Tính đến thời điểm hiện nay thì Nghị định 13/2023/NĐ-CP là văn bản đang có hiệu lực thi hành quy định các vấn đề về bảo vệ dữ liệu cá nhân cũng như trách nhiệm thực hiện các thủ tục về đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp. Tuy nhiên trước tốc độ phát triển của công nghệ số và thương mại điện tử thì dường như Nghị định 13 đang chưa dự liệu được hết các vấn đề có thể phát sinh. Chính vì vậy để đáp ứng nhu cầu bảo vệ quyền lợi của người dân và đảm bảo an ninh dữ liệu trong môi trường số, dự thảo Luật Bảo vệ Dữ liệu Cá nhân đã được xây dựng, đưa ra các quy định chi tiết về việc thu thập, xử lý và sử dụng dữ liệu cá nhân.

Bài viết này sẽ đánh giá các tác động của việc xử lý dữ liệu cá nhân theo quy định của dự thảo luật, đồng thời phân tích vai trò của luật pháp trong việc bảo vệ quyền riêng tư của công dân trong bối cảnh mới.

1. Đánh giá tác động xử lý dữ liệu cá nhân và trách nhiệm của bên kiểm soát dữ liệu

Ngay khi bắt đầu quy trình xử lý dữ liệu cá nhân, các bên kiểm soát và xử lý dữ liệu phải lập hồ sơ đánh giá tác động và duy trì hồ sơ này. Điều này có vai trò quan trọng trong việc thiết lập nền tảng để kiểm soát và giám sát việc xử lý dữ liệu, giúp hạn chế các rủi ro tiềm ẩn ngay từ giai đoạn đầu.

Việc lưu trữ hồ sơ cũng đảm bảo khả năng truy xuất và giám sát liên tục từ các cơ quan quản lý, giúp tăng cường tính minh bạch và tuân thủ pháp luật.

Chi tiết các thông tin trong hồ sơ đánh giá tác động:

• Thông tin liên hệ và trách nhiệm: Quy định đòi hỏi các tổ chức kiểm soát và xử lý dữ liệu cung cấp thông tin chi tiết về tổ chức và chuyên gia bảo vệ dữ liệu. Điều này nhằm đảm bảo mọi cá nhân có thể tìm kiếm thông tin và yêu cầu hỗ trợ khi cần thiết, đồng thời tăng cường trách nhiệm của các tổ chức liên quan.
• Mục đích và loại dữ liệu được xử lý: Việc ghi rõ mục đích và phân loại các loại dữ liệu cá nhân sẽ giúp kiểm soát tốt hơn, ngăn chặn việc thu thập và xử lý dữ liệu ngoài mục đích đã đăng ký, từ đó giảm thiểu nguy cơ dữ liệu cá nhân bị lạm dụng.
• Danh sách bên nhận dữ liệu và quy định chuyển ra nước ngoài: Việc công khai danh tính các tổ chức, cá nhân nhận dữ liệu trong và ngoài nước giúp kiểm soát chặt chẽ việc chia sẻ dữ liệu, đặc biệt trong bối cảnh nhiều quốc gia có yêu cầu khác nhau về bảo mật dữ liệu. Điều này là thiết yếu để bảo vệ quyền lợi của công dân khi dữ liệu cá nhân có thể được chuyển qua biên giới và tiếp xúc với các rủi ro về bảo mật khác.
• Thời gian xử lý và hủy dữ liệu: Quy định về thời gian xử lý và dự kiến xóa hoặc hủy dữ liệu mang ý nghĩa đảm bảo rằng dữ liệu cá nhân chỉ tồn tại trong một khoảng thời gian hợp lý, phục vụ đúng mục đích đã cam kết. Khi hết thời gian này, dữ liệu phải được xóa hoặc hủy, ngăn ngừa việc lưu trữ không cần thiết dẫn đến nguy cơ mất kiểm soát và rò rỉ dữ liệu.
• Biện pháp bảo vệ và đánh giá mức độ tuân thủ: Các tổ chức kiểm soát dữ liệu bắt buộc phải mô tả rõ ràng về biện pháp bảo vệ dữ liệu cá nhân đã áp dụng, cũng như đánh giá mức độ tuân thủ các quy định pháp luật về bảo vệ dữ liệu. Điều này không chỉ giúp bảo đảm việc xử lý dữ liệu tuân thủ đúng các tiêu chuẩn bảo mật mà còn tạo điều kiện để cải thiện quy trình bảo mật theo thời gian.
• Đánh giá rủi ro và các biện pháp giảm thiểu

