Khó khăn của doanh nghiệp về tuân thủ Nghị định 13

Bảo vệ dữ liệu cá nhân đang là vấn đề được quan tâm hàng đầu trên toàn cầu, đặc biệt trong bối cảnh chuyển đổi số và sự phát triển mạnh mẽ của công nghệ thông tin. Tại Việt Nam, Nghị định 13/2023/NĐ-CP ra đời đã đánh dấu một bước tiến quan trọng trong việc thiết lập khung pháp lý cho hoạt động bảo vệ dữ liệu cá nhân. Tuy nhiên, việc tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân cũng đặt ra không ít khó khăn đối với các doanh nghiệp.

Theo Nghị định 13/2023/NĐ-CP, những khó khăn về nhận thức và hiểu biết của doanh nghiệp trong việc tuân thủ Nghị định về bảo vệ dữ liệu cá nhân được thể hiện qua 2 khía cạnh:

1. Nhận thức về tầm quan trọng của bảo vệ dữ liệu cá nhân

Nhiều doanh nghiệp, đặc biệt là các doanh nghiệp nhỏ và vừa, chưa nhận thức đầy đủ về tầm quan trọng của việc bảo vệ dữ liệu cá nhân.

Họ có thể xem việc bảo vệ dữ liệu cá nhân là một thủ tục hành chính không cần thiết, không mang lại lợi ích gì cho doanh nghiệp.

Nhiều doanh nghiệp cho rằng việc bảo vệ dữ liệu cá nhân chỉ là trách nhiệm của các doanh nghiệp lớn hoặc các doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin.

Một số doanh nghiệp khác lại nghĩ rằng việc bảo vệ dữ liệu cá nhân là quá tốn kém và phức tạp, vượt quá khả năng của họ.

2. Hiểu và giải thích các quy định của Nghị định 13/2023/NĐ-CP

Các quy định của Nghị định 13/2023/NĐ-CP khá phức tạp và có thể khó hiểu đối với những người không có chuyên môn pháp lý.

Doanh nghiệp có thể gặp khó khăn trong việc hiểu và giải thích các khái niệm chuyên ngành như “dữ liệu cá nhân”, “dữ liệu cá nhân nhạy cảm”, “bên kiểm soát dữ liệu cá nhân”, “bên xử lý dữ liệu cá nhân”,…

Các quy định về đánh giá tác động bảo vệ dữ liệu cá nhân, chuyển dữ liệu cá nhân ra nước ngoài cũng là những quy định phức tạp, đòi hỏi doanh nghiệp phải có kiến thức chuyên môn để thực hiện đúng.

Ví dụ:

Một doanh nghiệp nhỏ có thể không hiểu rõ về khái niệm “dữ liệu cá nhân nhạy cảm” và do đó không áp dụng các biện pháp bảo vệ đặc biệt đối với loại dữ liệu này theo quy định tại Điều 28 của Nghị định 13/2023/NĐ-CP.

Một doanh nghiệp khác có thể thu thập thông tin về tình trạng sức khỏe của nhân viên mà không có sự đồng ý của họ, vi phạm quy định tại Điều 9 của Nghị định 13/2023/NĐ-CP.

Những khó khăn này có thể dẫn đến việc doanh nghiệp không tuân thủ đầy đủ các quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, gây ra những rủi ro pháp lý và ảnh hưởng đến uy tín của doanh nghiệp.

Nghị định 13/2023/NĐ-CP không quy định cụ thể những khó khăn về nguồn lực mà doanh nghiệp gặp phải khi tuân thủ các quy định của Nghị định, tuy nhiên có thể suy ra một số khó khăn sau:

1. Khó khăn về nguồn lực tài chính

Điều 31 quy định kinh phí bảo vệ dữ liệu cá nhân của tổ chức, doanh nghiệp do các tổ chức, doanh nghiệp này tự bố trí và thực hiện. Việc tuân thủ Nghị định 13/2023/NĐ-CP đòi hỏi doanh nghiệp phải đầu tư kinh phí đáng kể cho các hoạt động như:

• Xây dựng và duy trì hệ thống bảo vệ dữ liệu cá nhân: chi phí cho việc mua sắm, cài đặt, vận hành và bảo trì phần cứng, phần mềm bảo mật, hệ thống sao lưu dữ liệu, v.v.
• Thuê chuyên gia tư vấn: chi phí thuê chuyên gia tư vấn về bảo vệ dữ liệu cá nhân để xây dựng chính sách, quy trình, đánh giá rủi ro, v.v.
• Đào tạo nhân viên: chi phí tổ chức các khóa đào tạo về bảo vệ dữ liệu cá nhân cho nhân viên.
• Thực hiện đánh giá tác động bảo vệ dữ liệu cá nhân: chi phí thuê chuyên gia hoặc đơn vị tư vấn để thực hiện đánh giá tác động.
• Xử lý các vi phạm dữ liệu cá nhân: chi phí khắc phục hậu quả của các vụ vi phạm dữ liệu cá nhân, chi phí bồi thường thiệt hại cho các bên bị ảnh hưởng, v.v.
• Đối với các doanh nghiệp nhỏ và vừa, việc đầu tư các khoản chi phí này có thể là một gánh nặng tài chính đáng kể.

