Bảo vệ dữ liệu cá nhân trong Liên minh châu Âu và kinh nghiệm với Việt Nam

Luật Bảo vệ DLCN có hiệu lực từ ngày 1-1-2026 và được kỳ vọng sẽ trở thành nền tảng pháp lý quan trọng nhất tại Việt Nam trong việc bảo vệ quyền lợi của các chủ thể dữ liệu. Luật này đánh dấu bước tiến lớn trong việc hoàn thiện cơ chế thực thi quyền dữ liệu và áp dụng các chế tài nghiêm khắc. Tuy nhiên, nhiều doanh nghiệp hiện vẫn chưa nhận thức đầy đủ về tầm quan trọng của việc bảo vệ DLCN.

Áp dụng chế tài nghiêm khắc trong thực thi quyền dữ liệu

Thay vì coi việc bảo vệ DLCN là một phần không thể thiếu trong chiến lược phát triển bền vững, nhiều doanh nghiệp (DN) chỉ xem đây là một yêu cầu pháp lý mang tính đối phó. Nhận thức này dẫn đến những lỗ hổng nghiêm trọng trong quản trị, thể hiện qua các khía cạnh quy trình, công nghệ và nhân sự. Nhiều doanh nghiệp chưa thiết lập quy trình chuẩn trong việc xử lý và bảo vệ DLCN hoặc chỉ đáp ứng yêu cầu tối thiểu mà không bảo đảm tính hiệu quả và toàn diện. Hệ thống công nghệ và bảo mật của các DN cũng không được đầu tư đúng mức, làm gia tăng nguy cơ sự cố dữ liệu. 

Cùng với sự ra đời của Luật Bảo vệ DLCN, các chế tài dân sự, hành chính và hình sự cũng được thắt chặt, nhằm xử lý các hành vi vi phạm liên quan đến việc xử lý DLCN. Luật quy định rõ các yêu cầu như thông báo trước khi xử lý dữ liệu, bảo đảm sự đồng ý của chủ thể dữ liệu và đáp ứng các yêu cầu từ phía chủ thể như chỉnh sửa hoặc xóa bỏ dữ liệu. Những quy định này có nhiều điểm tương đồng với Quy định Bảo vệ dữ liệu chung của châu Âu (GDPR), vốn đã tạo ra các tiền lệ nghiêm khắc trong xử lý vi phạm dữ liệu. Ví dụ, năm 2021, WhatsApp Ireland Ltd. bị cơ quan bảo vệ dữ liệu của Ireland phạt 225 triệu Euro vì không đáp ứng nghĩa vụ thông báo minh bạch về việc xử lý DLCN. Năm 2023, Meta Platforms Ireland Limited, công ty mẹ của Facebook, Instagram và Threads, nhận án phạt kỷ lục 1,2 tỷ Euro vì không có cơ sở pháp lý để chuyển DLCN của người dùng sang Mỹ⁽²⁾. Cũng trong năm đó, cơ quan bảo vệ dữ liệu của Pháp (CNIL) phạt công ty quảng cáo trực tuyến CRITEO 40 triệu Euro vì không phản hồi yêu cầu của chủ thể dữ liệu và không xóa DLCN theo yêu cầu. Những tiền lệ này cho thấy rằng, khi Luật Bảo vệ DLCN tại Việt Nam có hiệu lực, các doanh nghiệp không tuân thủ có thể đối mặt với nguy cơ chịu phạt tương tự. Không chỉ phải đối diện với các chế tài pháp lý, doanh nghiệp còn phải lo ngại về những phản ứng tiêu cực từ người tiêu dùng - được coi là chế tài “mềm”. Trong thời đại ngày nay, người tiêu dùng ngày càng nhạy cảm hơn với các vấn đề bảo mật dữ liệu. Khi phát hiện ra nguy cơ DLCN bị xử lý không an toàn hoặc xâm phạm, họ sẵn sàng ngừng sử dụng dịch vụ của doanh nghiệp.

