Tuân thủ qui định bảo vệ dữ liệu cá nhân: Giải pháp cho các công ty tài chính trong bối cảnh pháp lý thay đổi

(Pháp lý). Trong thời đại số hóa, các công ty chứng khoán và quỹ đầu tư phải xử lý khối lượng lớn dữ liệu cá nhân, bao gồm cả thông tin nhạy cảm như số tài khoản ngân hàng và lịch sử giao dịch. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) quy định nghiêm ngặt về thu thập, phân tích và chia sẻ dữ liệu nhằm bảo vệ quyền lợi của người dùng. Vậy đâu là giải pháp cho các công ty tài chính trong bối cảnh pháp lý thay đổi…
1-1730432649.jpg

Ảnh minh họa

Việc xử lý dữ liệu lớn đặt ra thách thức cho các công ty tài chính, đặc biệt trong việc phân tích, đánh giá và chuyển giao dữ liệu cho đối tác. Mỗi thao tác đều phải tuân thủ quy định pháp luật trong khi vẫn đảm bảo hoạt động kinh doanh không bị gián đoạn, điều này càng quan trọng khi các quyết định chiến lược dựa vào dữ liệu khách hàng. Do đó, việc sử dụng dữ liệu để phân tích nhà đầu tư gặp khó khăn khi các công ty không chỉ phải tuân thủ pháp luật mà còn phải bảo đảm quy trình hoạt động và dịch vụ không bị ảnh hưởng.

Áp lực trong việc tuân thủ Nghị định 13

Việc áp dụng Nghị định 13 từ giai đoạn đầu triển khai đã gặp khó khăn và đến nay vẫn chưa thể giải quyết triệt để. Một trong những thách thức lớn nhất đối với các tổ chức tài chính, bao gồm công ty chứng khoán và quỹ đầu tư là cân bằng giữa việc tuân thủ quy định bảo vệ dữ liệu cá nhân và duy trì hoạt động kinh doanh hiệu quả.

Theo Nghị định 13, chủ thể dữ liệu cá nhân có quyền biết về cách thức dữ liệu của họ được xử lý, quyền từ chối và yêu cầu xóa dữ liệu. Tuy nhiên, trong thực tế, các công ty tài chính không chỉ thu thập và xử lý dữ liệu để cung cấp dịch vụ mà còn sử dụng dữ liệu này cho mục đích quản lý rủi ro và duy trì an toàn hệ thống, điều mà không phải lúc nào cũng cần sự chấp thuận của khách hàng.

Nghị định yêu cầu phải có sự đồng ý từ khách hàng trước khi thực hiện bất kỳ hoạt động xử lý dữ liệu nào. Điều này gây ra trở ngại lớn cho các tổ chức tài chính vì quy trình cung cấp dịch vụ thường đòi hỏi xử lý dữ liệu ở nhiều giai đoạn khác nhau. Việc yêu cầu sự đồng ý tại mỗi bước không chỉ làm chậm tiến độ mà còn tăng khối lượng công việc hành chính, ảnh hưởng đến tính linh hoạt của doanh nghiệp. Đặc biệt với quy mô hoạt động lớn và khối lượng dữ liệu khổng lồ, các công ty buộc phải điều chỉnh quy trình nội bộ phức tạp để phù hợp với yêu cầu này.

Ngoài ra, để đảm bảo tuân thủ Nghị định 13, các tổ chức tài chính cần phải đầu tư vào việc sửa đổi hệ thống công nghệ thông tin, hợp đồng, mẫu biểu và thỏa thuận với khách hàng. Việc này đòi hỏi sự thay đổi toàn diện không chỉ ở hạ tầng công nghệ mà còn ở cách thức vận hành và quản lý dữ liệu cá nhân.

