Luật Bảo vệ dữ liệu GDPR - Vì sao doanh nghiệp, tổ chức Việt Nam cần quan tâm?

Luật này được thiết lập để bảo vệ các cá nhân là công dân Liên minh châu Âu (EU) hoặc thường trú nhân EU (EU quy định rằng bất kỳ ai sinh sống ổn định lâu dài ở trong EU trên 5 năm thì được bảo vệ như là thường trú nhân EU về GDPR).

GDPR và phạm vi điều chỉnh toàn cầu

Luật cho phép các cá nhân quyền kiểm soát tốt hơn việc dữ liệu của họ đã được thu thập, sử dụng và được bảo vệ như thế nào trên môi trường số. Luật này cũng quy định nghĩa vụ của các doanh nghiệp (DN), tổ chức trong việc tuân thủ việc sử dụng và bảo mật dữ liệu cá nhân mà họ thu thập được từ người dùng. Trong đó, có những quy định chi tiết về kỹ thuật như mã hóa dữ liệu người dùng.

Các tổ chức không tuân thủ luật có thể bị phạt tới 20 triệu Euro, hoặc 4% doanh thu toàn cầu của năm liền kề trước đó, tùy mức phạt nào lớn hơn, bất kể họ có ở châu Âu hay không.

Khi GDPR ra đời, theo số liệu khảo sát từ PwC, 92% các DN Mỹ coi việc tuân thủ GDPR là ưu tiên hàng đầu trong công tác bảo vệ dữ liệu. Khoảng 68% DN Mỹ dự kiến sẽ đầu tư thêm từ 1 - 10 triệu USD, 9% sẽ chi hơn 10 triệu đô la Mỹ để đáp ứng việc tuân thủ GDPR.

Hiện nay, trong công tác tổ chức nhân sự, các DN phải bổ sung thêm một vị trí chức danh chưa từng có trước đây là chuyên viên bảo vệ dữ liệu - người chịu trách nhiệm xử lý các vấn đề về tuân thủ luật GDPR.

GDPR ảnh hưởng như thế nào đối với các DN, tổ chức Việt Nam?

Đặc điểm quan trọng của GDPR là luật bảo vệ các công dân mang quốc tịch EU và thường trú nhân EU. Do đó, luật này, cũng áp dụng việc tuân thủ lên các tổ chức cung cấp dịch vụ số bên ngoài EU, theo nguyên tắc "không giới hạn biên giới" và có ảnh hưởng tới thị trường ICT toàn cầu.

Với đặc điểm có hơn nửa triệu người Việt có quốc tịch hoặc thường trú nhân EU cùng hàng trăm nghìn người Việt Nam đang sinh sống và làm việc tại EU, rất nhiều dịch vụ số của các DN, tổ chức Việt Nam đang được trực tiếp cung ứng cho các đối tượng được bảo vệ bởi GDPR.

Do đó, các DN, tổ chức ở Việt Nam cần xem xét triển khai các biện pháp tuân thủ GDPR nếu không muốn chịu rủi ro bất ngờ từ việc không hiểu rõ hậu quả của việc không tuân thủ luật này.

Việc áp đặt tuân thủ lên các tổ chức bên ngoài EU được nêu rõ trong Điều 3 của GDPR. Điều 3.1 quy định rằng GDPR được áp dụng cho các tổ chức thuộc EU nhưng lưu trữ và xử lý dữ liệu bên ngoài EU.

Điều 3.2 áp đặt rộng hơn tới tất cả các DN không thuộc khối EU, nhưng có một trong hai điều kiện dưới đây:

- DN đó cung ứng hàng hóa hoặc dịch vụ cho công dân, thường trú nhân EU.

- DN đó có giám sát hành vi trên môi trường số của những người này (Điều 3.3 quy định một số trường hợp bất thường khác, như những đại sứ quán của các quốc gia khác đặt tại EU).

Như vậy, trong bối cảnh toàn cầu hóa và chuyển đổi số (CĐS), việc một DN, tổ chức Việt Nam có liên đới và phải tuân thủ quy định của GDPR là việc không thể tránh khỏi. Chúng ta hãy xem xét một số ví dụ cụ thể về việc GDPR có thể gây ảnh hưởng tới DN, tổ chức Việt Nam như thế nào?

1. Cung cấp hàng hóa, dịch vụ cho công dân, thường trú nhân thuộc EU:

Môi trường Internet khiến cho hàng hóa và dịch vụ được lưu thông dễ dàng tới bất kỳ đâu trên toàn cầu. Các đơn vị hành pháp châu Âu sẽ xem xét và tìm kiếm dấu hiệu một tổ chức bên ngoài châu Âu có bán hàng hóa, dịch vụ cho công dân châu Âu hay không.

Nếu một DN Việt Nam có đăng quảng cáo hướng tới đối tượng khách hàng mục tiêu ở Đức hoặc trên Website của họ có bảng giá thanh toán bằng đồng Euro, DN đó được coi là phục vụ khách hàng thuộc Liên minh châu Âu và do đó đơn vị kinh doanh này của Việt Nam phải tuân thủ GDPR.

2. Giám sát hành vi của công dân, thường trú nhân thuộc EU:

Nếu tổ chức của bạn có các công cụ web cho phép bạn lưu lại các đoạn mã Cookies hoặc địa chỉ IP của những người ghé thăm trang web của bạn từ các nước thuộc châu Âu, khi đó bạn đã nằm trong phạm vi buộc phải tuân thủ GDPR. Điều này có thể hiểu rằng mọi Website tiếng Việt đều có khả năng nằm dưới sự giám sát tuân thủ GDPR, cho dù người đọc nó là Việt kiều hoặc công dân Việt Nam nhưng đã sinh sống lâu dài tại EU.

