Liệu doanh nghiệp tại Việt Nam đã sẵn sàng cho Nghị định bảo vệ dữ liệu cá nhân (PDPD) sắp tới?
Kết quả từ khảo sát của PwC - Tháng 9/2021
|
50% nói rằng họ hiện có các chính sách và thủ tục kiểm soát truy cập được xác định để hạn chế quyền truy cập vào dữ liệu cá nhân. |
66% cho biết họ đang tìm kiếm lời khuyên hoặc vẫn chưa xác định một lộ trình để đảm bảo tuân thủ PDPD. |
41% nhận thức được yêu cầu thông báo cho chủ thể dữ liệu về tất cả các hoạt động liên quan đến xử lý dữ liệu cá nhân của họ nhưng không biết phương pháp chuẩn bị cho việc này. |
52% không có quy trình ứng phó sự cố / vi phạm dữ liệu. |
|
Con đường hướng tới tuân thủ PDPD sẽ còn nhiều thách thức
Việt Nam gần đây đã công bố Dự thảo Nghị định về Bảo vệ dữ liệu cá nhân mà sẽ có tác động đến tất cả các đơn vị xử lý dữ liệu cá nhân. Những doanh nghiệp không bảo vệ dữ liệu cá nhân và không tuân thủ PDPD không chỉ có nguy cơ bị xử phạt tài chính mà còn phải đối mặt với rủi ro hoạt động kém hiệu quả, chịu sự can thiệp của các cơ quan quản lý và quan trọng nhất là mất lòng tin vĩnh viễn của người tiêu dùng.
Cuộc khảo sát của chúng tôi về mức độ sẵn sàng cho PDPD của doanh nghiệp được tiến hành tại Việt Nam từ ngày 19/7/2021 đến ngày 9/8/2021. Những người tham gia được yêu cầu trả lời danh sách các câu hỏi liên quan đến việc xử lý dữ liệu cá nhân hiện tại của doanh nghiệp họ và xác định kiến thức cũng như mức độ sẵn sàng cho PDPD. 48 người trả lời khảo sát hiện đang công tác tại các doanh nghiệp trải đều trên nhiều nhóm ngành kinh tế tại Việt Nam, trong đó nhóm lớn nhất (21%) đến từ lĩnh vực sản xuất.
Kết quả khảo sát
Nhiều tổ chức ở Việt Nam chưa sẵn sàng cho Dự thảo Nghị định được đề xuất.
- Hơn một nửa (66%) số người tham gia khảo sát không có kế hoạch hoặc mới lên kế hoạch một phần cho lộ trình hướng tới tuân thủ PDPD và các quy định về quyền riêng tư dữ liệu địa phương.
- 41% nhận thức được yêu cầu thông báo cho chủ thể dữ liệu về tất cả các hoạt động liên quan đến xử lý dữ liệu cá nhân của họ, nhưng không biết phương pháp chuẩn bị cho việc này hoặc không biết về yêu cầu của PDPD.
- Chỉ 21% có DPO (Cán bộ bảo vệ dữ liệu) chính thức để quản lý tất cả các vấn đề liên quan đến bảo vệ dữ liệu cá nhân.
Các tổ chức ở Việt Nam đã chuẩn bị cho PDPD ở một mức độ nhất định nhưng họ thực hiện chính sách và thủ tục kiểm soát khác nhau.
Các tổ chức hiện đang hạn chế quyền truy cập vào dữ liệu cá nhân họ nắm giữ đối với chủ thể dữ liệu.
- 50% người tham gia khảo sát đã xác định các chính sách và thủ tục kiểm soát để hạn chế quyền truy cập vào dữ liệu cá nhân.
- 29% sử dụng giải pháp mật khẩu và xác thực hai yếu tố.
- 13% thực hiện đánh giá rủi ro dữ liệu cá nhân.
Các biện pháp ngăn chặn truy cập trái phép vào các thiết bị được sử dụng để xử lý dữ liệu cá nhân hoặc để đọc, sao chép, thay đổi hoặc xóa dữ liệu cá nhân.
- 65% xác định và thực hiện các quy trình và giải pháp kiểm soát truy cập để ngăn chặn truy cập trái phép.
- Chỉ có 12% không biết về các yêu cầu của PDPD và hiện không có bất kỳ biện pháp nào để quản lý quá trình này.
Những hạn chế dự kiến đối với việc truyền dữ liệu cá nhân xuyên biên giới gây ra rủi ro đáng kể cho nhiều tổ chức ở Việt Nam.
- 60% hiện đang lưu trữ dữ liệu trên đám mây hoặc bên ngoài Việt Nam.
- 52% không có bất kỳ quy trình quản lý rủi ro nào đối với bên thứ ba để quản lý việc bảo vệ dữ liệu cá nhân khi chia sẻ / chuyển giao cho bên thứ ba.
- 52% không có quy trình ứng phó sự cố / vi phạm dữ liệu.
Điểm đáng lưu ý về Dự thảo
- Các tổ chức phải có một bộ phận giám sát việc bảo vệ dữ liệu cá nhân và (các) Cán bộ Bảo vệ Dữ liệu (DPO).
- Tổ chức xử lý dữ liệu cá nhân phải phát triển và ban hành bộ quy định dữ liệu cá nhân của riêng mình.
- Chuyển dữ liệu cá nhân xuyên biên giới chỉ có thể được thực hiện khi đáp ứng 5 điều kiện cụ thể.
- Chủ thể dữ liệu đã đồng ý với việc chuyển giao dữ liệu;
- Dữ liệu cá nhân gốc được lưu trữ tại Việt Nam;
- Quốc gia của bên nhận áp dụng mức bảo vệ dữ liệu tương đương hoặc cao hơn;
- Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) đồng ý với việc chuyển giao bằng văn bản;
- Các công ty sẽ cần đăng ký dữ liệu cá nhân nhạy cảm với PDPC.
Có tám nguyên tắc bảo vệ dữ liệu chính mà mỗi bộ xử lý dữ liệu sẽ cần tuân theo khi xử lý dữ liệu cá nhân.
- Tính hợp pháp: Dữ liệu cá nhân chỉ được thu thập khi cần thiết theo quy định của pháp luật.
- Mục đích: Dữ liệu cá nhân chỉ được xử lý cho các mục đích đã đăng ký hoặc đã thông báo.
- Giảm thiểu dữ liệu: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được các mục đích đã định.
- Hạn chế sử dụng: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc với sự cho phép của cơ quan có thẩm quyền.
- Chất lượng dữ liệu: Dữ liệu cá nhân phải được cập nhật và hoàn chỉnh để đảm bảo mục đích xử lý dữ liệu.
- Bảo mật: Các biện pháp bảo vệ phải được áp dụng cho dữ liệu cá nhân trong quá trình xử lý dữ liệu.
- Tính cá nhân: Chủ thể dữ liệu phải nhận thức và thông báo về các hoạt động liên quan đến việc xử lý dữ liệu cá nhân của họ.
- Bảo mật: Dữ liệu cá nhân phải được giữ bí mật trong quá trình xử lý dữ liệu.
Một trong những mục đích của PDPD là trao quyền cho các cá nhân và cho phép họ kiểm soát dữ liệu của mình. PDPD giới thiệu về "quyền của chủ thể dữ liệu" liên quan đến việc bảo vệ dữ liệu của các cá nhân.
- Quyền truy cập dữ liệu cá nhân;
- Quyền hạn chế xử lý dữ liệu cá nhân;
- Quyền yêu cầu bồi thường thiệt hại do vi phạm trong quá trình cung cấp dữ liệu cá nhân;
- Quyền đồng ý hoặc từ chối đối với việc thu thập và xử lý dữ liệu cá nhân;
- Quyền được thông báo về các mục đích thu thập và xử lý;
- Quyền khiếu nại với Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) trong đó dữ liệu cá nhân của họ bị xâm phạm hoặc bị xử lý sai hoặc các quyền của họ bị vi phạm.
