Nghị định 13 về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 01/7/2023 được đánh giá là hành lang pháp lý cực kỳ quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng trong các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, trong quá trình nghiên cứu tổ chức và triển khai Nghị định 13, các Tổ chức tín dụng, ngân hàng đã phản ánh gặp một số khó khăn vướng mắc, gây lúng túng khi thực hiện. Hãy cùng Vega Fintech tìm hiểu ngay!
Những quy định mới nhất về bảo vệ dữ liệu cá nhân người dùng
Nghị định số 13/2023/NĐ-CP bao gồm 4 Chương, 44 Điều, quy định chi tiết về các nguyên tắc bảo vệ dữ liệu cá nhân; xử lý những vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; hợp tác quốc tế về việc bảo vệ dữ liệu cá nhân; quyền và nghĩa vụ của chủ thể dữ liệu; bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo; thu thập, chuyển giao, mua hay bán trái phép dữ liệu cá nhân; các biện pháp bảo vệ dữ liệu cá nhân; cũng như trách nhiệm của các cơ quan, tổ chức, cá nhân trong bảo vệ dữ liệu cá nhân…
Chính phủ ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân và có hiệu lực chính thức từ ngày 1/7/2023, được đánh giá là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.
Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng phản ánh một số vướng mắc, gây lúng túng khi thực hiện cụ thể quy định liên quan đến một số vấn đề như:
Một số khó khăn trong việc xử lý dữ liệu cá nhân khi triển khai Nghị định 13
Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý các dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (tại khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý việc xử lý dữ liệu cá nhân của mình (tại khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập hay yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (tại điều 9).
Trong khi đó, hệ thống văn bản pháp luật trong lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu của khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật.
Mặt khác, đối với hoạt động ngân hàng tài chính, việc xử lý các dữ liệu cá nhân khách hàng, tác động tới dữ liệu cá nhân, như: thu thập, phân tích, lưu trữ, chỉnh sửa, chuyển giao, xóa, hủy dữ liệu cá nhân… hoặc các hành động khác có liên quan là bắt buộc, tất yếu không chỉ để cung cấp dịch cho khách hàng mà còn để quản lý rủi ro trong hoạt động Ngân hàng, để đảm bảo an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, với quy định Nghị định 13 sẽ có nhiều khó khăn nếu áp dụng cứng nhắc trong trường hợp phục vụ hoạt động của cơ quan nhà nước theo các quy định theo luật chuyên ngành.
Ngân hàng, tài chính là lĩnh vực gặp nhiều khó khăn khi triển khai Nghị Định 13
Nghị định 13 nêu rõ, dữ liệu cá nhân là các thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc là dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định được một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và cả dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm các thông tin rõ ràng cụ thể của một cá nhân kèm theo thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, và lịch sử hoạt động trên không gian mạng…
Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm tới có thể sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của người đó. Chẳng hạn như quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe; nguồn gốc chủng tộc, nguồn gốc dân tộc; đặc điểm di truyền; dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; và thông tin khách hàng của tổ chức tín dụng…
Nghị định 13 cũng thể hiện rằng dữ liệu cá nhân nhạy cảm sẽ được bảo vệ chặt chẽ, cẩn thận hơn so với dữ liệu cá nhân cơ bản. Tuy nhiên việc phân biệt được dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm vẫn còn nhiều phiền phức, khiến cho các tổ chức tín dụng, ngân hàng gặp khó khăn khi giải quyết vấn đề.
Nghị định 13 yêu cầu Bên kiểm soát và xử lý dữ liệu/ Bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của Chủ thể dữ liệu và trong tất cả các quy trình xử lý (tại điều 11); và trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (tại điều 13).
Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của các tổ chức tín dụng được thực hiện theo nhiều quy trình và sản phẩm, trong mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp khách hàng đều có số lượng lớn.
Để tuân thủ đầy đủ các quy định tại Nghị định 13, quy định này dường như là không khả thi và khó có thể thực hiện được; mặt khác các tổ chức tín dụng sẽ phải dành nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian cũng như tiến độ khi cung cấp dịch vụ của tổ chức tín dụng đến Khách hàng do phải tăng thêm các bước vận hành.
Khi thay đổi các quy trình xử lý dữ liệu lại phải xin chấp thuận của khách hàng đồng ý mới được triển khai... trong khi các hoạt động xử lý dữ liệu này nhìn chung đều hướng đến mục đích phục vụ nhu cầu, theo nhu cầu của chính Khách hàng hoặc nhằm cải thiện chất lượng dịch vụ cung cấp tới Khách hàng tốt hơn. Điều này gây nhiều khó khăn và nhiều ngân hàng nhận định là khó thực thiện.
Nếu đồng ý toàn bộ thì sẽ không đáp ứng được mục đích ban hành của Nghị định 13, việc xác nhận của chủ thể dữ liệu sẽ chỉ mang tính thủ tục, hình thức kém hiệu quả.
Cần có những giải pháp tháo gỡ khó khăn trong quá trình triển khai Nghị định 13
Nghị định 13 cho phép việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài khi bên chuyển dữ liệu thực hiện lập, lưu trữ và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như đã đề cập ở phía trên. Bộ Công an sẽ thực hiện kiểm tra việc chuyển dữ liệu cá nhân ra nước ngoài 1 lần/năm, trừ trường các hợp phát hiện ra hành vi vi phạm quy định pháp luật hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của khách hàng.
Tuy nhiên, đại diện CLB Pháp chế ngân hàng cho biết, các ngân hàng và các tổ chức tín dụng cũng đã được điều chỉnh bởi các pháp luật chuyên ngành như Luật các tổ chức tín dụng, Luật Phòng chống rửa tiền, Nghị định 117/2018/NĐ-CP về giữa bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài. Việc cung cấp thông tin dữ liệu cá nhân của khách hàng ra nước ngoài sẽ tốn nhiều thời gian công sức khi áp dụng Nghị Định 13 và làm cho các giao dịch bị hạn chế, khó khăn hơn.
Như vậy, với những bước đầu tiên trong việc triển khai nghị định 13 về bảo vệ dữ liệu cá nhân, đã có những khó khăn, vướng mắc đối với lĩnh vực tài chính, ngân hàng. Để giải quyết được những vướng mắc này, Bộ Công an sẵn sàng phối hợp cùng với ngành Ngân hàng để có thể tìm giải pháp tháo gỡ khó khăn trong quá trình triển khai.