VN
EN
CN
.jpg "Tin tức truyền thông")
Không ít các doanh nghiệp hoạt động trong lĩnh vực thương mại điện tử nhận được phản ánh từ khách hàng về việc nội dung quảng cáo phiền phức dù đã từ chối; một số khách hàng khác không nhận được bất kỳ thông báo nào đã gửi đơn khiếu nại khi dữ liệu cá nhân của họ được chia sẻ cho đơn vị cung cấp dịch vụ tiếp thị… Thực tiễn cho thấy rủi ro pháp lý về dữ liệu cá nhân không chỉ phát sinh từ các sự cố rò rỉ dữ liệu quy mô lớn, chúng xuất phát từ những hoạt động rất quen thuộc trong việc quản trị dữ liệu của doanh nghiệp. Vì vậy, việc tuân thủ bảo vệ dữ liệu cá nhân phải được thực hiện như một nghĩa vụ xuyên suốt toàn bộ vòng đời xử lý dữ liệu.
Luật Bảo vệ dữ liệu cá nhân 2025 định nghĩa “xử lý dữ liệu cá nhân” theo nghĩa rộng, là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và các hoạt động khác có tác động đến dữ liệu cá nhân. Cách tiếp cận này cho thấy nghĩa vụ của doanh nghiệp không nằm ở một hoạt động đơn lẻ, chúng phải được theo sát toàn bộ hành trình của dữ liệu. Đồng thời, trách nhiệm đó cũng gắn trực tiếp với các quyền của chủ thể dữ liệu như quyền được biết, quyền đồng ý hoặc rút lại sự đồng ý, quyền xem, chỉnh sửa, yêu cầu xóa hoặc hạn chế xử lý, quyền phản đối và quyền khiếu nại, yêu cầu bồi thường khi dữ liệu bị xâm phạm.
Ở giai đoạn đầu tiên, thu thập dữ liệu, doanh nghiệp phải có căn cứ hợp pháp để thu thập loại dữ liệu và phải thể hiện được sự đồng ý của chủ thể dữ liệu. Sự đồng ý chỉ được xem là hợp lệ khi được thể hiện một cách tự nguyện, rõ ràng, cụ thể, tương ứng với từng mục đích xử lý và có thể kiểm chứng. Nếu doanh nghiệp có nhiều mục đích xử lý, từng mục đích phải được tách bạch để chủ thể dữ liệu có thể lựa chọn. Bên cạnh đó, doanh nghiệp phải lưu giữ được bằng chứng về sự đồng ý để thực hiện trách nhiệm giải trình khi có tranh chấp hoặc kiểm tra. Với dữ liệu cá nhân nhạy cảm, yêu cầu được quy định chặt chẽ hơn, doanh nghiệp phải thông báo cho chủ thể dữ liệu biết rằng dữ liệu đang được xử lý là dữ liệu nhạy cảm trước khi thu thập.
Riêng đối với mạng xã hội, nền tảng số và dịch vụ truyền thông trực tuyến, nghĩa vụ minh bạch thông tin phức tạp hơn. Tổ chức cung cấp dịch vụ phải thông báo rõ nội dung dữ liệu được thu thập khi người dùng cài đặt và sử dụng dịch vụ; đồng thời phải có cơ chế để người dùng từ chối cookies và không được nghe lén, ghi âm hoặc đọc tin nhắn khi chưa có sự đồng ý hợp lệ, trừ trường hợp pháp luật cho phép. Nói cách khác, doanh nghiệp vừa phải có lý do “thu thập dữ liệu sử dụng cho mục đích gì”, vừa phải chứng minh “được phép thu thập dữ liệu đó trên cơ sở nào”.
Ở giai đoạn lưu trữ và sử dụng dữ liệu, đây là nơi thể hiện rõ nhất năng lực quản trị của doanh nghiệp. Việc lưu trữ phải gắn với mục đích xử lý đã xác định; việc sử dụng phải tuân thủ nguyên tắc hợp pháp, đúng mục đích, chính xác và có biện pháp bảo vệ tương ứng. Doanh nghiệp phải áp dụng đồng thời các biện pháp kỹ thuật và tổ chức để bảo đảm an toàn, bảo mật thông tin; rà soát toàn bộ quy trình vận hành để xác định rõ những hoạt động xử lý đang được thực hiện. Trong giai đoạn này, doanh nghiệp phải xác định đúng vai trò pháp lý của mình. Đối với doanh nghiệp là bên kiểm soát dữ liệu, phải quyết định mục đích và phương tiện xử lý dữ liệu; đối với doanh nghiệp là bên xử lý dữ liệu, chỉ tiếp nhận và xử lý dữ liệu theo thỏa thuận với bên khác. Trường hợp doanh nghiệp đồng thời vừa quyết định mục đích, vừa trực tiếp xử lý một phần hoặc toàn bộ dữ liệu, phạm vi trách nhiệm sẽ mở rộng theo cả hai hướng. Cùng với đó, với hoạt động xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp có nghĩa vụ chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân và nhân sự phụ trách bảo vệ dữ liệu cá nhân.
