Khi các doanh nghiệp tại Việt Nam mở rộng hoạt động số, việc xử lý dữ liệu cá nhân ngày càng trở nên quan trọng hơn bao giờ hết. Các công ty phải đối mặt với áp lực gia tăng không chỉ trong việc bảo vệ thông tin mà còn phải thực hiện điều đó trong một cấu trúc rõ ràng và tuân thủ pháp luật. Đáp lại yêu cầu này, Chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân (PDPD), có hiệu lực từ ngày 1 tháng 7 năm 2023. Mặc dù nghị định này đánh dấu một bước tiến quan trọng nhằm đưa Việt Nam tiến gần hơn tới các tiêu chuẩn quốc tế về quyền riêng tư dữ liệu, nhiều doanh nghiệp vẫn chưa rõ cách tuân thủ, đặc biệt là về các nghĩa vụ cốt lõi liên quan đến sự đồng ý, thu thập dữ liệu và kiểm soát dữ liệu. 

Bài viết này sẽ phân tích các khái niệm chính của PDPD và giải thích những điều mà các doanh nghiệp đang hoạt động tại Việt Nam cần nắm rõ để đáp ứng trách nhiệm pháp lý của mình. 

Tổng quan về Nghị định Bảo vệ Dữ liệu Cá nhân của Việt Nam (PDPD) 

Nghị định số 13 là quy định toàn diện đầu tiên của Việt Nam về quyền riêng tư dữ liệu, được ban hành nhằm lấp đầy khoảng trống lâu nay trong hệ thống pháp luật về vấn đề bảo vệ dữ liệu cá nhân. Nghị định áp dụng cho cả tổ chức Việt Nam và tổ chức nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, dù việc xử lý dữ liệu được thực hiện trong nước hay từ xa từ nước ngoài. 

Nghị định định nghĩa rộng về các khái niệm như sau: 

• Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc ở các dạng tương tự trong môi trường điện tử, gắn với một cá nhân cụ thể hoặc giúp xác định danh tính một cá nhân cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 

• Dữ liệu nhạy cảm là các dữ liệu liên quan đến sức khỏe, tài chính, dân tộc, quan điểm chính trị, vị trí địa lý, và các thông tin tương tự khác. 

Nghị định Bảo vệ Dữ liệu Cá nhân (PDPD) đặt ra các nghĩa vụ đối với bên kiểm soát dữ liệu (tổ chức/cá nhân quyết định mục đích và cách thức xử lý dữ liệu cá nhân) và bên xử lý dữ liệu (tổ chức/cá nhân thực hiện xử lý dữ liệu thay mặt bên kiểm soát dữ liệu), đồng thời quy định các quyền của chủ thể dữ liệu (cá nhân mà dữ liệu cá nhân của họ được thu thập với sự đồng ý hoặc cho phép của họ). 

Sự đồng ý: Nền tảng của việc xử lý dữ liệu hợp pháp 

Theo Nghị định PDPD, sự đồng ý là yêu cầu cơ bản và bắt buộc trong việc xử lý dữ liệu cá nhân. Để được coi là hợp lệ, sự đồng ý phải: 

• Được đưa ra một cách tự nguyện 

• Nêu ra cụ thể đối với từng mục đích xử lý 

• Được cung cấp dựa trên thông tin rõ ràng và đầy đủ 

• Rõ ràng, thể hiện qua hành vi xác nhận rõ ràng  

Đối với dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rõ rằng dữ liệu sẽ được xử lý thuộc loại dữ liệu nhạy cảm. Việc xử lý dữ liệu, dù là dữ liệu cá nhân cơ bản hay dữ liệu nhạy cảm, đều yêu cầu sự đồng ý rõ ràng của chủ thể dữ liệu, và sự đồng ý này phải được thể hiện dưới hình thức có thể in ra hoặc sao chép thành văn bản, bao gồm dạng điện tử hoặc định dạng có thể xác minh được. 

Doanh nghiệp có trách nhiệm đảm bảo chủ thể dữ liệu được thông tin đầy đủ về những nội dung như: loại dữ liệu nào đang được thu thập, mục đích sử dụng, bên nào sẽ được chia sẻ dữ liệu, và thời gian lưu trữ dữ liệu. Chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào, và bên kiểm soát dữ liệu phải ngay lập tức ngừng xử lý dữ liệu khi nhận được yêu cầu rút lại sự đồng ý. 

Có một số ngoại lệ hạn chế, cho phép xử lý dữ liệu mà không cần sự đồng ý của chủ thể dữ liệu, chẳng hạn: thực hiện nghĩa vụ hợp đồng, tuân thủ quy định pháp luật, trong tình huống khẩn cấp hoặc theo yêu cầu của cơ quan có thẩm quyền. Tuy nhiên, các ngoại lệ này được quy định rất chặt chẽ và phải được đánh giá cẩn trọng trước khi áp dụng. 

