Trong bối cảnh kinh tế số và hội nhập sâu rộng, dữ liệu đã trở thành tài sản chiến lược của doanh nghiệp.
Việc bảo vệ dữ liệu cá nhân không chỉ là yêu cầu pháp lý, mà còn là yếu tố then chốt để xây dựng niềm tin và nâng cao năng lực cạnh tranh.
Đối với doanh nghiệp FDI tại Việt Nam, tuân thủ hiệu quả các quy định về dữ liệu sẽ giúp giảm thiểu rủi ro pháp lý, tối ưu hóa quản trị và tạo nền tảng cho phát triển bền vững trong dài hạn.
Một đặc điểm quan trọng của doanh nghiệp FDI tại Việt Nam là phạm vi xử lý dữ liệu cá nhân tập trung chủ yếu vào người lao động. Với quy mô nhân sự từ hàng trăm đến hàng chục nghìn người, các doanh nghiệp này nắm giữ khối lượng lớn dữ liệu, bao gồm thông tin nhận diện, dữ liệu sinh trắc học, thông tin tài chính và lịch sử làm việc.
Vòng đời xử lý dữ liệu lao động thường bắt đầu từ giai đoạn ký kết hợp đồng, khi người lao động cung cấp thông tin cá nhân và dữ liệu sinh trắc học (vân tay, khuôn mặt). Các dữ liệu này được đưa vào hệ thống chấm công, tạo lập hồ sơ định danh và lưu trữ nội bộ. Trong quá trình làm việc, dữ liệu tiếp tục được ghi nhận, đối chiếu và sử dụng cho mục đích quản lý nhân sự, tính lương và đánh giá hiệu suất. Khi người lao động nghỉ việc, dữ liệu được xử lý theo quy trình lưu trữ hoặc xóa bỏ theo quy định.
Chính cấu trúc này tạo ra những thách thức đáng kể. Thách thức đầu tiên là sự xung đột giữa chính sách nội bộ của tập đoàn và quy định pháp luật Việt Nam. Nhiều tập đoàn đa quốc gia xây dựng khung quản trị dữ liệu thống nhất, thường dựa trên các tiêu chuẩn quốc tế như GDPR của châu Âu. Trong đó, mô hình “đồng kiểm soát dữ liệu” (joint controller) cho phép nhiều thực thể cùng tham gia quyết định mục đích và phương thức xử lý dữ liệu.
Tuy nhiên, pháp luật Việt Nam hiện chưa ghi nhận khái niệm này, mà chỉ phân loại thành bên kiểm soát, bên xử lý và bên thứ ba. Điều này dẫn đến tình trạng doanh nghiệp FDI không thể áp dụng nguyên trạng chính sách toàn cầu, buộc phải điều chỉnh để phù hợp với pháp luật nội địa.
Thách thức thứ hai nằm ở việc nhận diện và kiểm soát hệ thống xử lý dữ liệu. Trên thực tế, nhiều doanh nghiệp – không chỉ FDI – vẫn sử dụng các phương thức thủ công như ghi chép thông tin khách ra vào bằng sổ giấy, giữ lại giấy tờ tùy thân hoặc xử lý dữ liệu mà không có cơ chế bảo mật phù hợp. Cách làm này tiềm ẩn rủi ro lớn: dữ liệu có thể bị lộ khi người sau nhìn thấy thông tin người trước, hoặc bị thất thoát khi tài liệu không được tiêu hủy đúng cách. Trong bối cảnh pháp luật đã siết chặt, những thực hành tưởng chừng “vô hại” này có thể dẫn đến vi phạm nghiêm trọng.
Thách thức thứ ba là việc thiếu phân loại rõ ràng về dữ liệu và vai trò của các bên tham gia. Trong các tập đoàn đa quốc gia, dữ liệu thường được xử lý qua nhiều đơn vị ở các quốc gia khác nhau: bộ phận an ninh mạng, bộ phận quản trị dữ liệu, bộ phận điều hành… Nếu không xác định rõ ai là bên kiểm soát, ai là bên xử lý, doanh nghiệp sẽ không thể xây dựng hồ sơ tuân thủ đầy đủ.
Cuối cùng, thách thức lớn nhất nằm ở việc chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Đây là một quy trình phức tạp, đòi hỏi doanh nghiệp phải rà soát toàn bộ dòng chảy dữ liệu, từ thu thập, xử lý, lưu trữ đến chia sẻ. Trong thực tế, nhiều doanh nghiệp thậm chí chưa có cái nhìn đầy đủ về hệ thống dữ liệu của mình, dẫn đến việc triển khai gặp nhiều khó khăn và kéo dài.
Để đáp ứng yêu cầu tuân thủ ngày càng cao, doanh nghiệp FDI cần tiếp cận vấn đề bảo vệ dữ liệu cá nhân theo hướng hệ thống và chiến lược. Bước đầu tiên và quan trọng nhất là xây dựng năng lực nhân sự chuyên trách. Bảo vệ dữ liệu cá nhân là lĩnh vực giao thoa giữa pháp lý, công nghệ và quản trị, do đó đòi hỏi đội ngũ có kiến thức liên ngành. Trong trường hợp nguồn lực nội bộ hạn chế, doanh nghiệp cần cân nhắc sử dụng dịch vụ tư vấn chuyên nghiệp.
Sau khi có nhân sự phù hợp, doanh nghiệp cần tiến hành rà soát và phân loại dữ liệu. Quá trình này phải trả lời được các câu hỏi cốt lõi: dữ liệu nào là dữ liệu cá nhân, dữ liệu nào là nhạy cảm, chủ thể dữ liệu là ai, mục đích xử lý là gì, dữ liệu được lưu trữ ở đâu và bằng biện pháp nào.
Tiếp theo là xác định căn cứ pháp lý cho từng hoạt động xử lý. Cần nhấn mạnh rằng “sự đồng ý” không phải là căn cứ duy nhất, cũng không phải lúc nào cũng phù hợp. Các căn cứ khác như thực hiện hợp đồng, nghĩa vụ pháp lý hay bảo vệ lợi ích thiết yếu đều có giá trị tương đương trong những bối cảnh cụ thể.
Doanh nghiệp cũng cần xây dựng hệ thống chính sách nội bộ rõ ràng, bao gồm chính sách quyền riêng tư, quy định phân quyền truy cập và quy trình xử lý dữ liệu. Đồng thời, phải xác định rõ vai trò của từng bên trong hệ sinh thái dữ liệu để đảm bảo tính minh bạch và khả năng kiểm soát.
Về mặt kỹ thuật, cần áp dụng các biện pháp bảo mật phù hợp như mã hóa, kiểm soát truy cập, khử nhận dạng dữ liệu và giám sát hệ thống. Những biện pháp này không chỉ cần được triển khai mà còn phải được ghi nhận đầy đủ trong hồ sơ đánh giá tác động.
Song song với đó là xây dựng quy trình xử lý dữ liệu, theo phương thức thủ công hay tự động hóa. Việc mô tả rõ dòng chảy dữ liệu là yêu cầu bắt buộc để chứng minh khả năng kiểm soát.
Đào tạo nội bộ cũng đóng vai trò then chốt. Nếu không có nhận thức chung trong toàn doanh nghiệp, việc tuân thủ sẽ khó có thể triển khai hiệu quả. Trên thực tế, đào tạo thường là bước tiền đề trước khi hoàn thiện hồ sơ và triển khai các biện pháp kỹ thuật.
Cuối cùng, doanh nghiệp cần hoàn thiện và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ chuyển dữ liệu xuyên biên giới theo quy định. .