Ở giai đoạn chia sẻ và chuyển giao dữ liệu, khi chuyển giao dữ liệu cho bên thứ ba, doanh nghiệp cần làm rõ loại dữ liệu, phạm vi xử lý, mục đích, thời hạn, trách nhiệm bảo mật và trách nhiệm của từng bên. Ngay cả trong nội bộ doanh nghiệp, dữ liệu chỉ nên được cấp quyền đúng người, đúng chức năng và đúng mục đích đã được xác lập. Nếu không có quy trình kiểm soát nội bộ, việc chia sẻ trong nội bộ rất dễ trở thành kênh rò rỉ dữ liệu ngầm. Đối với chuyển dữ liệu cá nhân xuyên biên giới, yêu cầu tuân thủ nghiêm ngặt hơn, doanh nghiệp phải nắm rõ hướng di chuyển của dữ liệu và phải kiểm soát được rủi ro phát sinh trên hành trình đó.
Cuối cùng, giai đoạn xóa, hủy dữ liệu, đa phần các doanh nghiệp xử lý kém hiệu quả, chỉ chú trọng thu thập và khai thác, bỏ qua việc dừng xử lý dữ liệu. Trong khi đó, xóa và hủy dữ liệu không phải là thao tác phụ, đây là phần cuối cùng để khép kín trách nhiệm của doanh nghiệp trong vòng đời dữ liệu. Khi mục đích xử lý đã hoàn thành, hết thời hạn lưu trữ hoặc khi có căn cứ pháp lý làm chấm dứt việc xử lý, doanh nghiệp phải thực hiện việc xóa, hủy hoặc chấm dứt xử lý theo đúng quy định; biện pháp kỹ thuật được áp dụng phải đủ mạnh để ngăn chặn việc khôi phục trái phép. Nếu dữ liệu chỉ bị ẩn khỏi giao diện nhưng vẫn có thể được truy xuất hoặc phục hồi dễ dàng trong hệ thống, nghĩa vụ xóa trên thực tế vẫn chưa được hoàn tất. Trường hợp không thể xóa, hủy vì lý do chính đáng, doanh nghiệp phải thông báo rõ tình hình cho chủ thể dữ liệu.
Cùng với các nghĩa vụ tuân thủ, doanh nghiệp phải nắm rõ các hậu quả pháp lý khi xử lý dữ liệu cá nhân sai quy định. Tùy vào tính chất, mức độ và hậu quả của hành vi vi phạm, doanh nghiệp khi vi phạm sẽ bị xử phạt hành chính. Mức phạt có thể lên tới 5% doanh thu năm trước liền kề đối với vi phạm về chuyển dữ liệu cá nhân xuyên biên giới; tối đa 10 lần khoản thu có được từ hành vi vi phạm đối với hành vi mua, bán dữ liệu cá nhân trái pháp luật; tối đa 03 tỷ đồng đối với các vi phạm khác trong lĩnh vực này. Khi gây thiệt hại, doanh nghiệp phải chịu chế tài bồi thường theo quy định của pháp luật; trường hợp có dấu hiệu tội phạm, người có liên quan sẽ bị truy cứu trách nhiệm hình sự.
Như vậy, bảo vệ dữ liệu cá nhân không còn là đầu việc riêng của bộ phận công nghệ thông tin, đó còn là năng lực quản trị của doanh nghiệp. Khi doanh nghiệp ngày càng phụ thuộc vào dữ liệu để tuyển dụng, bán hàng, quảng cáo tiếp thị, chăm sóc khách hàng, quản trị lao động và triển khai công nghệ mới, mọi điểm chạm với dữ liệu đều có thể trở thành điểm chạm với trách nhiệm pháp lý.
Luật sư Nguyễn Linh
