Bảo vệ dữ liệu cá nhân – ngành khảo sát thị trường ứng phó ra sao?
Ôm một phạm vi dữ liệu cá nhân khách hàng khá rộng, các doanh nghiệp khảo sát thị trường tại Việt Nam như đang 'ngồi ghế nóng' khi Luật Bảo vệ dữ liệu cá nhân (DLCN) của Việt Nam chính thức được thực thi toàn diện từ năm 2026, làm thay đổi toàn bộ hoạt động thu thập - phân tích - chuyển giao dữ liệu cá nhân tại Việt Nam.
Các doanh nghiệp khảo sát thị trường thường không chỉ thu thập thông tin định danh như tên, tuổi, nghề nghiệp mà còn thu thập dữ liệu về hành vi tiêu dùng, sở thích, quan điểm cá nhân, đánh giá về sản phẩm, thậm chí cả những thông tin thuộc dạng nhạy cảm như tình trạng sức khỏe, hành vi tài chính hoặc vấn đề xã hội. Phạm vi thu thập và sử dụng dữ liệu rộng nên các doanh nghiệp ở mảng này buộc phải có nhiều điều chỉnh để thích ứng với hệ thống pháp luật mới về bảo vệ dữ liệu cá nhân.
Thay đổi cách thức thu thập dữ liệu
Người tham gia khảo sát được thông báo đầy đủ về mục đích; Đồng ý một cách rõ ràng, tự nguyện và tách bạch; và Được cung cấp quyền rút lại sự đồng ý bất kỳ lúc nào là ba yếu tố mà người tham gia khảo sát phải biết và đồng ý thì việc “đồng ý tham gia” mới được xem là sự đồng ý hợp pháp.
Nghĩa là, doanh nghiệp khảo sát thị trường phải bỏ những biểu mẫu đồng ý mang tính “bao trùm” hoặc để người dùng bấm chọn một cách qua loa. Mỗi mục đích thu thập phải được nêu rõ và sự đồng ý phải tương ứng với từng mục đích đó. Kế tiếp, doanh nghiệp buộc phải áp dụng nguyên tắc tối thiểu hóa dữ liệu thu thập, chỉ thu thập những DLCN thực sự cần thiết và có căn cứ pháp lý rõ ràng.
Người tham gia khảo sát không còn là “đối tượng cung cấp dữ liệu” mà trở thành “chủ thể dữ liệu”. Điều đó có nghĩa doanh nghiệp phải xây dựng cơ chế cho phép họ xem lại dữ liệu, yêu cầu chỉnh sửa hoặc xóa, và yêu cầu doanh nghiệp chấm dứt xử lý dữ liệu. Nếu không có quy trình đáp ứng các quyền này, mọi hoạt động thu thập đều có nguy cơ bị coi là vi phạm.
Kiểm soát bên thứ ba
Một khảo sát thị trường hiếm khi được thực hiện bởi một đơn vị duy nhất. Các doanh nghiệp trong ngành thường thuê ngoài nhiều khâu, từ thu thập dữ liệu qua khảo sát trực tiếp, sử dụng nền tảng khảo sát của bên thứ ba, thuê đơn vị phân tích dữ liệu hoặc chuyển dữ liệu thô cho khách hàng để họ tự xử lý. Mỗi giai đoạn chia sẻ DLCN đều là chứa đựng rủi ro nhất định về bảo vệ DLCN, vậy chuỗi xử lý này được tái cấu trúc như thế nào với luật mới?
Luật mới quy định bên kiểm soát DLCN phải chịu trách nhiệm trước chủ thể DLCN về các thiệt hại do quá trình xử lý DLCN gây ra(1). Nghĩa là doanh nghiệp khảo sát thị trường chịu trách nhiệm cuối cùng đối với chủ thể dữ liệu dù có chuyển giao dữ liệu cho đối tác nào trong chuỗi nói trên. Một sai sót dù nhỏ của bên thứ ba vẫn có thể khiến doanh nghiệp khảo sát thị trường đối diện rủi ro pháp lý, thiệt hại uy tín và trách nhiệm bồi thường.
