Trong kinh doanh, doanh nghiệp thường xuyên phải tiếp xúc với dữ liệu cá nhân khách hàng, người lao động. Vô tình hay cố ý, doanh nghiệp đôi khi đặt mục tiêu tối ưu hóa chiến lược kinh doanh cao hơn trách nhiệm đạo đức về bảo vệ quyền riêng tư. Có không ít hệ lụy đã phát sinh đối với chính doanh nghiệp lẫn xã hội từ đó.

Tuy nhiên, sắp tới, doanh nghiệp nhiều khả năng cần thận trọng hơn trong việc thu thập, tiết lộ và chuyển giao các dữ liệu trên. Từ đầu tháng 02/2021, Bộ Công an đang tiến hành lấy ý kiến người dân trong 60 ngày trước khi trình Chính phủ thông qua đối với dự thảo Nghị định bảo vệ dữ liệu cá nhân, trong đó có nhiều quy định đáng chú ý liên quan trách nhiệm của doanh nghiệp.

Tiết lộ và biện pháp bảo vệ dữ liệu

Dự thảo dự kiến phân loại dữ liệu cá nhân thành (1) dữ liệu cơ bản (họ tên, ngày sinh, số điện thoại, giấy tờ tùy thân, v.v.) và (2) dữ liệu nhạy cảm (sức khỏe, xu hướng tình dục, thẻ tín dụng, v.v.). Mức độ bảo vệ đối với dữ liệu nhạy cảm cao hơn dữ liệu cơ bản. Chẳng hạn, nguyên tắc chung là doanh nghiệp chỉ được tiết lộ cho bên thứ ba nếu cá nhân đồng ý trước. Nhưng đối với dữ liệu nhạy cảm thì doanh nghiệp hoàn toàn không được tiết lộ và ngoài ra còn phải đăng ký với nhà nước trước khi xử lý dữ liệu.

Tuy nhiên, có một số ngoại lệ áp dụng để tiết lộ dữ liệu mà không cần cá nhân đồng ý: (1) theo quy định pháp luật; (2) công bố hợp pháp trên báo chí mà không gây thiệt hại cho cá nhân; (3) vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội, đạo đức xã hội, sức khỏe cộng đồng; (4) trường hợp khẩn cấp theo pháp luật, nguy cơ đe dọa tính mạng, ảnh hưởng nghiêm trọng sức khỏe cá nhân, cộng đồng. Cần lưu ý, mục đích kinh doanh thuần túy không có tên trong danh sách này.

Dự thảo cũng đề xuất doanh nghiệp thực hiện nhiều biện pháp bảo vệ dữ liệu, chẳng hạn: (1) biện pháp kỹ thuật (khử nhận dạng, mã hóa thông tin, lưu trữ, trích xuất, v.v nhằm phòng ngừa dữ liệu bị đánh cắp); (2) ban hành quy chế, thành lập bộ phận, nhân viên chuyên trách bảo vệ dữ liệu, xử lý khiếu nại liên quan. Như vậy, trong thời gian tới, nhiều doanh nghiệp có thể cần phải chú ý đào tạo nhân lực, nâng cấp công nghệ nhằm triển khai các biện pháp này. 

Chuyển dữ liệu cá nhân qua biên giới – lần đầu tiên được quy định!

Hiện nay, nỗi lo mất “chủ quyền dữ liệu” khiến nhiều nước thắt chặt quản lý dữ liệu xuyên biên giới. Cùng cảm hứng đó, dự thảo đề xuất 04 điều kiện mới phải đáp ứng để doanh nghiệp chuyển dữ liệu người dùng ở Việt Nam ra nước ngoài: (1) được cá nhân đồng ý; (2) phải lưu trữ dữ liệu gốc tại Việt Nam; (3) nước nhận dữ liệu phải bảo vệ dữ liệu bằng hoặc cao hơn Việt Nam và (4) được nhà nước gật đầu.

Như vậy, doanh nghiệp sẽ cần “Ủy ban bảo vệ dữ liệu cá nhân”, một cơ quan dự kiến được thành lập thuộc Chính phủ, chấp thuận trước khi chuyển dữ liệu. Tính hợp lý và khả thi của quy định tiền kiểm này còn là dấu hỏi. Tuy nhiên, không khó để thấy gánh nặng thủ tục và trách nhiệm trên vai doanh nghiệp nếu Chính phủ thông qua đề xuất trên.

Sẽ phạt nặng doanh nghiệp vi phạm

Dự thảo đề xuất phạt tiền đồng thời đình chỉ xử lý dữ liệu, tước quyền sử dụng dữ liệu nhạy cảm và chuyển dữ liệu ra nước ngoài đối với doanh nghiệp vi phạm. Mức phạt dao động từ 50 triệu đến 100 triệu hoặc đến 5% tổng doanh thu tùy hành vi và mức độ .

Nghị định bảo vệ dữ liệu cá nhân dự kiến được thông qua và có hiệu lực từ ngày 01/12/2021.