Thu thập dữ liệu: Được phép và không được phép làm gì 

Nghị định PDPD quy định rằng dữ liệu cá nhân chỉ được thu thập cho các mục đích hợp pháp, rõ ràng và minh bạch. Doanh nghiệp không được thu thập dữ liệu một cách rộng rãi, mơ hồ hoặc không cần thiết. 

Các nguyên tắc chính bao gồm: 

• Dữ liệu phải được thu thập một cách tương xứng, tức là không vượt quá mức cần thiết cho mục đích đã nêu 

• Chủ thể dữ liệu phải được thông báo trước khi thu thập, bao gồm mục đích xử lý, các bên liên quan và thời gian lưu trữ dữ liệu 

• Phương thức thu thập phải minh bạch và không được gây hiểu lầm 

• Các hành vi vi phạm như phân tích hồ sơ trái phép, theo dõi ngầm, hoặc sử dụng dữ liệu từ bên thứ ba mà không có sự đồng ý đều bị nghiêm cấm 

Việc lưu trữ dữ liệu cần giới hạn trong thời gian cần thiết cho mục đích ban đầu, sau đó phải được xóa hoặc ẩn danh, trừ khi pháp luật có quy định khác. 

Kiểm soát dữ liệu: Trách nhiệm của bên kiểm soát và xử lý dữ liệu 

Bên kiểm soát và bên xử lý dữ liệu có rất nhiều trách nhiệm khác nhau theo quy định của PDPD. Một số nghĩa vụ chính bao gồm: 

• Nhân sự phụ trách bảo vệ dữ liệu cá nhân (DPO): Bên kiểm soát và xử lý dữ liệu phải chỉ định người giám sát việc tuân thủ quy định về bảo mật dữ liệu 

• Đánh giá tác động dữ liệu: Cần thực hiện đánh giá tác động bảo vệ dữ liệu (DPIA) đối với bất kỳ hoạt động nào có rủi ro cao đối với chủ thể dữ liệu 

• Chuyển dữ liệu ra nước ngoài: Bên kiểm soát phải đánh giá và thông báo cho Bộ Công an trước khi thực hiện việc chuyển dữ liệu cá nhân ra nước ngoài 

• Biện pháp bảo mật: Phải triển khai đầy đủ các biện pháp kỹ thuật và tổ chức phù hợp để ngăn chặn việc truy cập trái phép, rò rỉ hoặc mất dữ liệu 

• Thông báo sự cố: Các sự cố liên quan đến dữ liệu cá nhân phải được báo cáo trong vòng 72 giờ 

Ngoài ra, bên kiểm soát còn phải cung cấp cơ chế để chủ thể dữ liệu được truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu cá nhân của họ. 

Chế tài đối với hành vi không tuân thủ 

Mặc dù Nghị định PDPD hiện tại chủ yếu quy định các hình thức xử phạt hành chính thay vì xử lý hình sự, nhưng hậu quả có thể vẫn rất nghiêm trọng: 

• Mức phạt có thể dao động từ cảnh cáo đến phạt khoản tiền lớn, tùy thuộc vào tính chất và mức độ vi phạm 

• Cơ quan quản lý có thể ra quyết định đình chỉ hoạt động xử lý dữ liệu hoặc yêu cầu kiểm tra thêm 

• Trong tương lai, trách nhiệm hình sự có thể được áp dụng đối với các vi phạm nghiêm trọng, đặc biệt là các hành vi mua bán dữ liệu hoặc cố ý lạm dụng dữ liệu  

Tác động lớn nhất từ việc xử lý dữ liệu cá nhân một cách bất cẩn chính là thiệt hại về uy tín và mất lòng tin từ phía người dùng. 

Chuyển dữ liệu ra nước ngoài theo quy định của PDPD 

Một trong những lĩnh vực tuân thủ quan trọng nhất theo Nghị định Bảo vệ Dữ liệu Cá nhân (PDPD) là việc chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam. Các doanh nghiệp lưu trữ dữ liệu trên máy chủ ở nước ngoài hoặc chia sẻ thông tin với các công ty liên kết nước ngoài cần đặc biệt lưu ý các yêu cầu pháp lý cụ thể. 

Trước khi thực hiện chuyển dữ liệu xuyên biên giới, bên kiểm soát dữ liệu phải tiến hành Đánh giá Tác động của Việc Chuyển Dữ liệu (Data Transfer Impact Assessment – DTIA) và gửi báo cáo cho Bộ Công an (MPS). Nội dung đánh giá phải xem xét các yếu tố như: tính chất của dữ liệu được chuyển, biện pháp bảo vệ dữ liệu của bên nhận, và các rủi ro tiềm ẩn đối với chủ thể dữ liệu. 