Do vậy, doanh nghiệp khảo sát thị trường phải bổ sung điều khoản bảo vệ DLCN vào toàn bộ hợp đồng với đối tác và xây dựng quy trình kiểm soát nội bộ đối với các bên có nghĩa vụ liên quan. Bên cạnh đó cũng cần thiết lập quy trình giám sát liên tục đối với các bên thứ ba, bao gồm đánh giá mức độ bảo mật, xem xét chính sách nội bộ của họ và yêu cầu báo cáo định kỳ về việc xử lý dữ liệu. Những biện pháp này từng được xem là “phức tạp” hoặc “không cần thiết”, nhưng trong bối cảnh DLCN được bảo vệ ngày càng chặt chẽ như hiện nay, đây là chuẩn mực quản trị bắt buộc.
Xây dựng mô hình sử dụng dữ liệu mới
Có thể nói, thách thức lớn nhất hiện nay của doanh nghiệp khảo sát thị trường sau khi thu thập dữ liệu nằm ở khâu sử dụng và lưu trữ chứ không phải công nghệ phân tích.
Hệ thống kỹ thuật và cả quy trình nội bộ của doanh nghiệp phải được điều chỉnh, như phải cho phép xóa dữ liệu theo yêu cầu, chấm dứt xử lý khi chủ thể dữ liệu rút lại sự đồng ý và cung cấp bản sao DLCN khi chủ thể dữ liệu yêu cầu. Đây đều là những nghĩa vụ pháp lý có thể khiến doanh nghiệp đối diện rủi ro nếu không có sự chuẩn bị phù hợp.
Trước đây, dữ liệu khảo sát thường được lưu trữ lâu dài để phục vụ phân tích trong tương lai, tái sử dụng cho nhiều dự án hoặc bán lại theo hình thức dữ liệu tổng hợp. Điều này nay là không được phép. Ví dụ, một nhóm DLCN được thu thập để khảo sát sản phẩm A sẽ không thể được sử dụng để phân tích xu hướng tiêu dùng chung, đánh giá nhóm nhân khẩu học hoặc phục vụ cho dự án B nếu không có sự đồng ý rõ ràng của người tham gia khảo sát. Điều đó buộc doanh nghiệp khảo sát thị trường phải tái thiết kế mô hình vận hành theo hướng mỗi dự án phải có mục đích xử lý riêng biệt, hồ sơ dữ liệu phải được phân tách, và cơ chế lưu trữ phải phù hợp với thời hạn đã cam kết trong thông báo thu thập. Vòng đời dữ liệu vì vậy phải tuân theo chu kỳ, bao gồm việc thu thập đúng mục đích, xử lý phù hợp, lưu trữ có thời hạn, và xóa bỏ khi mục đích đã hoàn thành hoặc khi có yêu cầu.
Nói cách khác, hệ thống kỹ thuật và cả quy trình nội bộ của doanh nghiệp phải được điều chỉnh, như phải cho phép xóa dữ liệu theo yêu cầu, chấm dứt xử lý khi chủ thể dữ liệu rút lại sự đồng ý và cung cấp bản sao DLCN khi chủ thể dữ liệu yêu cầu. Đây đều là những nghĩa vụ pháp lý có thể khiến doanh nghiệp đối diện rủi ro nếu không có sự chuẩn bị phù hợp.
Suy cho cùng, khi doanh nghiệp xây dựng được quy trình thu thập minh bạch, kiểm soát hiệu quả bên thứ ba và vận hành dữ liệu theo vòng đời có trách nhiệm, họ không chỉ tránh được rủi ro pháp lý mà còn nâng cao giá trị của DLCN, củng cố vị thế doanh nghiệp trong một ngành có sự cạnh tranh khốc liệt như ngành khảo sát, thống kê thị trường.
(*) Công ty Luật TNHH HM&P
(1) Điểm g khoản 1 điều 37 Luật Bảo vệ DLCN.
