Trong thời đại số hóa, dữ liệu cá nhân trở thành một loại tài sản quan trọng đối với doanh nghiệp. Tuy nhiên, việc thu thập, lưu trữ và sử dụng dữ liệu cá nhân phải tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân. Vậy dữ liệu cá nhân là gì và doanh nghiệp cần làm gì để thu thập dữ liệu đúng quy định?
1. Dữ liệu cá nhân là gì?
Theo quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một cá nhân cụ thể hoặc giúp xác định một cá nhân cụ thể.
Dữ liệu cá nhân thường được chia thành 2 loại:
Dữ liệu cá nhân cơ bản
Bao gồm các thông tin như:
- Họ và tên
- Ngày tháng năm sinh
- Giới tính
- Quốc tịch
- Số điện thoại
- Địa chỉ
- Số CMND/CCCD/Hộ chiếu
- Thông tin tài khoản ngân hàng
- Thông tin khách hàng, thông tin nhân viên
Dữ liệu cá nhân nhạy cảm
Bao gồm các thông tin như:
- Thông tin tài chính
- Hồ sơ sức khỏe
- Dữ liệu sinh trắc học (vân tay, khuôn mặt…)
- Thông tin vị trí
- Quan điểm chính trị
- Thông tin tôn giáo
- Đời sống riêng tư, đời sống cá nhân
Dữ liệu cá nhân nhạy cảm được bảo vệ ở mức độ cao hơn và doanh nghiệp phải có biện pháp bảo mật chặt chẽ hơn khi xử lý.
2. Doanh nghiệp thu thập dữ liệu cá nhân trong những trường hợp nào?
Hầu hết doanh nghiệp đều đang thu thập dữ liệu cá nhân, ví dụ:
- Thu thập thông tin khách hàng
- Thu thập thông tin nhân viên
- Thu thập email để gửi marketing
- Thu thập thông tin qua website, form liên hệ
- Thu thập thông tin qua ứng dụng, cookies
- Lưu trữ thông tin hợp đồng, hồ sơ khách hàng
Nhiều doanh nghiệp thu thập dữ liệu nhưng chưa có chính sách bảo vệ dữ liệu cá nhân, điều này có thể dẫn đến rủi ro pháp lý và bị xử phạt.
3. Doanh nghiệp cần làm gì để thu thập dữ liệu đúng quy định?
Để thu thập dữ liệu cá nhân đúng quy định pháp luật, doanh nghiệp cần thực hiện một số việc quan trọng sau:
(1) Thông báo về việc thu thập dữ liệu
Trước khi thu thập dữ liệu cá nhân, doanh nghiệp phải thông báo cho chủ thể dữ liệu biết về:
- Mục đích thu thập
- Loại dữ liệu được thu thập
- Cách thức sử dụng dữ liệu
- Thời gian lưu trữ
- Bên thứ ba có thể nhận dữ liệu
- Quyền của chủ thể dữ liệu
Thông báo này thường được thể hiện trong:
- Chính sách bảo mật
- Điều khoản sử dụng
- Thông báo thu thập dữ liệu
- Form đăng ký thông tin
(2) Phải có sự đồng ý của chủ thể dữ liệu
Một nguyên tắc rất quan trọng là:
Doanh nghiệp chỉ được thu thập và sử dụng dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp đặc biệt theo quy định pháp luật.
Sự đồng ý phải:
- Rõ ràng
- Tự nguyện
- Có thể chứng minh được
- Có thể rút lại
Ví dụ:
- Tick vào ô “Tôi đồng ý với Chính sách bảo mật”
- Email xác nhận
- Văn bản đồng ý
- Điều khoản trong hợp đồng
(3) Ban hành Chính sách bảo vệ dữ liệu cá nhân
Doanh nghiệp nên ban hành các tài liệu nội bộ như:
- Chính sách bảo mật thông tin
- Quy chế bảo vệ dữ liệu cá nhân
- Quy trình xử lý dữ liệu cá nhân
- Quy trình xử lý vi phạm dữ liệu
- Quy định phân quyền truy cập dữ liệu
Đây là các tài liệu rất quan trọng khi cơ quan nhà nước kiểm tra tuân thủ.
(4) Bảo mật và quản lý dữ liệu
Doanh nghiệp cần:
- Giới hạn người được truy cập dữ liệu
- Bảo mật hệ thống lưu trữ
- Sao lưu dữ liệu
- Ký NDA với nhân viên xử lý dữ liệu
- Ký thỏa thuận bảo mật với đối tác xử lý dữ liệu
- Có quy trình xử lý khi xảy ra rò rỉ dữ liệu
(5) Một số trường hợp phải đăng ký/đánh giá xử lý dữ liệu
Trong một số trường hợp như:
- Chuyển dữ liệu ra nước ngoài
- Xử lý dữ liệu cá nhân nhạy cảm
- Xử lý dữ liệu với quy mô lớn
Doanh nghiệp có thể phải thực hiện thủ tục đánh giá tác động xử lý dữ liệu cá nhân theo quy định.
4. Rủi ro nếu doanh nghiệp thu thập dữ liệu không đúng quy định
Nếu doanh nghiệp thu thập và sử dụng dữ liệu cá nhân không đúng quy định, có thể gặp các rủi ro:
- Bị xử phạt vi phạm hành chính
- Bị khiếu nại, khởi kiện
- Mất uy tín doanh nghiệp
- Rò rỉ dữ liệu khách hàng
- Trách nhiệm bồi thường thiệt hại
Trong thời đại kinh doanh số, tuân thủ quy định về dữ liệu cá nhân không chỉ là yêu cầu pháp lý mà còn là yếu tố xây dựng uy tín và niềm tin với khách hàng.
5. Kết luận
Dữ liệu cá nhân là thông tin gắn liền với một cá nhân cụ thể và được pháp luật bảo vệ. Doanh nghiệp khi thu thập dữ liệu cá nhân cần thông báo rõ ràng, có sự đồng ý của chủ thể dữ liệu, ban hành chính sách bảo mật, áp dụng biện pháp bảo mật và tuân thủ các quy định về xử lý dữ liệu cá nhân.
Việc tuân thủ đúng quy định không chỉ giúp doanh nghiệp tránh rủi ro pháp lý mà còn thể hiện sự chuyên nghiệp và trách nhiệm trong hoạt động kinh doanh.