Hành lang pháp lý quan trọng bảo vệ dữ liệu cá nhân

Còn nhiều vướng mắc trong triển khai Nghị định 13

Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Theo đó tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi đó các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.

Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân, và có hiệu lực từ ngày 01/7/2023. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Trung tá Triệu Mạnh Tùng - Phó cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05) đã làm rõ sự cần thiết của việc ban hành Nghị định 13 và giải thích nhiều khái niệm được quy định trong Nghị định như: Dữ liệu cá nhân; chủ thể dữ liệu; dữ liệu cá nhân cơ bản; dữ liệu cá nhân nhạy cảm; các quy định về bảo vệ dữ liệu cá nhân đối với tổ chức, doanh nghiệp;…

Tại tọa đàm, các ngân hàng đều đánh giá Nghị định 13 là một văn bản quan trọng, cần thiết trong việc cụ thể hóa và tăng cường khung pháp lý điều chỉnh các hoạt động bảo vệ dữ liệu cá nhân. Tuy nhiên, lĩnh vực tài chính - ngân hàng do pháp luật chuyên ngành điều chỉnh với hệ thống các quy định pháp luật đầy đủ, hoàn chỉnh, trong đó có việc bảo vệ thông tin khách hàng nên việc tổ chức triển khai, hướng dẫn Nghị định 13 là hết sức cần thiết. Bởi trong quá trình nghiên cứu tổ chức triển khai, các TCTD đang gặp một số vướng mắc, gây lúng túng khi thực hiện.

Dữ liệu cá nhân là một tài sản quan trọng cần phải được bảo vệ

Cụ thể, tại Điều 11 của Nghị định 13 yêu cầu bên kiểm soát và xử lý dữ liệu/Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý; tại Điều 13 có quy định, trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân. Đối với những quy định này, theo đại diện một số ngân hàng, việc cung ứng dịch vụ, sản phẩm của TCTD được thực hiện theo nhiều quy trình. Trong mỗi quy trình gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp khách hàng có số lượng rất lớn. Những quy định này dường như không khả thi và khó có thể thực hiện được. Mặt khác các TCTD sẽ phải dành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian khi cung cấp dịch vụ của TCTD đến khách hàng do phải tăng thêm các bước vận hành.

Băn khoăn nữa của các ngân hàng về quyền của các chủ thể dữ liệu. Việc thu thập dữ liệu cá nhân trong hoạt động của các TCTD nhằm mục đích quản lý rủi ro cho nội bộ TCTD, lưu giữ các bằng chứng, dữ liệu giao dịch quan trọng chứng minh trong trường hợp có tranh chấp xảy ra và cũng góp phần bảo vệ quyền và lợi ích hợp pháp của khách hàng trong các giao dịch. Do đó, quy định về việc rút lại sự đồng ý hoặc xóa dữ liệu trong một số trường hợp tại Nghị định 13 ảnh hưởng đến quyền lợi của cả TCTD và khách hàng chứ không có tác dụng bảo vệ...

Cần sớm có hướng dẫn cụ thể

Chia sẻ kinh nghiệm thông lệ quốc tế, về thời gian triển khai, đại diện nhóm Công tác ngân hàng nước ngoài (BWG) cho biết, tại Nghị định 13 không quy định về điều khoản chuyển tiếp đối với các trường hợp đang xử lý dữ liệu cá nhân trước khi nghị định có hiệu lực thì có thời hạn chuyển tiếp (grace period) để thực hiện trong bao lâu. Còn tại EU, cơ quan nhà nước không xử lý hành vi không tuân thủ trong vòng 2 năm kể từ ngày quy định có hiệu lực. Do đó, nhóm BWG đề nghị Bộ Công an hướng dẫn cụ thể hơn và có lộ trình thực hiện với thời gian phù hợp cho Nghị định 13, trong thời hạn 02 năm.

Đại diện các ngân hàng Việt Nam cũng đề nghị việc lập báo cáo đánh giá tác động nên được hướng dẫn và làm rõ theo mức độ rủi ro và chỉ yêu cầu lập và báo cáo đánh giá tác động xử lý dữ liệu/chuyển dữ liệu ra nước ngoài khi việc xử lý dữ liệu đáp ứng một số đặc điểm cụ thể, có tiềm ẩn rủi ro cao cho khách hàng hoặc bảo mật dữ liệu. Ví dụ, dựa vào số lượng dữ liệu cá nhân được xử lý; hoạt động xử lý có sự tham gia của đối tác nước ngoài...

Theo chia sẻ các ngân hàng, khi các dịch vụ tài chính ngày càng được số hóa, một trong những vấn đề quan trọng là việc xem xét chi phí và lợi ích tích cực đối với các biện pháp triển khai tuân thủ tiệm cận và hài hòa với các luật về quyền riêng tư trong khu vực và trên toàn cầu. Từ đó, các quy định tại Nghị định 13 được thực hiện một cách có hiệu quả và không tạo thêm gánh nặng cho doanh nghiệp.

Tại tọa đàm đại diện Bộ Công an cũng có giải đáp một số thắc mắc của các ngân hàng trong quá trình triển khai Nghị định 13 như liên quan tới dữ liệu cá nhân được thu thập và xử lý trước ngày Nghị định 13 có hiệu lực vẫn thuộc phạm vi điều chỉnh của nghị định. Tuy nhiên, tổ chức, cá nhân có liên quan không cần xin lại sự đồng ý của chủ thể dữ liệu đối với các dữ liệu đã được chủ thể dữ liệu cung cấp trước ngày 1/7/2023... Mặc dù vậy, đại diện Bộ Công an cũng thừa nhận đây là vấn đề mới, khó và có sự giao thoa nhiều quy định văn bản pháp luật, nên việc vướng mắc trong triển khai là khó tránh khỏi.

Với vai trò là cầu nối giữa ngân hàng và các cơ quan quản lý, ông Nguyễn Quốc Hùng cho biết, trong quá trình triển khai thực hiện nếu các ngân hàng vẫn gặp khó khăn thì tập hợp vướng mắc gửi về VNBA. Trên cơ sở tổng hợp các khó khăn của TCTD, VNBA báo cáo và làm việc với NHNN, Bộ Công an tháo gỡ kịp thời vướng mắc.

Ông Phạm Anh Tuấn - Vụ trưởng Vụ Thanh toán NHNN cũng hy vọng, từ các kiến nghị của các bên chịu sự điều chỉnh của Nghị định 13 Bộ Công an sớm ban hành các văn bản hướng dẫn dưới Luật để các TCTD có cơ sở vững chắc yên tâm thực hiện.