Áp dụng luật bảo vệ dữ liệu cá nhân cho doanh nghiệp FDI

Các doanh nghiệp có vốn đầu tư nước ngoài (FDI) với quy mô đa quốc gia có thể gặp nhiều thách thức khi phải tuân thủ các quy định pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam. Điều này càng đặc biệt khi có sự khác biệt giữa pháp luật Việt Nam và chính sách tập đoàn toàn cầu.

Tại Việt Nam, Nghị định 13/2023/NĐ-CP (“Nghị định 13”) hiện là văn bản pháp lý duy nhất quy định về bảo vệ dữ liệu cá nhân. Các quy định này khá mới và khiến các doanh nghiệp, đặc biệt là doanh nghiệp FDI gặp nhiều băn khoăn khi áp dụng. Với quy mô đa quốc gia, doanh nghiệp FDI tại Việt Nam thường chịu tác động của các chính sách chung của tập đoàn. Nói cách khác, bị ảnh hưởng gián tiếp hoặc trực tiếp bởi các quy định của pháp luật nơi tập đoàn có trụ sở.

Liệu việc áp dụng các quy định của Nghị định 13 có gây ra xung đột với chính sách chung của tập đoàn và yêu cầu pháp luật ở nơi đặt trụ sở chính của công ty mẹ hay không? Với việc phân tích một số nội dung của Nghị định 13, PLF hy vọng giúp doanh nghiệp FDI giải đáp phần nào các thắc mắc của mình.

1. Khi nào doanh nghiệp FDI được xác định là đối tượng áp dụng của Nghị định 13? 

Doanh nghiệp FDI chỉ được xem là đối tượng phải áp dụng và tuân thủ Nghị định 13 khi: 

1. có một hoặc các hoạt động xử lý dữ liệu cá nhân tại Việt Nam; hoặc 
2. liên quan trực tiếp hoặc gián tiếp đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. 

Như vậy, Nghị định 13 mang tính chất lãnh thổ khá rõ ràng, tức là gần như chỉ điều chỉnh các hoạt động xử lý dữ liệu cá nhân trong phạm vi lãnh thổ Việt Nam. Trong đó, dữ liệu cá nhân bao gồm:

• Các dữ liệu hay thông tin cơ bản về tên tuổi, ngày tháng năm sinh, giới tính, quốc tịch,…; và
• Hình ảnh của cá nhân.

Bên cạnh đó, các dữ liệu (thông tin) nhạy cảm của cá nhân gắn liền với quyền riêng tư của cá nhân khi bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân. Điển hình như tình trạng sức khoẻ, đời tư, quan điểm chính trị, tôn giáo…cũng có thể được xử lý.

Thực tế, việc doanh nghiệp FDI thu thập dữ liệu cá nhân của công dân Việt Nam và công dân nước ngoài tại Việt Nam là điều khó tránh khỏi. Ví dụ như, giao kết hợp đồng lao động với cá nhân tại Việt Nam hay cung cấp dịch vụ cho cá nhân tại Việt Nam. Các hoạt động này đều chứa đựng việc xử lý dữ liệu cá nhân mà hành vi phổ biến nhất là thu thập và lưu trữ thông tin của cá nhân. Trong một số trường hợp, doanh nghiệp FDI có thể chuyển thông tin có liên quan đến dữ liệu cá nhân về tập đoàn. 

2. Cần làm gì khi doanh nghiệp FDI có xử lý dữ liệu cá nhân tại Việt Nam? 

Như phân tích tại Mục 1, khi doanh nghiệp FDI thực hiện thu thập dữ liệu cá nhân tại Việt Nam thì thuộc đối tượng điều chỉnh của Nghị định 13 và buộc phải tuân thủ theo các quy định của Nghị định này. Dù vậy, việc tuân thủ chỉ áp dụng trong phạm vi lãnh thổ Việt Nam. Do đó, các chính sách tập đoàn nếu có mâu thuẫn với Nghị định 13 thì doanh nghiệp FDI phải ưu tiên áp dụng Nghị định 13.

