Quy định chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân và một số khuyến nghị đến Quốc hội, Chính phủ và doanh nghiệp Việt Nam

23/01/2022

PGS.TS. TRẦN THỊ THU PHƯƠNG

Khoa Kinh tế _ Luật, Đại học Thương mại.

Tóm tắt: Những phát tán dữ liệu về thông tin cá nhân trong thời gian vừa qua ở các quốc gia, vùng lãnh thổ đã làm dấy lên sự e ngại của các cá nhân khi tham gia giao dịch điện tử, đặc biệt là các giao dịch thương mại điện tử. Trong phạm vi bài viết này, tác giả giới thiệu một số nội dung chính của Quy định chung của Liên minh châu Âu về bảo vệ thông tin cá nhân trong so sánh với quy định của pháp luật Việt Nam và đưa ra các khuyến nghị đến Quốc hội, Chính phủ và các doanh nghiệp Việt Nam khi thực hiện các hoạt động thương mại trên lãnh thổ của Liên minh châu Âu hoặc có liên quan đến việc xử lý thông tin cá nhân của công dân hoặc người thường trú trên lãnh thổ của Liên minh châu Âu.
Từ khóa: Thông tin cá nhân, dữ liệu cá nhân, Liên minh châu Âu.
Abstract: The spread of personal information data in countries and territories has raised the fear of individuals when they involve in electronic transactions, especially electronic commercial transactions. Within the scope of this article, the author introduces some main contents of the General Regulation of the European Union on the protection of personal information in comparison with the provisions of Vietnamese law and makes recommendations to the National Assembly, the Government and enterprises of Vietnam when carrying out commercial activities in the territory of the European Union or related to the processing of personal information of citizens or permanent residents in the territory of the European Union.
Keywords: Personal information; personal data; European Union.
 Untitled_691.png
Ảnh minh họa: Nguồn internet
 
1. Khái quát quy định chung về bảo vệ dữ liệu của Liên minh châu Âu
Ngày 14/4/2016, Nghị viện châu Âu đã ban hành Quy định chung về bảo vệ dữ liệu cá nhân, trong đó mục tiêu hướng tới là bảo vệ dữ liệu cá nhân và quyền riêng tư của cá nhân tại Liên minh châu Âu (General Data Protection Regulation -  GDPR). Quy định này được áp dụng trực tiếp trên lãnh thổ các quốc gia thành viên[1].
Trước khi ban hành GDPR, Liên minh châu Âu ban hành Chỉ thị số 95/46/EC về bảo vệ dữ liệu cá nhân đối với việc xử lý dữ liệu cá nhân và việc tự do lưu chuyển dữ liệu này. Chỉ thị này đã cụ thể hóa Công ước về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân (Công ước số 108 năm 1981 của Hội đồng châu Âu) để triển khai việc thực hiện các quy định của Công ước này trên lãnh thổ của các thành viên Liên minh châu Âu[2]. Chỉ thị số 95/46/EC đã thiết lập được mức bảo vệ tối thiểu đối với dữ liệu cá nhân. Tuy nhiên, với sự phát triển của khoa học công nghệ và trước bối cảnh mới của nền kinh tế số, Liên minh châu Âu thấy được sự cần thiết của việc ban hành quy định mới về vấn đề này. Chính vì vậy, GDPR đã ra đời và có hiệu lực từ ngày 25/5/2018.
So với Chỉ thị số 95/46/EC, GDPR được đánh giá là có mức độ bảo vệ dữ liệu cá nhân khắt khe hơn. GDPR còn được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế giới hiện nay[3]. Việc tách biệt quyền bảo vệ thông tin cá nhân ra khỏi quyền riêng tư trong GDPR đã cho thấy quan điểm ngày càng chú trọng quyền bảo vệ thông tin cá nhân của Liên minh châu Âu. Nếu như trước đây, theo Chỉ thị số 95/46/EC, bảo vệ thông tin cá nhân được coi là nhằm thực thi quyền riêng tư, quyền bảo vệ thông tin cá nhân nằm trong nội hàm của quyền riêng tư[4], thì nay, GDPR đã chọn cách tiếp cận ghi nhận quyền bảo vệ dữ liệu cá nhân là một quyền độc lập bên cạnh các quyền khác, trong đó có quyền riêng tư. Từ đó, hình thành nên cơ chế bảo vệ mạnh mẽ đối với việc thực thi quyền bảo vệ thông tin cá nhân[5].
