Chính phủ vừa ban hành Nghị định 13 quy định về bảo vệ dữ liệu cá nhân, sẽ chính thức có hiệu lực vào ngày 1-7 tới đây. Bảo vệ dữ liệu cá nhân vốn là một nhu cầu cấp thiết trong công cuộc chuyển đổi số quốc gia, giờ đây hy vọng nghị định này sẽ trở thành khung pháp lý điều chỉnh kịp thời các quyền và nghĩa vụ trong xử lý và bảo vệ dữ liệu cá nhân.
Nghị định 13 đã ghi nhận 11 quyền của chủ thể dữ liệu để bảo vệ cá nhân khỏi các hành vi xâm phạm trái phép, đồng thời ngăn chặn việc xử lý dữ liệu của tổ chức, doanh nghiệp vượt quá phạm vi và mục đích ban đầu. Các nhóm quyền của chủ thể dữ liệu có thể tạm chia từ nhóm quyền được biết, đồng ý, truy cập, cung cấp cho đến các nhóm quyền nhằm hạn chế xử lý dữ liệu như quyền rút lại sự đồng ý, quyền xóa, hạn chế, phản đối xử lý dữ liệu và các quyền còn lại như quyền khiếu nại, tố cáo, khởi kiện, đến yêu cầu bồi thường thiệt hại…
Trong đó, quyền đồng ý là một trong những quyền tối cơ bản bắt nguồn từ nguyên tắc đồng thuận (consent), nghĩa là cá nhân phải đồng ý thì bên kiểm soát và xử lý dữ liệu mới được phép tiếp cận và xử lý dữ liệu. Tuy nhiên, trước khi “ấn nút” vào ô đồng ý, có lẽ cá nhân cần phải biết về mục đích, hoạt động xử lý dữ liệu của mình như thế nào thì mới dám “trót trao” dữ liệu.
Hiện nay, dữ liệu được xử lý thông qua nhiều hoạt động khác nhau. Các hoạt động xử lý dữ liệu có thể ở mức độ từ cơ bản đến phức tạp. Lượng dữ liệu cá nhân càng lớn và đa dạng càng cần nhiều nguồn lực xử lý hơn, kéo theo quy trình xử lý tăng tính phức tạp.
Do đó, phần lớn các tổ chức, doanh nghiệp đều sử dụng các phương tiện điện tử, công nghệ để nhằm tối ưu hóa quá trình xử lý. Gần hai mươi hoạt động xử lý dữ liệu cá nhân được liệt kê tại khoản 7 điều 2 của Nghị định 13 từ “thu thập, ghi, phân tích,…” cho đến “truy xuất, thu hồi, mã hóa, giải mã, chuyển giao,…”.
Nghị định 13 trao quyền cho cá nhân được biết về hoạt động xử lý dữ liệu của mình. Nhưng biết tới đâu và biết ở mức độ nào?
Có thể khẳng định rằng mỗi một hoạt động đều có những đặc điểm và mục đích riêng tùy vào từng lĩnh vực, ngành nghề của tổ chức. Ví dụ, hoạt động sao chép và hoạt động chuyển giao dữ liệu cá nhân của một doanh nghiệp hướng đến hai mục đích khác nhau.
Một bên là doanh nghiệp tạo ra một bản sao có thể nhằm lưu trữ và tăng tính bảo mật trong hệ thống cơ sở dữ liệu, bên còn lại là chuyển dữ liệu, chia sẻ cho bên khác để tiếp tục thực hiện các công việc xử lý tiếp theo. Và dĩ nhiên rằng không phải mọi chủ thể dữ liệu đều hiểu tường minh về các hoạt động xử lý này vì quy trình xử lý đòi hỏi những kỹ thuật chuyên môn nhất định.
Nghị định 13 trao quyền cho cá nhân được biết về hoạt động xử lý dữ liệu của mình. Nhưng biết tới đâu và biết ở mức độ nào? Quyền đồng ý được áp dụng cho tất cả các hoạt động trong quy trình xử lý dữ liệu. Vì thế, cần hiểu ở mức cơ bản những hoạt động xử lý làm nền tảng để cá nhân “thể hiện rõ ràng, tự nguyện, khẳng định” việc cho phép xử lý dữ liệu của mình.
Khi chấp nhận đồng ý, chưa hẳn sự đồng ý đó là có hiệu lực. Điều 11 Nghị định 13 đã bảo vệ chủ thể dữ liệu khỏi các hành vi lừa dối, cưỡng ép thỏa thuận đồng ý xử lý dữ liệu. Ít nhất là chủ thể dữ liệu phải biết được mục đích xử lý, ai được phép xử lý, và xử lý những dữ liệu gì.
Vì vậy, sự đồng ý chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ về loại dữ liệu (nhóm dữ liệu cơ bản hay nhạy cảm?), mục đích xử lý (nhằm đánh giá, phân tích, dự đoán xu hướng, thói quen, sở thích,…), thông tin của tổ chức được xử lý dữ liệu, cuối cùng là quyền và nghĩa vụ của chủ thể dữ liệu.