2. Khó khăn về nguồn nhân lực

Theo Điều 28 quy định về việc chỉ định bộ phận hoặc người phụ trách bảo vệ dữ liệu cá nhân. Ngoài ra, Điều 30 quy định về lực lượng bảo vệ dữ liệu cá nhân, bao gồm cả lực lượng chuyên trách và lực lượng được huy động. Việc tuân thủ Nghị định 13/2023/NĐ-CP đòi hỏi doanh nghiệp phải có nhân sự có đủ năng lực và trình độ chuyên môn để thực hiện các công việc như:

• Xây dựng và thực hiện chính sách bảo vệ dữ liệu cá nhân.
• Đánh giá tác động bảo vệ dữ liệu cá nhân.
• Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Nếu có)
• Thực hiện các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân.
• Tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu cá nhân.
• Thông báo vi phạm dữ liệu cá nhân.

Tuy nhiên, việc tuyển dụng và đào tạo nhân sự có chuyên môn về bảo vệ dữ liệu cá nhân là một thách thức lớn đối với nhiều doanh nghiệp, đặc biệt là các doanh nghiệp nhỏ và vừa.

Ví dụ: Một doanh nghiệp nhỏ có thể không có đủ ngân sách để thuê một chuyên gia về bảo vệ dữ liệu cá nhân hoặc không có đủ thời gian và kinh phí để đào tạo nhân viên hiện có về lĩnh vực này.

3. Khó khăn về nguồn lực có thể dẫn đến những hệ quả như thế nào?

• Doanh nghiệp không thể thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
• Dữ liệu cá nhân của khách hàng và nhân viên có nguy cơ bị rò rỉ, đánh cắp hoặc sử dụng sai mục đích.
• Doanh nghiệp có thể bị xử phạt vi phạm hành chính hoặc thậm chí bị truy cứu trách nhiệm hình sự nếu để xảy ra các vụ việc nghiêm trọng liên quan đến mất an toàn thông tin.

Như vậy, có thể thấy rằng Nghị định 13/2023/NĐ-CP không chỉ đặt ra yêu cầu về việc bảo vệ dữ liệu cá nhân mà còn gián tiếp đặt ra yêu cầu về nguồn lực của doanh nghiệp. Doanh nghiệp cần có đủ nguồn lực tài chính và nhân lực để thực hiện các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

Nghị định 13/2023/NĐ-CP không chỉ đưa ra các quy định về bảo vệ dữ liệu cá nhân mà còn quy định chi tiết về các quy trình, thủ tục thực hiện. Tuy nhiên, các doanh nghiệp vẫn gặp phải những khó khăn nhất định khi áp dụng các quy định này vào thực tế.

1. Khó khăn trong việc xây dựng và thực hiện các quy trình, thủ tục bảo vệ dữ liệu cá nhân

Điều 27 của Nghị định 13/2023/NĐ-CP yêu cầu các bên kiểm soát dữ liệu cá nhân phải xây dựng, ban hành các quy định nội bộ về bảo vệ dữ liệu cá nhân. Tuy nhiên, để xây dựng được một hệ thống quy định đầy đủ và hiệu quả, doanh nghiệp cần phải rà soát lại toàn bộ quy trình thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân của mình. Đây là một quá trình phức tạp và tốn nhiều thời gian, đặc biệt là đối với những doanh nghiệp có quy mô lớn và hoạt động trong nhiều lĩnh vực khác nhau.

Ví dụ: Một doanh nghiệp hoạt động trong lĩnh vực thương mại điện tử sẽ phải xây dựng quy định về bảo vệ dữ liệu cá nhân cho cả khách hàng và nhân viên, bao gồm các quy trình thu thập thông tin từ các nguồn khác nhau (website, ứng dụng di động, mạng xã hội, v.v.), quy trình xử lý đơn hàng, quy trình chăm sóc khách hàng, quy trình quản lý nhân sự, v.v.