Luật Bảo vệ DLCN yêu cầu các doanh nghiệp không chỉ tuân thủ mà còn phải chứng minh được sự tuân thủ các nguyên tắc bảo vệ dữ liệu. Điều này đồng nghĩa với việc các doanh nghiệp cần minh bạch trong mục đích thu thập và xử lý DLCN, đồng thời bảo đảm sự đồng ý từ phía chủ thể dữ liệu. Doanh nghiệp cần xây dựng thông báo xử lý dữ liệu rõ ràng, cụ thể và chỉ thu thập dữ liệu trong phạm vi cần thiết cho mục đích đã đăng ký. Khi chủ thể dữ liệu thực hiện các quyền, như rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu, doanh nghiệp phải bảo đảm khả năng phản hồi kịp thời và hiệu quả, từ đó cân bằng lợi ích kinh doanh với lợi ích hợp pháp của chủ thể dữ liệu.

Liên minh châu Âu thiết lập 7 nguyên tắc bảo vệ dữ liệu

Quyền về sự riêng tư là một phần của Công ước châu Âu về quyền con người năm 1950, trong đó tuyên bố, mọi người đều có quyền được tôn trọng riêng tư, cuộc sống gia đình, nhà ở và thư từ. Từ cơ sở đó, các nước trong EU tìm cách bảo đảm quyền này thông qua việc xây dựng một văn bản pháp luật chung, đặc biệt khi internet xuất hiện. Năm 1995, EU thông qua Chỉ thị về bảo vệ dữ liệu châu Âu (95/46/EC), trong đó thiết lập các tiêu chuẩn bảo mật và riêng tư dữ liệu tối thiểu để các quốc gia thành viên thực thi bằng cách đưa vào pháp luật của nước mình. Tuy nhiên, Chỉ thị năm 1995 được soạn thảo vào giai đoạn khi internet mới chỉ được 1% dân số thế giới sử dụng. Vì vậy, khi internet bùng nổ, xuất hiện yêu cầu phải có văn bản pháp luật mới để giải quyết các vấn đề nảy sinh về bảo vệ DLCN từ việc sử dụng internet và các thiết bị thông minh trên quy mô lớn. Đây là lý do dẫn đến sự ra đời của Quy định chung về bảo vệ dữ liệu (GDPR) do Ủy ban châu Âu xây dựng, với mục đích vạch ra kế hoạch cải cách bảo vệ DLCN trên toàn EU.

Về bản chất, GDPR là một bộ quy tắc mới, được xây dựng nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với DLCN của họ. Theo các điều khoản của GDPR, không chỉ các tổ chức phải bảo đảm DLCN được thu thập hợp pháp trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu. Tiền phạt đối với hành vi trái với quy định của GDPR rất cao. Theo đó có hai cách thức phạt, có thể tối đa là 20 triệu Euro hoặc 4% doanh thu toàn cầu, đồng thời các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại.

GDPR cũng là một bước tiến pháp lý lớn về xác định DLCN. DLCN và DLCN nhạy cảm là hai khái niệm nền tảng của GDPR. DLCN được định nghĩa là “bất kỳ thông tin nào liên quan đến một thể nhân (data subject) đã được nhận diện danh tính hoặc có thể được nhận diện danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, di truyền, tâm lý, kinh tế, văn hóa, hoặc xã hội”. Định nghĩa này khá tương đồng với định nghĩa được đưa ra trong Chỉ thị năm 1995 của EU, nhưng có sự mở rộng hơn, bao gồm cả “địa chỉ IP” hay “giả danh tính”.

DLCN nhạy cảm được quy định dưới dạng hạng mục DLCN đặc biệt trong GDPR, được xem là: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh, hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dục, xu hướng tình dục”. Việc xử lý và phân tích các dữ liệu nhạy cảm hoàn toàn bị cấm bởi GDPR. Một số trường hợp ngoại lệ cho phép xử lý DLCN nhạy cảm, bao gồm có sự đồng thuận từ chủ thể dữ liệu, để bảo vệ quyền lợi cá nhân, để phục vụ công tác y tế dự phòng và y tế nghiệp vụ hoặc vì lợi ích công cộng. Xét trên những điều kiện đó, việc Facebook hoặc Google cùng các đối tác kinh doanh thu thập và xử lý các DLCN nhạy cảm có khả năng rất cao vi phạm GDPR. Trong những tình huống vi phạm, GDPR cho phép các cá nhân có quyền nộp đơn khiếu nại đến Cơ quan Quản lý Dữ liệu đặt tại các quốc gia thành viên, nơi cá nhân đang làm việc hoặc sinh sống hoặc nơi việc vi phạm diễn ra. Các cá nhân sau khi được thẩm định quyền bị xâm hại sẽ được xử lý đền bù theo quyết định của Cơ quan Quản lý Dữ liệu, theo tinh thần của những quyết định đưa ra bởi Hội đồng Bảo vệ Dữ liệu châu Âu (EDPB). Tính đến tháng 5-2019, khoản tiền phạt lớn nhất áp dụng theo GDPR là 50 triệu Euro. Ví dụ, Cơ quan Giám sát bảo vệ dữ liệu của Pháp (CNIL) quyết định án phạt cho Google vào tháng 01-2019, sau khi đi đến kết luận rằng gã khổng lồ công cụ tìm kiếm này phá vỡ các quy tắc của GDPR về tính minh bạch và cơ sở pháp lý hợp lệ khi xử lý dữ liệu của mọi người cho mục đích quảng cáo.

