Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân?

1. Doanh nghiệp chỉ được xử lý dữ liệu khi có sự đồng ý hợp lệ của cá nhân

Một trong những nguyên tắc cốt lõi mà doanh nghiệp phải tuân thủ là chỉ được xử lý dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp pháp luật cho phép xử lý không cần sự đồng ý.

Sự đồng ý của cá nhân phải được thể hiện một cách rõ ràng, tự nguyện, minh bạch và dành riêng cho từng mục đích cụ thể. Trước khi xin sự đồng ý, doanh nghiệp có nghĩa vụ cung cấp đầy đủ thông tin cho cá nhân, bao gồm:

• Mục đích xử lý dữ liệu;
• Loại dữ liệu sẽ được xử lý;
• Ai sẽ xử lý và ai sẽ tiếp cận dữ liệu;
• Thời gian xử lý và lưu trữ dữ liệu;
• Các quyền của người liên quan;
• Cơ chế rút lại sự đồng ý (bất kỳ lúc nào).

Hình thức thể hiện sự đồng ý có thể là văn bản, email, tin nhắn hoặc hành động cụ thể; sự im lặng hoặc không phản hồi không được xem là sự đồng ý.

2. Doanh nghiệp phải xây dựng và duy trì biện pháp bảo vệ dữ liệu cá nhân

Các biện pháp bảo vệ dữ liệu phải được áp dụng ngay từ khi bắt đầu xử lý và kéo dài trong suốt vòng đời dữ liệu. Tùy vào vai trò cụ thể, doanh nghiệp phải thực hiện nhiều biện pháp như:

• Thiết lập chính sách nội bộ về bảo vệ dữ liệu cá nhân, phổ biến tới toàn bộ nhân viên;
• Áp dụng các biện pháp kỹ thuật và quản lý để ngăn ngừa truy cập trái phép, mất mát hoặc lộ lọt thông tin;
• Rà soát và cập nhật định kỳ các biện pháp bảo vệ khi có thay đổi về hệ thống hoặc quy trình;
• Xây dựng quy trình xử lý yêu cầu của người dùng liên quan đến dữ liệu cá nhân, bao gồm quyền truy cập, chỉnh sửa, xóa hoặc rút lại sự đồng ý.

3. Doanh nghiệp có trách nhiệm ghi nhận và chứng minh việc xử lý hợp pháp

Doanh nghiệp được xem là bên kiểm soát dữ liệu phải ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân, lưu trữ nhật ký hệ thống và có khả năng chứng minh với cơ quan chức năng rằng mình đã tuân thủ đúng quy định.

Ngoài ra, doanh nghiệp cũng cần:

• Thông báo cho cơ quan chức năng trong vòng 72 giờ nếu phát hiện có vi phạm liên quan đến dữ liệu cá nhân;
• Chỉ hợp tác với bên thứ ba (bên xử lý dữ liệu) khi có hợp đồng cụ thể và các bên đó đảm bảo có biện pháp bảo vệ dữ liệu đầy đủ;
• Chịu trách nhiệm về mọi hậu quả, thiệt hại phát sinh từ hoạt động xử lý dữ liệu, kể cả khi xảy ra sai sót từ đối tác hoặc nhà cung cấp.

4. Doanh nghiệp là bên xử lý dữ liệu: chỉ được hoạt động khi có thỏa thuận rõ ràng

Trường hợp doanh nghiệp không thu thập dữ liệu trực tiếp mà xử lý theo ủy quyền hoặc hợp đồng từ đơn vị khác, doanh nghiệp vẫn phải đảm bảo:

• Chỉ tiếp nhận dữ liệu sau khi đã có thỏa thuận rõ ràng về phạm vi, mục đích xử lý;
• Không được sử dụng dữ liệu ngoài phạm vi hợp đồng;
• Có trách nhiệm xóa, trả lại toàn bộ dữ liệu khi kết thúc xử lý;
• Chủ động thực hiện các biện pháp kỹ thuật và quản lý để đảm bảo an toàn, bảo mật dữ liệu.

Dù không trực tiếp thu thập dữ liệu, doanh nghiệp vẫn có thể bị truy cứu trách nhiệm nếu để xảy ra mất mát, rò rỉ thông tin.

