Đây là nội dung chính tại Tọa đàm triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân do Hiệp hội ngân hàng Việt Nam phối hợp với Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao tổ chức sáng nay (29/6) tại Hà Nội.
Chia sẻ tại Tọa đàm, ông Nguyễn Quốc Hùng, Tổng Thư ký Hiệp hội Ngân hàng cho biết, là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau.
Theo đó tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi đó các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất. Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13 về bảo vệ dữ liệu cá nhân, và có hiệu lực từ ngày 01/7/2023.
"Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các Tổ chức tín dụng phản ánh gặp một số vướng mắc, gây lúng túng khi thực hiện”, ông Hùng nói.
Bà Trần Thị Minh Tâm, Phó chủ nhiệm Câu lạc bộ Pháp chế Hiệp hội Ngân hàng nêu quan điểm, Nghị định 13 là một văn bản quan trọng, cần thiết trong việc cụ thể hóa và tăng cường khung pháp lý điều chỉnh các hoạt động bảo vệ dữ liệu cá nhân. Tuy nhiên, lĩnh vực tài chính ngân hàng do pháp luật chuyên ngành điều chỉnh với hệ thống các quy định pháp luật đầy đủ, hoàn chỉnh, trong đó có việc bảo vệ thông tin khách hàng nên việc tổ chức triển khai, hướng dẫn Nghị định 13 là hết sức cần thiết.
Bà Tâm dẫn chứng, để đảm bảo đáp ứng quy định của Nghị định 13, các TCTD phải tiến hành chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ và các mẫu hợp đồng/văn bản/thỏa thuận để đảm bảo có các nội dung về bảo vệ dữ liệu cá nhân của khách hàng trong quá trình xử lý dữ liệu… Tuy nhiên, một số điều khoản trong Nghị định 13 được diễn đạt chung chung, việc diễn giải để thực hiện các điều khoản này gặp một số khó khăn, trong thời gian quá ngắn (Nghị định 13 có hiệu lực kể từ ngày 01/7/2023) thì việc rà soát và điều chỉnh trong nội bộ ngân hàng để đáp ứng quy định của Nghị định 13 là không khả thi.
Cũng theo bà Tâm, Nghị định 13 quy định Chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9). Trong khi đó, hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới Luật.
Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân, tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan là bắt buộc, tất yếu không chỉ để cung cấp dịch cho khách hàng mà còn để quản lý và quản lý rủi ro trong hoạt động ngân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng.
“Do vậy, với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có quan điểm, hướng dẫn thống nhất để áp dụng”, bà Tâm nói.
 |
| Toàn cảnh buổi Tọa đàm |
Ông Hùng nhấn mạnh về các vướng mắc: “Nguyên tắc việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể dữ liệu (trường hợp TCTD nhận dữ liệu cá nhân từ một Bên thứ ba; Chuyển giao quyền, nghĩa vụ trong Hợp đồng/thỏa thuận; Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo; Về các chủ thể tham gia vào quy trình xử lý dữ liệu cá nhân của khách hàng…). Vướng mắc trong phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; Quyền của các chủ thể dữ liệu (quyền rút lại sự đồng ý, quyền xóa dữ liệu; quyền truy cập…). Yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài”.
Bà Tâm cho biết, trên cơ sở những ý kiến của các TCTD, kiến nghị các cơ quan… xem xét, hướng dẫn để có cách hiểu và áp dụng thống nhất pháp luật, góp phần vừa bảo đảm mục tiêu bảo vệ dữ liệu khoa học công nghệ, vừa đảm bảo hoạt động của các tổ chức tín dụng phù hợp pháp luật chuyên ngành.