Một thách thức khác là việc áp dụng quy định về dữ liệu cá nhân nhạy cảm, bao gồm thông tin tài chính và quyền lợi của khách hàng. Các tổ chức tài chính thường phải chia sẻ những thông tin này với các đối tác như tổ chức tín dụng, cơ quan quản lý hoặc các đơn vị thẩm định tín dụng để phục vụ cho các hoạt động đánh giá rủi ro, bảo lãnh. Việc thiếu rõ ràng trong quy định về trách nhiệm của các bên liên quan trong việc xử lý dữ liệu này đã dẫn đến nhiều vướng mắc pháp lý. Các tổ chức tài chính không chỉ phải linh hoạt điều chỉnh quy trình mà còn cần tìm kiếm sự hướng dẫn từ cơ quan quản lý để tránh các rủi ro pháp lý tiềm ẩn.

2-1730432657.jpg

Ảnh minh họa

Áp lực từ việc tuân thủ quy định khi chia sẻ thông tin

Không chỉ dừng lại ở việc thu thập và phân tích, các công ty chứng khoán và quỹ đầu tư còn phải thường xuyên chuyển giao dữ liệu cá nhân cho các đối tác bên ngoài như nhà cung cấp dịch vụ tài chính, tổ chức tín dụng, hoặc các đơn vị thẩm định tín dụng. Việc chuyển giao này không chỉ phục vụ cho mục đích giao dịch mà còn để đánh giá, bảo lãnh và quản lý rủi ro cho các sản phẩm tài chính.

Tuy nhiên, khi khách hàng yêu cầu ngừng xử lý hoặc rút lại sự đồng ý đối với việc chia sẻ dữ liệu, các công ty phải đối mặt với thách thức lớn trong việc điều chỉnh quy trình. Họ không chỉ phải ngừng chia sẻ dữ liệu mà còn phải đảm bảo rằng dữ liệu đã được chuyển giao không bị sử dụng sai mục đích tại các đối tác. Điều này đòi hỏi một hệ thống quản lý dữ liệu chặt chẽ và các thỏa thuận pháp lý rõ ràng với các bên liên quan.

Việc khách hàng rút lại sự đồng ý có thể dẫn đến những hệ quả pháp lý phức tạp. Theo quy định xử lý dữ liệu cá nhân hiện nay của các tổ chức cung cấp dịch vụ tài chính, nếu việc này xảy ra, các công ty tài chính có thể phải ngừng cung cấp dịch vụ cho khách hàng, bởi họ không thể tiếp tục xử lý dữ liệu cần thiết.

Điều này có thể khiến quan hệ giữa công ty và khách hàng bị gián đoạn, thậm chí dẫn đến việc vi phạm các nghĩa vụ đã thỏa thuận trong hợp đồng. Mà gần đây, VNDIRECT là một trường hợp điển hình. Trong thỏa thuận với khách hàng, VNDIRECT đã quy định rõ rằng trong trường hợp khách hàng rút lại sự đồng ý, công ty có thể phải dừng cung cấp dịch vụ do thiếu thông tin để duy trì chất lượng sản phẩm[1].

Mức phạt nghiêm khắc và tác động đến doanh nghiệp

Nghị định 13 và Dự thảo Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng[2] đặt ra những mức phạt rất nghiêm khắc đối với các doanh nghiệp vi phạm quy định bảo vệ dữ liệu cá nhân. Theo dự thảo, các mức phạt được đưa ra nhằm tạo sự răn đe và đảm bảo tính tuân thủ chặt chẽ của các doanh nghiệp trong việc bảo vệ quyền lợi của người tiêu dùng.


Cụ thể, dự thảo Nghị định quy định mức phạt đối với các hành vi vi phạm trong bảo vệ dữ liệu cá nhân có thể lên tới hàng trăm triệu đồng. Đặc biệt có những hành vi mà mức phạt tối đa lên tới 01 tỷ đồng hoặc 05% tổng doanh thu hàng năm của doanh nghiệp như việc để lộ, mất dữ liệu cá nhân của 01 triệu công dân Việt Nam trở lên.