Một điểm nổi bật trong Điều 44 là yêu cầu các bên kiểm soát dữ liệu phải đánh giá mức độ ảnh hưởng và dự báo hậu quả, thiệt hại không mong muốn có thể xảy ra trong quá trình xử lý dữ liệu. Thông qua đánh giá này, các tổ chức có thể xác định các rủi ro và từ đó đưa ra các biện pháp giảm thiểu hoặc loại bỏ nguy cơ gây tổn hại đến quyền riêng tư và an toàn của người dùng.

Việc phân tích và phòng ngừa các hậu quả tiềm ẩn tạo ra quy trình xử lý dữ liệu an toàn và chủ động hơn, tránh tình trạng xử lý dữ liệu thiếu kiểm soát và dẫn đến các sự cố bảo mật.

• Yêu cầu văn bản xếp hạng tín nhiệm bảo vệ dữ liệu

Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân là một điểm mới, nhằm đánh giá và công nhận những tổ chức đạt được tiêu chuẩn cao trong bảo vệ dữ liệu cá nhân. Điều này sẽ giúp công dân có thêm công cụ để nhận diện và tin tưởng vào các tổ chức bảo vệ tốt dữ liệu của họ.

Đồng thời, đây cũng là yếu tố khuyến khích các tổ chức, doanh nghiệp cạnh tranh lành mạnh trong việc nâng cao mức độ bảo vệ dữ liệu, góp phần xây dựng một môi trường số an toàn và đáng tin cậy.

Điều 44 của dự thảo Luật Bảo vệ Dữ liệu Cá nhân không chỉ đưa ra khung pháp lý cụ thể mà còn thúc đẩy các tổ chức, doanh nghiệp phải đề cao trách nhiệm trong quản lý dữ liệu cá nhân. Quy định này không chỉ nhằm giảm thiểu rủi ro, bảo vệ quyền riêng tư cho cá nhân mà còn tạo dựng nền tảng bền vững cho sự phát triển của nền kinh tế số. Thực hiện nghiêm túc các quy định sẽ giúp Việt Nam dần tiệm cận với các chuẩn mực quốc tế về bảo vệ dữ liệu, củng cố niềm tin và sự ủng hộ từ người dân trong thời đại công nghệ thông tin bùng nổ.

2. Quy định về Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân do Bên Xử lý thực hiện

Theo quy định trong Dự thảo Luật Bảo vệ Dữ liệu Cá nhân, bên xử lý dữ liệu cá nhân có trách nhiệm lập và lưu giữ hồ sơ đánh giá tác động của các hoạt động xử lý dữ liệu được thực hiện thay mặt cho bên kiểm soát dữ liệu cá nhân. Hồ sơ này nhằm đảm bảo các quy trình xử lý dữ liệu được giám sát chặt chẽ và tuân thủ pháp luật, nâng cao tính minh bạch và trách nhiệm của các bên tham gia.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên xử lý phải bao gồm các thông tin sau:

• Thông tin và chi tiết liên lạc của bên xử lý dữ liệu cá nhân: Đảm bảo người dùng có thể tiếp cận và yêu cầu hỗ trợ khi cần, đồng thời xác định rõ trách nhiệm của bên xử lý trong trường hợp xảy ra vấn đề.
• Thông tin về tổ chức và chuyên gia bảo vệ dữ liệu cá nhân: Thể hiện vai trò của các chuyên gia chịu trách nhiệm bảo vệ dữ liệu, tạo điều kiện đảm bảo an ninh và bảo mật cho dữ liệu người dùng.
• Mô tả các hoạt động xử lý và loại dữ liệu cá nhân được xử lý thay mặt bên kiểm soát: Giúp minh bạch hóa hoạt động xử lý dữ liệu, đảm bảo các hoạt động được thực hiện đúng mục đích đã cam kết với bên kiểm soát và người dùng.
• Thời gian xử lý và thời điểm dự kiến xóa hoặc hủy dữ liệu: Thời gian xử lý và lưu trữ phải được quy định rõ ràng nhằm hạn chế việc lưu giữ dữ liệu lâu hơn thời gian cần thiết, bảo vệ quyền riêng tư của cá nhân.
• Trường hợp chuyển dữ liệu cá nhân ra nước ngoài: Đảm bảo tính minh bạch và cam kết về an ninh trong các trường hợp dữ liệu được chia sẻ qua biên giới, giảm thiểu rủi ro liên quan đến bảo mật quốc tế.
• Biện pháp bảo vệ dữ liệu cá nhân: Quy định bên xử lý phải áp dụng các biện pháp bảo vệ dữ liệu nghiêm ngặt, giúp ngăn ngừa các hành vi truy cập hoặc sử dụng trái phép.
• Đánh giá tuân thủ pháp luật bảo vệ dữ liệu cá nhân: Yêu cầu bên xử lý phải duy trì và cập nhật tình trạng tuân thủ các quy định pháp luật, tránh các vi phạm tiềm ẩn có thể gây tổn hại đến quyền riêng tư của người dùng.
• Đánh giá hậu quả và các biện pháp giảm thiểu rủi ro: Quy định này giúp bên xử lý dự báo các rủi ro, thiệt hại không mong muốn và đưa ra các biện pháp cụ thể để phòng ngừa, nhằm đảm bảo an toàn cho dữ liệu cá nhân.
• Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân: Đây là công cụ đánh giá và công nhận mức độ tuân thủ bảo vệ dữ liệu của bên xử lý, giúp nâng cao uy tín của tổ chức trong mắt người dùng.

Quy định về hồ sơ đánh giá tác động này không chỉ giúp giám sát chặt chẽ quy trình xử lý dữ liệu cá nhân mà còn tăng cường trách nhiệm của bên xử lý trong bảo vệ thông tin người dùng. Việc thực hiện đầy đủ các nội dung trong hồ sơ không chỉ góp phần giảm thiểu rủi ro mà còn giúp xây dựng niềm tin của người dân vào sự an toàn của dữ liệu cá nhân trong bối cảnh nền kinh tế số ngày càng phát triển.

Dự thảo Luật Bảo vệ Dữ liệu Cá nhân bổ sung hai yêu cầu mới là “Đánh giá hậu quả và biện pháp giảm thiểu rủi ro” và “Văn bản xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân” so với Nghị định 13/2023/NĐ-CP, đặt ra thách thức mới cho doanh nghiệp trong việc tuân thủ. Đánh giá hậu quả và các biện pháp giảm thiểu yêu cầu doanh nghiệp phải thực hiện phân tích sâu về các rủi ro tiềm ẩn đối với dữ liệu cá nhân và đưa ra phương án cụ thể nhằm giảm thiểu thiệt hại trong mọi trường hợp có thể xảy ra. Điều này không chỉ đòi hỏi doanh nghiệp đầu tư vào hệ thống bảo mật mà còn phải xây dựng quy trình ứng phó rủi ro chi tiết.

Bên cạnh đó, yêu cầu về “Văn bản xếp hạng tín nhiệm” đòi hỏi doanh nghiệp cần đạt được chứng nhận hoặc xếp hạng mức độ bảo vệ dữ liệu cá nhân theo các tiêu chuẩn định sẵn, góp phần tạo dựng niềm tin từ khách hàng nhưng cũng đòi hỏi quy trình phức tạp và sự cam kết cao về bảo mật.

Do đó, doanh nghiệp nên nhanh chóng thực hiện đánh giá tác động xử lý dữ liệu cá nhân sớm. Việc tiến hành các thủ tục này trước khi luật có hiệu lực không chỉ giúp doanh nghiệp sẵn sàng tuân thủ mà còn tránh được những khó khăn khi các thủ tục pháp lý trở nên phức tạp hơn. Hành động sớm sẽ giúp doanh nghiệp chủ động trong việc chuẩn bị và tối ưu hóa các biện pháp bảo vệ dữ liệu cá nhân, giảm thiểu rủi ro pháp lý và xây dựng uy tín với khách hàng trong bối cảnh pháp luật ngày càng chặt chẽ về bảo vệ dữ liệu cá nhân.

Thời gian viết bài: 30/10/2024

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Mức thuế tăng cho các mặt hàng của Trung Quốc nhập khẩu vào Mỹ
• Tóm tắt các nghĩa vụ thuế cho Nhà đầu tư nước ngoài tại Việt Nam