Mối liên hệ giữa ESG và Bảo vệ dữ liệu cá nhân trong kỷ nguyên số

ESG (Environmental, Social, and Governance) là bộ tiêu chí đánh giá hoạt động của doanh nghiệp dựa trên ba khía cạnh: môi trường, xã hội và quản trị. Đối với các doanh nghiệp Việt Nam hiện nay, ESG không chỉ là yêu cầu ngày càng phổ biến từ các nhà đầu tư quốc tế mà còn là công cụ giúp doanh nghiệp phát triển bền vững thu hút vốn và quản lý rủi ro hiệu quả. Trong bối cảnh chuyển đổi số mạnh mẽ, tuân thủ ESG còn thể hiện qua việc bảo vệ dữ liệu cá nhân một cách minh bạch và có trách nhiệm – yếu tố ngày càng được coi là nội dung cốt lõi trong trụ cột phát triển bền vững của doanh nghiệp. Việc tuân thủ chính sách dữ liệu cá nhân phù hợp với các quy định pháp luật không chỉ giúp doanh nghiệp hạn chế rủi ro pháp lý mà còn củng cố niềm tin của khách hàng và đối tác, từ đó tạo nền tảng vững chắc cho tăng trưởng dài hạn cho doanh nghiệp. 

1. Mối liên hệ giữa ESG và bảo vệ dữ liệu cá nhân

Khung quản trị doanh nghiệp ESG và bảo vệ dữ liệu cá nhân mang ý nghĩa quan trọng trong việc xây dựng doanh nghiệp bền vững và có trách nhiệm. Đặc biệt, Thông tư 13/2023/TT-BKHĐT do Bộ Kế hoạch và Đầu tư ban hành có quy định việc bảo vệ thông tin, bao gồm dữ liệu cá nhân, là một tiêu chí quan trọng trong việc đánh giá mô hình ESG của doanh nghiệp. Điều này cho thấy, tuân thủ quy định pháp luật về dữ liệu cá nhân không còn là nghĩa vụ hành chính đơn thuần, mà đã trở thành “định hướng” về năng lực quản trị, xây dựng đạo đức doanh nghiệp và đảm bảo tính minh bạch trong quá trình vận hành.  

Việc bảo vệ dữ liệu cá nhân đã được triển khai theo quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực ngày 17/04/2023. Trong đó Nghị định nhấn mạnh về đảm bảo quyền riêng tư của cá nhân và trách nhiệm của doanh nghiệp trong việc xử lý dữ liệu, hoàn toàn phù hợp với định hướng phát triển của ESG. Vì vậy, việc tích hợp bảo vệ dữ liệu vào ESG không chỉ phù hợp với xu hướng phát triển hiện nay mà còn là một công cụ thể thể hiện năng lực kiểm soát nội bộ và tuân thủ quy trình của doanh nghiệp, từ đó giúp doanh nghiệp nâng cao uy tín và tạo lợi thế cạnh tranh trên thị trường toàn cầu trong kỷ nguyên số.

2. Tuân thủ nghĩa vụ bảo vệ dữ liệu cá nhân trong quản trị doanh nghiệp

Để xây dựng môi trường doanh nghiệp minh bạch, ban quản trị, điều hành công ty cần thiết lập một chính sách công bố thông tin hiệu quả, đặc biệt đối với công ty đại chúng và công ty niêm yết, việc công bố thông tin không chỉ là nghĩa vụ pháp lý theo quy định của Luật Chứng khoán và các văn bản hướng dẫn, mà còn là thước đo phản ánh năng lực quản trị và mức độ tin cậy của doanh nghiệp trên thị trường. Tăng cường hoạt động công bố thông tin cũng là một nguyên tắc quan trọng trong Bộ Nguyên tắc Quản trị Công ty theo Thông lệ Tốt nhất được ban hành bởi Ủy Ban Chứng khoán Nhà nước ban hành nhằm cung cấp các hướng dẫn và khuyến nghị về thông lệ tốt nhất trong quản trị công ty dành cho công ty đại chúng và công ty niêm yết. Bên cạnh đó, Thông tư 96/2020/TT-BTC được Bộ Tài chính ban hành nhằm hướng dẫn chế độ công bố thông tin trên thị trường chứng khoán, góp phần định hướng doanh nghiệp quản trị tốt hơn trong hoạt động công bố thông tin.  

Theo Thông tư, một số thông tin cá nhân sau có thể cần phải được cung cấp trong quá trình công bố thông tin của công ty đại chúng, công ty niêm yết: Căn cước công dân, Chứng minh nhân dân, Chứng minh quân nhân, Hộ chiếu còn hiệu lực, địa chỉ liên lạc, địa chỉ thường trú, số điện thoại, số fax, thư điện tử, số tài khoản giao dịch chứng khoán, số tài khoản lưu ký chứng khoán, số tài khoản ngân hàng, mã số giao dịch của nhà đầu tư nước ngoài, tổ chức kinh tế có vốn đầu tư nước ngoài,… Tuy nhiên, các thông tin nêu trên phần lớn là dữ liệu cá nhân nhạy cảm nên việc công bố thông tin cần đảm bảo tuân thủ nguyên tắc về bảo vệ dữ liệu cá nhân nhạy cảm. 