Trở lại trường hợp của Công ty VNDIRECT bị hacker tấn công làm tê liệt hệ thống trong thời gian qua đã cho thấy rằng việc bị xử phạt trên thực tế của doanh nghiệp, đặc biệt là các công ty chứng khoán, công ty quản lý quỹ, ngân hàng…là hoàn toàn có thể xảy ra trên thực tế. Việc bị lộ thông tin cá nhân của khách hàng với số lượng lớn và bị xử phạt với mức cao nhất, điều này không chỉ gây tổn thất tài chính ngay lập tức mà còn có thể làm mất niềm tin từ phía các nhà đầu tư và khách hàng, làm ảnh hưởng tiêu cực đến giá cổ phiếu và uy tín của công ty trên thị trường.

Không chỉ là rủi ro tài chính, vi phạm quy định bảo vệ dữ liệu cá nhân còn có thể làm mất niềm tin của khách hàng – yếu tố sống còn đối với các công ty chứng khoán và quỹ đầu tư. Trong ngành tài chính, sự tin tưởng của khách hàng không chỉ dựa vào dịch vụ mà còn phụ thuộc lớn vào khả năng bảo mật và bảo vệ thông tin cá nhân. Một sự cố vi phạm bảo mật dữ liệu, dù nhỏ, cũng có thể làm tổn hại nghiêm trọng đến uy tín của doanh nghiệp, khiến khách hàng chuyển hướng sang các đối thủ cạnh tranh.

3-1730432657.jpg

Ảnh minh họa

Giải pháp cho các công ty tài chính trong bối cảnh pháp lý thay đổi

Trước bối cảnh vụ tấn công mạng vào VNDIRECT, các công ty tài chính cần đối diện với những yêu cầu ngày càng cao về bảo vệ dữ liệu cá nhân theo quy định của Nghị định 13. Đây không chỉ là yêu cầu pháp lý mà còn là cơ hội để các công ty củng cố uy tín và tăng cường niềm tin từ phía khách hàng. Các biện pháp bảo vệ dữ liệu phải được cụ thể hóa và lồng ghép vào các quy trình hoạt động nội bộ, đảm bảo tính toàn diện và tuân thủ quy định pháp luật.

Thứ nhất, công ty cần xây dựng hệ thống quản lý dữ liệu toàn diện, bắt đầu từ việc nhận diện các loại dữ liệu nhạy cảm, như thông tin tài khoản ngân hàng, của nhà đầu tư cá nhân và nước ngoài. Việc mã hóa dữ liệu trong quá trình thu thập, xử lý và lưu trữ là biện pháp tối ưu giúp ngăn chặn các cuộc tấn công mạng có thể làm rò rỉ dữ liệu. Cùng với đó, cần thiết lập quy trình phân quyền rõ ràng, đảm bảo chỉ những cá nhân có thẩm quyền mới được tiếp cận với các dữ liệu quan trọng, và mọi hoạt động truy cập đều phải được giám sát và ghi lại.

Thứ hai, các công ty tài chính cần rà soát và điều chỉnh chính sách quản lý dữ liệu để tránh việc áp dụng trùng lặp các quy định pháp luật. Điều này đảm bảo rằng các doanh nghiệp tuân thủ không chỉ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân mà còn các quy định của Luật Chứng khoán 2019. Việc điều chỉnh kịp thời sẽ giúp cập nhật các quy định mới, đồng thời khắc phục những thiếu sót trong quy trình hiện tại. Điều này không chỉ giúp công ty đảm bảo tính hợp pháp trong các hoạt động xử lý dữ liệu mà còn giảm thiểu rủi ro pháp lý nếu xảy ra sự cố liên quan đến bảo mật thông tin.