GDPR thiết lập 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu: 1) Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu; 2) Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập; 3) Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định; 4) Độ chính xác: Phải bảo đảm DLCN là chính xác và cập nhật; 5) Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định; 6) Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở bảo đảm tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: sử dụng mã hóa); 7) Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.

GDPR cũng quy định “quyền được lãng quên” - cụ thể là quyền xóa DLCN cho những người muốn xóa dữ liệu của họ khi không còn căn cứ để lưu giữ dữ liệu đó. GDPR được áp dụng ở cấp độ trong một quốc gia với hiệu lực ngay lập tức, bắt đầu từ ngày nó có hiệu lực và việc áp dụng luật quốc gia sẽ không ảnh hưởng đến hiệu lực của nó. Tuy nhiên, GDPR cho phép các quốc gia thành viên linh hoạt đến một mức độ nhất định khi áp dụng một số quy định.

Trong thực tế, các nước thành viên EU đã sửa đổi luật bảo vệ dữ liệu của họ để tuân thủ các yêu cầu GDPR. Cụ thể, Pháp điều chỉnh luật pháp nước mình theo GDPR với việc ban hành Luật số 2018-493 (FDPA) ngày 20-6-2018 về bảo vệ DLCN, trong đó thay thế các thủ tục trước đó (thông báo hoặc ủy quyền trước bởi CNIL) bằng một logic mới dựa trên triết lý về trách nhiệm giải trình nâng cao của các bên liên quan trong GDPR. Vương quốc Anh cũng thông qua Luật Bảo vệ dữ liệu quốc gia (DPA) có hiệu lực vào ngày 25-5-2018, trong đó cho phép tiếp tục áp dụng GDPR kể cả khi nước này rời EU. DPA chuyển đổi Chỉ thị thực thi pháp luật ((EU) 2016/680) thành luật pháp của Vương quốc Anh, tạo ra một chế độ bảo vệ dữ liệu dành riêng cho việc xử lý DLCN của cơ quan thực thi pháp luật, trong đó, Phần 4 của DPA cập nhật chế độ bảo vệ dữ liệu để xử lý an ninh quốc gia; các Phần 5 và 6 đưa ra phạm vi nhiệm vụ và quyền hạn của Ủy viên Thông tin, đồng thời quy định một số tội hình sự liên quan đến xử lý dữ liệu cá nhân⁽³⁾.

Sau khi Vương quốc Anh rời khỏi EU, Chính phủ này đã soạn thảo Dự luật Bảo vệ dữ liệu và thông tin kỹ thuật số (DPDI). DPDI khác với GDPR, cập nhật các quy tắc bảo vệ dữ liệu quản lý của quốc gia, bao gồm việc chuyển sang mô hình tuân thủ “dựa trên rủi ro”, các quy tắc liên quan đến thành tựu nghiên cứu khoa học và AI. Một số người tin rằng, DPDI sẽ có tác động tích cực, bằng cách giảm chi phí và gánh nặng cho các tổ chức, đồng thời giúp “mở khóa” sự đổi mới mà không vi phạm quyền riêng tư. Tuy nhiên, cũng có những quan điểm khác cho rằng, DPDI sẽ tạo thêm nhiều gánh nặng, đặc biệt là những tổ chức hoạt động ở cả Vương quốc Anh và EU vì sẽ phải tuân thủ hai chế độ quy định. Theo nhiều chuyên gia đánh giá, bất kỳ sự gia tăng nào về tuân thủ và nghĩa vụ pháp lý đều làm tăng chi phí cho các doanh nghiệp kỹ thuật số. Có một sự cân bằng tốt giữa việc bảo vệ dữ liệu và kìm hãm sự đổi mới, nhưng cuối cùng thì yếu tố quan trọng nhất phải là tạo dựng niềm tin vào nền kinh tế kỹ thuật số và các mối quan hệ của cộng đồng. GDPR đã có tác động đáng kể đến các quy định bảo vệ dữ liệu trên toàn thế giới. GDPR không chỉ thiết lập tiêu chuẩn về quyền riêng tư dữ liệu được công nhận trên toàn cầu mà còn tạo ra nhiều quy định tương tự ở các khu vực pháp lý khác. Các quy định đó hướng đến sự tương đồng hoặc được tinh chỉnh theo GDPR. CCPA ở California, POPI ở Nam Phi, LGPD ở Brazil và các quy định ở các quốc gia khác hoặc các tiểu bang của Mỹ dù đa dạng, song tất cả đều hướng trách nhiệm tới GDPR⁽⁴⁾.

