu phải (i) đúng quy định pháp luật; (ii) minh bạch; (iii) chỉ được thực hiện cho (các) mục đích đã tuyên bố; (iv) giới hạn trong mục đích và phạm vi nhất định; (v) sử dụng dữ liệu được cập nhật, bổ sung phù hợp với mục đích; và (vi) phải bảo mật; đồng thời (vii) đảm bảo dữ liệu chỉ được lưu trữ trong khoảng thời gian phù hợp và (viii) các tổ chức chịu trách nhiệm giải trình về tính tuân thủ này.

Bước 4: Bảo vệ dữ liệu và thông báo/báo cáo sự cố, vi phạm 

Tổ chức, doanh nghiệp cần có các hoạt động hỗ trợ kỹ thuật để đảm bảo an ninh thông tin và ngăn chặn việc rò rỉ thông tin cá nhân của khách hàng. Tuy nhiên, nếu xảy ra việc lộ thông tin, sự cố đó phải được thông báo cho cả doanh nghiệp và các cá nhân bị ảnh hưởng. 

Tương tự như quy định trong GDPR, Luật Bảo vệ dữ liệu cá nhân Việt Nam cũng yêu cầu các doanh nghiệp phải báo cáo việc lộ thông tin cho các cơ quan có thẩm quyền trong vòng 72 giờ kể từ khi phát hiện việc lộ thông tin.

Bước 5: Giám sát việc chuyển giao dữ liệu

Cũng như GDPR, PDPD đặt ra yêu cầu cao về hạn chế việc chuyển giao dữ liệu cá nhân. Các doanh nghiệp cần có các quy định và biện pháp để ngăn chặn việc chuyển giao dữ liệu không hợp pháp. Việc chuyển giao dữ liệu ra nước ngoài phải tuân thủ theo quy định của Nghị định 13 và các quy định về truy xuất nội dung dữ liệu. 

Trong trường hợp chuyển dữ liệu cá nhân vi phạm lợi ích hoặc an ninh quốc gia, Bộ Công an có quyền ngăn chặn mọi hoạt động chuyển dữ liệu cá nhân ra nước ngoài.

the pdpd like the gdpr establishes stringent requirements for restricting the transfer of personal data

3. Giải pháp công nghệ của R Digital có thể giúp gì cho doanh nghiệp

Khi Nghị định Bảo vệ dữ liệu cá nhân 2023 có hiệu lực, các công ty cần không chỉ chuẩn bị hồ sơ và thủ tục để đáp ứng yêu cầu của Nghị định, mà còn cần thay đổi công nghệ để phù hợp với hoạt động quản lý và kinh doanh của tổ chức. Đây là một bước quan trọng và cần thiết để đảm bảo tuân thủ các quy định và giảm thiểu rủi ro pháp lý cũng như tác động tiêu cực đến danh tiếng của tổ chức.

R Digital hỗ trợ doanh nghiệp triển khai công nghệ mã nguồn mở (open source) ưu tiên quyền riêng tư và bảo vệ dữ liệu người dùng. Bao gồm:

  • Công nghệ phân tích AesirX Analytics

AesirX Analytics là giải pháp thay thế Google Analytics tốt nhất hiện nay và hoàn toàn miễn phí. 

Google Analytics (GA) cũng cung cấp một công cụ phân tích miễn phí, tuy nhiên, các cơ quan bảo vệ dữ liệu tại nhiều quốc gia cho rằng công cụ này không thể được sử dụng nữa vì nó không tuân thủ các tiêu chuẩn Quy định chung về bảo vệ dữ liệu (GDPR). 

Hơn nữa, GA sử dụng cookie để thu thập thông tin và báo cáo số liệu thống kê. Việc cookie đang ngày càng bị cấm và chặn bởi nhiều trình duyệt đã dẫn đến việc GA bị thiếu dữ liệu và phân tích không hiệu quả do khách truy cập từ chối quyền và không cho phép theo dõi. 

Trong khi đó, giải pháp AesirX Analytics do R Digital cung cấp tuân thủ đầy đủ các quy định GDPR, CPRA, v.v… Đặc biệt, AesirX Analytics thu thập dữ liệu bên thứ nhất (first-party data), phân tích hợp pháp và có hiệu quả hơn 30% so với các công cụ thông thường.

  • Công nghệ đăng nhập một lần AesirX Single Sign On (SSO)

Giải pháp SSO mang lại lợi ích bảo vệ dữ liệu cho cá nhân và tổ chức theo một số cách. Chẳng hạn như: chỉ một lần đăng nhập có thể truy cập vào nhiều website/ứng dụng, giúp hạn chế việc quên mật khẩu và khuyến khích người dùng sử dụng mật khẩu mạnh hơn, bảo mật hơn. Cải thiện năng suất và giảm thời gian đăng nhập. Giảm chi phí và khối lượng công việc cho đội ngũ nhân sự và CNTT. Nâng cao khả năng bảo mật và cung cấp trải nghiệm khách hàng tốt hơn.

  • Giải pháp định danh AesirX WEB3 ID

Giải pháp AesirX WEB3 ID sử dụng công nghệ bảo mật Concordium zero knowledge và blockchain để bảo vệ dữ liệu cá nhân. Đây là một giải pháp xác minh danh tính mới, tập trung vào quyền riêng tư, giúp người dùng xác minh danh tính của họ mà không cần tiết lộ thông tin cá nhân. 

Tuân thủ Luật Bảo vệ dữ liệu cá nhân là một yêu cầu cấp bách đối với doanh nghiệp. Từ việc thu thập, lưu trữ đến xử lý thông tin cá nhân trên Internet, cần áp dụng các biện pháp phù hợp. R Digital hiểu tầm quan trọng của quyền riêng tư dữ liệu và các quy định hiện hành. Chúng tôi sẵn sàng hỗ trợ doanh nghiệp tiếp cận công nghệ hợp pháp mới và cải tiến giải pháp kỹ thuật số hiện tại. Hãy liên hệ R Digital để nhận tư vấn miễn phí và kiểm tra mức độ tuân thủ Luật bảo vệ dữ liệu cá nhân của website và giải pháp thương mại điện tử của bạn.

TƯ V ẤN MIỄN PHÍ VÀ KIỂM TRA TUÂN THỦ 

Gặp phải thách thức tương tự?

LIÊN HỆ VỚI CHÚNG TÔI