Thứ ba, các công ty cần tích cực làm việc với các cơ quan quản lý như Ủy ban Chứng khoán Nhà nước hay Sở Giao dịch Chứng khoán để được hướng dẫn cụ thể, phù hợp với tình hình thực tế của ngành. Nghĩa vụ bảo mật thông tin khách hàng đã được nêu rõ trong các văn bản pháp luật như Thông tư 121/2020/TT-BTC, trong đó yêu cầu các công ty chứng khoán phải đảm bảo bảo mật thông tin giao dịch trực tuyến của khách hàng, nhằm ngăn chặn việc lộ lọt thông tin gây thiệt hại cho nhà đầu tư.

Việc kết hợp giữa tuân thủ Nghị định 13 và các quy định chuyên ngành không chỉ giúp các công ty đồng bộ hóa quy trình bảo vệ dữ liệu mà còn tránh sự chồng chéo trong các quy định, từ đó đảm bảo tuân thủ đúng và đầy đủ các yêu cầu pháp lý. Điều này sẽ giúp doanh nghiệp tránh rủi ro, duy trì lòng tin từ khách hàng và đối tác.

Thứ tư, kiểm soát việc lưu trữ và chia sẻ dữ liệu cần được thực hiện một cách nghiêm ngặt, đặc biệt đối với những dữ liệu nhạy cảm như thông tin tài khoản ngân hàng. Các công ty tài chính nên áp dụng các công nghệ mã hóa tiên tiến và định kỳ thực hiện kiểm toán nội bộ về bảo mật dữ liệu. Hệ thống quản lý dữ liệu phải được thiết kế sao cho đảm bảo khả năng giám sát và phát hiện kịp thời các hoạt động truy cập trái phép hoặc bất thường. Các biện pháp như sử dụng hệ thống mã hóa đầu cuối và các giải pháp bảo mật đa lớp sẽ giúp ngăn chặn hiệu quả các rủi ro từ các cuộc tấn công mạng.

Thứ năm, việc đào tạo nhân sự về an ninh mạng và quy định pháp lý là điều không thể thiếu. Đội ngũ kỹ thuật và nhân viên kinh doanh cần được trang bị kiến thức chuyên sâu về các quy trình bảo vệ dữ liệu cá nhân, cũng như các biện pháp xử lý khẩn cấp trong trường hợp xảy ra sự cố an ninh mạng. Công ty cần tổ chức các buổi tập huấn định kỳ và diễn tập tình huống thực tế nhằm nâng cao khả năng ứng phó với các cuộc tấn công. Đặc biệt, cần thiết lập các quy trình thông báo và xử lý khủng hoảng kịp thời khi phát hiện các dấu hiệu xâm nhập hoặc rủi ro bảo mật, nhằm giảm thiểu thiệt hại và bảo vệ quyền lợi của nhà đầu tư.

Tóm lại, bằng cách áp dụng các giải pháp trên, các công ty tài chính không chỉ đảm bảo tuân thủ quy định của Nghị định 13, mà còn tạo nền tảng vững chắc cho việc xây dựng uy tín và tăng cường sự phát triển bền vững trong môi trường đầy thách thức như hiện nay. Việc chủ động bảo vệ dữ liệu của nhà đầu tư là yếu tố then chốt giúp doanh nghiệp duy trì niềm tin và bảo vệ lợi ích khách hàng trong dài hạn.

---------------------------

Tài liệu tham khảo:


[1] Điều 3 Chính sách bảo vệ dữ liệu cá nhân của Công ty Chứng khoán VNDIRECT ban hành theo Quyết định số 599-7/2023/QĐ-VNDIRECT. Truy cập lần cuối vào ngày 03/10/2024 qua link: https://www.vndirect.com.vn/chinh-sach-bao-ve-du-lieu-ca-nhan-cua-vndirect/

[2] Bản đính kèm Tờ trình ngày 15/4/2024 của Bộ Công an, xem thêm tại https://moj.gov.vn/qt/tintuc/Pages/chi-dao-dieu-hanh.aspx?ItemID=4271 truy cập lần cuối ngày 04/10/2024.

LS. Nguyễn Văn Phúc - Tô Kiến Lương

Bạn đọc đặt tạp chí Pháp lý dài hạn vui lòng để lại thông tin