Sau thành công của GDPR, tiếp theo là các quy định khác để thúc đẩy dòng chảy tự do của dữ liệu phi cá nhân. EU trở thành một nhà thiết lập tiêu chuẩn được công nhận trên trường quốc tế. Vì vậy, khi AI bùng nổ, Chiến lược Dữ liệu châu Âu giới thiệu hai dự luật quan trọng:

Có hiệu lực từ tháng 9-2023, Đạo luật Quản trị dữ liệu đặt nền móng cho việc truy cập, tái sử dụng và chuyển giao tự nguyện các danh mục dữ liệu nhất định của khu vực công được bảo vệ trên các nền tảng được chứng nhận quốc gia. Mỗi tổ chức muốn chia sẻ dữ liệu của họ phải đăng ký. Đạo luật Quản trị dữ liệu không dành riêng cho một lĩnh vực nào, nhưng sẽ có giá trị trong nhiều lĩnh vực, như y tế, khoa học đời sống, năng lượng, vận tải…

Bên cạnh đó, Đạo luật Dữ liệu có hiệu lực ngoài lãnh thổ, từ tháng 9-2025, nhằm mục đích hài hòa hóa việc truy cập và sử dụng dữ liệu công bằng. Đạo luật liên quan đến dữ liệu phi cá nhân, được tạo ra bởi các thiết bị kết nối internet, để sử dụng trong các dịch vụ hậu mãi và giá trị gia tăng. Nó yêu cầu người nắm giữ dữ liệu phải cung cấp dữ liệu theo các điều khoản công bằng, hợp lý và không phân biệt đối xử (FRAND). Nội dung do người dùng tạo ra; dữ liệu được truyền đến một sản phẩm được kết nối, như máy chủ hoặc đám mây, để lưu trữ; dữ liệu phát sinh bao gồm hoạt động đầu tư và dữ liệu được sử dụng trong thử nghiệm sản phẩm mới, được coi là nằm ngoài phạm vi. Mặc dù người nắm giữ dữ liệu có thể bảo vệ dữ liệu của họ như "bí mật thương mại", họ không có quyền từ chối truy cập. Tuy nhiên, người nắm giữ dữ liệu có thể tìm kiếm giấy phép FRAND để chọn không tham gia khi có rủi ro cao: 1) Thiệt hại kinh tế nghiêm trọng từ việc tiết lộ bí mật thương mại. 2) Chuyển giao dữ liệu đến các quốc gia thứ ba có mức độ bảo vệ và thực thi yếu hơn. 3) Khai thác bởi đối thủ cạnh tranh.

Hiện tại, quyền dữ liệu phát sinh khi dữ liệu được cấp bản quyền, nhãn hiệu hoặc bằng sáng chế cho mục đích cấp phép, có nghĩa là nó không thể được trích xuất đáng kể từ cơ sở dữ liệu. Tuy nhiên, luật dữ liệu, nhất là đề xuất Truy cập Dữ liệu thông tin tài chính (FiDA) sắp tới, sẽ vô hiệu hóa quyền truy cập cơ sở dữ liệu. Nó cho phép khách hàng ủy quyền cho bên thứ ba truy cập dữ liệu được tổ chức tài chính nắm giữ.