2. Khó khăn trong việc thiết lập các quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu cá nhân, quy trình thông báo vi phạm dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP quy định chi tiết về các quy trình này tại Điều 14 (quyền cung cấp dữ liệu cá nhân), Điều 15 (quyền chỉnh sửa dữ liệu cá nhân), Điều 16 (quyền lưu trữ, xóa, hủy dữ liệu cá nhân), Điều 23 (thông báo vi phạm dữ liệu cá nhân). Việc thiết lập và vận hành các quy trình này đòi hỏi doanh nghiệp phải có sự chuẩn bị kỹ lưỡng về nhân sự, tài chính và công nghệ.

Ví dụ: Khi nhận được yêu cầu chỉnh sửa thông tin cá nhân từ một khách hàng, doanh nghiệp cần có quy trình để xác minh danh tính của khách hàng, kiểm tra tính chính xác của yêu cầu và thực hiện chỉnh sửa thông tin trong thời gian quy định.

3. Khó khăn về chứng minh sự tuân thủ

Theo Điều 38 của Nghị định 13/2023/NĐ-CP, bên kiểm soát dữ liệu cá nhân có trách nhiệm chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Điều này đồng nghĩa với việc doanh nghiệp phải lưu trữ các tài liệu, hồ sơ liên quan đến hoạt động xử lý dữ liệu cá nhân để chứng minh sự tuân thủ của mình khi được yêu cầu.

Ví dụ: Doanh nghiệp cần lưu trữ các văn bản đồng ý của khách hàng đối với việc thu thập và xử lý dữ liệu cá nhân, các báo cáo đánh giá tác động bảo vệ dữ liệu cá nhân, các biên bản kiểm tra an ninh mạng, v.v.

Như vậy, việc tuân thủ các quy định về quy trình và thủ tục trong Nghị định 13/2023/NĐ-CP là một thách thức không nhỏ đối với các doanh nghiệp. Tuy nhiên, nếu doanh nghiệp có sự chuẩn bị kỹ lưỡng và thực hiện nghiêm túc các quy định này, họ sẽ không chỉ tránh được các rủi ro pháp lý mà còn nâng cao được uy tín và niềm tin của khách hàng đối với doanh nghiệp.

Nghị định 13/2023/NĐ-CP không quy định cụ thể những khó khăn doanh nghiệp gặp phải khi tuân thủ các quy định của Nghị định. Tuy nhiên, có thể suy ra một số khó khăn sau đây:

1. Khó khăn về hạ tầng công nghệ thông tin

Theo Điều 26 và Điều 27 của Nghị định 13/2023/NĐ-CP quy định về các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân, bao gồm mã hóa dữ liệu, tường lửa, phần mềm diệt virus, sao lưu và phục hồi dữ liệu, kiểm soát truy cập.

Việc áp dụng các biện pháp này đòi hỏi doanh nghiệp phải có hạ tầng công nghệ thông tin phù hợp. Tuy nhiên, nhiều doanh nghiệp, đặc biệt là các doanh nghiệp nhỏ và vừa, lại chưa có hệ thống công nghệ thông tin đủ mạnh để đáp ứng các yêu cầu về bảo vệ dữ liệu cá nhân.

Ví dụ: Một doanh nghiệp có thể không có đủ khả năng để đầu tư vào hệ thống mã hóa dữ liệu hoặc tường lửa để bảo vệ dữ liệu cá nhân của khách hàng.

2. Khó khăn về chi phí đầu tư hạ tầng công nghệ thông tin

Việc đầu tư vào hạ tầng công nghệ thông tin và các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân thường đòi hỏi chi phí cao. Đối với các doanh nghiệp nhỏ và vừa, việc chi trả các khoản chi phí này có thể là một gánh nặng.

Ví dụ: Một doanh nghiệp có thể phải chi trả một khoản tiền lớn để mua phần mềm bảo mật, thuê chuyên gia tư vấn về an ninh mạng, hoặc nâng cấp hệ thống máy chủ.

3. Khó khăn về kiến thức và kỹ năng về công nghệ

Việc triển khai và vận hành các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân đòi hỏi doanh nghiệp phải có đội ngũ nhân viên có kiến thức và kỹ năng về công nghệ thông tin và an ninh mạng. Tuy nhiên, nhiều doanh nghiệp, đặc biệt là các doanh nghiệp nhỏ và vừa, lại thiếu hụt nguồn nhân lực có trình độ chuyên môn này.

Ví dụ: Một doanh nghiệp có thể không có nhân viên biết cách cài đặt và cấu hình tường lửa hoặc phần mềm diệt virus.

Do đó, để tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, các doanh nghiệp cần có kế hoạch và lộ trình đầu tư, nâng cấp hạ tầng công nghệ thông tin cũng như đào tạo, bồi dưỡng kiến thức về bảo vệ dữ liệu cá nhân cho nhân viên của mình.

