Gửi bình luận
Trong bối cảnh cuộc cách mạng công nghiệp lần thứ 4 phát triển mạnh mẽ, dữ liệu đã trở thành nguồn tài nguyên và động lực phát triển với cả nền kinh tế nói chung và từng doanh nghiệp nói riêng.
Tuy nhiên, hiện nay việc bảo vệ các dữ liệu này vẫn còn nhiều khó khăn, bất cập - Đây là nhận định của Luật sư Nguyễn Thành Luân – Giám đốc Công ty Luật TNHH Hà Việt khi trao đổi với Diễn đàn Doanh nghiệp.
>>Bảo vệ dữ liệu cá nhân: Chế tài xử lý liệu đã đủ… mạnh?
- Không chỉ người dùng bị ảnh hưởng vì tình trạng xâm phạm dữ liệu cá nhân, mà trong bối cảnh các mối đe dọa an ninh mạng ngày càng tăng, doanh nghiệp cũng phải đối mặt với rủi ro xâm phạm dữ liệu. Pháp luật hiện hành quy định về vấn đề bảo vệ dữ liệu như thế nào, thưa ông?
Tình trạng lộ, lọt thông tin, dữ liệu cá nhân đang là vấn đề đáng báo động. Trước tình hình đó, Nhà nước đã và đang gấp rút hoàn thiện khung pháp lý về dữ liệu nói chung và dữ liệu cá nhân nói riêng, hướng đến việc bảo vệ hiệu quả hơn nguồn tài nguyên quý giá này.
Hiện nay, Nhà nước đã ban hành gần 70 văn bản quy phạm pháp luật có liên quan tới vấn đề này như: Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, Luật Bảo vệ quyền lợi người tiêu dùng 2023 và đặc biệt là Nghị định 13/2023/NĐ-CP trực tiếp quy định về bảo vệ dữ liệu cá nhân, và mới đây nhất là Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (Dự thảo).
Về cơ bản, khung pháp lý hiện nay đã tương đối đầy đủ, nhưng vẫn còn một số điểm hạn chế.
- Xin ông chia sẻ cụ thể hơn về một số điểm hạn chế này?
Hiện nay, Nghị định 13/2023/NĐ-CP mới chỉ đưa ra những nghĩa vụ buộc phải làm, nhưng chưa làm rõ các thủ tục cụ thể cần thực hiện. Theo đó, doanh nghiệp phải tự xác định vai trò của mình khi thu thập, xử lý dữ liệu, phải tự phân loại dữ liệu, tự xác định mức độ bảo mật tương ứng, gia giảm quyền truy cập của các phòng ban trong nội bộ hoặc của các đối tác bên ngoài.
Ảnh minh họa. Nguồn: Internet
>>Cấp thiết bảo vệ dữ liệu cá nhân – Bài cuối: Cần giải pháp quyết liệt hơn
Đáng nói, quy định tại Dự thảo và Nghị định 13/2023/NĐ-CP hiện hành cũng chưa thật sự rõ ràng dễ dẫn đến khó khăn cho doanh nghiệp trong việc tuân thủ.
Theo đó, điểm e khoản 1 Điều 14 của Dự thảo yêu cầu bên kiểm soát dữ liệu cá nhân và bên kiểm soát, xử lý dữ liệu cá nhân phải xóa dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu trong vòng 48 giờ. Tuy nhiên, theo quy định tại khoản 5 điều 16 Nghị định 13/2023/NĐ-CP, thời hạn thực hiện nghĩa vụ này có thể được kéo dài lên đến 72 giờ. Sự mâu thuẫn này không chỉ gây ra nhầm lẫn về thời hạn xử lý yêu cầu mà còn gây khó khăn cho các bên liên quan trong việc tuân thủ quy định pháp luật.
Hay như, điểm đ khoản 1 Điều 14 của Dự thảo quy định, bất cứ khi nào dữ liệu cá nhân không được xóa theo yêu cầu của chủ thể dữ liệu hoặc khi mục đích thu thập dữ liệu ban đầu không còn cần thiết, hành vi này bị xem là vi phạm và bị xử phạt từ 20 triệu đồng đến 40 triệu đồng (áp dụng đối với doanh nghiệp). Tuy nhiên, trong bối cảnh doanh nghiệp thường xuyên xử lý dữ liệu cá nhân của khách hàng và người lao động, việc đáp ứng mọi yêu cầu xóa dữ liệu ngay lập tức và xác định chính xác khi nào mục đích thu thập dữ liệu không còn cần thiết là không dễ dàng...
- Vậy làm sao để giải quyết những vướng mắc, hạn chế đã nêu, thưa ông?
Để giải quyết, theo tôi, doanh nghiệp cần thiết phải rà soát mọi hoạt động của mình có liên quan đến việc thu thập và xử lý dữ liệu cá nhân. Đồng thời, qua đó cần xác định chính xác vai trò của mình,… việc xác định đúng vai trò của mình giúp doanh nghiệp tuân thủ đầy đủ và đúng các nghĩa vụ của mình theo quy định, bao gồm cả việc thực hiện các thủ tục hành chính với Bộ Công an.
Bên cạnh đó, cần nhanh chóng rà soát, ban hành mới hoặc điều chỉnh đối với các quy định nội bộ về bảo vệ dữ liệu cá nhân. Các quy định này có thể đến từ nhiều nguồn văn bản khác nhau, đơn cử như Thỏa ước lao động tập thể, Nội quy lao động, Hợp đồng lao động,… việc rà soát toàn bộ các văn bản này là điều mà doanh nghiệp cần ưu tiên trong thời gian sớm nhất. Song song với đó, cũng nên xây dựng quy trình, chính sách đặc biệt về bảo vệ dữ liệu cá nhân, đây là căn cứ để doanh nghiệp tiến hành các hoạt động khác như đào tạo, phổ biến các quy định về bảo vệ dữ liệu cá nhân.
Ngoài ra, doanh nghiệp cần đề cao việc kiểm soát tuân thủ trong nội bộ doanh nghiệp. Việc kiểm soát tuân thủ có thể giúp doanh nghiệp sớm phát hiện các sai sót, vi phạm cũng như nhanh chóng có hướng giải quyết cụ thể, hạn chế rủi ro phát sinh.
- Trân trọng cảm ơn ông!
Có thể bạn quan tâm
Bảo vệ dữ liệu cá nhân: Chế tài xử lý liệu đã đủ… mạnh?
04:00, 05/03/2024
Cấp thiết bảo vệ dữ liệu cá nhân – Bài cuối: Cần giải pháp quyết liệt hơn
04:40, 05/09/2023
Cấp thiết bảo vệ dữ liệu cá nhân – Bài 4: Đừng để “nhờn luật”!
03:30, 04/09/2023
Cấp thiết bảo vệ dữ liệu cá nhân – Bài 3: Vì sao thông tin bị “đánh cắp”?
03:30, 03/09/2023
Cấp thiết bảo vệ dữ liệu cá nhân – Bài 2: “Mồi béo” cho tội phạm
03:50, 02/09/2023
Cấp thiết bảo vệ dữ liệu cá nhân – Bài 1: Mua bán “công khai”, thị trường “nhộn nhịp”
03:30, 01/09/2023
Còn băn khoăn trong thực hiện Nghị định về bảo vệ dữ liệu cá nhân
04:00, 02/07/2023
Bảo vệ dữ liệu cá nhân của người lao động
03:00, 18/06/2023