GDPR đặt ra các nghĩa vụ của các tổ chức đối với việc xử lý dữ liệu cá nhân mà họ thu thập và xử lý. Việc sử dụng dữ liệu cá nhân phải tuân thủ đầy đủ các yêu cầu đặt ra của Liên minh châu Âu. Theo đó, việc xử lý dữ liệu cá nhân phải được thực hiện trên cơ sở sự chấp thuận của chủ thể dữ liệu cá nhân hoặc trên cơ sở hợp đồng với người này; việc xử lý dữ liệu cá nhân phải được thực hiện trên cơ sở tôn trọng các quyền cơ bản của cá nhân. Quy định này áp dụng cả đối với các tổ chức có trụ sở, hoạt động ở bên ngoài lãnh thổ của Liên minh châu Âu khi họ hướng tới mục tiêu hoặc thu thập các dữ liệu liên quan đến người dân sống ở Liên minh châu Âu thì đều thuộc phạm vi điều chỉnh của Liên minh châu Âu[6].
GDPR cũng thiết lập một cơ quan bảo vệ dữ liệu ở cấp Liên minh[7]. Thành viên của cơ quan này đại diện cho các quốc gia thành viên Liên minh châu Âu, các quốc gia thuộc khu vực kinh tế châu Âu và Cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu Âu (European data protection supervisor – EDPS)[8]. Nhiệm vụ của cơ quan này là hướng dẫn thực hiện GDPR, tham mưu cho Ủy ban châu Âu về những vấn đề liên quan đến bảo vệ dữ liệu cá nhân; giải quyết tranh chấp giữa các cơ quan quốc gia. Ngoài ra, Ủy ban châu Âu cũng phân công một lãnh đạo đăc trách theo dõi việc triển khai và áp dụng các quy định bảo vệ dữ liệu của Liên minh châu Âu trong các thiết chế của Liên minh.
2. Một số nội dung chính của Quy định chung của Liên minh châu Âu về bảo vệ dữ liệu và các quy định của pháp luật Việt Nam về bảo vệ dữ liệu
GDPR gồm 11 Chương,  99 điều, tập trung vào các nội dung liên quan đến: phạm vi điều chỉnh; nguyên tắc liên quan đến xử lý dữ liệu cá nhân; quyền của chủ thể dữ liệu cá nhân; quyền và nghĩa vụ của chủ thể kiểm soát và chủ thể xử lý dữ liệu cá nhân; dịch chuyển dữ liệu cá nhân đến một nước thứ ba hoặc các tổ chức quốc tế; các chủ thể có thẩm quyền giám sát; các biện pháp khắc phục; trách nhiệm pháp lý và các hình thức xử lý vi phạm; cơ chế thực thi.
2.1. Khái niệm dữ liệu cá nhân
Theo GDPR, dữ liệu cá nhân (personal data hoặc données à caractère personnel) được hiểu là tất cả các thông tin liên quan đến một thể nhân được nhận diện[9] hoặc có thể được nhận diện, dù trực tiếp hay gián tiếp[10]. Cụ thể, những thông tin liên quan đến tên, số chứng minh thư, dữ liệu về nơi cư trú, số điện thoại, hoặc bất kỳ một hoặc những yếu tố đặc biệt nào liên quan đến việc nhận diện về thể chất, tâm lý, sinh lý, di truyền, kinh tế, văn hóa hoặc xã hội của cá nhân. Nói một cách khác, các phần thông tin rời rạc khác nhau nếu được thu thập và tập hợp lại mà có thể dẫn đến việc nhận diện một cá nhân cụ thể thì cũng được coi là dữ liệu cá nhân hay thông tin cá nhân[11]. Các thông tin này có thể là thông tin khách quan (objective information) như họ tên, ngày sinh, chiều cao, cân nặng, … và thông tin chủ quan (subjective information) như đánh giá của người sử dụng lao động. Bên cạnh đó, việc nhận diện một cá nhân một cách trực tiếp hay gián tiếp cũng được giải thích một cách rõ ràng.
GDPR đề cập đến cá nhân có thể được nhận diện (identifiable individuals hoặc identifiable natural person). Theo đó, bất kỳ cá nhân nào có thể được phân biệt với người khác thì được coi là có thể nhận diện được. Đây là người có thể được nhận diện một cách trực tiếp hoặc gián tiếp, đặc biệt qua công cụ nhận diện (identifier) như tên, số chứng minh thư, dữ liệu vị trí, công cụ định danh trực tuyến (online identifier) hoặc qua một hoặc những yếu tố đặc thù về danh tính thể chất, tâm lý, di truyền, tinh thần, kinh tế, văn hóa, xã hội của người đó[12]. Công cụ nhận diện trong pháp luật của Liên minh châu Âu được hiểu là những thông tin nhận diện cá nhân và những thông tin liên quan đến các vật dụng của cá nhân như máy tính, điện thoại smartphone.. giúp nhận diện cá nhân đó[13].