Mặt khác, cá nhân có thể đột xuất yêu cầu hạn chế, phản đối xử lý dữ liệu của họ. Theo Nghị định 13 thì trong vòng 72 giờ sau khi có yêu cầu, các tổ chức, doanh nghiệp phải thực hiện việc hạn chế xử lý dữ liệu này. Điều này sẽ gây ra một số khó khăn cho tổ chức, doanh nghiệp nếu quyền yêu cầu của cá nhân là không thực sự cần thiết.
Cá nhân nếu tham dự sâu vào quy trình xử lý dữ liệu đôi khi gây ra các điểm tắc nghẽn trong dòng chảy dữ liệu, gây thêm áp lực và gánh nặng chi phí cho tổ chức, doanh nghiệp. Như vậy, để tránh xuất hiện các tình huống “dở khóc dở cười” có thể xảy ra, doanh nghiệp và cá nhân cần có những bước đầu minh bạch về các hoạt động xử lý dữ liệu và mô tả cơ bản chúng là gì trong bản hợp đồng hoặc thỏa thuận.
Như vậy, không chỉ các tổ chức, doanh nghiệp xử lý dữ liệu, cá nhân mới chính là người đầu tiên hiểu rõ về những dữ liệu của mình bởi ở tình thế này, cá nhân được xem là nắm quyền quyết định có cho phép xử lý dữ liệu hay không.
Phổ biến rộng rãi thông tin về các quyền
Một khi đã tự nguyện, biết rõ và đồng ý cho phép xử lý dữ liệu cá nhân thì chủ thể dữ liệu phải cung cấp đầy đủ, chính xác những dữ liệu đó. Ngoài ra, để hiểu biết tốt về bảo vệ dữ liệu cá nhân, mỗi người cần phải tham gia hoạt động tuyên truyền, tham gia các buổi hội thảo, chương trình phổ biến về kỹ năng bảo vệ dữ liệu cá nhân. Đây chính là những nghĩa vụ của chủ thể dữ liệu được quy định tại điều 10 của Nghị định 13.
Trước thềm nghị định mới, hầu như chưa có một chương trình chính thức về phổ biến kỹ năng bảo vệ dữ liệu cá nhân ở quy mô lớn. Tại cộng đồng các nước thuộc khối Liên minh châu Âu (EU), nhiều video, hình ảnh được đăng tải để phổ biến các nội dung cơ bản của Quy định chung về bảo mật thông tin (GDPR) trên các phương tiện truyền thông của Nghị viện châu Âu.
Ngoài ra, nhiều ấn phẩm được phát hành bởi Ủy ban bảo vệ dữ liệu của châu Âu (EDPB) hướng dẫn các điều khoản của GDPR, mới đây là ấn phẩm phát hành ngày 28-3-2023 để hướng dẫn về thông báo vi phạm dữ liệu cá nhân theo quy định của GDPR đến các đối tượng trực tiếp xử lý dữ liệu cá nhân như cơ quan, tổ chức, doanh nghiệp và đối tượng là chủ thể dữ liệu.
Ở thời điểm hiện tại, chia sẻ kỹ năng bảo vệ dữ liệu cá nhân chưa được chú trọng nhiều, chủ yếu chỉ là những biện pháp tự bảo vệ thủ công như: không truy cập vào một liên kết lạ, sử dụng mật khẩu mạnh, tra cứu số điện thoại chính chủ, không trả lời các tin nhắn từ người lạ, không chia sẻ dữ liệu cho một bên thứ ba mà mình chưa cảm thấy tin tưởng.
Tuy nhiên, việc tuyên truyền, phổ biến trong tương lai còn cần nhiều hơn như vậy, đó là phổ biến cho cá nhân biết về sự tồn tại 11 quyền của chủ thể dữ liệu. Các cơ quan chuyên trách có thể học hỏi cách mà EDPB đã làm là phát hành các ấn phẩm hướng dẫn, tổ chức các hoạt động tuyên truyền, trong đó nên bao gồm các nội dung trọng yếu:
(1) Các quyền của chủ thể dữ liệu
(2) Các trường hợp mà quyền của chủ thể dữ liệu bị hạn chế
(3) Kiến thức cơ bản về các hoạt động xử lý dữ liệu cá nhân
(4) Nếu phát hiện dữ liệu của mình bị xâm phạm, mua bán trái phép, xử lý trái mục đích thỏa thuận ban đầu, chủ thể dữ liệu cần phải biết đến các quyền như quyền hạn chế xử lý dữ liệu, quyền phản đối, quyền khiếu nại, tố cáo, khởi kiện và quyền yêu cầu bồi thường thiệt hại.
Cuối cùng, cần sớm thiết lập hệ thống cơ sở dữ liệu trực tuyến hỗ trợ cá nhân, tổ chức, doanh nghiệp tiếp cận các vấn đề liên quan đến bảo vệ dữ liệu cá nhân. Trước “giờ G” của Nghị định 13, mọi thứ phải sẵn sàng./.
TBKTSG