Kinh nghiệm thực tế và giải pháp tuân thủ nghị định bảo vệ dữ liệu cá nhân

Sự kiện Nổi bật VSEC - BLOG

Ngày 12 tháng 8 vừa qua, tại chương trình CIO Leadership, chủ đề “Hành trình tuân thủ nghị định bảo vệ dữ liệu cá nhân”, do cộng đồng CIO Vietnam phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam (VSEC) tổ chức đã thu hút hơn 80 Anh, Chị là đại diện các doanh nghiệp, tổ chức đã tới cùng gặp gỡ, giao lưu, thảo luận cùng với các diễn giả khách mời.

Trong bối cảnh mối quan ngại về bảo vệ dữ liệu cá nhân ngày càng tăng cao, việc Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân ra đời nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức. Nghị định 13 đã đặt dữ liệu của bản thân mỗi người lên một vị trí rất khác so với trước đây. 

Sự kiện “Hành trình tuân thủ Nghị định bảo vệ dữ liệu các nhân” do VSEC và Cộng đồng CIO tổ chức thu hút đông đảo sự tham gia của mọi người.

1. Nghị định 13/2023/NĐ-CP

Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) sau một thời gian dài chờ đợi. Nghị định 13 có hiệu lực từ ngày 01/7/2023. Cùng với Luật An ninh mạng (Luật số 24/2018/QH14) ngày 12 tháng 6 năm 2018 và văn bản hướng dẫn thi hành đầu tiên là Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022, Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định 13 quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Nội dung chủ yếu: Nghị định 13/2023/NĐ-CP gồm 44 Điều, chia thành 04 chương; cụ thể:

  • Chương I. Những Quy định chung, gồm 08 điều (Điều 1 tới Điều 8), quy định về phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế; hợp tác quốc tế về bảo vệ dữ liệu cá nhân; hành vi bị nghiêm cấm.
  • Chương II. Xử lý dữ liệu cá nhân, gồm 04 mục, 20 điều (từ Điều 9 đến Điều 31), gồm: Mục 1 quy định về quyền và nghĩa vụ của chủ thể dữ liệu. Mục 2 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân. Mục 3 quy định về đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài. Mục 4 quy định về biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
  • Chương III. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 11 điều (từ Điều 32 đến Điều 42), quy định về: Trách nhiệm của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.
  • Chương IV. Điều khoản thi hành, gồm 02 điều (từ Điều 43 đến Điều 44), quy định về: Hiệu lực thi hành; Trách nhiệm thi hành.

2. “An toàn thông tin không phải là thời điểm, mà là cả một quá trình”

Anh Trương Đức Lượng – Co-founder & Chairman Công ty Cổ phần An ninh mạng Việt Nam

Trong phần chia sẻ của mình tại chương trình, anh Trương Đức  Lượng – Chủ tịch HĐQT VSEC đã tập trung vào góc nhìn thực tế và dễ hiểu về việc bảo vệ dữ liệu cá nhân. Anh đã chia sẻ và phân tích  những ví dụ thực tiễn ở cả trên thế giới và Việt Nam về những trường hợp bị phạt do vi phạm về dữ liệu người dùng. Việc vi phạm dữ liệu người dùng không chỉ có 1 cách mà các hình thức vi phạm rất đa dạng. Thông qua những ví dụ này, anh Lượng đã nhấn mạnh tới các nguy cơ tiềm ẩn và tác động tiêu cực mà việc lạm dụng thông tin cá nhân có thể mang lại.

Hiện nay, ngân hàng là lĩnh vực tiên phong trong việc tuân thủ theo Nghị định 13 một cách  triệt để và mạnh mẽ. Còn đối với các ngành khác, tùy thuộc vào mức độ trưởng thành của từng ngành sẽ có mức độ áp dụng việc tuân thủ Nghị định khác nhau. Tại sự kiện anh Lượng cũng đã giải đáp các thắc mắc của một số công ty nước ngoài xoay quanh việc tuân thủ Nghị định 13. Các cơ quan chức năng không cung cấp chứng chỉ tuân thủ Nghị định 13 mà họ sẽ thông qua các biện pháp kiểm tra đối với các doanh nghiệp, tổ chức mà họ nhìn thấy có khả năng xảy ra vi phạm. Để có thể tuân thủ theo Nghị định 13, đại diện VSEC cho biết mọi người có thể áp dụng các framework theo tiêu chuẩn hoặc có thể hợp tác với một nhà cung cấp dịch vụ đạt chứng nhận CREST (cơ quan kiểm định được quốc tế công nhận, nhằm xác thực khả năng, chuyên môn kỹ thuật và chất lượng dịch vụ cho các nhà cung cấp an ninh mạng và cá nhân hoạt động chuyên nghiệp trong lĩnh vực này.)

Anh Lượng cũng nhấn mạnh việc bị phạt khi làm rõ rỉ dữ liệu có thể xảy ra khi bị hacker tấn công trong quá trình dịch chuyển dữ liệu. Điều này có thể xử lý và can thiệp kịp thời bằng biện pháp kỹ thuật. Các phương pháp có thể hỗ trợ phát hiện và giảm thiểu rủi ro chính là đánh giá bảo mật và giám sát ATTT – đây cũng chính là hai dịch vụ chủ lực mà VSEC cung cấp. Bên cạnh đó, việc giám sát thông tin đảm bảo vận hành ATTT cho doanh nghiệp luôn luôn trong trạng thái an toàn nhất. Việc phát hiện lỗ hổng trên hệ thống của mình càng sớm, xử lý càng sớm thì khả năng bị tấn công, rò rỉ dữ liệu sẽ giảm đi rất nhiều, giúp chúng ta đáp ứng việc tuân thủ Nghị định 13.

Các diễn giả giao lưu cùng đại diện các tổ chức, doanh nghiệp

Có thể nói, thông qua chương trình CIO Leadership lần này, các vấn đề các doanh nghiệp, tổ chức đang quan tâm đến bảo vệ dữ liệu cá nhân đã được thảo luận và tìm hiểu chuyên sâu, đồng thời được các khách mời gợi ý đưa ra các biện pháp cần thiết để các doanh nghiệp có thể tuân thủ, áp dụng nghị định bảo vệ dữ liệu cá nhân một cách chủ động và hiệu quả.