Một người có thể được nhận diện một cách trực tiếp (directly identifiable) khi việc nhận diện được thực hiện hoàn toàn trên các thông tin mà bạn đang có. Nhận diện một cách gián tiếp (indirectly identifiable) là khi việc nhận diện không thể được thực hiện trên thông tin mà bạn đang có, mà cần phải sử dụng thêm các thông tin ở các nguồn khác (reasonably access). Như vậy, những thông tin, ngay cả khi không chứa đựng tên của cá nhân, nhưng nếu chúng giúp hiểu rõ về cá nhân đó hoặc có tác động lên cá nhân đó thì có thể được coi là thông tin cá nhân[14].
GDPR phân biệt dữ liệu cá nhân với dữ liệu cá nhân nhạy cảm. Đối với dữ liệu cá nhân, GDPR cho phép việc xử lý dữ liệu của các tổ chức, cá nhân. Ngược lại, đối với dữ liệu cá nhân nhạy cảm, mức độ bảo vệ được đặt ra cao hơn; theo đó, việc xử lý dữ liệu bị cấm hoàn toàn. Dữ liệu cá nhân nhạy cảm bao gồm: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dục và xu hướng tình dục”[15]. Ngoại lệ của quy định cấm này là trường hợp có sự đồng thuận từ chủ thể dữ liệu, để bảo vệ quyền lợi cá nhân, để phục vụ công tác y tế dự phòng, y tế nghiệp vụ, hoặc vì lợi ích công cộng.
Pháp luật Việt Nam sử dụng thuật ngữ “thông tin cá nhân” để chỉ về dữ liệu cá nhân. Thông tin cá nhân được điều chỉnh bởi pháp luật trong lĩnh vực công nghệ thông tin, an toàn thông tin mạng. Theo quy định của khoản 15 Điều 3 Luật An toàn thông tin mạng (ATTTM) năm 2015, thông tin cá nhân được hiểu là thông tin gắn với việc xác định danh tính của một người cụ thể. Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước (Nghị định số 64) quy định: “Thông tin cá nhân là thông tin đủ để xác định danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”.  
Bên cạnh đó, các quy định hiện hành không đề cập đến thông tin nhạy cảm, mà quy định về bí mật cá nhân (Nghị định số 64), đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 38 Bộ luật Dân sự năm 2015), bí mật đời sống riêng tư, bí mật cá nhân của trẻ em (Điều 33 Nghị định số 56/2017/NĐ-CP).
Có thể thấy rằng, thông tin cá nhân theo quy định của pháp luật Việt Nam có nội hàm hẹp hơn so với định nghĩa về dữ liệu cá nhân của Liên minh châu Âu. Việc xác định thông tin cá nhân trong quy định của Liên minh châu Âu còn hướng tới các yếu tố văn hóa, xã hội của cá nhân có liên quan đến việc nhận diện cá nhân, bên cạnh các yếu tố nhằm nhận diện trực tiếp cá nhân. Ngoài ra, dù cả hai hệ thống pháp luật đều hướng tới những thông tin nhằm nhận diện cá nhân, nhưng pháp luật của Liên minh châu Âu nêu rõ về cách thức nhận diện, bao gồm cả nhận diện trực tiếp và nhận diện gián tiếp thông qua các công cụ nhận diện. Trong khi đó, pháp luật Việt Nam không giải thích rõ về cách thức xác định thông tin cá nhân.  
2.2. Quyền của chủ thể dữ liệu cá nhân
Theo Hiến chương của Liên minh châu Âu về các quyền cơ bản, công dân của Liên minh có quyền bảo vệ dữ liệu cá nhân của mình. Các quyền này được quy định trong Điều 8 Hiến chương và được quy định trong các Hiến pháp của các quốc gia thành viên. Công dân của Liên minh được quyền yêu cầu cơ quan có thẩm quyền của nước mình bảo vệ quyền cơ bản này. Quyền này cũng được áp dụng đối với những thể nhân dù không có quốc tịch của các quốc gia thành viên của Liên minh châu Âu, nhưng cư trú thường xuyên trên lãnh thổ của Liên minh châu Âu[16]. Từ Điều 12 đến Điều 23 GDPR đã cụ thể hóa quy định của Hiến chương Liên minh châu Âu về quyền bảo vệ dữ liệu cá nhân.