Theo quy định của Nghị định 13/2023/NĐ-CP, các tổ chức cần thực hiện các biện pháp về quản lý, kỹ thuật liên quan tới xử lý dữ liệu cá nhân và một số biện pháp khác theo quy định của pháp luật khi có hoạt động xử lý dữ liệu. Cụ thể, tổ chức cần xây dựng, ban hành các quy định về bảo vệ dữ liệu, trong đó phải làm rõ các nguyên tắc, quy trình xử lý, vai trò và trách nhiệm của từng bộ phận liên quan. Việc này giúp đảm bảo mọi hoạt động liên quan đến dữ liệu cá nhân, từ thu thập, lưu trữ, truy cập, chia sẻ đến chuyển giao, đều có kiểm soát và tuân thủ thống nhất trong toàn bộ hệ thống. Đây là cơ sở để nâng cao tính minh bạch và trách nhiệm giải trình trong quản trị dữ liệu. 

Bên cạnh đó, tổ chức có nghĩa vụ áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân. Chẳng hạn các doanh nghiệp trong lĩnh vực tài chính, y tế hoặc công nghệ, nơi dữ liệu nhạy cảm và khối lượng lớn, cần áp dụng các biện pháp kỹ thuật như mã hóa dữ liệu, phân quyền truy cập, giám sát an ninh mạng và đánh giá định kỳ mức độ hoạt động của công cụ kỹ thuật để hạn chế việc tiết lộ các thông tin không cần thiết và hạn chế rủi ro rò rỉ thông tin. Ngoài ra, kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân cũng là một biện pháp được khuyến khích áp dụng trong bảo vệ dữ liệu. 

Quy định về bảo vệ dữ liệu cá nhân tại Việt Nam hiện nay còn đặt ra trách nhiệm cho doanh nghiệp kiểm soát dữ liệu cá nhân, cụ thể: 

• Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết. 

• Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân. 

• Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định 13. 

• Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp. 

• Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định 13. 

• Chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 

• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. 

3. Giới thiệu dịch vụ bảo vệ dữ liệu cá nhân tại Apolat Legal

Trong bối cảnh các doanh nghiệp ngày càng chú trọng tích hợp ESG vào chiến lược phát triển bền vững, nhiều doanh nghiệp mong muốn tuân thủ các thông lệ quốc tế tốt nhất về ESG, nhưng đồng thời phải đảm bảo phù hợp với quy định về bảo vệ dữ liệu cá nhân. Điều này tạo ra không ít lúng túng trong quá trình triển khai thực tế, từ việc hiểu đúng quy định, thiết kế quy trình nội bộ đến đánh giá rủi ro và hoàn thiện hồ sơ pháp lý. 

Apolat Legal hiểu rõ những trăn trở này và luôn sẵn sàng đồng hành cùng doanh nghiệp thông qua các dịch vụ pháp lý chuyên sâu nhằm hỗ trợ doanh nghiệp thực hiện tốt hơn cả mục tiêu tuân thủ và chiến lược ESG. Với nền tảng chuyên môn vững chắc về pháp luật doanh nghiệp, công nghệ, an toàn thông tin và bảo mật dữ liệu, cùng kinh nghiệm thực tiễn trong nhiều ngành nghề, đội ngũ luật sư của Apolat Legal sẽ cung cấp các giải pháp toàn diện như: 

• Tư vấn về các quy định về bảo vệ dữ liệu cá nhân; 

• Đánh giá mức độ tuân thủ của các tổ chức, cá nhân; 

• Xây dựng và triển khai các kế hoạch, biện pháp tuân thủ phù hợp với điều kiện cụ thể của từng tổ chức, cá nhân; 

• Hỗ trợ tổ chức, cá nhân giải quyết các vấn đề liên quan đến bảo mật dữ liệu cá nhân; 

• Đào tạo nội bộ về bảo vệ dữ liệu cá nhân cho nhân viên của doanh nghiệp; 

• Thực hiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; 

• Thông báo hoạt động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài.  

Trong suốt quá trình tư vấn, Apolat Legal sẽ luôn đồng hành và tư vấn cho Khách hàng các rủi ro pháp lý có thể phát sinh trong các hoạt động liên quan đến dữ liệu cá nhân. Bảo vệ và nâng cao lợi ích của khách hàng luôn là mục tiêu, sứ mệnh hàng đầu của Apolat Legal. 

Bài viết liên quan

1. Yêu cầu mới về Chuyên gia bảo vệ dữ liệu cá nhân trong dự thảo Luật Bảo vệ dữ liệu cá nhân của Việt Nam
2. Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân theo dự thảo luật bảo vệ dữ liệu cá nhân
3. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Chia sẻ: