Trong bối cảnh phát triển mạnh mẽ của công nghệ số và tầm quan trọng ngày càng tăng của việc bảo vệ dữ liệu cá nhân, vai trò của Chuyên gia bảo vệ dữ liệu cá nhân (Data Protection Officer – DPO) đang trở nên thiết yếu đối với mọi tổ chức và doanh nghiệp. Bài viết này sẽ phân tích về vị trí Chuyên gia bảo vệ dữ liệu cá nhân trong Dự thảo Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN) của Việt Nam, đồng thời đánh giá tác động của những quy định này đối với hoạt động của doanh nghiệp.
Quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong Dự thảo Luật BVDLCN
Chuyên gia bảo vệ dữ liệu cá nhân là một chủ thể pháp lý quan trọng được quy định chính thức lần đầu tiên trong Dự thảo Luật bảo vệ dữ liệu cá nhân, đóng vai trò then chốt trong việc giám sát và đảm bảo việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân tại các tổ chức và doanh nghiệp.
Theo định nghĩa của Dự thảo, Chuyên gia bảo vệ dữ liệu cá nhân là người được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm nhân sự bảo vệ dữ liệu cá nhân, có năng lực về công nghệ và/hoặc pháp lý về bảo vệ dữ liệu cá nhân, được nêu cụ thể trong Hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
Theo phân loại tại Dự thảo, chuyên gia bảo vệ dữ liệu cá nhân gồm:
a) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực công nghệ và pháp lý;
b) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về công nghệ;
c) Chuyên gia bảo vệ dữ liệu cá nhân đủ năng lực về pháp lý.
Chuyên gia bảo vệ dữ liệu cá nhân phải có chứng chỉ năng lực do tổ chức chứng nhận cấp, với vai trò đảm bảo rằng các Chuyên gia này đủ trình độ và chuyên môn để thực hiện nhiệm vụ của mình một cách hiệu quả và đáp ứng các yêu cầu pháp lý về bảo vệ dữ liệu. Bộ Công an sẽ ủy quyền cho các tổ chức chứng nhận được cấp phép để tiến hành kiểm tra và cấp chứng chỉ năng lực cho các Chuyên gia bảo vệ dữ liệu cá nhân đủ điều kiện. Để đạt được chứng chỉ này, ứng viên cần đáp ứng các yêu cầu tối thiểu, bao gồm việc sở hữu bằng cao đẳng trong lĩnh vực liên quan và hoàn thành thành công khóa đào tạo chuyên sâu về chứng nhận bảo vệ dữ liệu.
Việc chỉ định Chuyên gia bảo vệ dữ liệu cá nhân là một yêu cầu bắt buộc và không thể thiếu để thực hiện đánh giá tác động xử lý dữ liệu cá nhân một cách đầy đủ và chính xác. Khi tiến hành quy trình đánh giá, thông tin chi tiết về Chuyên gia bảo vệ dữ liệu cá nhân phải được ghi nhận đầy đủ và chính xác trong cả Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Điều này đảm bảo tính minh bạch và trách nhiệm giải trình trong quá trình xử lý dữ liệu. Bên cạnh đó, theo quy định của Dự thảo, mỗi doanh nghiệp không chỉ cần chỉ định Tổ chức bảo vệ dữ liệu cá nhân và Chuyên gia bảo vệ dữ liệu cá nhân, mà còn phải thiết lập và duy trì kênh liên lạc thường xuyên với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân để đảm bảo sự giám sát và tuân thủ hiệu quả.
Việc phải có hoặc thuê chuyên gia bảo vệ dữ liệu cá nhân sẽ đặt ra các gánh nặng pháp lý và tuân thủ đáng kể cho các doanh nghiệp vừa và nhỏ, bao gồm chi phí tuyển dụng, đào tạo và duy trì vị trí này, cũng như các yêu cầu về việc thực hiện các quy trình và thủ tục tuân thủ liên quan. Để giảm bớt gánh nặng này, Dự thảo đã quy định một điều khoản miễn trừ đặc biệt cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa và doanh nghiệp khởi nghiệp, theo đó họ không cần phải chỉ định Chuyên gia bảo vệ dữ liệu cá nhân trong khoảng thời gian 02 năm đầu tiên kể từ ngày thành lập doanh nghiệp. Điều này cho phép các doanh nghiệp mới có thời gian để phát triển và ổn định hoạt động trước khi phải đáp ứng yêu cầu này. Tuy nhiên, cần lưu ý rằng miễn trừ này không được áp dụng cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa và doanh nghiệp khởi nghiệp mà có hoạt động kinh doanh chính là trực tiếp xử lý dữ liệu
Đối chiếu với quy định hiện hành của Nghị định 13/2023/NĐ-CP
Theo Nghị định 13, việc bảo vệ dữ liệu cá nhân nhạy cảm chỉ yêu cầu doanh nghiệp thiết lập một bộ phận chuyên trách và phân công nhân sự phụ trách trong tổ chức. Nghị định không đặt ra các tiêu chuẩn cụ thể về trình độ chuyên môn, kinh nghiệm hay yêu cầu về năng lực pháp lý đối với nhân sự được phân công. Điều này tạo ra một khuôn khổ pháp lý khá linh hoạt cho doanh nghiệp trong việc tổ chức bộ máy bảo vệ dữ liệu cá nhân. Trong khi đó, Dự thảo Luật BVDLCN đã nâng cao đáng kể các yêu cầu về bảo vệ dữ liệu cá nhân bằng cách đặt ra những quy định nghiêm ngặt hơn. Cụ thể, doanh nghiệp không chỉ cần có một bộ phận chuyên trách mà còn phải thiết lập cả Tổ chức bảo vệ dữ liệu cá nhân chính thức và chỉ định Chuyên gia bảo vệ dữ liệu cá nhân có đủ năng lực theo quy định cho mọi hoạt động xử lý dữ liệu.
Dự thảo Luật BVDLCN của Việt Nam có những quy định chặt chẽ hơn so với GDPR của EU về chuyên gia bảo vệ dữ liệu cá nhân. Trong khi GDPR chỉ yêu cầu chỉ định Cán bộ Bảo vệ Dữ liệu (DPO) trong một số trường hợp đặc biệt như cơ quan công quyền hoặc tổ chức thực hiện xử lý dữ liệu quy mô lớn, Dự thảo Luật BVDLCN của Việt Nam lại đặt ra yêu cầu nghiêm ngặt hơn khi bắt buộc mọi đơn vị tham gia xử lý dữ liệu cá nhân đều phải cần vai trò Chuyên gia BVDLCN.
Việc quy định về Chuyên gia bảo vệ dữ liệu cá nhân trong Dự thảo Luật BVDLCN đánh dấu một bước tiến quan trọng trong khuôn khổ pháp lý về bảo vệ dữ liệu tại Việt Nam. Mặc dù các quy định mới có thể tạo ra thách thức về mặt tuân thủ và chi phí cho doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, những yêu cầu này là cần thiết để đảm bảo tính chuyên nghiệp và hiệu quả trong việc bảo vệ dữ liệu cá nhân. Tuy nhiên, để đánh giá và thực thi hiệu quả các quy định mới trong Dự thảo luật, chúng ta vẫn cần chờ các quy định hướng dẫn chi tiết được ban hành sau khi luật được thông qua.
Bài viết liên quan:
1/ Khung pháp lý đánh giá hoạt động ESG và kinh doanh bền vững tại Việt Nam
2/ Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân theo dự thảo luật bảo vệ dữ liệu cá nhân
3/ Khung pháp lý mới về dữ liệu tại Việt Nam
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