Theo quy định của GDPR, chủ thể dữ liệu cá nhân có quyền được thông tin về việc dữ liệu cá nhân của mình được thu thập và sử dụng (right to be informed), chủ thể xử lý thông tin có nghĩa vụ thông tin về mục đích của việc xử lý dữ liệu cá nhân, thời gian lưu trữ dữ liệu và những chủ thể mà dữ liệu có thể được chia sẻ đến (Điều 13); chủ thể dữ liệu cá nhân có quyền được tiếp cận dữ liệu cá nhân của mình (right to data access); cụ thể, chủ thể dữ liệu cá nhân được quyền nhận xác nhận từ phía chủ thể kiểm soát thông tin về việc xử lý dữ liệu cá nhân của họ (Điều 15); chủ thể dữ liệu cá nhân có quyền chỉnh sửa dữ liệu trong trường hợp dữ liệu có lỗi (Điều 16), được xóa dữ liệu (right to erasure or right to be forgotten) nếu đáp ứng một số tiêu chí nhất định (Điều 17) và được quyền hạn chế một số trường hợp sử dụng dữ liệu của mình, trong đó bao gồm cả quyền tạm thời di chuyển dữ liệu cá nhân đã chọn sang hệ thống xử lý khác, làm cho dữ liệu cá nhân đã chọn không có sẵn cho người dùng hoặc tạm thời xóa dữ liệu cá nhân đã được công bố ra khỏi trang web (Điều 18); chủ thể dữ liệu cá nhân cũng có quyền nhận dữ liệu mà mình đã cung cấp cho chủ thể kiểm soát thông tin và yêu cầu truyền những dữ liệu này cho chủ thể kiểm soát khác, mà không bị cản trở từ phía chủ thể đang kiểm soát dữ liệu cá nhân của mình, khi đáp ứng yêu cầu đặt ra (Điều 20). Ngoài ra, trong những tình huống cụ thể, chủ thể dữ liệu cá nhân cũng có quyền phản đối việc xử lý dữ liệu cá nhân của họ (Điều 21).
Khi có những xâm phạm đối với quyền bảo vệ dữ liệu cá nhân, công dân của Liên minh châu Âu có thể khiếu nại đến cơ quan có thẩm quyền của Liên minh, Chính phủ, Tòa án các quốc gia thành viên của Liên minh hoặc những tổ chức nhân quyền để yêu cầu được bảo vệ. Chủ thể thông tin có quyền yêu cầu bồi thường thiệt hại đối với những vi phạm về dữ liệu thông tin của mình.  
Pháp luật Việt Nam cũng quy định về quyền được bảo vệ thông tin cá nhân trong một số văn bản như: Luật An toàn thông tin mạng, Luật Công nghệ thông tin, Bộ luật Dân sự và các văn bản dưới luật. Theo đó, chủ thể thông tin cá nhân có quyền được thông tin về việc thông tin cá nhân của mình được thu thập và sử dụng;  quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ; quyền yêu cầu tổ chức, cá nhân xử lý thông tin cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba…
So với quy định của GDPR, pháp luật Việt Nam cũng đã công nhận những quyền cơ bản cho chủ thể thông tin. Tuy nhiên, GDPR quy định chi tiết một số quyền của chủ thể thông tin như quyền tiếp cận thông tin, quyền chỉnh sửa dữ liệu, quyền xóa dữ liệu. Bên cạnh đó, GDPR còn mở rộng thêm một số quyền cho chủ thể dữ liệu như: quyền hạn chế xử lý dữ liệu, quyền yêu cầu truyền dữ liệu, quyền phản đối việc xử lý dữ liệu. Bên cạnh đó, nhờ có sự hướng dẫn và giải thích quy định của GDPR rõ ràng và cụ thể, thông qua hệ thống các Recitals, việc áp dụng GDPR trên thực tế khá thuận lợi. Trong khi đó, nhiều quy định về bảo vệ thông tin cá nhân trong các văn bản luật của nước ta chưa được kịp thời hướng dẫn thi hành.
2.3. Nguyên tắc đối với xử lý dữ liệu cá nhân
Theo quy định của GDPR, mỗi tổ chức xử lý dữ liệu cá nhân phải bảo đảm rằng dữ liệu cá nhân mà tổ chức đó xử lý đáp ứng các nguyên tắc cơ bản:
Thứ nhất, tính hợp pháp, công bằng và minh bạch. Việc xử lý dữ liệu phải được thực hiện trên cơ sở hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu cá nhân; chủ thể dữ liệu cá nhân phải được biết một cách minh bạch về việc dữ liệu cá nhân của họ được thu thập, sử dụng, tham khảo và về mức độ xử lý dữ liệu cá nhân của họ; các thông tin về việc xử lý dữ liệu cá nhân cần phải được dễ dàng truy cập, dễ hiểu, ngôn ngữ được sử dụng phải rõ ràng, đơn giản.
Thứ hai, giới hạn ở mục đích sử dụng. Việc xử lý dữ liệu phải được thực hiện theo các mục đích hợp pháp và đã được nêu rõ cho chủ thể dữ liệu cá nhân biết khi tiến hành thu thập dữ liệu; dữ liệu cá nhân cần phải được giới hạn ở mục đích mà chúng được xử lý.
Thứ ba, giảm thiểu dữ liệu. Chỉ được thu thập, xử lý những dữ liệu cá nhân cần thiết cho mục đích đã được chỉ định; dữ liệu cá nhân chỉ nên được xử lý nếu mục đích của việc xử lý không thể được thực hiện một cách hợp lý bằng phương thức khác.
Thứ tư, độ chính xác. Dữ liệu cá nhân được xử lý phải luôn chính xác và cập nhật; dữ liệu cá nhân không chính xác sẽ được chỉnh sửa hoặc xóa.