Việc bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của riêng doanh nghiệp mà còn đòi hỏi sự hợp tác của các bên liên quan, bao gồm cả khách hàng, đối tác và cơ quan nhà nước. Tuy nhiên, việc phối hợp giữa các bên có thể gặp khó khăn do nhiều nguyên nhân như:

1. Thiếu thông tin ràng buộc giữa các bên

Doanh nghiệp có thể không nắm rõ thông tin về các quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân, hoặc không biết cách thức liên hệ và phối hợp với các cơ quan nhà nước có thẩm quyền.

Khách hàng và đối tác có thể không hiểu rõ về quyền lợi của mình đối với dữ liệu cá nhân, hoặc không biết cách thức yêu cầu doanh nghiệp bảo vệ dữ liệu cá nhân của mình.

2. Thiếu sự tin tưởng lẫn nhau

Doanh nghiệp có thể không tin tưởng vào việc khách hàng và đối tác sẽ bảo mật dữ liệu cá nhân của mình, hoặc không tin tưởng vào khả năng của cơ quan nhà nước trong việc xử lý các vi phạm về dữ liệu cá nhân.

Khách hàng và đối tác có thể không tin tưởng vào việc doanh nghiệp sẽ sử dụng dữ liệu cá nhân của mình một cách đúng đắn và bảo mật.

3. Thiếu cơ chế phối hợp hiệu quả

Chưa có quy định rõ ràng về trách nhiệm của từng bên trong việc bảo vệ dữ liệu cá nhân. Thiếu các kênh thông tin và công cụ hỗ trợ để các bên có thể trao đổi thông tin và phối hợp với nhau một cách hiệu quả.

Ví dụ:

• Một doanh nghiệp có thể gặp khó khăn trong việc yêu cầu đối tác cung cấp thông tin về các biện pháp bảo vệ dữ liệu cá nhân mà họ đang áp dụng.
• Một khách hàng có thể không biết cách thức yêu cầu doanh nghiệp cung cấp thông tin về việc xử lý dữ liệu cá nhân của mình.

4. Các khó khăn về mặt hợp tác có thể dẫn đến những hậu quả như thế nào?

• Dữ liệu cá nhân của khách hàng và đối tác có thể bị rò rỉ, sử dụng sai mục đích, hoặc bị xâm phạm.
• Doanh nghiệp có thể bị xử phạt vi phạm hành chính hoặc thậm chí bị truy cứu trách nhiệm hình sự nếu để xảy ra các vụ việc nghiêm trọng liên quan đến mất an toàn thông tin.
• Uy tín và hình ảnh của doanh nghiệp có thể bị ảnh hưởng nghiêm trọng.

Để khắc phục những khó khăn này, cần có sự phối hợp chặt chẽ giữa các bên liên quan. Doanh nghiệp cần chủ động cung cấp thông tin đầy đủ và minh bạch về hoạt động xử lý dữ liệu cá nhân của mình cho khách hàng và đối tác. Đồng thời, doanh nghiệp cũng cần xây dựng các cơ chế phối hợp hiệu quả với cơ quan nhà nước có thẩm quyền để kịp thời xử lý các vấn đề phát sinh.

Nhận thấy những khó khăn mà doanh nghiệp gặp phải trong quá trình tuân thủ Nghị định, DPVN cung cấp các dịch vụ hỗ trợ pháp lý chuyên sâu, bao gồm:

• Xây dựng, soạn thảo các văn bản về bảo vệ dữ liệu cá nhân.
• Soạn thảo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Thay mặt khách hàng làm việc với cơ quan có thẩm quyền để nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định.
• Hỗ trợ khách hàng trong giải quyết khiếu nại tố cáo (nếu có) phát sinh từ hoạt động xử lý dữ liệu cá nhân.

Với đội ngũ luật sư và chuyên viên pháp lý dày dặn kinh nghiệm và am hiểu chuyên sâu về luật pháp Việt Nam và quốc tế liên quan đến dữ liệu cá nhân, DPVN cam kết mang đến cho khách hàng những giải pháp pháp lý hiệu quả và tối ưu nhất, hỗ trợ doanh nghiệp tuân thủ đầy đủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Việc tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là một thách thức lớn đối với các doanh nghiệp Việt Nam. Tuy nhiên, đây cũng là cơ hội để doanh nghiệp nâng cao năng lực quản trị, xây dựng lòng tin với khách hàng và đối tác, và tạo lợi thế cạnh tranh trên thị trường. Để vượt qua những khó khăn này, doanh nghiệp cần chủ động tìm hiểu và áp dụng các biện pháp bảo vệ dữ liệu cá nhân phù hợp với đặc thù hoạt động của mình.