'Mách nước' doanh nghiệp FDI tuân thủ Luật Bảo vệ dữ liệu cá nhân

Toàn cảnh tọa đàm - Ảnh: N.Huyền.

Ngày 10/4, FSI phối hợp cùng DDS (Nhật Bản), FSI DDS và Hiệp hội Máy văn phòng Việt Nam (VOMA) tổ chức Diễn đàn “Luật Bảo vệ dữ liệu cá nhân: Thách thức và Giải pháp tuân thủ cho doanh nghiệp FDI”.

Tại Việt Nam, trong ba năm qua, lực lượng chức năng đã phát hiện và xử lý hơn 30 vụ việc liên quan đến mua bán, chiếm đoạt dữ liệu trái phép, với tổng số hơn 160 triệu bản ghi dữ liệu cá nhân bị lộ, lọt trong nhiều lĩnh vực. Về phía doanh nghiệp, hơn 60% đơn vị trong nước từng ghi nhận các cuộc tấn công mạng liên quan đến dữ liệu.

“Những con số này cho thấy việc hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân không chỉ là yêu cầu cấp thiết, mà còn là trụ cột quan trọng để đảm bảo an ninh trên không gian mạng”, ông Nguyễn Hùng Sơn, Phó Chủ tịch Hội đồng quản trị FSI, nhận định.

Ông Nguyễn Hùng Sơn, Phó Chủ tịch Hội đồng quản trị FSI.

Đồng thời, ông cũng cho rằng dù Luật Bảo vệ dữ liệu cá nhân đã có những quy định chặt chẽ, chi tiết, song khoảng cách giữa quy định và thực thi trên thực tế vẫn còn khá lớn. Trong đó, ông Sơn cho rằng các doanh nghiệp FDI là nhóm đối mặt với nhiều khó khăn nhất, vì ba yếu tố.

Một là, các doanh nghiệp này phải tuân thủ đồng thời các tiêu chuẩn quản trị toàn cầu từ công ty mẹ, vốn đã bao gồm nhiều quy định pháp lý nghiêm ngặt tại các quốc gia khác nhau.

Hai là, phải thích ứng và tuân thủ đầy đủ khung pháp luật tại Việt Nam trong bối cảnh mới.

Và ba là, áp lực từ khách hàng và đối tác ngày càng gia tăng, đặc biệt liên quan đến yêu cầu bảo mật và xử lý dữ liệu cá nhân.

Đánh giá các doanh nghiệp FDI tại Việt Nam, ông Lưu Xuân Vĩnh, Giám đốc kiêm Luật sư điều hành Asia Legal, nhấn mạnh vì đa phần đều đến từ những quốc gia có hệ thống pháp luật phát triển và hoàn thiện như Singapore, Nhật Bản hay Hàn Quốc. Vì vậy, bản thân các nhà đầu tư này đã mang sẵn “tư duy tuân thủ” khi tham gia thị trường.

Tuy nhiên, việc lúng túng khi đáp ứng quy định tại Việt Nam là không thể tránh khỏi, do đó tại hội thảo, ông Vĩnh đã chỉ ra bảy bước để doanh nghiệp nước ngoài tuân thủ luật

Thứ nhất, doanh nghiệp cần thực hiện không phải là triển khai ngay, mà là rà soát và đánh giá hiện trạng một cách toàn diện. Doanh nghiệp cần cân nhắc xây dựng đội ngũ chuyên trách hoặc thuê tư vấn bên ngoài.

Ông nhấn mạnh nhân sự phụ trách bảo vệ dữ liệu cá nhân cần đáp ứng các tiêu chuẩn nhất định, như có nền tảng đào tạo phù hợp, tối thiểu hai năm kinh nghiệm trong các lĩnh vực liên quan (an ninh mạng, tuân thủ, pháp lý, quản trị…) và được đào tạo chuyên sâu về bảo vệ dữ liệu.