Thứ năm, giới hạn lưu trữ. Chỉ có thể lưu trữ dữ liệu cá nhân trong thời gian cần thiết cho mục đích sử dụng; thời gian mà dữ liệu cá nhân được lưu trữ được giới hạn ở mức tối thiểu; dữ liệu cá nhân không bị lưu giữ lâu hơn mức cần thiết, người kiểm soát nên thiết lập các giới hạn thời gian để xóa, hoặc đánh giá định kỳ.
Thứ sáu, tính toàn vẹn và bảo mật. Việc xử lý dữ liệu cá nhân phải được thực hiện theo cách thức bảo đảm tính bí mật, toàn vẹn và bảo mật phù hợp; thực hiện các biện pháp ngăn chặn truy cập hoặc sử dụng trái phép dữ liệu cá nhân và thiết bị được sử dụng để xử lý dữ liệu cá nhân.
Thứ bảy, trách nhiệm giải trình. Người kiểm soát dữ liệu có trách nhiệm chứng minh việc tuân thủ tất cả các nguyên tắc này của GDPR.
Pháp luật Việt Nam không quy định cụ thể về các nguyên tắc xử lý thông tin cá nhân giống như Liên minh châu Âu. Tuy nhiên, thông qua các quy định về nghĩa vụ, trách nhiệm của tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân, Luật Công nghệ thông tin, Luật An toàn thông tin mạng, Nghị định số 52/2013/NĐ-CP đặt ra yêu cầu: sử dụng đúng mục đích sau khi có sự đồng ý của chủ thể thông tin cá nhân; lưu trữ trong một khoảng thời gian nhất định; không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
So sánh với quy định của GDPR thì quy định về bảo vệ thông tin cá nhân của pháp luật Việt Nam còn chưa toàn diện, thiếu chặt chẽ, chưa thể hiện đầy đủ nguyên tắc xử lý thông tin cá nhân.
2.4. Nghĩa vụ, trách nhiệm của chủ thể kiểm soát, chủ thể xử lý dữ liệu cá nhân
Nghĩa vụ, trách nhiệm của chủ thể kiểm soát, chủ thể xử lý thông tin cá nhân được GDPR quy định từ Điều 24 đến Điều 43. GDPR phân biệt chủ thể kiểm soát thông tin cá nhân với chủ thể xử lý thông tin cá nhân; theo đó, chủ thể kiểm soát dữ liệu là người xác định mục tiêu và ý nghĩa của việc xử lý dữ liệu cá nhân, còn chủ thể xử lý là người trực tiếp tiến hành xử lý dữ liệu cá nhân nhân danh chủ thể kiểm soát dữ liệu cá nhân.
Điều 24 GDPR về trách nhiệm của chủ thể kiểm soát thông tin yêu cầu chủ thể kiểm soát dữ liệu cá nhân có nghĩa vụ thiết lập những biện pháp bảo vệ dữ liệu cá nhân phù hợp và hiệu quả, đồng thời phải thể hiện được sự phù hợp và hiệu quả của các biện pháp này với các yêu cầu của GDPR.
Do hoạt động nhân danh chủ thể kiểm soát thông tin nên chủ thể kiểm soát thông tin phải chịu trách nhiệm đối với việc xử lý thông tin của chủ thể xử lý thông tin. Mối quan hệ giữa chủ thể xử lý thông tin và chủ thể kiểm soát thông tin được xác định trên cơ sở hợp đồng hoặc một hành vi pháp lý khác phù hợp quy định của Liên minh châu Âu hoặc của quốc gia thành viên. Trường hợp dữ liệu bị tiết lộ, truy cập, thay đổi hoặc bị đánh cắp, chủ thể kiểm soát dữ liệu cần phải thực hiện nghĩa vụ báo cáo đến các chủ thể dữ liệu, kể cả khi vi phạm xảy ra từ chủ thể xử lý dữ liệu cho doanh nghiệp theo hợp đồng. Nếu chủ thể kiểm soát dữ liệu có thể xác định được rằng, không có dữ liệu cá nhân nào bị rủi ro, thì không phải thực hiện nghĩa vụ này trừ trường hợp dữ liệu bị mất là dữ liệu nhạy cảm. Trường hợp không thực hiện đúng yêu cầu này, chủ thể kiểm soát dữ liệu sẽ đối mặt với án phạt của cơ quan có thẩm quyền. Tuy nhiên, nghĩa vụ thông báo có thể được miễn nếu chủ thể kiểm soát dữ liệu chứng minh được đã sử dụng các biện pháp bảo vệ công nghệ nhằm bảo vệ dữ liệu thông tin, như mã hóa, để làm cho dữ liệu thông tin trở nên vô dụng đối với kẻ tấn công. GDPR cũng nêu rõ nghĩa vụ của chủ thể kiểm soát dữ liệu trong việc bảo vệ dữ liệu cá nhân và trách nhiệm của họ đối với những vi phạm của chủ thể xử lý dữ liệu cho mình. Nói một cách khác, các chủ thể kiểm soát dữ liệu phải bảo đảm rằng chủ thể xử lý dữ liệu của mình tuân thủ các nghĩa vụ về bảo vệ dữ liệu cá nhân. Nếu những người này để dữ liệu cá nhân gặp rủi ro thì chủ thể kiểm soát dữ liệu cá nhân phải chịu trách nhiệm. Đây là nghĩa vụ mới được quy định trong GDPR.
