Luật Bảo vệ dữ liệu cá nhân: Doanh nghiệp đã sẵn sàng?

Luật Bảo vệ dữ liệu cá nhân đánh dấu bước tiến lớn trong việc hoàn thiện cơ chế thực thi quyền dữ liệu và áp dụng các chế tài nghiêm khắc. Tuy nhiên, nhiều doanh nghiệp (DN) hiện vẫn chưa nhận thức đầy đủ về tầm quan trọng của việc bảo vệ dữ liệu cá nhân.

Các DN sẽ phải đối mặt với những lỗ hổng nghiêm trọng trong quy trình, công nghệ và quản trị nhân sự, kéo theo nguy cơ vi phạm pháp luật.

Điều này đồng nghĩa với việc DN không chỉ phải đối mặt với các chế tài hành chính, dân sự và hình sự mà còn đối diện với nguy cơ mất lòng tin từ người tiêu dùng.

Điểm yếu DN trong bảo vệ dữ liệu cá nhân

Những điểm yếu của DN trong bảo vệ dữ liệu cá nhân chủ yếu xuất phát từ nhận thức chưa đầy đủ. Thay vì coi việc bảo vệ dữ liệu cá nhân là một phần không thể thiếu trong chiến lược phát triển bền vững, nhiều DN chỉ xem đây là một yêu cầu pháp lý mang tính đối phó.

Nhận thức này dẫn đến những lỗ hổng nghiêm trọng trong quản trị, thể hiện qua các khía cạnh quy trình, công nghệ và nhân sự.

Nhiều DN chưa thiết lập quy trình chuẩn trong việc xử lý và bảo vệ dữ liệu cá nhân, hoặc chỉ đáp ứng yêu cầu tối thiểu mà không đảm bảo tính hiệu quả và toàn diện.

Hệ thống công nghệ và bảo mật của các DN cũng không được đầu tư đúng mức, làm gia tăng nguy cơ sự cố dữ liệu. Một ví dụ điển hình là vụ tấn công vào hệ thống máy chủ của một hãng hàng không tại Việt Nam vào năm 2016, khiến hơn 410.000 thông tin khách hàng bị rò rỉ.

Ngoài ra, việc quản trị nhân sự yếu kém cũng làm gia tăng rủi ro. Nhân viên không được đào tạo đầy đủ, thiếu ý thức bảo mật, dẫn đến những sai lầm nghiêm trọng.

Vụ việc nhân viên ngân hàng đăng tải hình ảnh sao kê giao dịch của một tài khoản ngân hàng được cho là của một nghệ sĩ nổi tiếng vào tháng 5/2021 đã làm dấy lên lo ngại về sự thiếu sót trong xây dựng văn hóa bảo vệ dữ liệu và kiểm soát nội bộ. Những yếu kém này khiến doanh nghiệp dễ dàng vi phạm luật bảo vệ dữ liệu cá nhân, đặc biệt trong bối cảnh luật mới sắp có hiệu lực.

Nguy cơ đối mặt với chế tài “cứng”

Cùng với sự ra đời của Luật Bảo vệ dữ liệu cá nhân, các chế tài dân sự, hành chính và hình sự cũng được thắt chặt nhằm xử lý các hành vi vi phạm liên quan đến việc xử lý dữ liệu cá nhân.

Luật quy định rõ các yêu cầu như thông báo trước khi xử lý dữ liệu, đảm bảo sự đồng ý của chủ thể dữ liệu, và đáp ứng các yêu cầu từ phía chủ thể như chỉnh sửa hoặc xóa bỏ dữ liệu. Những quy định này có nhiều điểm tương đồng với Quy định Bảo vệ dữ liệu chung của châu Âu (GDPR), vốn đã tạo ra các tiền lệ nghiêm khắc trong xử lý vi phạm dữ liệu.

Ví dụ, năm 2021, WhatsApp Ireland Ltd. bị cơ quan bảo vệ dữ liệu của Ireland phạt 225 triệu euro vì không đáp ứng nghĩa vụ thông báo minh bạch về việc xử lý dữ liệu cá nhân.

Năm 2023, Meta Platforms Ireland Limited, công ty mẹ của Facebook, Instagram và Threads, nhận án phạt kỷ lục 1,2 tỷ Euro vì không có cơ sở pháp lý để chuyển dữ liệu cá nhân của người dùng sang Mỹ.

