Bộ Công an đang lấy ý kiến dự thảo Luật Bảo vệ dữ liệu cá nhân, dự kiến có hiệu lực từ ngày 01/01/2026. 

Luật Bảo vệ dữ liệu cá nhân, được kỳ vọng sẽ trở thành nền tảng pháp lý quan trọng nhất tại Việt Nam trong việc bảo vệ quyền lợi của các chủ thể dữ liệu. Luật này đánh dấu bước tiến lớn trong việc hoàn thiện cơ chế thực thi quyền dữ liệu và áp dụng các chế tài nghiêm khắc. Tuy nhiên, nhiều doanh nghiệp hiện vẫn chưa nhận thức đầy đủ về tầm quan trọng của việc bảo vệ dữ liệu cá nhân.

Ảnhluat 1.jpg
Doanh nghiệp có nguy cơ mắc phải nhiều vi phạm nếu không chuẩn bị đón đầu Luật Bảo vệ dữ liệu cá nhân. Ảnh: MIC

Điểm yếu doanh nghiệp trong bảo vệ dữ liệu cá nhân

Những điểm yếu của doanh nghiệp trong bảo vệ dữ liệu cá nhân chủ yếu xuất phát từ nhận thức chưa đầy đủ. Thay vì coi việc bảo vệ dữ liệu cá nhân là một phần không thể thiếu trong chiến lược phát triển bền vững, nhiều doanh nghiệp chỉ xem đây là một yêu cầu pháp lý mang tính đối phó. Nhận thức này dẫn đến những lỗ hổng nghiêm trọng trong quản trị, thể hiện qua các khía cạnh quy trình, công nghệ và nhân sự.

Nhiều doanh nghiệp chưa thiết lập quy trình chuẩn trong việc xử lý và bảo vệ dữ liệu cá nhân, hoặc chỉ đáp ứng yêu cầu tối thiểu mà không đảm bảo tính hiệu quả và toàn diện. Hệ thống công nghệ và bảo mật của các doanh nghiệp cũng không được đầu tư đúng mức, làm gia tăng nguy cơ sự cố dữ liệu. Một ví dụ điển hình là vụ tấn công vào hệ thống máy chủ của một hãng hàng không tại Việt Nam vào năm 2016, khiến hơn 410.000 thông tin khách hàng bị rò rỉ.

Ngoài ra, việc quản trị nhân sự yếu kém cũng làm gia tăng rủi ro. Nhân viên không được đào tạo đầy đủ, thiếu ý thức bảo mật, dẫn đến những sai lầm nghiêm trọng. Vụ việc nhân viên một ngân hàng tại Việt Nam đăng tải hình ảnh sao kê giao dịch của một tài khoản ngân hàng được cho là của một nghệ sĩ nổi tiếng vào tháng 5/2021 đã làm dấy lên lo ngại về sự thiếu sót trong xây dựng văn hóa bảo vệ dữ liệu và kiểm soát nội bộ. Những yếu kém này khiến doanh nghiệp dễ dàng vi phạm luật bảo vệ dữ liệu cá nhân, đặc biệt trong bối cảnh Luật mới sắp có hiệu lực.

Nguy cơ đối mặt với chế tài “cứng” và “mềm”

Cùng với sự ra đời của Luật Bảo vệ dữ liệu cá nhân, các chế tài dân sự, hành chính và hình sự cũng được thắt chặt nhằm xử lý các hành vi vi phạm liên quan đến việc xử lý dữ liệu cá nhân. Luật quy định rõ các yêu cầu như thông báo trước khi xử lý dữ liệu, đảm bảo sự đồng ý của chủ thể dữ liệu, và đáp ứng các yêu cầu từ phía chủ thể như chỉnh sửa hoặc xóa bỏ dữ liệu. Những quy định này có nhiều điểm tương đồng với Quy định Bảo vệ dữ liệu chung của châu Âu (GDPR), vốn đã tạo ra các tiền lệ nghiêm khắc trong xử lý vi phạm dữ liệu.

Ví dụ, năm 2021, WhatsApp Ireland Ltd. bị cơ quan bảo vệ dữ liệu của Ireland phạt 225 triệu Euro vì không đáp ứng nghĩa vụ thông báo minh bạch về việc xử lý dữ liệu cá nhân. Năm 2023, Meta Platforms Ireland Limited, công ty mẹ của Facebook, Instagram và Threads, nhận án phạt kỷ lục 1,2 tỷ Euro vì không có cơ sở pháp lý để chuyển dữ liệu cá nhân của người dùng sang Mỹ. Cũng trong năm đó, cơ quan bảo vệ dữ liệu của Pháp (CNIL) phạt công ty quảng cáo trực tuyến CRITEO 40 triệu Euro vì không phản hồi yêu cầu của chủ thể dữ liệu và không xóa dữ liệu cá nhân theo yêu cầu.

Những tiền lệ này cho thấy rằng, khi Luật Bảo vệ dữ liệu cá nhân tại Việt Nam có hiệu lực, các doanh nghiệp không tuân thủ có thể đối mặt với nguy cơ chịu phạt tương tự.

Không chỉ phải đối diện với các chế tài pháp lý, doanh nghiệp còn phải lo ngại về những phản ứng tiêu cực từ người tiêu dùng – được coi là chế tài “mềm”. Trong thời đại ngày nay, người tiêu dùng ngày càng nhạy cảm hơn với các vấn đề bảo mật dữ liệu. Khi phát hiện ra nguy cơ dữ liệu cá nhân bị xử lý không an toàn hoặc xâm phạm, họ sẵn sàng ngừng sử dụng dịch vụ của doanh nghiệp.

Một ví dụ điển hình là sự kiện liên quan đến WhatsApp vào tháng 1/2021. Khi WhatsApp công bố thay đổi chính sách quyền riêng tư, cho phép chia sẻ dữ liệu cá nhân của người dùng với Facebook và yêu cầu người dùng đồng ý trước ngày 8/2 để tiếp tục sử dụng dịch vụ, một làn sóng chỉ trích đã bùng nổ. Nhiều người dùng đã rời bỏ WhatsApp do lo ngại nguy cơ dữ liệu cá nhân bị lạm dụng.

Mặc dù WhatsApp sau đó đã hoãn kế hoạch thay đổi chính sách, thiệt hại về uy tín và sự rời bỏ của người dùng là bài học đắt giá cho các doanh nghiệp trong việc xử lý dữ liệu cá nhân.

Doanh nghiệp cần chuẩn bị kỹ lưỡng

Luật Bảo vệ dữ liệu cá nhân yêu cầu các doanh nghiệp không chỉ tuân thủ mà còn phải chứng minh được sự tuân thủ các nguyên tắc bảo vệ dữ liệu. Điều này đồng nghĩa với việc các doanh nghiệp cần minh bạch trong mục đích thu thập và xử lý dữ liệu cá nhân, đồng thời đảm bảo sự đồng ý từ phía chủ thể dữ liệu.

Doanh nghiệp cần xây dựng thông báo xử lý dữ liệu rõ ràng, cụ thể, và chỉ thu thập dữ liệu trong phạm vi cần thiết cho mục đích đã đăng ký. Khi chủ thể dữ liệu thực hiện các quyền như rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu, doanh nghiệp phải đảm bảo khả năng phản hồi kịp thời và hiệu quả, từ đó cân bằng lợi ích kinh doanh với lợi ích hợp pháp của chủ thể dữ liệu.

Quế Anh – Huy Tuấn