Đối với doanh nghiệp FDI tại Việt Nam, tuân thủ hiệu quả các quy định về dữ liệu sẽ giúp giảm thiểu rủi ro pháp lý, tối ưu hóa quản trị và tạo nền tảng cho phát triển bền vững trong dài hạn.
Đặc thù dữ liệu và những thách
thức đặc trưng
Một đặc điểm quan trọng của doanh
nghiệp FDI tại Việt Nam là phạm vi xử lý dữ liệu cá nhân tập trung chủ yếu vào
người lao động. Với quy mô nhân sự từ hàng trăm đến hàng chục nghìn người, các
doanh nghiệp này nắm giữ khối lượng lớn dữ liệu, bao gồm thông tin nhận diện, dữ
liệu sinh trắc học, thông tin tài chính và lịch sử làm việc.
Vòng đời xử lý dữ liệu lao động
thường bắt đầu từ giai đoạn ký kết hợp đồng, khi người lao động cung cấp thông
tin cá nhân và dữ liệu sinh trắc học (vân tay, khuôn mặt). Các dữ liệu này được
đưa vào hệ thống chấm công, tạo lập hồ sơ định danh và lưu trữ nội bộ. Trong
quá trình làm việc, dữ liệu tiếp tục được ghi nhận, đối chiếu và sử dụng cho mục
đích quản lý nhân sự, tính lương và đánh giá hiệu suất. Khi người lao động nghỉ
việc, dữ liệu được xử lý theo quy trình lưu trữ hoặc xóa bỏ theo quy định.
Chính cấu trúc này tạo ra những
thách thức đáng kể. Thách thức đầu tiên là sự xung đột giữa chính sách nội bộ của
tập đoàn và quy định pháp luật Việt Nam. Nhiều tập đoàn đa quốc gia xây dựng
khung quản trị dữ liệu thống nhất, thường dựa trên các tiêu chuẩn quốc tế như
GDPR của châu Âu. Trong đó, mô hình “đồng kiểm soát dữ liệu” (joint controller)
cho phép nhiều thực thể cùng tham gia quyết định mục đích và phương thức xử lý
dữ liệu.
Tuy nhiên, pháp luật Việt Nam hiện
chưa ghi nhận khái niệm này, mà chỉ phân loại thành bên kiểm soát, bên xử lý và
bên thứ ba. Điều này dẫn đến tình trạng doanh nghiệp FDI không thể áp dụng
nguyên trạng chính sách toàn cầu, buộc phải điều chỉnh để phù hợp với pháp luật
nội địa.
Thách thức thứ hai nằm ở việc nhận
diện và kiểm soát hệ thống xử lý dữ liệu. Trên thực tế, nhiều doanh nghiệp –
không chỉ FDI – vẫn sử dụng các phương thức thủ công như ghi chép thông tin
khách ra vào bằng sổ giấy, giữ lại giấy tờ tùy thân hoặc xử lý dữ liệu mà không
có cơ chế bảo mật phù hợp. Cách làm này tiềm ẩn rủi ro lớn: dữ liệu có thể bị lộ
khi người sau nhìn thấy thông tin người trước, hoặc bị thất thoát khi tài liệu
không được tiêu hủy đúng cách. Trong bối cảnh pháp luật đã siết chặt, những thực
hành tưởng chừng “vô hại” này có thể dẫn đến vi phạm nghiêm trọng.
Thách thức thứ ba là việc thiếu
phân loại rõ ràng về dữ liệu và vai trò của các bên tham gia. Trong các tập
đoàn đa quốc gia, dữ liệu thường được xử lý qua nhiều đơn vị ở các quốc gia
khác nhau: bộ phận an ninh mạng, bộ phận quản trị dữ liệu, bộ phận điều hành… Nếu
không xác định rõ ai là bên kiểm soát, ai là bên xử lý, doanh nghiệp sẽ không
thể xây dựng hồ sơ tuân thủ đầy đủ.
Cuối cùng, thách thức lớn nhất nằm
ở việc chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Đây là một quy
trình phức tạp, đòi hỏi doanh nghiệp phải rà soát toàn bộ dòng chảy dữ liệu, từ
thu thập, xử lý, lưu trữ đến chia sẻ. Trong thực tế, nhiều doanh nghiệp thậm
chí chưa có cái nhìn đầy đủ về hệ thống dữ liệu của mình, dẫn đến việc triển
khai gặp nhiều khó khăn và kéo dài.
Từ nhận thức đến triển khai hệ
thống
Để đáp ứng yêu cầu tuân thủ ngày
càng cao, doanh nghiệp FDI cần tiếp cận vấn đề bảo vệ dữ liệu cá nhân theo hướng
hệ thống và chiến lược. Bước đầu tiên và quan trọng nhất là xây dựng năng lực
nhân sự chuyên trách. Bảo vệ dữ liệu cá nhân là lĩnh vực giao thoa giữa pháp
lý, công nghệ và quản trị, do đó đòi hỏi đội ngũ có kiến thức liên ngành. Trong
trường hợp nguồn lực nội bộ hạn chế, doanh nghiệp cần cân nhắc sử dụng dịch vụ
tư vấn chuyên nghiệp.
Sau khi có nhân sự phù hợp, doanh
nghiệp cần tiến hành rà soát và phân loại dữ liệu. Quá trình này phải trả lời
được các câu hỏi cốt lõi: dữ liệu nào là dữ liệu cá nhân, dữ liệu nào là nhạy cảm,
chủ thể dữ liệu là ai, mục đích xử lý là gì, dữ liệu được lưu trữ ở đâu và bằng
biện pháp nào.
Tiếp theo là xác định căn cứ pháp
lý cho từng hoạt động xử lý. Cần nhấn mạnh rằng “sự đồng ý” không phải là căn cứ
duy nhất, cũng không phải lúc nào cũng phù hợp. Các căn cứ khác như thực hiện hợp
đồng, nghĩa vụ pháp lý hay bảo vệ lợi ích thiết yếu đều có giá trị tương đương
trong những bối cảnh cụ thể.
Doanh nghiệp cũng cần xây dựng hệ
thống chính sách nội bộ rõ ràng, bao gồm chính sách quyền riêng tư, quy định
phân quyền truy cập và quy trình xử lý dữ liệu. Đồng thời, phải xác định rõ vai
trò của từng bên trong hệ sinh thái dữ liệu để đảm bảo tính minh bạch và khả
năng kiểm soát.
Về mặt kỹ thuật, cần áp dụng các
biện pháp bảo mật phù hợp như mã hóa, kiểm soát truy cập, khử nhận dạng dữ liệu
và giám sát hệ thống. Những biện pháp này không chỉ cần được triển khai mà còn
phải được ghi nhận đầy đủ trong hồ sơ đánh giá tác động.
Song song với đó là xây dựng quy
trình xử lý dữ liệu, theo phương thức thủ công hay tự động hóa. Việc mô tả rõ
dòng chảy dữ liệu là yêu cầu bắt buộc để chứng minh khả năng kiểm soát.
Đào tạo nội bộ cũng đóng vai trò
then chốt. Nếu không có nhận thức chung trong toàn doanh nghiệp, việc tuân thủ
sẽ khó có thể triển khai hiệu quả. Trên thực tế, đào tạo thường là bước tiền đề
trước khi hoàn thiện hồ sơ và triển khai các biện pháp kỹ thuật.
Cuối cùng, doanh nghiệp cần hoàn
thiện và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ chuyển dữ
liệu xuyên biên giới theo quy định. .
DĐDN