GDPR cũng quy định về nghĩa vụ, trách nhiệm của các chủ thể liên quan đến quá trình xử lý dữ liệu cá nhân như: người kiểm soát dữ liệu, người xử lý dữ liệu, cán bộ bảo vệ dữ liệu được chỉ định trong tổ chức… Những vi phạm quy định của GDPR sẽ bị phạt với mức phạt rất cao. Mức phạt cao nhất lên tới 20 triệu Euros hoặc 4% doanh thu toàn cầu (trong 12 tháng trước đó) của công ty vi phạm (Điều 83 GDPR). Ngoài ra, chủ thể kiểm soát thông tin hoặc chủ thể xử lý thông tin còn phải bồi thường thiệt hại gây ra khi vi phạm quy định của GDPR (Điều 82 GDPR).
Pháp luật Việt Nam không phân biệt chủ thể kiểm soát thông tin và chủ thể xử lý thông tin cá nhân. Theo quy định của Luật An toàn thông tin mạng, chủ thể xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình; các chủ thể này phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ, tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng; khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất. Luật Công nghệ thông tin cũng quy định tương tự đối với chủ thể thu thập, xử lý và sử dụng thông tin cá nhân tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá hủy. Những vi phạm quy định về bảo vệ thông tin cá nhân sẽ chịu những hình thức xử lý từ xử phạt hành chính đến truy cứu trách nhiệm hình sự.
3. Một số khuyến nghị đến Quốc hội, Chính phủ và doanh nghiệp Việt Nam
Trước những thay đổi theo hướng tăng cường thực thi pháp luật về bảo vệ dữ liệu cá nhân của một số quốc gia trên thế giới, trong đó có Liên minh châu Âu trong thời gian vừa qua, trước mắt, Chính phủ Việt Nam cần triển khai những hoạt động hỗ trợ pháp lý cũng như các hoạt động truyền thông đến các doanh nghiệp nhằm giúp các doanh nghiệp hiểu rõ được các quy định của pháp luật của Liên minh châu Âu, cũng như pháp luật các quốc gia khác như Hoa Kỳ, Trung Quốc.
Ngoài ra, trong thẩm quyền của mình, Chính phủ cũng cần rà soát lại các văn bản pháp luật của Việt Nam về bảo vệ thông tin cá nhân, đề xuất hoàn thiện pháp luật Việt Nam, hướng tới mục tiêu hài hòa hóa pháp luật (đặc biệt trong việc nhận diện dữ liệu cá nhân, các yêu cầu về nghĩa vụ, trách nhiệm của chủ thể xử lý dữ liệu) nhằm tăng cường khả năng thích ứng của các doanh nghiệp Việt Nam trong môi trường pháp lý quốc tế.
Để đạt được mục tiêu này, Quốc hội Việt Nam cũng nên hướng tới xây dựng một đạo luật chung thống nhất về bảo vệ thông tin cá nhân. Đạo luật này sẽ giúp bảo vệ được một cách hiệu quả thông tin cá nhân trên lãnh thổ Việt Nam; đồng thời, loại bỏ được những chồng chéo, mâu thuẫn giữa các văn bản quy phạm pháp luật hiện hành về vấn đề.
Đối với các doanh nghiệp Việt Nam, cả đối với các doanh nghiệp dù không hoạt động kinh doanh trực tiếp trên lãnh thổ Liên minh châu Âu, nhưng nếu có những thao tác liên quan đến dữ liệu cá nhân của công dân, người thường trú trên lãnh thổ Liên minh châu Âu thì cần lưu ý một số vấn đề sau để bảo đảm tuân thủ các quy định của GDPR:
Thứ nhất, khi ký hợp đồng với các bên thứ ba trong trường hợp thuê bên thứ ba xử lý dữ liệu cho doanh nghiệp của mình. Hợp đồng cần nêu rõ quyền, nghĩa vụ, trách nhiệm của các bên. Với tư cách là người kiểm soát dữ liệu, doanh nghiệp cần bổ sung Thỏa thuận xử lý dữ liệu (Data Processing Agreement – DPA) bên cạnh hợp đồng chính. Theo quy định của GDPR, DPA đưa ra các quy tắc về cách thức mà bên xử lý dữ liệu có thể sử dụng dữ liệu cá nhân để thực hiện mục đích của hợp đồng.