Ngoài ra, theo Ủy ban châu Âu, 80% dữ liệu công nghiệp chưa bao giờ được sử dụng. Đây là tiềm năng chưa được khai thác, có thể được chia sẻ. Điều này cho thấy khả năng có được nhiều dữ liệu hơn với chi phí thấp hơn. Nếu dữ liệu có giá trị hơn đối với B so với A, và không có sự suy giảm giá trị trong A, A sẽ cấp phép dữ liệu cho B⁽⁵⁾.

Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam

Việc ban hành Quy định Bảo vệ dữ liệu chung (GDPR) của EU vào năm 2016 đã tạo ra một làn sóng thay đổi trong quy định về bảo vệ dữ liệu trên toàn cầu, buộc các doanh nghiệp phải tuân thủ nghiêm ngặt các tiêu chuẩn về bảo vệ DLCN và truyền tải dữ liệu an toàn. Xu hướng này không chỉ tác động đến các doanh nghiệp tại EU mà còn lan rộng ra toàn thế giới, ảnh hưởng đến cách thức của các quốc gia khác như Việt Nam… Sự ra đời của Nghị định số 13/2023/NĐ-CP và Luật Bảo vệ DLCN cho thấy Việt Nam đang nỗ lực tuân thủ các tiêu chuẩn quốc tế, nhằm bảo vệ quyền lợi người dân và thúc đẩy sự minh bạch trong hoạt động của doanh nghiệp. Nghị định số 13/2023/NĐ-CP của Việt Nam ra đời nhằm hiện thực hóa các cam kết của Việt Nam trong việc bảo vệ DLCN. Nghị định này kế thừa nhiều nguyên tắc từ GDPR, như việc yêu cầu sự đồng thuận từ chủ thể dữ liệu, tuy nhiên, vẫn còn một số điểm hạn chế trong việc chứng minh tính hợp pháp của dữ liệu được thu thập và xử lý. Điều này có thể dẫn đến các rủi ro cho doanh nghiệp khi phải đối mặt với tranh chấp pháp lý. Luật Bảo vệ DLCN yêu cầu doanh nghiệp cung cấp tài liệu chứng minh sự đồng thuận của chủ thể dữ liệu, kể cả trong các trường hợp chuyển dữ liệu ra nước ngoài. Điều này nhằm khắc phục những vấn đề quản trị rủi ro trong Nghị định số 13/2023/NĐ-CP, giúp bảo đảm tính minh bạch và hợp pháp trong các hoạt động xử lý dữ liệu. Có thể thấy, các doanh nghiệp sở hữu DLCN của người lao động cũng thuộc phạm vi điều chỉnh của Nghị định số 13/2023/NĐ-CP và Luật. Theo xu hướng toàn cầu, doanh nghiệp cần bảo đảm rằng DLCN của người lao động được bảo vệ nghiêm ngặt, từ khâu thu thập đến lưu trữ và xử lý, góp phần tạo dựng một môi trường kinh doanh minh bạch và đáng tin cậy. Việc tuân thủ các quy định về bảo vệ DLCN sẽ giảm thiểu rủi ro pháp lý và nâng cao uy tín của doanh nghiệp trong bối cảnh hội nhập quốc tế.

Khi người lao động quyết định thực hiện quyền rút lại sự đồng ý đối với việc thu thập và xử lý DLCN, doanh nghiệp sẽ phải đối mặt với một loạt thách thức đáng kể, ảnh hưởng đến hoạt động quản lý nhân sự và trách nhiệm pháp lý của mình. Ví dụ, khi luật quy định rằng doanh nghiệp chỉ được yêu cầu cung cấp những thông tin đã công khai trong hồ sơ tuyển dụng. Điều này tạo ra một thách thức lớn cho doanh nghiệp, nhất là khi nhân viên rút lại sự đồng ý với các thông tin không thuộc danh sách đã công khai. Việc rút lại sự đồng ý có thể dẫn đến tình trạng mất mát, thiếu nhất quán trong các dữ liệu quan trọng mà doanh nghiệp cần để thực hiện chức năng quản lý nhân sự cơ bản, bao gồm thông tin về lương, bảo hiểm, phúc lợi và các yếu tố khác liên quan đến đời sống nhân viên. Điều này ảnh hưởng đến khả năng doanh nghiệp thực hiện các nghĩa vụ về thanh toán đúng hạn, dễ gây ra căng thẳng và bất mãn cho nhân viên. Bên cạnh đó, việc quản lý các yêu cầu rút lại sự đồng ý và xử lý dữ liệu liên quan có thể tiêu tốn tài nguyên đáng kể. Doanh nghiệp thường bị phát sinh chi phí khi phải đầu tư vào các công nghệ và quy trình mới để bảo đảm rằng họ quản lý hiệu quả DLCN của nhân viên. Mặt khác, việc không thể xử lý hiệu quả các yêu cầu rút lại sự đồng ý có thể ảnh hưởng đến hình ảnh doanh nghiệp trong mắt công chúng. Nếu nhân viên cảm thấy quyền lợi của họ không được tôn trọng, họ dễ bất mãn, giảm động lực và hiệu suất công việc, thậm chí có thể rời bỏ doanh nghiệp. Điều đáng nói là những thông tin tiêu cực về việc xử lý DLCN có thể lan truyền nhanh chóng, gây tổn hại đến uy tín của doanh nghiệp.