5. Doanh nghiệp phải lập Hồ sơ đánh giá tác động khi xử lý dữ liệu ở quy mô lớn hoặc chuyển ra nước ngoài

Khi xử lý dữ liệu ở quy mô lớn, đặc biệt là có yếu tố chuyển dữ liệu ra nước ngoài, doanh nghiệp phải lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Hồ sơ này bao gồm:

• Mục đích xử lý;
• Loại dữ liệu được xử lý;
• Đơn vị nhận dữ liệu;
• Thời gian xử lý, thời gian xóa/hủy (nếu có);
• Biện pháp bảo vệ dữ liệu;
• Đánh giá các rủi ro và biện pháp khắc phục.

Hồ sơ phải được gửi Bộ Công an trong vòng 60 ngày kể từ ngày bắt đầu xử lý. Cơ quan quản lý có thể yêu cầu bổ sung, cập nhật hồ sơ nếu có thay đổi.

6. Doanh nghiệp khởi nghiệp, nhỏ và vừa được miễn một số nghĩa vụ trong 2 năm đầu

Để tạo điều kiện cho doanh nghiệp mới, Nghị định quy định: các doanh nghiệp siêu nhỏ, nhỏ, vừa và doanh nghiệp khởi nghiệp được quyền tạm thời miễn trừ nghĩa vụ chỉ định nhân sự, bộ phận bảo vệ dữ liệu cá nhân trong 2 năm đầu hoạt động.

Tuy nhiên, miễn trừ này không áp dụng nếu doanh nghiệp hoạt động chính trong lĩnh vực xử lý dữ liệu cá nhân, như nền tảng số, công ty quảng cáo, AI, dữ liệu khách hàng, v.v.

7. Không tuân thủ có thể bị đình chỉ hoạt động xử lý dữ liệu

Cơ quan chức năng có quyền yêu cầu doanh nghiệp tạm dừng hoặc chấm dứt hoạt động xử lý dữ liệu, nếu:

• Không thực hiện đúng quy định về lập hồ sơ đánh giá tác động;
• Có vi phạm nghiêm trọng, dẫn đến lộ, mất dữ liệu cá nhân;
• Dữ liệu bị sử dụng sai mục đích hoặc gây ảnh hưởng đến an ninh quốc gia.

Ngoài ra, doanh nghiệp cũng có thể bị xử phạt vi phạm hành chính, bị yêu cầu khắc phục hậu quả, hoặc bị truy cứu trách nhiệm dân sự, hình sự nếu gây thiệt hại.

Kết luận

Dữ liệu cá nhân đang trở thành tài sản số quan trọng nhất trong kỷ nguyên số, và doanh nghiệp không thể đứng ngoài cuộc trong việc bảo vệ quyền riêng tư của khách hàng, đối tác, nhân viên. Nghị định 13/2023/NĐ-CP là cơ sở pháp lý đầu tiên quy định rõ ràng và đầy đủ về bảo vệ dữ liệu cá nhân tại Việt Nam. Việc tuân thủ nghiêm túc không chỉ giúp doanh nghiệp tránh rủi ro pháp lý, mà còn là cơ hội để xây dựng lòng tin với khách hàng trong dài hạn.

Khách hàng có nhu cầu tư vấn chi tiết vui lòng liên hệ với chúng tôi theo địa chỉ:

Công ty Luật TNHH Bright Legal - Khách hàng là trọng tâm

Trụ sở chính:

Địa chỉ: Lô 128 Sunrise K, The Manor Central Park, đường Nguyễn Xiển, phường Đại Kim, quận Hoàng Mai, thành phố Hà Nội.

Điện thoại: 0866.625.968 - 0866375617

Hotline: 0913899635 - 0906219525

Email: [email protected]

Chi nhánh Kiên Giang

Địa chỉ: Số 254 Nguyễn Trung Trực, phường Dương Đông, Tp. Phú Quốc, tỉnh Kiên Giang

Điện thoại: 0775.921.888

Email: [email protected]

Chi nhánh Hà Tĩnh

Địa chỉ: Số 03 Lý Nhật Quang, thị trấn Thạnh Hà, huyện Thạch Hà, tỉnh Hà Tĩnh

Điện thoại: 0906219525 - 0963331555

Bạn vừa đọc bài viết Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân? thuộc trang Tư vấn đầu tư trong nước trên website: brl.vn. Hẹn gặp bạn ở những bài viết sau.