Trong bối cảnh phát triển nhanh chóng của nền kinh tế số, việc xử lý và bảo vệ dữ liệu cá nhân đang trở thành một vấn đề cấp thiết được quan tâm hàng đầu. Dự thảo Luật Bảo vệ dữ liệu cá nhân của Việt Nam đã đưa ra những quy định chi tiết về hoạt động xử lý dữ liệu trong các lĩnh vực kinh doanh số, nhằm đảm bảo quyền riêng tư và an toàn thông tin cho người dùng.
Bài viết này sẽ phân tích các quy định quan trọng về bảo vệ dữ liệu cá nhân trong năm lĩnh vực chính của kinh doanh số: dịch vụ tiếp thị, quảng cáo theo hành vi, xử lý dữ liệu lớn, điện toán đám mây và mạng xã hội. Thông qua đó, chúng ta có thể hiểu rõ hơn về khuôn khổ pháp lý và các yêu cầu cụ thể mà các doanh nghiệp cần tuân thủ trong quá trình xử lý dữ liệu cá nhân của người dùng.
1. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị
Bảo vệ dữ liệu cá nhân trong hoạt động tiếp thị số là một vấn đề quan trọng được quy định chặt chẽ trong dự thảo luật bảo vệ dữ liệu cá nhân. Theo đó, các tổ chức và cá nhân kinh doanh dịch vụ tiếp thị chỉ được phép sử dụng dữ liệu cá nhân mà họ thu thập được trực tiếp thông qua hoạt động kinh doanh của chính mình. Điều này nhằm hạn chế việc mua bán, trao đổi dữ liệu cá nhân trái phép giữa các đơn vị.
Một nguyên tắc quan trọng là việc xử lý dữ liệu cá nhân phải được thực hiện trên cơ sở minh bạch và có sự đồng thuận. Cụ thể, khách hàng phải được thông báo đầy đủ và rõ ràng về nội dung, phương thức, hình thức và tần suất của các hoạt động tiếp thị trước khi đồng ý cho phép sử dụng dữ liệu của họ. Đồng thời, mọi hoạt động sử dụng dữ liệu phải tuân thủ nghiêm ngặt các quy định pháp luật về phòng chống thư rác và sim rác.
Để bảo vệ quyền của người dùng, luật quy định rõ chủ thể dữ liệu có quyền yêu cầu ngừng nhận thông tin tiếp thị bất cứ lúc nào, và tổ chức, cá nhân kinh doanh phải thực hiện yêu cầu này ngay lập tức. Ngoài ra, các đơn vị tiếp thị không được phép thuê hoặc ký kết thỏa thuận để một tổ chức khác thực hiện hoặc hỗ trợ hoạt động tiếp thị, nhằm đảm bảo tính minh bạch và trách nhiệm trong việc xử lý dữ liệu cá nhân.
2. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể
Trong lĩnh vực quảng cáo theo hành vi và quảng cáo có mục tiêu cụ thể, việc bảo vệ dữ liệu cá nhân được quy định một cách nghiêm ngặt nhằm đảm bảo quyền riêng tư của người dùng. Nguyên tắc cốt lõi là mọi hoạt động thu thập dữ liệu thông qua việc theo dõi website và ứng dụng đều phải được thực hiện dựa trên sự đồng ý rõ ràng của chủ thể dữ liệu. Điều này thể hiện sự tôn trọng quyền tự quyết của người dùng đối với thông tin cá nhân của họ trong môi trường số.
Để tăng cường tính minh bạch và bảo vệ quyền lợi người dùng, các tổ chức và cá nhân tham gia vào hoạt động kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải xây dựng và triển khai các cơ chế cho phép chủ thể dữ liệu có quyền từ chối việc chia sẻ dữ liệu của họ trong các bối cảnh khác nhau. Quy định này nhằm đảm bảo người dùng luôn có quyền kiểm soát đối với dữ liệu cá nhân của mình và có thể đưa ra quyết định về việc cho phép hoặc từ chối việc sử dụng dữ liệu trong từng trường hợp cụ thể.
Ngoài ra, dự thảo luật cũng quy định rõ phạm vi sử dụng dữ liệu trong hoạt động quảng cáo. Các tổ chức và cá nhân kinh doanh dịch vụ tiếp thị chỉ được phép sử dụng những dữ liệu cá nhân mà họ thu thập được trực tiếp thông qua hoạt động kinh doanh của chính mình để thực hiện các chiến dịch quảng cáo theo hành vi hoặc có mục tiêu cụ thể. g thời đảm bảo tính minh bạch trong việc thu thập và xử lý dữ liệu cá nhân.
3. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
Trong bối cảnh của việc xử lý dữ liệu lớn (Big Data), dự thảo luật bảo vệ dữ liệu cá nhân đã đưa ra các quy định cụ thể về quyền và nghĩa vụ của các bên liên quan. Theo đó, các tổ chức và cá nhân được phép khai thác dữ liệu cá nhân từ các nền tảng nơi chủ thể dữ liệu đã chủ động công khai thông tin của họ mà không có bất kỳ giới hạn nào. Tuy nhiên, việc khai thác này cần được thực hiện một cách có trách nhiệm và tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân.
Để tăng cường tính giám sát và quản lý, dự thảo luật yêu cầu tất cả các công ty đóng vai trò là Bên xử lý dữ liệu cá nhân phải thực hiện đăng ký và chịu sự quản lý của cơ quan chuyên trách về bảo vệ dữ liệu cá nhân.
4. Bảo vệ dữ liệu cá nhân trong điện toán đám mây
Trong lĩnh vực điện toán đám mây, việc bảo vệ dữ liệu cá nhân đòi hỏi một hệ thống các biện pháp kỹ thuật và tổ chức toàn diện để ngăn chặn truy cập trái phép. Khi ký kết hợp đồng với các nhà cung cấp dịch vụ điện toán đám mây, các tổ chức và cá nhân cần đảm bảo một loạt các yêu cầu nghiêm ngặt về bảo vệ dữ liệu.
Các điều khoản hợp đồng phải quy định rõ việc tuân thủ pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, bao gồm việc cung cấp thông tin về bộ phận và nhân sự phụ trách bảo vệ dữ liệu, đặc biệt trong trường hợp xử lý dữ liệu nhạy cảm. Nhà cung cấp dịch vụ chỉ được phép xử lý dữ liệu vì lợi ích của khách hàng, phải có các biện pháp bảo mật cụ thể, và có nghĩa vụ thông báo ngay lập tức về bất kỳ thay đổi nào có thể ảnh hưởng tới dữ liệu cá nhân. Họ cũng phải chịu trách nhiệm bồi thường thiệt hại nếu có, cung cấp báo cáo kiểm toán và xóa dữ liệu theo yêu cầu, chấp hành quy định về việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định của pháp luật.
Đối với các doanh nghiệp cung cấp dịch vụ điện toán đám mây, họ phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân của Việt Nam, đảm bảo các nhà thầu phụ cũng thực hiện đầy đủ các nghĩa vụ bảo vệ dữ liệu, và áp dụng các biện pháp kỹ thuật phù hợp với quy mô và mức độ xử lý dữ liệu của mình. Những yêu cầu này nhằm tạo ra một hệ sinh thái an toàn và đáng tin cậy trong việc xử lý dữ liệu cá nhân trên nền tảng điện toán đám mây.
5. Mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng
Trong lĩnh vực mạng xã hội và dịch vụ truyền thông trực tuyến (OTT), các tổ chức và cá nhân cung cấp dịch vụ phải đảm bảo việc bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc có mặt trên các kho ứng dụng di động trong nước. Họ có nghĩa vụ thông báo rõ ràng về việc thu thập dữ liệu cá nhân khi người dùng cài đặt và sử dụng dịch vụ, đồng thời không được thu thập dữ liệu trái phép hoặc vượt quá phạm vi đã thỏa thuận.
Các nền tảng phải cung cấp các tùy chọn cho phép từ chối thu thập và chia sẻ cookies, cũng như tùy chọn “không theo dõi” đối với hoạt động sử dụng dịch vụ. Đặc biệt, các nền tảng không được phép yêu cầu ảnh căn cước công dân hoặc chứng minh nhân dân làm yếu tố xác thực tài khoản. Khi thực hiện hoạt động quảng cáo và tiếp thị dựa trên dữ liệu cá nhân, các đơn vị phải thông báo cụ thể và rõ ràng bằng văn bản về việc chia sẻ dữ liệu và các biện pháp bảo mật được áp dụng.
Một điểm quan trọng cần lưu ý là dữ liệu cá nhân được sử dụng để đăng ký tài khoản mạng xã hội và dịch vụ OTT không được xem là dữ liệu công khai và không thể xử lý mà không có sự đồng ý của chủ thể dữ liệu. Ngoài ra, các hành vi như nghe lén, ghi âm cuộc gọi hoặc đọc tin nhắn văn bản mà không được sự đồng ý của người dùng đều bị coi là vi phạm pháp luật.
Bài viết liên quan:
1/ Khung pháp lý mới về dữ liệu tại Việt Nam
2/ Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân theo dự thảo luật bảo vệ dữ liệu cá nhân
3/ Khung pháp lý đánh giá hoạt động ESG và kinh doanh bền vững tại Việt Nam
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
