Bảo vệ dữ liệu: Phương pháp Tiếp cận Thương mại Hiệu quả về mặt Chi phí đối với Rủi ro Tuân thủ theo Pháp luật Việt Nam
31 Tháng 7, 2023
Dữ liệu là một trong những tài nguyên quan trọng nhất mà một công ty có thể sở hữu. Theo đó, và sau hai thập kỷ trong bối cảnh chưa có các quy định đầy đủ, chính phủ Việt Nam – cũng như nhiều quốc gia khác – đã ban hành Nghị định đưa ra các quy định nghiêm ngặt về quản lý và xử lý dữ liệu, điều này có thể gây khó khăn cho việc thực hiện đầy đủ một cách hợp lý về mặt thương mại.
Trong thời gian sắp tới, các công ty, đặc biệt là các công ty quốc tế, sẽ phải đối mặt với các quy định nghiêm ngặt để bảo vệ dữ liệu của các chủ thể Việt Nam, điều này có thể sẽ còn khắc nghiệt hơn trong tương lai. Họ sẽ cần xem xét các quy định mới một cách cẩn thận và áp dụng các biện pháp để đảm bảo tuân thủ và tránh các vấn đề pháp lý hoặc chế tài. Tại Việt Nam, việc Bộ Công an (“BCA”) ban hành các quy định này sẽ khiến các công ty nước ngoài phải xem xét để thiết lập các chương trình tuân thủ đổi mới·.
Sự đồng ý của chủ thể dữ liệu là điểm đáng chú ý nhất trong các quy định mới. Các công ty sở hữu dữ liệu giờ đây phải thông báo cho chủ thể dữ liệu về (i) loại dữ liệu đang được xử lý, (ii) mục đích xử lý, (iii) cá nhân hoặc tổ chức xử lý dữ liệu và (iv) quyền và nghĩa vụ của cá nhân hoặc tổ chức đó. [1] Các công ty sẽ gặp nhiều thách thức khi triển khai các quy trình hiệu quả để tuân thủ các yêu cầu về sự đồng ý này hoặc khi thuê ngoài dịch vụ này.
Theo quy định mới, các công ty phải có được sự đồng ý rõ ràng từ chủ thể dữ liệu. Sự đồng ý này có thể được thể hiện bằng văn bản, lời nói, đánh dấu vào ô đồng ý, đoạn văn bản hoặc các hình thức khác[2]. Việc không có hành động rõ ràng hoặc im lặng không được coi là đồng ý.
Do đó, câu hỏi phát sinh một cách tự nhiên: Liệu các công ty có thể thực hiện một thông báo chung về quyền riêng tư theo đó quy định tất cả các mục đích xử lý dữ liệu và yêu cầu sự đồng ý thông qua một ô đánh dấu duy nhất hay phải yêu cầu sự đồng ý riêng biệt cho từng mục đích xử lý dữ liệu? Nghị định quy định rằng các công ty có thể đồng thời nhận được sự đồng ý cho nhiều mục đích, nhưng các mục đích cụ thể phải được tiết lộ và chủ thể dữ liệu phải có cơ hội để đồng ý riêng cho từng mục đích đã nêu. ô đánh dấu “tất cả hoặc không có mục đích nào” là không hợp lệ khi xét theo quy định này.
Ngoài ra, các bên chịu trách nhiệm kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ “hồ sơ đánh giá tác động xử lý dữ liệu cá nhân” để Bộ Công an kiểm tra, thẩm định.[3] Hồ sơ này phải được gửi đến Cục An ninh mạng và Phòng chống tội phạm công nghệ cao thuộc BCA trong thời hạn 60 ngày kể từ ngày bắt đầu xử lý dữ liệu cá nhân. Bất kỳ cập nhật hoặc thay đổi nào đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cũng phải được báo cáo cho BCA. Riêng điều kiện này có thể dẫn đến việc các công ty xử lý lượng dữ liệu đáng kể phải tuyển dụng thêm các vị trí chỉ để giám sát việc tuân thủ các quy định.
Cuối cùng, việc chuyển dữ liệu cá nhân ra nước ngoài có một số điều kiện mới được áp dụng. Một lần nữa, chủ thể phải đồng ý, hồ sơ (hồ sơ đánh giá tác động chuyển nhượng)[4] phải được lập, và thông báo bằng văn bản phải được gửi cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao. [5] Điều này có thể gây ra sự phức tạp khó khăn cho các công ty quốc tế, theo đó có thể thúc đẩy họ lưu trữ và xử lý dữ liệu của họ tại Việt Nam
Toàn bộ quá trình thông báo và chấp thuận phải được tuân thủ trong tất cả các giai đoạn xử lý dữ liệu (thu thập, ghi âm, lưu trữ, xuất bản, truy cập, v.v.), trừ khi pháp luật có quy định khác. Hơn nữa, các trường hợp ngoại lệ chỉ giới hạn ở: (i) bảo vệ tính mạng và sức khỏe trong trường hợp khẩn cấp; (ii) công bố thông tin theo quy định của pháp luật; (iii) thực hiện nghĩa vụ hợp đồng; và (iv) hỗ trợ các cơ quan nhà nước theo quy định của pháp luật chuyên ngành.[6] Hơn nữa, việc vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể khiến dữ liệu bị yêu cầu bồi thường thiệt hại,[7] mặc dù Nghị định không quy định cụ thể mức độ trách nhiệm pháp lý tiềm ẩn. Bất chấp tính chất phức tạp ngày càng tăng của việc chuyển dữ liệu theo các quy định mới, các công ty hoạt động trên toàn thế giới dường như vẫn chuộng việc chuyển dữ liệu về quốc gia sở tại của họ hơn. Do đó, các công ty buộc phải thực hiện các thủ tục để chuyển dữ liệu về quốc gia sở tại theo quy định.
Tóm lại, Nghị định này sẽ dẫn đến những thay đổi trong bối cảnh pháp luật Việt Nam, buộc các công ty phải thực hiện các thủ tục nội bộ và báo cáo với chính quyền. Mặc dù những thay đổi này có thể sẽ ít tác động hơn đến các công ty quốc tế — do đã quen với các yêu cầu tương tự tại các quốc gia khác — nhưng chúng có thể gây ra nhiều vấn đề hơn đối với các công ty nước sở tại, đòi hỏi các công ty trong nước phải chi tiêu đáng kể cho việc tuân thủ các quy định mới. Mặt khác, Nghị định tạo cơ hội đầu tư vào các công ty dịch vụ để thuê ngoài và quản lý dữ liệu cho các công ty tư nhân tại Việt Nam.
[1] Điều 11.2
[2] Điều 11.3
[3] Điều 24.4
[4] Điều 25.3
[5] Điều 25.4
[6] Điều 17
[7] Điều 9.10
Tác giả
Để biết thêm thông tin chi tiết, vui lòng liên hệ Ban Truyền thông và Marketing của YKVN:
T: (+84-28) 3 822 3155
marketing@ykvn-law.com