Thứ hai, chỉ định trách nhiệm bảo vệ dữ liệu cá nhân cho những bộ phận, cá nhân cụ thể trong doanh nghiệp của mình. Theo quy định của GDPR, mỗi doanh nghiệp phải phân công một người phụ trách về cơ sở dữ liệu (người bảo vệ dữ liệu - Data Protection Officer - DPO). Người này sẽ làm việc với tư cách là người điều hành chính và chuyên gia về bảo mật của doanh nghiệp, có trách nhiệm báo cáo với cơ quan bảo vệ dữ liệu có thẩm quyền tại quốc gia mà doanh nghiệp được thành lập.
Thứ ba, duy trì tài liệu chi tiết về dữ liệu doanh nghiệp mình đang thu thập, phương thức dữ liệu được sử dụng, nơi lưu trữ dữ liệu, nhân viên chịu trách nhiệm. Theo quy định của GDPR về hồ sơ xử lý dữ liệu, doanh nghiệp cũng như người xử lý dữ liệu phải lưu giữ hồ sơ về việc sử dụng dữ liệu.
Thứ tư, tổ chức và thực hiện các biện pháp kỹ thuật nhằm bảo đảm an ninh dữ liệu. Theo quy định của GDPR, các tổ chức có trách nhiệm bảo đảm thực hiện các biện pháp tổ chức và kỹ thuật thích hợp để bảo đảm an ninh dữ liệu. Các biện pháp kỹ thuật được hiểu là bất cứ các biện pháp, từ việc yêu cầu nhân viên thực hiện các biện pháp nhằm bảo đảm an toàn dữ liệu trên các tài khoản lưu trữ dữ liệu cá nhân đến việc ký hợp đồng với các nhà cung cấp dịch vụ đám mây sử dụng mã hóa đầu cuối. Các biện pháp tổ chức được hiểu là những biện pháp như đào tạo nhân viên, thêm chính sách bảo mật dữ liệu vào sổ tay của nhân viên hoặc giới hạn quyền truy cập vào dữ liệu cá nhân cho một số lượng giới hạn các nhân viên trong doanh nghiệp cần sử dụng nó. Doanh nghiệp cần chú ý đến việc bảo vệ dữ liệu cá nhân một cách hệ thống. Ví dụ, khi doanh nghiệp tạo ra một ứng dụng mới cho mình, doanh nghiệp cần phải có những biện pháp kỹ thuật khi ứng dụng này có thể thu thập dữ liệu cá nhân từ người dùng, và bảo đảm rằng các biện pháp này hướng tới việc giảm thiểu dữ liệu xử lý và những dữ liệu này được bảo mật bằng công nghệ hiện đại. Ngoài ra, doanh nghiệp cần chú ý nhanh chóng mã hóa các dữ liệu cá nhân càng. Bởi lẽ, việc mã hóa dữ liệu cá nhân sẽ khiến cho các dữ liệu này không thể nhận diện được các cá nhân nữa. Trong trường hợp gặp sự cố, việc mã hóa dữ liệu cá nhân sẽ giúp cho doanh nghiệp tránh khỏi những vi phạm quy định của GDPR.
Thứ năm, thiết lập quy trình để quản lý vi phạm dữ liệu cá nhân trong khung thời gian 72 giờ. Nếu doanh nghiệp bị vi phạm dữ liệu, doanh nghiệp cần phải thực hiện các bước để giảm thiểu rủi ro. Doanh nghiệp phải thực hiện đánh giá rủi ro nếu họ có những cách thức mới để sử dụng dữ liệu cá nhân hoặc thay đổi nhà cung cấp dịch vụ xử lý dữ liệu cá nhân. Quá trình đánh giá tác động bảo vệ dữ liệu (Data Protection Impact Assessment- DPIA) phải tuân thủ theo quy định tại Điều 35 của GDPR.
Thứ sáu, thông báo cho các chủ thể dữ liệu cá nhân một cách minh bạch quá trình xử lý dữ liệu. Các doanh nghiệp có thể sử dụng Thông báo về quyền riêng tư và chính sách bảo mật trên các trang thông tin điện tử như là một phần nội dung của thỏa thuận dịch vụ.
Thứ bảy, quản lý các quyền của chủ thể dữ liệu một cách hiệu quả. Nếu nhận được yêu cầu của chủ thể dữ liệu về việc thực hiện quyền đối với dữ liệu cá nhân, thì doanh nghiệp phải giải quyết một cách nhanh chóng./.