Trên thực tế, mức độ chặt chẽ và tính chất cưỡng chế của điều khoản này được diễn giải như thế nào còn chưa rõ do GDPR mới được áp dụng được vài năm. Giả dụ, bạn có một sân Golf ở Lâm Đồng, chủ yếu phục vụ khách hàng Việt Nam nhưng thỉnh thoảng vẫn có khách hàng từ Pháp nhảy vào ngó nghiêng trang web của bạn, liệu sau đó bạn có lọt vào tầm ngắm của các nhà lập pháp EU?

Điều này khó có khả năng xảy ra trên thực tiễn, tuy nhiên, về mặt kỹ thuật pháp lý, bạn vẫn phải chịu trách nhiệm về hành vi theo dõi dữ liệu đối với những khách hàng của mình trên quan điểm tuân thủ GDPR.

3. Nhà thầu phụ trong lĩnh vực ICT:

Nếu tổ chức của bạn (ví dụ) ở Việt Nam, bán dịch vụ tạo lập Website cho các khách hàng hay cho các tổ chức khác (có thể cũng ở Việt Nam); tuy nhiên Website của bạn tạo ra có sử dụng "cookies" để theo dõi dữ liệu người dùng từ những cá nhân là công dân, thường trú nhân của EU, thì tổ chức của bạn có liên đới và chịu trách nhiệm tuân thủ GDPR.

Trường hợp ngoại lệ đầu tiên không phải tuân thủ GDPR là khi thu thập dữ liệu cá nhân phục vụ các mục đích phi thương mại, thuần túy mang tính chất cá nhân hoặc hộ gia đình. Nếu bạn thu thập địa chỉ email để tổ chức một buổi họp mặt với bạn bè, đồng nghiệp thì bạn không cần phải mã hóa dữ liệu của họ để tuân thủ GDPR.

Nên nhớ rằng GDPR chỉ áp dụng cho các tổ chức cung cấp các dịch vụ và hoạt động chuyên nghiệp hoặc có tính thương mại hóa. Do đó, cùng hành vi như trên, nếu bạn thu thập email của bạn bè để kêu gọi huy động vốn cho một dự án kinh doanh nhỏ của bạn, khi đó bạn phải tuân thủ GDPR.

Trường hợp ngoại lệ thứ hai là những tổ chức có ít hơn 250 nhân sự. Doanh nghiệp vừa và nhỏ (SME) vẫn buộc phải tuân thủ GDPR. Tuy nhiên, luật (Điều 30.5) cho phép họ không cần phải tuân thủ việc duy trì bản ghi chép việc tuân thủ trong hầu hết các trường hợp.

Kết luận

Mặc dù là luật của EU, nhưng GDPR có phạm vi điều chỉnh ảnh hưởng toàn cầu, tới tất cả các tổ chức, DN nào có các công cụ Internet giám sát hành vi hoặc cung cấp hàng hóa, dịch vụ cho công dân hoặc thường trú nhân EU.

Cho dù Website DN, tổ chức của bạn chỉ sử dụng tiếng Việt, phục vụ chủ yếu khách hàng ở Việt Nam thì luôn có một xác xuất cao là bạn vẫn có thể bị điều chỉnh và buộc phải tuân thủ GDPR, nếu bạn không muốn gặp các sự cố bất ngờ và khoản phạt lớn trong tương lai.

Từ khi GDPR ra đời, hầu hết các Website sử dụng nhiều ngôn ngữ khác nhau trên thế giới đều đã thay đổi giao diện và cách thức đăng ký thu thập thông tin người dùng. Như vậy, không có lý do gì Website của tổ chức của bạn được miễn nhiễm với GDPR!

Trước tiên, bạn cần tìm hiểu, nhận tư vấn của những người có chuyên môn kỹ thuật, pháp lý và sau đó là quyết định hành động trong kế hoạch CĐS hoặc số hóa các điểm tiếp xúc khách hàng.

Nếu DN, tổ chức của bạn chưa có đủ nguồn lực (tài chính, nhân sự, hiểu biết) để đảm bảo công tác tuân thủ GDPR, thì bạn không nên đặt tham vọng mục tiêu "CĐS" hoặc "Toàn cầu hóa". Bạn có thể thuê, hoặc hợp tác vận hành khai thác với các công cụ, nền tảng số của bên thứ ba mà họ đã hoàn toàn tuân thủ GDPR. Không nên tự mình mua sắm, phát triển các công cụ số mà bạn không biết chắc công cụ và quy trình vận hành công cụ đó có tuân thủ GDPR hay không.

Nếu tổ chức của bạn có đủ nguồn lực để đảm bảo công tác tuân thủ GDPR, điều đầu tiên cần tiến hành là đánh giá công tác tuân thủ, bổ nhiệm cán bộ bảo vệ dữ liệu chuyên trách, phân bổ ngân sách và có kế hoạch, lộ trình cho việc tuân thủ GDPR bao gồm cả công tác đấu thầu, lựa chọn, quản lý nhà thầu ICT.

Luật bảo vệ dữ liệu chung GDPR có phạm vi điều chỉnh toàn cầu và nó tương đồng với tiêu chuẩn toàn cầu về bảo vệ dữ liệu cá nhân. Do đó, đầu tư cho việc tuân thủ GDPR cũng là một cách minh chứng với khách hàng về sự tin cậy đối với tổ chức của bạn. Điều này sẽ mang lại giá trị đích thực cho tổ chức, DN của bạn trong một tầm nhìn phát triển bền vững./.

Tài liệu tham khảo: https://gdpr.eu

(Bài đăng ấn phẩm in Tạp chí TT&TT số 3 tháng 3/2022)