Để bảo đảm tuân thủ quy định trong Luật Bảo vệ DLCN và nâng cao kiến thức về bảo vệ DLCN, doanh nghiệp cần thực hiện các biện pháp cụ thể như sau:

Trước hết, doanh nghiệp cần xây dựng quy trình đồng thuận rõ ràng. Việc này không chỉ giúp tạo ra tài liệu chứng minh hợp lệ mà còn bảo đảm rằng người lao động hiểu rõ về quyền lợi và nghĩa vụ của họ liên quan đến DLCN.

Thứ hai, thực hiện đánh giá tác động bảo mật dữ liệu. Đánh giá này giúp doanh nghiệp nhận diện các rủi ro liên quan đến việc xử lý dữ liệu và đề xuất các biện pháp cần thiết để giảm thiểu. Điều này cũng tạo điều kiện cho việc điều chỉnh quy trình xử lý dữ liệu khi có sự thay đổi từ người lao động.

Thứ ba, tổ chức đào tạo và thông báo cho nhân viên. Doanh nghiệp cần tổ chức các buổi đào tạo để giải thích về quyền rút lại sự đồng ý và các quy trình liên quan. Sự minh bạch trong giao tiếp sẽ giúp xây dựng niềm tin giữa doanh nghiệp và người lao động.

Thứ tư, xây dựng hệ thống quản lý dữ liệu hiệu quả. Một hệ thống quản lý dữ liệu hiện đại sẽ giúp doanh nghiệp theo dõi và kiểm soát việc thu thập, xử lý và lưu trữ DLCN một cách dễ dàng. Doanh nghiệp cần đầu tư vào các công nghệ hiện đại nhằm xử lý dữ liệu an toàn và hợp pháp.

Thứ năm, doanh nghiệp cần bảo đảm đầy đủ điều kiện về nhân sự cho việc bảo vệ DLCN. Cụ thể, tổ chức bảo vệ DLCN cần có ít nhất một chuyên gia có chứng nhận đủ điều kiện về năng lực công nghệ hoặc pháp lý trong lĩnh vực bảo vệ DLCN. Đây là yêu cầu cao hơn so với Nghị định số 13/2023/NĐ-CP và đòi hỏi doanh nghiệp phải có nguồn nhân lực đáp ứng các tiêu chuẩn này để có thể thực hiện hiệu quả nhiệm vụ bảo vệ dữ liệu.

Như vậy, Luật Bảo vệ DLCN đang mở ra một hướng đi mới trong việc bảo vệ quyền lợi của người lao động tại Việt Nam. Tuy nhiên, để thực hiện thành công, doanh nghiệp cần chuẩn bị tốt về mặt pháp lý và xây dựng các quy trình quản lý dữ liệu hiệu quả. Bằng cách thực hiện các giải pháp nêu trên, doanh nghiệp không chỉ tuân thủ pháp luật mà còn góp phần xây dựng một môi trường làm việc an toàn, minh bạch, tạo dựng được lòng tin để phát triển bền vững.

