'Gỡ vướng' cho doanh nghiệp khi thực thi Nghị định 13 về bảo vệ dữ liệu cá nhân

Ngày 1/7/2023 vừa qua, Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân chính thức có hiệu lực, tạo hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam một cách hiệu quả, giảm thiểu tối đa những nguy cơ và hệ quả của các hành vi xâm phạm dữ liệu cá nhân.

Nghị định được Chính phủ ban hành ngày 17/4/2023 với nhiều quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Tại Hội thảo về Hướng dẫn và Giải đáp thắc mắc về Nghị định 13 diễn ra tại Hà Nội sáng 23/11, ông Vũ Ngọc Sơn - Giám đốc Công nghệ Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS) cho rằng Nghị định quy định chi tiết về quyền và trách nhiệm của các bên liên quan trong lĩnh vực bảo vệ dữ liệu cá nhân, khi đi vào cuộc sống sẽ tăng cường khung pháp lý và điều chỉnh các hoạt động trên không gian mạng.

Doanh nghiệp "gặp khó" khi triển khai

Ông Robert Trần - Phó Tổng giám đốc, Lãnh đạo dịch vụ an toàn thông tin và rủi ro công nghệ của Công ty TNHH Dịch vụ an toàn thông tin EY Việt Nam đã chia sẻ tại Hội thảo các thách thức của doanh nghiệp khi thực thi Nghị định này.

Cụ thể, các tổ chức, doanh nghiệp gặp khó khăn trong việc lập các báo cáo đánh giá tác động, liên hệ với các bên xử lý dữ liệu và bên thứ ba để thu thập các tài liệu liên quan. Hiện tại các cơ quan chức năng cũng chưa có các hướng dẫn cụ thể về cách kê khai, điền vào mẫu báo cáo đánh giá tác động. Một số trường hợp yêu cầu các hình thức lấy ý kiến đặc thù, khó khăn trong việc xin sự đồng ý (ví dụ như khi thông tin được thu thập qua điện thoại, hình ảnh của khách hàng vãng lai,...).

Trong việc xây dựng khung chính sách nội bộ về bảo vệ dữ liệu, nhiều đơn vị không có đủ nguồn lực, thời gian để rà soát toàn bộ các chính sách nội bộ. Chưa có một quy chuẩn chung về các quy định nội bộ cần có để quản lý và đảm bảo tuân thủ về bảo vệ dữ liệu. Đào tạo và nâng cao nhận thức nội bộ còn hạn chế.

Một khó khăn khác ông Robert Trần chia sẻ là việc bổ nhiệm Nhân viên Bảo vệ Dữ liệu (DPO). "Thị trường nhân sự phụ trách bảo vệ dữ liệu còn mới ở Việt Nam. Các tổ chức, doanh nghiệp thiếu nguồn lực với kĩ năng chuyên môn về bảo vệ dữ liệu cá nhân. Thiếu nguồn chi phí để bổ nhiệm bộ phận và nhân sự bảo vệ dữ liệu cá nhân," ông Robert Trần cho biết.

Một thách thức khác theo ông Robert Trần là việc phối hợp với các bên thứ ba (đối tác) trong việc bảo vệ dữ liệu cá nhân. "Khó khăn trong việc tạo cơ chế phối hợp hiệu quả giữa các bên khi có vị phạm về dữ liệu cá nhân xảy ra. Công ty cần phải thương lượng lại, thỏa thuận về việc xử lý dữ liệu cá nhân với đối tác hiện tại và đối tác tiềm năng, việc này có thể gây mất thời gian, ảnh hướng tới cơ hội hợp tác kinh doanh."

Gỡ vướng mắc cho doanh nghiệp đảm bảo thực thi Nghị định 13

Để các doanh nghiệp có thể tuân thủ tốt Nghị định 13, bà Nguyễn Thị Thu Quỳnh - Chủ nhiệm Công ty Luật EY Việt Nam đã đề xuất giải pháp xây dựng khung bảo vệ dữ liệu cá nhân để hiểu hơn về các khả năng cần thiết nhằm đáp ứng các yêu cầu về bảo vệ dữ liệu theo Nghị định 13 cũng như các quy định khác trên thế giới về lĩnh vực này.

