Vào tháng 9 năm 2024, Bộ Công an đã công bố bản dự thảo đầu tiên của Luật Bảo vệ Dữ liệu Cá nhân (“Dự thảo Luật BVDLCN“) để lấy ý kiến công chúng. Dự kiến, Dự thảo Luật BVDLCN sẽ được trình Quốc hội xem xét và thông qua vào năm 2025, với ngày có hiệu lực dự kiến là 1 tháng 1 năm 2026.
Dự thảo Luật BVDLCN kế thừa hầu hết các quy định từ Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân (“Nghị định 13“), đây là khung pháp lý chính về bảo vệ dữ liệu cá nhân tại Việt Nam từ ngày 1 tháng 7 năm 2023. Sau khi được ban hành, Dự thảo Luật BVDLCN dự kiến sẽ thay thế Nghị định 13 và giới thiệu những yêu cầu mới đáng kể, đặc biệt là về nhân sự chịu trách nhiệm đảm bảo việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
Các quy định về dữ liệu cá nhân như Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu hoặc Đạo luật Quyền riêng tư của người tiêu dùng California, Mỹ (CCPA), đều thiết lập chức danh Cán bộ Bảo vệ Dữ liệu (DPO). Tuy nhiên, Dự thảo Luật BVDLCN đã tạo ra các Tổ chức Bảo vệ Dữ liệu Cá nhân (Tổ chức BVDLCN) và Chuyên gia Bảo vệ Dữ liệu Cá nhân (Chuyên gia BVDLCN) và giao cho họ trách nhiệm bảo vệ dữ liệu cá nhân.
Những yêu cầu mới đối với Tổ chức BVDLCN và Chuyên gia BVDLCN
Theo Nghị định 13, các doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm chỉ có nghĩa vụ thành lập bộ phận bảo vệ dữ liệu và chỉ định nhân sự chịu trách nhiệm bảo vệ dữ liệu cá nhân, nhưng không có yêu cầu cụ thể về trình độ chuyên môn hay khung pháp lý.
Ngược lại, Dự thảo Luật BVDLCN yêu cầu các doanh nghiệp bất kể xử lý dữ liệu cá nhân cơ bản hay nhạy cảm đều phải chỉ định một Tổ chức BVDLCN và một Chuyên gia BVDLCN, trừ một số doanh nghiệp siêu nhỏ và nhỏ trong hai năm đầu hoạt động (trừ khi hoạt động trực tiếp trong lĩnh vực xử lý dữ liệu cá nhân).
Định nghĩa chính thức cho các vai trò này được giới thiệu trong Dự thảo Luật BVDLCN:
- Tổ chức BVDLCN: Một tổ chức chịu trách nhiệm bảo vệ dữ liệu trong một thực thể pháp lý. Đây có thể là một bộ phận nội bộ hoặc một nhà cung cấp dịch vụ bên ngoài.
- Chuyên gia BVDLCN: Một cá nhân có chuyên môn được công nhận về công nghệ và/hoặc pháp luật liên quan đến bảo vệ dữ liệu cá nhân. Chuyên gia BVDLCN phải có chứng nhận phù hợp, và các chứng nhận này phải được xác định trong các đánh giá tác động khác nhau theo yêu cầu của Dự thảo Luật BVDLCN.
Một Tổ chức BVDLCN phải có ít nhất một Chuyên gia BVDLCN được chứng nhận. Các doanh nghiệp muốn cung cấp dịch vụ Tổ chức BVDLCN hoặc Chuyên gia BVDLCN (“Nhà cung cấp dịch vụ BVDLCN“) phải đáp ứng các điều kiện sau:
- Có ngành nghề kinh doanh phù hợp với Nhà cung cấp dịch vụ BVDLCN;
- Tuyển dụng ít nhất một Chuyên gia BVDLCN có chứng nhận về cả công nghệ và pháp luật liên quan đến bảo vệ dữ liệu cá nhân hoặc tuyển dụng riêng biệt các Chuyên gia BVDLCN có chuyên môn trong từng lĩnh vực;
- Đạt tối thiểu mức đánh giá “Đạt” từ một tổ chức đánh giá quyền riêng tư đủ điều kiện.