 

 


[1] Đối với Vương quốc Anh, trước là thành viên của Liên minh châu Âu, quốc gia này cũng ban hành đạo luật về bảo vệ dữ liệu cá nhân vào năm 2018 (Data Protection Act 2018). Đạo luật này về cơ bản chuyển hóa các quy định của Liên minh châu Âu về bảo vệ dữ liệu cá nhân vào pháp luật quốc gia và cho phép tiếp tục áp dụng quy định của GDPR trên lãnh thổ quốc gia, dù đã rời khỏi Liên minh châu Âu.
[2] Công ước số về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân được mở cho các thành viên ký kết, tham gia vào 28/1/1981.
[3] Emmanuel Pernot-Lepay, “China’s Approach on Data Privacy Law: A third Way between the U.S and the EU?”, Penn State Journal of Law and International Affairs, vol. 8.1, 5/2020, p.72, https://pernot-leplay.com/data-privacy-law-china-comparison-europe-usa/, truy cập ngày 15/4/2021.
[4] Việc coi quyền bảo vệ thông tin cá nhân trong nội hàm của quyền riêng tư cũng được ghi nhận trong Công ước số 108 của Nghị viện châu Âu. Tuy nhiên, quan điểm này đã được chỉnh sửa trong Nghị định thư số 223 được soạn thảo năm 2018 nhằm sửa đổi Công ước số 108.
[5] Paul M. Schwartz, Daniel J. Solove, “Reconciling Personal Information in the United States and European Union”, California Law Review, Inc, Vol.102, 2014, pp. 877-916, https://www.cs.yale.edu/homes/jf/SchwartzReconcilingPersonalInformation.pdf, truy cập ngày 06/8/2020.
[6] Khoản 3 Điều 3 GDPR nêu rõ: Quy định này điều chỉnh việc xử lý dữ liệu của chủ thể thông tin ở trên lãnh thổ Liên minh châu Âu, được thực hiện bởi chủ thể kiểm soát hoặc chủ thể xử lý thông tin không nằm trên lãnh thổ của Liên minh châu Âu, khi hoạt động xử lý dữ liệu liên quan đến: a) Việc cung cấp hàng hóa hoặc dịch vụ cho chủ thể thông tin ở Liên minh châu Âu, bất kể có hay không yêu cầu thanh toán đặt ra cho các chủ thể thông tin này; b) Việc giám sát hành vi của chủ thể thông tin khi hành vi này diễn ra trong Liên minh châu Âu. 
[7] Xem Điều 68 GDPR.
[8] Cơ quan này được thiết lập trên cơ sở quy định chung của Nghị viện châu Âu và Hội đồng châu Âu, Quy định số 2018/1725. Xem: https://edps.europa.eu/about-edps/members-mission/supervisors_en, truy cập ngày 11/5/2021.
[9] Tiếng Anh là “identify”. Căn cứ Từ điển Tiếng Anh trực tuyến của Cambridge, từ nhận diện (identiy) được hiểu là hành vi nhận ra được một người và nói được anh ta là ai. Do vậy, tác giả bài viết sử dụng thuật ngữ “nhận diện” nhằm thể hiện ý trên. Xem dịch nghĩa từ “identify” trên https://dictionary.cambridge.org/dictionary/english/identify, truy cập ngày 08/8/2020.
[10] Xem thêm về cách giải thích của Liên minh châu Âu về thông tin cá nhân trên trang https://gdpr.eu/eu-gdpr-personal-data/, truy cập ngày 08/8/2020.
[11] Xem thêm giải thích của Ủy ban châu Âu về dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu trên https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en, truy cập ngày 28/7/2020.
[12] Xem Điều 4 GDPR trên https://gdpr-info.eu/art-4-gdpr/, truy cập ngày 08/8/2020.
[13] Tìm hiểu thêm về thông tin cá nhân trong pháp luật của Liên minh châu Âu trên https://gdpr.eu/eu-gdpr-personal-data/, truy cập ngày 08/8/2020.
[14] Xem thêm về cách giải thích của Liên minh châu Âu trên https://gdpr.eu/eu-gdpr-personal-data/, truy cập ngày 16/4/2021.
[15] Xem Điều 9 GDPR trên https://gdpr-info.eu/art-9-gdpr/, truy cập ngày 16/4/2021.
[16] Theo quy định của Liên minh châu Âu, những thể nhân không có quốc tịch của nước thành viên Liên minh châu Âu nhưng cư trú một cách hợp pháp, liên tục trong thời gian 5 năm trên lãnh thổ của Liên minh châu Âu sẽ được coi là người thường trú trên lãnh thổ Liên minh châu Âu. Khi đó, người này sẽ có những quyền giống như công dân của Liên minh châu Âu. Xem cụ thể trên https://ec.europa.eu/home-affairs/what-we-do/policies/legal-migration/long-term-residents_en, truy cập ngày 16/4/2021. 

(Nguồn tin: Bài viết đăng trên Ấn phẩm Tạp chí Nghiên cứu lập pháp số 23(447), tháng 12/2021)


Thống kê truy cập

33154655

Tổng truy cập