Từ thực trạng pháp luật trong nước, đối chiếu với các quy định trong pháp luật của châu Âu, có thể gợi mở một số giải pháp nhằm hoàn thiện pháp luật về quyền được bảo vệ DLCN ở Việt Nam như sau:

Thứ nhất, hướng dẫn triển khai và áp dụng hiệu quả Luật Bảo vệ DLCN. Trước bối cảnh Cách mạng công nghiệp 4.0, ở châu Âu đã ban hành văn bản pháp luật riêng bảo vệ quyền về sự riêng tư, nhất là bảo vệ DLCN. Trong khi đó, quy định bảo vệ quyền về DLCN ở Việt Nam hiện vẫn nằm rải rác ở nhiều văn bản pháp luật khác nhau, dẫn đến tình trạng vừa chồng chéo, vừa thiếu thống nhất và khó khăn trong việc áp dụng pháp luật. Vì thế, áp dụng Luật Bảo vệ DLCN cần sớm được triển khai đồng bộ trong thực tiễn cuộc sống và thực hiện đầy đủ các khái niệm, nguyên tắc, thể chế và thiết chế bảo vệ dữ liệu riêng tư của con người. Luật Bảo vệ DLCN cũng cần quy định rõ những giới hạn của quyền, những điều kiện và hạn chế đặt ra với việc khai thác, sử dụng, phổ biến DLCN, quy định về cơ quan chuyên trách theo dõi, giám sát, giải quyết các khiếu nại, tố cáo về quyền này trên thực tế.

Thứ hai, sửa đổi, bổ sung các quy định về bảo mật thông tin/dữ liệu trong các luật chuyên ngành, như Luật Công nghệ thông tin, Luật An toàn thông tin mạng, Luật An ninh mạng,… Các quy định về vấn đề này trong pháp luật của châu Âu và Hoa Kỳ rất cụ thể và chặt chẽ, trong khi các văn bản pháp luật của Việt Nam mới chỉ dừng lại ở mức quy định nguyên tắc chung nên hiệu quả áp dụng trong thực tế thấp. Vì vậy, việc sửa đổi, bổ sung các quy định về vấn đề này là rất cần thiết.

Thứ ba, sửa đổi, bổ sung các quy định về chế tài với những hành vi vi phạm. Chế tài xử phạt vi phạm quyền về sự riêng tư nói chung và dữ liệu riêng tư nói riêng tại Việt Nam hiện quá thấp so với chế tài ở châu Âu và các quốc gia khác, chưa tương xứng với mức độ nghiêm trọng của hành vi vi phạm, chưa bảo đảm tính răn đe. Vì vậy, Nhà nước cần sửa đổi các văn bản pháp luật có liên quan để quy định những hình thức chế tài nghiêm khắc hơn, nhất là về hành chính và dân sự, với các cơ quan, tổ chức, doanh nghiệp và cá nhân vi phạm quyền về dữ liệu riêng tư.

Thứ tư, bảo đảm nghĩa vụ tôn trọng, bảo vệ và thúc đẩy quyền về sự riêng tư. Quyền về sự riêng tư là quyền con người cơ bản, có ý nghĩa rất quan trọng, được công nhận và bảo vệ bởi luật nhân quyền quốc tế và pháp luật của hầu hết quốc gia. Sự phát triển của công nghệ đã cải thiện đáng kể đời sống của con người, song cũng là một nguy cơ lớn với quyền về sự riêng tư, do công nghệ có thể trở thành công cụ để nhiều chủ thể, trong đó có nhà nước, giám sát và can thiệp và đời sống riêng tư của con người. Ở Việt Nam, quyền riêng tư được bảo vệ bởi Hiến pháp và nhiều luật chuyên ngành, song trong thực tế, sự bảo vệ của Nhà nước với quyền này còn thiếu hiệu quả. Những nỗ lực đã được thực hiện chưa tương xứng với tầm quan trọng của nó. Vì vậy, trong thời gian tới, Nhà nước cần tiếp tục xây dựng, hoàn thiện hệ thống pháp luật để thúc đẩy và bảo vệ hiệu quả hơn quyền về sự riêng tư nói chung, quyền về DLCN nói riêng theo đúng tinh thần của Hiến pháp năm 2013 và các điều ước quốc tế mà Việt Nam đã tham gia./.

---------------------

(1) WhatsApp fined a record 225 mln euro by Ireland over privacy, https://www.reuters.com/technology/irish-data-privacy-watchdog-fines-whatsapp-225-mln-euros-2021-09-02/
(2) General Data Protection Regulation (GDPR), https://uk.practicallaw.thomsonreuters.com/Glossary/UKPracticalLaw/I98a4610241d111e89bf199c0ee06c731?transitionType=Default&contextData=%28sc.Default%29
(3) EU General Data Protection Regulation, https://gdpr.eu/what-is-gdpr/
(4) What is considered personal data under the EU GDPR?, https://gdpr.eu/eu-gdpr-personal-data/