Bùi Công Thành (James)
Luật Sư Điều Hành
Nguyễn Thị Phong Lan
Trưởng phòng Tư vấn Pháp luật Doanh nghiệp
Khi quá trình số hóa diễn ra mạnh mẽ, nhu cầu về bảo vệ dữ liệu cá nhân một cách toàn diện đã trở thành ưu tiên hàng đầu đối với các hệ thống pháp luật trên toàn thế giới. Các khu vực trên thế giới, chẳng hạn như Liên minh Châu Âu (EU) hoặc Việt Nam, đã đặt ra các tiêu chuẩn tương tự để bảo vệ dữ liệu cá nhân bên cạnh một số khác biệt cụ thể.
Liên minh Châu Âu (EU) thiết lập một trong những tiêu chuẩn cao nhất toàn cầu thông qua Quy định chung về bảo vệ dữ liệu (GDPR), điều chỉnh việc xử lý dữ liệu cá nhân trong và ngoài EU. Tại Việt Nam, Nghị định số 13/2023/NĐ-CP (Nghị định 13) nêu rõ cách tiếp cận của quốc gia về bảo vệ dữ liệu cá nhân. Mặc dù cả GDPR và Nghị định của Việt Nam đều có chung các nguyên tắc, chẳng hạn như đảm bảo quyền của chủ thể dữ liệu và bảo mật thông tin cá nhân, nhưng có những khác biệt chính trong việc áp dụng, phạm vi và thực thi của các quy định này.
1. Những điểm tương đồng chính
1.1. Xử lý dữ liệu dựa trên sự đồng ý của chủ thể dữ liệu
Theo Điều 6 và 7 của GDPR của EU, việc xử lý dữ liệu cá nhân phải dựa trên cơ sở pháp lý, trong đó sự đồng ý là cơ sở chính. Việc xin phép cá nhân trước khi xử lý dữ liệu cá nhân của họ là bắt buộc. Sự đồng ý phải cụ thể, được thông báo, tự nguyện và có thể thu hồi.
Nghị định 13 của Việt Nam có sự tương đồng chặt chẽ với GDPR trong việc yêu cầu sự đồng ý rõ ràng và được thông báo trước. Thực tế, sự đồng ý của chủ thể dữ liệu là điều kiện cần thiết cho việc thu thập và xử lý dữ liệu cá nhân, với việc các chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào (Điều 11).
1.2. Quyền của chủ thể dữ liệu
GDPR cung cấp một số quyền cho chủ thể dữ liệu như:
- Quyền truy cập (Điều 15 GDPR): chủ thể dữ liệu có quyền truy cập dữ liệu của họ và được biết cách thức dữ liệu đang được xử lý;
- Quyền được chỉnh sửa (Điều 16 GDPR): chủ thể dữ liệu có thể yêu cầu sửa chữa dữ liệu không chính xác;
- Quyền được xóa hoặc quyền được lãng quên (Điều 17 GDPR): chủ thể dữ liệu có thể yêu cầu xóa dữ liệu cá nhân của họ;
- Quyền chuyển dữ liệu (Điều 20 GDPR): chủ thể dữ liệu có thể yêu cầu chuyển dữ liệu của họ giữa các dịch vụ khác nhau.
Nghị định 13 của Việt Nam cũng trao các quyền tương tự như:
- Quyền truy cập dữ liệu cá nhân của họ (Điều 13);
- Quyền yêu cầu chỉnh sửa những điểm không chính xác (Điều 15);
- Quyền rút lại sự đồng ý cho việc xử lý (Điều 15);
- Quyền yêu cầu xóa dữ liệu cá nhân của họ nếu không còn cần thiết cho các mục đích ban đầu (Điều 16);
1.3. Nghĩa vụ bảo mật dữ liệu
Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, được hiểu là bất kỳ sự cố bảo mật nào dẫn đến việc vô tình hoặc phá hủy bất hợp pháp, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào dữ liệu cá nhân. Theo Điều 33 của GDPR của EU, bên kiểm soát dữ liệu phải thông báo cho các cơ quan giám sát về bất kỳ vi phạm dữ liệu nào trong vòng 72 giờ. Thực tế, tổ chức phải nhanh chóng thông báo cho cơ quan giám sát có liên quan. Nếu vi phạm gây rủi ro cao đối với quyền và tự do của cá nhân và rủi ro chưa được giải quyết, các cá nhân bị ảnh hưởng cũng phải được thông báo mà không được chậm trễ.
Nghị định 13 của Việt Nam cũng tương tự như GDPR, các tổ chức phải báo cáo vi phạm cho Bộ Công an (MPS) và thông báo cho các cá nhân bị ảnh hưởng (Điều 23).