Điều này cũng tương tư việc áp dụng chính sách thuế tương ứng với từng vùng lãnh thổ, quốc gia và sẽ không gây ra nhiều trở ngại với doanh nghiệp FDI. Hơn nữa, các quy định của Nghị định 13 về nguyên tắc cơ bản khá tương đồng với chính sách pháp luật của nhiều khu vực khác như EU, Canada, Nhật Bản,.. cụ thể: 

1. Đảm bảo quyền của chủ thể dữ liệu trong việc đối tượng khác xử lý dữ liệu cá nhân của mình; và 
2. Giao trách nhiệm đảm bảo an toàn dữ liệu cá nhân cho bên xử lý dữ liệu hoặc bên kiểm soát và xử lý dữ liệu. 

Theo đó, doanh nghiệp FDI cần lưu ý: 

1. Phải thông báo xử lý dữ liệu cá nhân một lần và đảm bảo chủ thể dữ liệu đồng ý; 
2. Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo mẫu để lưu trữ và gửi 01 bản chính đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an; 
3. Khi chuyển dữ liệu cá nhân của công dân Việt nam ra nước ngoài (chuyển về tập đoàn hoặc chuyển cho các công ty liên kết ngoài lãnh thổ Việt Nam) thì lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài theo mẫu để lưu trữ và gửi 01 bản chính đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an; 
4. Phải có chuyên gia bảo vệ dữ liệu cá nhân để đảm bảo an toàn các dữ liệu cá nhân thu thập; 
5. Thông báo về tập đoàn hoặc các công ty liên kết về việc áp dụng Nghị định 13 với hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Cạnh đó, đánh giá lại việc tương thích các chính sách của tập đoàn với quy định của Nghị định 13. 

Lưu ý:

Doanh nghiệp FDI lưu trữ dữ liệu cá nhân thu thập tại Việt Nam tối thiểu 24 tháng tại Việt Nam và được lưu trữ tại nước ngoài. Việc lập Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài chỉ áp dụng với dữ liệu cá nhân của công dân Việt Nam. 

3. Kết luận

Như vậy, việc áp dụng chính sách bảo vệ dữ liệu cá nhân phù hợp không chỉ là yêu cầu pháp lý mà còn là một yếu tố ảnh hưởng lớn đến sự thành công bền vững của các công ty FDI tại Việt Nam. Vì vậy, để bảo vệ quyền lợi của chủ thể dữ liệu, tạo dựng uy tín và lòng tin từ khách hàng và đối tác đồng thời giảm thiểu rủi ro và đảm bảo tuân thủ pháp luật, các doanh nghiệp FDI cần chủ động thực hiện và tuân thủ các quy định của pháp luật Việt Nam và thường xuyên rà soát, hợp tác với các chuyên gia pháp lý để điều chỉnh chính sách phù hợp với quy định bảo vệ dữ liệu cá nhân tại Việt Nam. 

Tại công ty TNHH Luật PLF

Luật An ninh mạng Việt Nam dù nguyên tắc khá tương đồng với chính sách pháp luật của nhiều khu vực khác nhưng vẫn tạo ra những khó khăn nhất định cho các công ty kinh doanh tại Việt Nam. PLF sẵn sàng hỗ trợ doanh nghiệp đảm bảo tuân thủ đầy đủ các quy định về lưu trữ dữ liệu và giảm thiểu rủi ro pháp lý.

Tại PLF, chúng tôi còn cung cấp dịch vụ toàn diện cho “Tư Vấn Đầu Tư“, hỗ trợ doanh nghiệp về nhu cầu pháp lý, từ “Thành Lập Công Ty“, “Giấy Phép” đến “Lao Động & Việc Làm”.

Liên hệ công ty Luật PLF qua email inquiry@plf.vn hoặc liên hệ số điện thoại +84913 902 906 hoặc Zalo | Viber | WhatsApp để nhận được 30 phút tư vấn miễn phí ban đầu.

Thời gian viết bài: ngày 17/10/2024.

Công ty TNHH Luật PLF