Cũng trong năm đó, cơ quan bảo vệ dữ liệu của Pháp (CNIL) phạt công ty quảng cáo trực tuyến CRITEO 40 triệu euro vì không phản hồi yêu cầu của chủ thể dữ liệu và không xóa dữ liệu cá nhân theo yêu cầu.

Những tiền lệ này cho thấy rằng khi Luật Bảo vệ dữ liệu ccá nhân tại Việt Nam có hiệu lực, các DN không tuân thủ có thể đối mặt với nguy cơ chịu phạt tương tự.

Nguy cơ đối mặt với chế tài “mềm”

Không chỉ phải đối diện với các chế tài pháp lý, DN còn phải lo ngại về những phản ứng tiêu cực từ người tiêu dùng - được coi là chế tài “mềm”.

Trong thời đại ngày nay, người tiêu dùng ngày càng nhạy cảm hơn với các vấn đề bảo mật dữ liệu. Khi phát hiện ra nguy cơ dữ liệu cá nhân bị xử lý không an toàn hoặc xâm phạm, họ sẵn sàng ngừng sử dụng dịch vụ của DN.

Một ví dụ điển hình là sự kiện liên quan đến WhatsApp vào tháng 1/2021. Khi WhatsApp công bố thay đổi chính sách quyền riêng tư, cho phép chia sẻ dữ liệu cá nhân của người dùng với Facebook và yêu cầu người dùng đồng ý trước ngày 8/2 để tiếp tục sử dụng dịch vụ, một làn sóng chỉ trích đã bùng nổ.

Nhiều người dùng đã rời bỏ WhatsApp do lo ngại nguy cơ dữ liệu cá nhân bị lạm dụng.

Theo Sensor Tower, trong giai đoạn từ ngày 5 - 12/1/2021, ứng dụng Signal - đối thủ cạnh tranh của WhatsApp - ghi nhận 17,8 triệu lượt tải xuống, tăng mạnh so với chỉ 285.000 lượt của tuần trước đó. Tương tự, Telegram đạt 15,7 triệu lượt tải xuống, gấp đôi mức của tuần trước đó. Ngược lại, lượt tải xuống WhatsApp giảm từ 12,7 triệu xuống còn 10,6 triệu trong cùng kỳ.

Mặc dù WhatsApp sau đó đã hoãn kế hoạch thay đổi chính sách, thiệt hại về uy tín và sự rời bỏ của người dùng là bài học đắt giá cho các DN trong việc xử lý dữ liệu cá nhân.

Sự chuẩn bị của DN để đón đầu tuân thủ

Luật Bảo vệ dữ liệu cá nhân yêu cầu các DN không chỉ tuân thủ mà còn phải chứng minh được sự tuân thủ các nguyên tắc bảo vệ dữ liệu. Điều này đồng nghĩa với việc các DN cần minh bạch trong mục đích thu thập và xử lý dữ liệu cá nhân, đồng thời đảm bảo sự đồng ý từ phía chủ thể dữ liệu.

DN cần xây dựng thông báo xử lý dữ liệu rõ ràng, cụ thể, và chỉ thu thập dữ liệu trong phạm vi cần thiết cho mục đích đã đăng ký. Khi chủ thể dữ liệu thực hiện các quyền như rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu, DN phải đảm bảo khả năng phản hồi kịp thời và hiệu quả, từ đó cân bằng lợi ích kinh doanh với lợi ích hợp pháp của chủ thể dữ liệu.

Sự chuẩn bị này đòi hỏi sự cam kết mạnh mẽ từ phía lãnh đạo cao nhất của DN. Việc đặt bảo vệ dữ liệu cá nhân làm mục tiêu chiến lược và phối hợp hiệu quả giữa các phòng ban sẽ giúp giảm thiểu rủi ro vi phạm và xây dựng văn hóa tuân thủ trong toàn bộ tổ chức.

Trong bối cảnh ngày càng nhiều vụ lừa đảo và vi phạm liên quan đến dữ liệu cá nhân, việc đảm bảo tuân thủ pháp luật và xây dựng lòng tin với người tiêu dùng trở thành áp lực lớn với các DN tại Việt Nam. Tuy nhiên, đây cũng là cơ hội để DN khẳng định giá trị và nâng cao vị thế. Những DN tiên phong trong bảo vệ quyền lợi người tiêu dùng sẽ có lợi thế cạnh tranh vượt trội, từ đó tạo dựng niềm tin bền vững và chỗ đứng vững chắc trên thị trường. Vậy, DN của bạn đã sẵn sàng biến thách thức thành cơ hội chưa?./.