Việc chuyển dữ liệu xuyên biên giới chỉ được phép thực hiện khi đã có các biện pháp bảo vệ phù hợp, đồng thời doanh nghiệp phải lưu giữ đầy đủ bằng chứng về sự đồng ý của chủ thể dữ liệu, nếu có yêu cầu. Bộ Công an (MPS) có thể yêu cầu bổ sung hồ sơ, tài liệu hoặc áp đặt các hạn chế, tùy thuộc vào quốc gia nhận dữ liệu và mức độ nhạy cảm của dữ liệu được chuyển.. 

Tổ chức không tuân thủ các quy định này có thể đối mặt với việc bị đình chỉ hoạt động chuyển dữ liệu, bị cơ quan quản lý giám sát chặt chẽ hoặc ảnh hưởng tiêu cực đến uy tín doanh nghiệp. 

Các cách doanh nghiệp có thể chuẩn bị 

Tuân thủ pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam đòi hỏi một cách tiếp cận chiến lược và chủ động, cụ thể như sau: 

• Thực hiện kiểm toán dữ liệu (data audit) để lập bản đồ cách dữ liệu cá nhân được thu thập, xử lý, lưu trữ và chia sẻ trong từng phòng ban và hệ thống. Việc này giúp nhận diện các lỗ hổng và đánh giá các khu vực tiềm ẩn rủi ro. 

• Cập nhật các thông báo quyền riêng tư (privacy notices) và mẫu xin ý kiến đồng ý (consent forms) để đảm bảo chúng rõ ràng, cụ thể theo mục đích và tuân thủ các yêu cầu của PDPD về tính minh bạch và quyền kiểm soát của người dùng. 

• Xây dựng quy trình tuân thủ chuyên biệt cho từng bộ phận, đặc biệt với các phòng ban xử lý khối lượng lớn dữ liệu cá nhân như nhân sự, dịch vụ khách hàng, và Marketing số. Những bộ phận này cần được trang bị quy trình cụ thể, thực tiễn, thay vì chỉ dừng lại ở các khóa đào tạo nhận thức chung. 

• Chỉ định cán bộ phụ trách bảo vệ dữ liệu cá nhân (Data Protection Officer – DPO) và thiết lập các quy trình nội bộ để ghi nhận hoạt động xử lý dữ liệu, xử lý yêu cầu của chủ thể dữ liệu, cũng như ứng phó kịp thời khi xảy ra sự cố an ninh thông tin. 

• Tham khảo ý kiến tư vấn pháp lý để rà soát và củng cố mô hình quản trị dữ liệu, bao gồm chiến lược chuyển dữ liệu ra nước ngoài và quản lý nhà cung cấp bên thứ ba. Ngoài ra, các biện pháp bảo vệ dữ liệu cá nhân (cả quản lý và kỹ thuật) phải được áp dụng ngay từ đầu và xuyên suốt quá trình xử lý dữ liệu. 

Chuẩn bị sớm không chỉ giúp giảm thiểu rủi ro pháp lý mà còn thể hiện cam kết của doanh nghiệp đối với việc xử lý dữ liệu cá nhân một cách đạo đức và minh bạch. 

Kết luận 

Việc ban hành Nghị định PDPD đánh dấu một bước ngoặt lớn trong cách doanh nghiệp tại Việt Nam tiếp cận dữ liệu cá nhân. Khi Chính phủ ưu tiên vấn đề bảo vệ dữ liệu và các cơ chế thực thi ngày càng hoàn thiện, các công ty không còn có thể xem quyền riêng tư như một vấn đề phụ. Việc không tuân thủ giờ đây đi kèm với những hệ quả thực tế — từ tiền phạt, giám sát của cơ quan chức năng cho đến thiệt hại về uy tín và mất lòng tin từ người tiêu dùng. 

Việc hiểu và áp dụng đúng các cốt lõi trong sự đồng thuận, thu thập dữ liệu và kiểm soát dữ liệu không còn chỉ mang tính hình thức, mà giờ là cách xây dựng tính uy tín trong môi trường kinh doanh ưu tiên công nghệ số. 

Lê & Trần là công ty luật hàng đầu tại Việt Nam với chuyên môn sâu trong lĩnh vực bảo vệ dữ liệu, an ninh mạng và tuân thủ quy định pháp luật. Chúng tôi hỗ trợ các khách hàng trong và ngoài nước điều hướng hệ thống quy định về bảo mật dữ liệu tại Việt Nam và xây dựng các khung quản trị pháp lý vững chắc, phù hợp với thực tiễn và kiểm soát rủi ro hiệu quả. 

Để nhận được sự tư vấn chuyên nghiệp về bảo vệ dữ liệu cá nhân tại Việt Nam, vui lòng liên hệ với chúng tôi qua email: info@letranlaw.com.