Trong thời đại số, dữ liệu cá nhân trở thành tài sản quan trọng nhưng cũng là lĩnh vực nhạy cảm về pháp lý. Hầu hết doanh nghiệp đều thu thập và xử lý dữ liệu cá nhân của khách hàng, nhân viên, đối tác. Tại Việt Nam, văn bản pháp lý chuyên biệt đầu tiên điều chỉnh toàn diện lĩnh vực này là Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, được ban hành ngày 17/4/2023 và có hiệu lực từ ngày 01/7/2023. Đây là văn bản mà mọi doanh nghiệp cần nắm vững để tránh rủi ro pháp lý ngày càng được giám sát chặt chẽ.

Phạm vi áp dụng rộng

Một đặc điểm quan trọng của Nghị định 13 là phạm vi áp dụng rất rộng. Nghị định áp dụng đối với cơ quan, tổ chức, cá nhân trong nước và nước ngoài có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam, bao gồm dữ liệu của người lao động, khách hàng, nhà cung cấp, người dùng và các cá nhân khác, kể cả khi việc xử lý dữ liệu được thực hiện ngoài lãnh thổ Việt Nam. Điều này có nghĩa gần như mọi doanh nghiệp đang hoạt động đều thuộc đối tượng điều chỉnh.

Phân loại dữ liệu và nguyên tắc xử lý

Nghị định 13 phân biệt giữa dữ liệu cá nhân cơ bảndữ liệu cá nhân nhạy cảm. Dữ liệu nhạy cảm, như thông tin về sức khỏe, đời sống tình dục, quan điểm chính trị, dữ liệu về tội phạm, thông tin tài chính, được áp dụng các nghĩa vụ xử lý và bảo vệ bổ sung chặt chẽ hơn. Doanh nghiệp cần rà soát loại dữ liệu mình đang nắm giữ để xác định đúng nghĩa vụ tương ứng.

Nghị định đặt ra các nguyên tắc bảo vệ dữ liệu cá nhân mà doanh nghiệp phải tuân thủ, bao gồm xử lý dữ liệu đúng mục đích đã thông báo, chỉ thu thập dữ liệu phù hợp và trong phạm vi cần thiết, bảo đảm tính chính xác và áp dụng biện pháp bảo vệ an toàn cho dữ liệu.

Sự đồng ý của chủ thể dữ liệu

Một nền tảng cốt lõi của Nghị định 13 là yêu cầu về sự đồng ý của chủ thể dữ liệu. Về nguyên tắc, việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể, trừ các trường hợp pháp luật có quy định khác. Sự đồng ý phải được thể hiện rõ ràng, cụ thể và chủ thể dữ liệu phải được biết rõ về loại dữ liệu được xử lý, mục đích xử lý, các bên được tiếp cận dữ liệu và quyền của mình. Doanh nghiệp cần thiết kế lại các biểu mẫu thu thập thông tin, chính sách bảo mật và cơ chế lấy đồng ý cho phù hợp.

Quyền của chủ thể dữ liệu

Nghị định 13 ghi nhận nhiều quyền cho chủ thể dữ liệu, như quyền được biết, quyền đồng ý hoặc không đồng ý, quyền truy cập, quyền yêu cầu chỉnh sửa, quyền yêu cầu xóa dữ liệu, quyền hạn chế xử lý, quyền phản đối xử lý và quyền khiếu nại. Tương ứng, doanh nghiệp với tư cách là bên kiểm soát hoặc bên xử lý dữ liệu phải có cơ chế để tiếp nhận và đáp ứng các yêu cầu này của khách hàng và người lao động trong thời hạn luật định.

Nghĩa vụ tổ chức và đánh giá tác động

Doanh nghiệp xử lý dữ liệu cá nhân phải chỉ định nhân sự hoặc bộ phận có chức năng phụ trách bảo vệ dữ liệu cá nhân. Bên cạnh đó, Nghị định yêu cầu lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, và đối với hoạt động chuyển dữ liệu cá nhân ra nước ngoài, phải lập hồ sơ đánh giá tác động chuyển dữ liệu. Các hồ sơ này phải được lưu giữ và sẵn sàng phục vụ việc kiểm tra của cơ quan có thẩm quyền.

Lộ trình tuân thủ và tư vấn pháp lý

Nghị định 13 quy định một thời hạn chuyển tiếp nhất định đối với một số đối tượng như doanh nghiệp siêu nhỏ, nhỏ, vừa và doanh nghiệp khởi nghiệp không trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, đây chỉ là sự linh hoạt có giới hạn; về dài hạn, mọi doanh nghiệp đều cần xây dựng hệ thống tuân thủ đầy đủ.

Việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân là một quá trình đòi hỏi rà soát toàn diện. Luật sư tư vấn giúp doanh nghiệp xác định luồng dữ liệu, phân loại dữ liệu, soạn thảo chính sách bảo mật và cơ chế lấy đồng ý, xây dựng quy trình ứng phó khi xảy ra sự cố, và chuẩn bị các hồ sơ đánh giá tác động. Đầu tư vào tuân thủ dữ liệu không chỉ giúp tránh rủi ro pháp lý mà còn nâng cao uy tín và niềm tin của khách hàng đối với doanh nghiệp.

Quan hệ với bên thứ ba và xử lý dữ liệu

Trong thực tế, nhiều doanh nghiệp thuê các bên thứ ba để xử lý dữ liệu, chẳng hạn như dịch vụ lưu trữ đám mây, đơn vị tiếp thị hoặc nền tảng phân tích. Khi đó, doanh nghiệp với tư cách bên kiểm soát dữ liệu vẫn phải chịu trách nhiệm bảo đảm bên xử lý tuân thủ đúng quy định. Do vậy, hợp đồng với các bên cung cấp dịch vụ cần có điều khoản rõ ràng về phạm vi xử lý, mục đích, biện pháp bảo mật và trách nhiệm khi xảy ra sự cố. Việc rà soát chuỗi xử lý dữ liệu và ràng buộc trách nhiệm của đối tác bằng hợp đồng là một phần không thể thiếu trong hệ thống tuân thủ bảo vệ dữ liệu cá nhân của doanh nghiệp.

Cần luật sư hỗ trợ vấn đề này?

Tham khảo dịch vụ Tư vấn pháp luật thường xuyên cho doanh nghiệp của Công ty Luật TNHH MULTILAW — tư vấn miễn phí, minh bạch chi phí, đại diện trực tiếp tại Tòa án. Hotline: 0946 220 880.

Lưu ý: Nội dung bài viết chỉ mang tính chất tham khảo, không thay thế cho ý kiến tư vấn pháp lý chính thức đối với từng trường hợp cụ thể. Quy định pháp luật có thể thay đổi theo thời điểm áp dụng. Để được tư vấn chính xác, vui lòng liên hệ Công ty Luật TNHH MULTILAW — Hotline 0946 220 880.