Trong trường hợp sử dụng dịch vụ bên ngoài, doanh nghiệp cần đánh giá kỹ năng lực của đơn vị tư vấn, từ kinh nghiệm thực tiễn, lĩnh vực hoạt động (công nghệ hoặc pháp lý), đến việc đã có kinh nghiệm triển khai các dự án, đặc biệt là từ giai đoạn Nghị định 13.

Luật sư Lưu Xuân Vĩnh: sự đồng ý của chủ thể dữ liệu chỉ là một trong nhiều căn cứ pháp lý cho xử lý dữ liệu.

Thứ hai, sau khi có nguồn lực, doanh nghiệp cần tiến hành đánh giá và phân loại dữ liệu. Quá trình này đòi hỏi trả lời hàng loạt câu hỏi cốt lõi: dữ liệu nào là dữ liệu cá nhân cơ bản, dữ liệu nhạy cảm; mục đích xử lý là gì; dữ liệu được lưu trữ ở đâu; cơ chế bảo mật ra sao…

Thứ ba, xác định căn cứ pháp lý cho việc xử lý dữ liệu. Ông Vĩnh lưu ý, sự đồng ý của chủ thể dữ liệu chỉ là một trong nhiều căn cứ pháp lý, không phải là yếu tố duy nhất hay quan trọng nhất trong mọi trường hợp, do đó doanh nghiệp cần xem xét đầy đủ các căn cứ khác.

Thứ tư, doanh nghiệp cần xây dựng hệ thống chính sách và quy trình nội bộ về bảo vệ dữ liệu cá nhân, bao gồm phân quyền truy cập, kiểm soát xử lý dữ liệu và các quy định nội bộ liên quan. Đồng thời, phải xác định rõ vai trò của các bên trong chuỗi xử lý dữ liệu – bên kiểm soát, bên xử lý và bên thứ ba – nhằm hoàn thiện hồ sơ đánh giá tác động theo quy định.

Thứ năm, doanh nghiệp cần xây dựng hệ thống chính sách và quy trình nội bộ về bảo vệ dữ liệu cá nhân, bao gồm phân quyền truy cập, kiểm soát xử lý dữ liệu và các quy định nội bộ liên quan. Đồng thời, phải xác định rõ vai trò của các bên trong chuỗi xử lý dữ liệu – bên kiểm soát, bên xử lý và bên thứ ba – nhằm hoàn thiện hồ sơ đánh giá tác động theo quy định.

Thứ sáu, ở cấp độ triển khai, các biện pháp bảo vệ cần được thiết kế đồng bộ, từ quản trị đến kỹ thuật. Về quản trị, đó là các chính sách, quy trình, hợp đồng. Về kỹ thuật, có thể bao gồm mã hóa, khử nhận dạng, kiểm soát truy cập và các giải pháp an ninh khác. “Tất cả các biện pháp này phải được thể hiện trong hồ sơ, nếu không sẽ không thể coi là hoàn thành đánh giá tác động”, ông Vĩnh lưu ý.

Thứ bảy, đào tạo nội bộ là bước không thể thiếu. Nếu doanh nghiệp không xây dựng được nhận thức chung về bảo vệ dữ liệu cá nhân, việc tuân thủ trên thực tế sẽ gặp nhiều trở ngại.

Ông Nguyễn Tuấn Minh, Chủ tịch HĐQT Tập đoàn VPS, cũng chỉ ra thực tế môi trường làm việc trên không gian mạng không còn là một lựa chọn, mà đã trở thành không gian thiết yếu cho sự phát triển của doanh nghiệp.

Trong bối cảnh các thiết bị văn phòng ngày càng trở thành một phần của hệ sinh thái IoT, mỗi máy in, máy photocopy hay máy scan, đều có thể là một “điểm kết nối” tiềm ẩn rủi ro. “Nếu không được bảo vệ đúng mức, đây có thể là những “lỗ hổng” nghiêm trọng, dẫn đến nguy cơ thất thoát dữ liệu”, ông Minh cảnh báo.