2. Những điểm khác biệt chính
2.1. Phân loại dữ liệu cá nhân
Theo quan niệm của EU, dữ liệu cá nhân, theo bản chất của nó, đặc biệt nhạy cảm liên quan đến các quyền và tự do cơ bản cần được bảo vệ đặc biệt vì bối cảnh xử lý của nó có thể tạo ra rủi ro đáng kể đối với các quyền và tự do cơ bản. Không có phân loại rõ ràng về dữ liệu cá nhân.
Trong khi đó, theo quan niệm của Việt Nam, dữ liệu cá nhân được phân loại thành dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm.
2.2. Phạm vi áp dụng
GDPR là một quy định toàn diện và có phạm vi rộng, áp dụng cho các tổ chức xử lý dữ liệu cá nhân của công dân EU, bất kể vị trí địa lý của họ (Điều 3 GDPR). Điều này có nghĩa là các công ty bên ngoài EU, bao gồm cả Việt Nam, phải tuân thủ nếu họ xử lý dữ liệu từ công dân EU.
Ngược lại, Nghị định của Việt Nam tập trung vào các doanh nghiệp hoạt động trong nước nhằm nhấn mạnh an ninh mạng và lưu trữ dữ liệu tại chỗ vì mục đích an ninh quốc gia, với phạm vi hẹp hơn so với GDPR.
2.3. Lưu trữ dữ liệu
Quy định chung về bảo vệ dữ liệu (GDPR) cho phép chuyển dữ liệu xuyên biên giới đến các quốc gia ngoài Liên minh Châu Âu, với điều kiện phải có các biện pháp bảo vệ thích hợp (Điều 45 GDPR).
Trong khi đó, Nghị định 13 của Việt Nam yêu cầu các doanh nghiệp lưu trữ một số dữ liệu cá nhân nhất định tại địa phương, đặc biệt là dữ liệu của công dân Việt Nam trong thời gian tối thiểu 24 tháng. Khi chuyển dữ liệu cá nhân ra nước ngoài, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải được lập và nộp cho Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.
2.4. Thực thi và xử phạt
Quy định GDPR áp đặt các hình phạt nghiêm ngặt đối với việc không tuân thủ, với mức phạt lên tới 20 triệu euro hoặc 4% tổng doanh thu hàng năm toàn cầu (Điều 83 GDPR).
Nghị định 13 của Việt Nam tập trung nhiều hơn vào lợi ích của nhà nước và an ninh quốc gia, điều này đôi khi có thể hạn chế việc bảo vệ quyền riêng tư cá nhân. Tuy nhiên, trong tương lai gần, các quy định dự thảo về hình phạt đối với vi phạm quy định bảo vệ dữ liệu cá nhân sẽ có hiệu lực.
2.5. Cơ quan giám sát
Quy định GDPR của Liên minh Châu Âu (EU) thiết lập các Cơ quan Bảo vệ Dữ liệu độc lập (DPAs) tại mỗi quốc gia thành viên, dưới sự giám sát của Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) (các Điều 51 đến 59 của GDPR). Các cơ quan này được trao quyền điều tra các vi phạm và áp dụng biện pháp xử phạt.
Việt Nam, hiện tại, không có cơ quan bảo vệ dữ liệu độc lập. Bộ Công an chịu trách nhiệm giám sát các vấn đề liên quan đến bảo vệ dữ liệu, chủ yếu thông qua góc nhìn an ninh mạng.
3. Kết luận
Do đó, mặc dù cả Việt Nam và EU đều nhận thức được tầm quan trọng của việc bảo vệ dữ liệu cá nhân, nhưng GDPR cung cấp một khuôn khổ toàn diện hơn và tập trung vào quyền con người, với phạm vi áp dụng lãnh thổ rộng và cơ chế thực thi nghiêm ngặt. Nghị định 13 của Việt Nam, mặc dù cung cấp sự bảo vệ cơ bản, vẫn còn hạn chế về phạm vi và ưu tiên an ninh quốc gia. Các công ty hoạt động ở cả hai khu vực phải đối mặt với những khác biệt này để đảm bảo tuân thủ, đặc biệt khi xử lý các hoạt động chuyển dữ liệu xuyên biên giới hoặc hoạt động trong các lĩnh vực có liên quan đến vấn đề an ninh quốc gia.
Tại công ty Luật TNHH PLF
Bài viết được căn cứ theo pháp luật hiện hành tại thời điểm được ghi nhận như trên và có thể không còn phù hợp tại thời điểm người đọc tiếp cận bài viết này do pháp luật áp dụng đã có sự thay đổi và trường hợp cụ thể mà người đọc muốn áp dụng. Do đó bài viết chỉ có giá trị tham khảo.