Những thách thức và điểm chưa rõ ràng về tuân thủ
Dự thảo Luật BVDLCN giới thiệu hai dịch vụ quản lý mới:
- Dịch vụ Chứng nhận Chuyên gia BVDLCN, và
- Dịch vụ xếp hạng Quyền riêng tư.
Tuy nhiên, Dự thảo Luật BVDLCN chưa đưa ra các tiêu chí cụ thể cho chứng nhận Chuyên gia BVDLCN cũng như tiêu chuẩn xếp hạng quyền riêng tư. Các chi tiết này dự kiến sẽ được quy định trong các nghị định tiếp theo.
Luật BVDLCN của Việt Nam áp đặt các yêu cầu nghiêm ngặt hơn so với GDPR của EU. Trong khi GDPR chỉ yêu cầu chỉ định DPO trong một số trường hợp cụ thể, Dự thảo Luật BVDLCN yêu cầu tất cả các tổ chức xử lý dữ liệu cá nhân phải chỉ định cả Tổ chức BVDLCN và Chuyên gia BVDLCN. Ngoài ra, không giống như cơ chế đánh giá quyền riêng tư tự nguyện của GDPR, Dự thảo Luật BVDLCN yêu cầu xếp hạng quyền riêng tư bắt buộc.
Theo GDPR, DPO được bảo vệ hạn chế trước việc bị sa thải hoặc trừng phạt chỉ vì thực hiện nhiệm vụ của mình và không chịu trách nhiệm cá nhân về việc doanh nghiệp không tuân thủ. Tuy nhiên, Dự thảo Luật BVDLCN không có các bảo vệ tương tự, gây ra câu hỏi về trách nhiệm của Tổ chức BVDLCN và Chuyên gia BVDLCN. Nếu không có các quy định này, có thể suy luận rằng các thực thể này không được bảo vệ nếu không hoàn thành nhiệm vụ theo luật định hoặc hành động một cách bất cẩn. Hơn nữa, nếu Tổ chức BVDLCN hoặc Chuyên gia BVDLCN không thực hiện vai trò của mình, dẫn đến vi phạm quy định bảo vệ dữ liệu, họ có thể chịu trách nhiệm kỷ luật theo hợp đồng lao động hoặc chịu trách nhiệm bồi thường thiệt hại do vi phạm hợp đồng và/hoặc sơ suất, đặc biệt là trong trường hợp là tổ chức hoặc chuyên gia bên ngoài.
Mặc dù các quy định này có thể tạo ra những cơ hội mới cho các chuyên gia pháp lý và công nghệ, chúng cũng làm gia tăng chi phí tuân thủ và gánh nặng vận hành cho các doanh nghiệp, đặc biệt là những doanh nghiệp xử lý lượng dữ liệu cá nhân lớn. Điều này phản ánh cách tiếp cận lập pháp phổ biến ở Việt Nam, nơi mà các “luật” thường chứa các quy định rộng với ngôn ngữ chung chung, sau đó có thể được hoàn thiện thông qua các Nghị định và Thông tư. Tuy nhiên, trong thời gian chờ đợi, ngôn ngữ chung chung này tạo ra sự mơ hồ trong luật pháp. Nhưng Chính phủ thường nhận thấy rằng sự mơ hồ đó mang lại phạm vi thực thi rộng hơn
Khuyến nghị cho doanh nghiệp
Do tác động tiềm tàng của Dự thảo Luật BVDLCN, các doanh nghiệp nên chủ động đánh giá rủi ro tuân thủ và tham gia vào quá trình lấy ý kiến công khai để giúp định hình Đạo luật chính thức sao cho phù hợp với thực tiễn thương mại. Khi Việt Nam tiếp tục hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, các doanh nghiệp cần cập nhật thông tin và chuẩn bị cho các nghĩa vụ tuân thủ đang thay đổi.
Là đơn vị đi đầu trong lĩnh vực bảo vệ dữ liệu, quyền riêng tư và quy định về an ninh thông tin, Russin & Vecchi có thể hỗ trợ các doanh nghiệp trong việc tuân thủ và thích ứng với các thay đổi pháp lý mới.