Cùng với đó, theo bà Quỳnh, các doanh nghiệp, tổ chức nên lập báo cáo đánh giá tác động, đảm bảo trong hợp đồng với bên xử lý dữ liệu (các đối tác) có các thỏa thuận về bảo vệ dữ liệu cá nhân. Các tài liệu như hợp đồng giữa các bên nên được lập bằng tiếng Việt hoặc song ngữ có tiếng Việt cho mục đích lập báo cáo đánh giá về sau.

Các doanh nghiệp nên phối hợp với các phòng ban khác nhau đặc biệt bộ phận công nghệ thông tin nội bộ (IT) để xây dựng cơ chế lấy và lưu sự đồng ý phù hợp với loại chủ thể và tình huống thu thập dữ liệu. Nội dung mẫu lấy sự đồng ý cần bao quát các các nội dung được yêu cầu của Nghị định 13, chẳng hạn như thông tin được thu thập, mục đích thu thập, các bên được tiếp cận dữ liệu,... để tránh xin sự đồng ý nhiều lần.

Việc xử lý, thu thập nên được lập bằng văn bản, nêu rõ quyền và nghĩa vụ (tuân thủ, xây dựng và hoàn thiện quy trình, chính sách, quan hệ với chủ thể dữ liệu, thủ tục hành chính, quan hệ với cơ quan quản lý, giám sát việc tuân thủ, nâng cao nhận thức,...)

Chủ nhiệm Công ty Luật EY Việt Nam cũng khuyến cáo các doanh nghiệp phối hợp với các bên thứ ba (đối tác) trong việc bảo vệ dữ liệu cá nhân. Đảm bảo có các thỏa thuận hoặc cam kết nội bộ cho việc chuyển dữ liệu cá nhân giữa doanh nghiệp với đối tác, công ty mẹ, các công ty liên kết,...

Các doanh nghiệp cũng cần xây dựng khung chính sách nội bộ về bảo vệ dữ liệu. Theo bà Quỳnh, việc xây dựng, cập nhật khung chính sách nội bộ đòi hỏi việc soát xét lại tất cả các văn bản chính sách nội bộ có liên quan đến dữ liệu cá nhân, bao gồm cả tài liệu hướng dẫn cho người lao động, nội quy lao động,... để đảm bảo tính thống nhất.

Ở góc độ của doanh nghiệp công nghệ, theo ông Vũ Ngọc Sơn, một số doanh nghiệp hiện nay cũng chưa định hình các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân theo Nghị định 13.

"Nghị định 13 thực chất không quy định các giải pháp bắt buộc mà các doanh nghiệp tuỳ vào quy mô dữ liệu và quy trình thu thập, xử lý, lưu trữ dữ liệu của mình để áp dụng các giải pháp phù hợp. Nếu không có nhân sự chuyên trách, các doanh nghiệp có thể liên hệ các công ty an ninh mạng để được tư vấn, triển khai các giải pháp phù hợp với doanh nghiệp mình."

Cũng tại Hội thảo, ông Vũ Ngọc Sơn đã giới thiệu giải pháp NCSOC giám sát an ninh mạng 24/7, với kỳ vọng đưa ra lời giải kỹ thuật cho các doanh nghiệp, tổ chức, nhất là các doanh nghiệp vừa và nhỏ có thể đáp ứng yêu cầu của Nghị định 13 về bảo vệ dữ liệu cá nhân.

Ông Sơn nhấn mạnh, với NCSOC đơn vị có hệ thống quy mô dưới 100 máy chủ sẽ không phải trả phí bản quyền phần mềm và không phải đầu tư hạ tầng máy chủ giám sát, lưu trữ. Các doanh nghiệp sẽ chỉ phải trả phí sử dụng dịch vụ theo các gói cơ bản và nâng cao./.