Việc tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đang đặt ra những thách thức lớn đối với các tổ chức tài chính, bao gồm công ty chứng khoán và quỹ đầu tư.
Luật sư Nguyễn Thành Luân – Giám đốc Công ty Luật TNHH Hà Việt đã có cuộc trao đổi với Diễn đàn Doanh nghiệp về vấn đề này.
Thưa ông, với những yêu cầu ngày càng cao về bảo vệ dữ liệu cá nhân theo quy định của Nghị định 13/2023/NĐ-CP, việc đảm bảo tuân thủ cũng như củng cố uy tín, tăng cường niềm tin từ phía khách hàng, đang là thách thức không nhỏ với các công ty tài chính?
Trong thời đại số hóa, các công ty chứng khoán và quỹ đầu tư phải xử lý khối lượng lớn dữ liệu cá nhân, bao gồm cả thông tin nhạy cảm như số tài khoản ngân hàng và lịch sử giao dịch. Việc này đặt ra thách thức cho các công ty tài chính, đặc biệt trong việc phân tích, đánh giá và chuyển giao dữ liệu cho đối tác… do đó, việc sử dụng dữ liệu để phân tích nhà đầu tư gặp khó khăn khi các công ty không chỉ phải tuân thủ pháp luật mà còn phải bảo đảm quy trình hoạt động và dịch vụ không bị ảnh hưởng.
Cụ thể, theo quy định của Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu cá nhân có quyền biết về cách thức dữ liệu của họ được xử lý, quyền từ chối và yêu cầu xóa dữ liệu. Tuy nhiên, trong thực tế, các công ty tài chính không chỉ thu thập và xử lý dữ liệu để cung cấp dịch vụ mà còn sử dụng dữ liệu này cho mục đích quản lý rủi ro và duy trì an toàn hệ thống, điều mà không phải lúc nào cũng cần sự chấp thuận của khách hàng.
Không chỉ có vậy, Nghị định cũng yêu cầu phải có sự đồng ý từ khách hàng trước khi thực hiện bất kỳ hoạt động xử lý dữ liệu nào. Điều này gây ra trở ngại lớn cho các tổ chức tài chính vì quy trình cung cấp dịch vụ thường đòi hỏi xử lý dữ liệu ở nhiều giai đoạn khác nhau. Việc yêu cầu sự đồng ý tại mỗi bước không chỉ làm chậm tiến độ mà còn tăng khối lượng công việc hành chính, ảnh hưởng đến tính linh hoạt của doanh nghiệp…
Đáng nói, các công ty chứng khoán và quỹ đầu tư phải thường xuyên chuyển giao dữ liệu cá nhân cho các đối tác bên ngoài như nhà cung cấp dịch vụ tài chính, tổ chức tín dụng, hoặc các đơn vị thẩm định tín dụng. Việc chuyển giao này không chỉ phục vụ cho mục đích giao dịch mà còn để đánh giá, bảo lãnh và quản lý rủi ro cho các sản phẩm tài chính. Tuy nhiên, khi khách hàng yêu cầu ngừng xử lý hoặc rút lại sự đồng ý đối với việc chia sẻ dữ liệu, các công ty phải đối mặt với thách thức lớn trong việc điều chỉnh quy trình. Việc khách hàng rút lại sự đồng ý có thể dẫn đến những hệ quả pháp lý phức tạp.
Ngoài những vấn đề đã nêu, các tổ chức tài chính còn phải đối diện với khó khăn, thách thức nào nữa trong việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân không, thưa ông?
Nghị định 13/2023/NĐ-CP và Dự thảo Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đặt ra những mức phạt rất nghiêm khắc đối với các doanh nghiệp vi phạm quy định bảo vệ dữ liệu cá nhân.
Cụ thể, Dự thảo Nghị định quy định mức phạt đối với các hành vi vi phạm trong bảo vệ dữ liệu cá nhân có thể lên tới hàng trăm triệu đồng. Đặc biệt, có những hành vi mà mức phạt tối đa lên tới 01 tỷ đồng hoặc 5% tổng doanh thu hàng năm của doanh nghiệp như việc để lộ, mất dữ liệu cá nhân của 01 triệu công dân Việt Nam trở lên.
Thực tế trường hợp của Công ty VNDIRECT bị hacker tấn công làm tê liệt hệ thống trong thời gian qua vừa qua đã cho thấy, việc bị xử phạt trên thực tế của doanh nghiệp, đặc biệt là các công ty chứng khoán, công ty quản lý quỹ, ngân hàng… là hoàn toàn có thể xảy ra.
Việc bị lộ thông tin cá nhân của khách hàng với số lượng lớn và bị xử phạt với mức cao nhất, điều này không chỉ gây tổn thất tài chính ngay lập tức mà còn có thể làm mất niềm tin từ phía các nhà đầu tư và khách hàng, làm ảnh hưởng tiêu cực đến giá cổ phiếu và uy tín của công ty trên thị trường.
Vậy, để tránh những rủi ro tiềm ẩn, đảm bảo tuân thủ chính sách pháp luật, ông có đề xuất, khuyến nghị gì?
Theo tôi, về mặt pháp lý, các công ty tài chính cần rà soát và điều chỉnh chính sách quản lý dữ liệu để tránh việc áp dụng trùng lặp giữa các quy định pháp luật. Điều này không chỉ giúp các doanh nghiệp tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân mà còn các quy định của Luật Chứng khoán 2019.
Bên cạnh đó, các doanh nghiệp cần tích cực làm việc với các cơ quan quản lý như Ủy ban Chứng khoán Nhà nước hay Sở Giao dịch Chứng khoán để được hướng dẫn cụ thể, phù hợp với tình hình thực tế của ngành như nghĩa vụ bảo mật thông tin khách hàng đã được nêu rõ trong các văn bản pháp luật như Thông tư 121/2020/TT-BTC, trong đó yêu cầu các công ty chứng khoán phải đảm bảo bảo mật thông tin giao dịch trực tuyến của khách hàng, nhằm ngăn chặn việc lộ lọt thông tin gây thiệt hại cho nhà đầu tư.
Việc kết hợp giữa tuân thủ Nghị định 13/2023/NĐ-CP và các quy định chuyên ngành không chỉ giúp các công ty đồng bộ hóa quy trình bảo vệ dữ liệu mà còn tránh sự chồng chéo trong các quy định, từ đó đảm bảo tuân thủ đúng và đầy đủ các yêu cầu pháp lý. Điều này sẽ giúp doanh nghiệp tránh rủi ro, duy trì lòng tin từ khách hàng và đối tác.
Bên cạnh đó, các doanh nghiệp nên áp dụng các công nghệ mã hóa tiên tiến và định kỳ thực hiện kiểm toán nội bộ về bảo mật dữ liệu… để đảm bảo khả năng giám sát và phát hiện kịp thời các hoạt động truy cập trái phép hoặc bất thường.
Trân trọng cảm ơn ông!