Nghị định 13 về bảo vệ dữ liệu cá nhân: Doanh nghiệp thích ứng ra sao?

Triển khai Nghị định 13 và những vướng mắc từ phía doanh nghiệp

Sau một thời gian áp dụng Nghị định 13, không ít doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, vẫn “loay hoay” trong việc tuân thủ quy định. Những vướng mắc về nhận thức, chi phí và sự thiếu rõ ràng trong hướng dẫn thực hiện khiến nhiều đơn vị lúng túng, thậm chí có tâm lý e ngại. Vậy, thực tế doanh nghiệp đang gặp phải những khó khăn gì?

Bà Lê Hạnh, Giám đốc Công ty TNHH CIES, cho biết: “Chúng tôi nhận thức rõ tầm quan trọng của việc bảo vệ dữ liệu cá nhân, nhưng để thực hiện đúng theo Nghị định 13/2023/NĐ-CP là một thách thức lớn, nhất là đối với doanh nghiệp nhỏ như chúng tôi”.

Không chỉ CIES, nhiều doanh nghiệp khác cũng gặp trở ngại tương tự. Văn bản quy phạm pháp luật thường mang tính kỹ thuật cao, trong khi phần lớn doanh nghiệp nhỏ không có bộ phận pháp lý chuyên trách. Đặc biệt, quy định về phân loại dữ liệu cá nhân, yêu cầu lưu trữ hay bảo mật theo tiêu chuẩn còn chưa thực sự rõ ràng, khiến doanh nghiệp lúng túng trong triển khai.

Việc áp dụng các biện pháp bảo vệ dữ liệu cá nhân đòi hỏi doanh nghiệp phải đầu tư vào công nghệ, quy trình và đào tạo nhân sự để đáp ứng yêu cầu pháp lý.

Bên cạnh rào cản về nhận thức, bài toán tài chính cũng khiến các doanh nghiệp “đau đầu”.

“Để tuân thủ đầy đủ, doanh nghiệp phải đầu tư hệ thống bảo mật, thuê chuyên gia tư vấn hoặc bố trí nhân sự phụ trách bảo vệ dữ liệu cá nhân. Điều này tạo thêm gánh nặng tài chính, trong khi các doanh nghiệp nhỏ vốn đã phải xoay xở với nhiều chi phí vận hành khác” - bà Hạnh cho biết.

Dù vậy, các doanh nghiệp vẫn chủ động tìm cách thích ứng với Nghị định 13, lựa chọn giải pháp phù hợp với quy mô và nguồn lực của mình.

Bà Hạnh chia sẻ: “Chúng tôi xác định không thể đầu tư lớn như các tập đoàn, nhưng vẫn có thể thực hiện các biện pháp phù hợp với quy mô của mình. Trước mắt, doanh nghiệp rà soát lại toàn bộ quy trình thu thập và xử lý dữ liệu cá nhân, chỉ giữ lại những thông tin thực sự cần thiết để giảm rủi ro. Đồng thời, chúng tôi yêu cầu khách hàng xác nhận rõ ràng về việc đồng ý cung cấp dữ liệu, đúng theo nguyên tắc minh bạch của Nghị định 13”.

Bên cạnh đó, doanh nghiệp cũng tận dụng các giải pháp công nghệ có sẵn với chi phí hợp lý, đào tạo nhân viên về các nguyên tắc bảo vệ dữ liệu, tránh tình trạng vô ý làm lộ thông tin khách hàng.

Giải pháp nào cho doanh nghiệp vừa và nhỏ?

Theo ông Phạm Văn Huấn - Giám đốc Công nghệ tại 1 hệ thống giáo dục tại Hà Nội, Nghị định 13/2023/NĐ-CP có nhiều khác biệt lớn so với các quy định trước đây về bảo vệ dữ liệu cá nhân. Cụ thể, Nghị định ban hành các quy định bắt buộc thay vì khuyến nghị, phân loại dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm. Đồng thời bổ sung quy định về xử lý dữ liệu xuyên biên giới, yêu cầu về sự đồng ý của chủ thể dữ liệu, bắt buộc bổ nhiệm đơn vị/bộ phận phụ trách bảo vệ dữ liệu.

“Một số doanh nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ cho rằng quy định này khá chung chung, khó áp dụng vào thực tế. Theo tôi, quan điểm này có phần hợp lý, vì Nghị định 13 có phạm vi rộng, nhưng chưa có hướng dẫn chi tiết về cách thực thi cụ thể cho từng ngành” - ông Huấn nhận định.

Theo đó, một số điểm có thể gây khó khăn như chưa có tiêu chuẩn kỹ thuật cụ thể, nhiều yêu cầu nhưng thiếu hướng dẫn triển khai. Doanh nghiệp chưa rõ phải bảo vệ dữ liệu thế nào cho đúng chuẩn. Nghị định yêu cầu “đảm bảo an toàn dữ liệu cá nhân” nhưng chưa nói rõ về các tiêu chuẩn mã hóa, lưu trữ an toàn.

Bên cạnh đó, quy định mới cũng có thể gây khó khăn cho doanh nghiệp vừa và nhỏ khi triển khai các biện pháp bảo vệ dữ liệu mà không có đội ngũ công nghệ thông tin chuyên trách.

Mã hóa dữ liệu, sao lưu định kỳ và hạn chế truy cập dữ liệu nhạy cảm là những giải pháp giúp doanh nghiệp vừa và nhỏ bảo vệ dữ liệu cá nhân hiệu quả với chi phí hợp lý.

Vậy, doanh nghiệp có thể làm gì để đảm bảo tuân thủ mà không bị quá tải?

Để triển khai hiệu quả việc bảo vệ dữ liệu cá nhân, theo ông Huấn, doanh nghiệp vừa và nhỏ có thể tập trung vào các biện pháp sau để giảm chi phí mà vẫn tuân thủ các quy định của Nghị định 13.

Thứ nhất, về quy trình, doanh nghiệp nên xây dựng chính sách bảo vệ dữ liệu cá nhân đơn giản, rõ ràng, đào tạo nhân viên về bảo vệ dữ liệu, yêu cầu khách hàng/người dùng đồng ý rõ ràng trước khi thu thập dữ liệu.

Thứ hai, về kỹ thuật, mã hóa dữ liệu quan trọng là nhiệm vụ quan trọng. Doanh nghiệp có thể sử dụng công cụ mã hóa miễn phí hoặc chi phí thấp để giam gánh nặng tài chính, sao lưu dữ liệu định kỳ (với dịch vụ cloud giá rẻ như Google Drive, OneDrive có tính năng mã hóa); đồng thời hạn chế truy cập dữ liệu nhạy cảm.

Thứ ba, về pháp lý, doanh nghiệp nên ký thỏa thuận bảo mật dữ liệu với nhân viên, đối tác để đảm bảo dữ liệu khách hàng không bị chia sẻ trái phép. Ngoài ra, có thể tạo chính sách bảo mật trên website, công bố cách thu thập và xử lý dữ liệu cá nhân một cách minh bạch.

Hoàn thiện khung pháp lý và hỗ trợ doanh nghiệp trong bảo vệ dữ liệu cá nhân

Tuy nhiên, việc tuân thủ quy định không thể chỉ là trách nhiệm đơn phương của doanh nghiệp. Để Nghị định 13 thực sự đi vào cuộc sống, vai trò của cơ quan quản lý là rất quan trọng.

Theo bà Hạnh, cơ quan quản lý cần có hướng dẫn cụ thể hơn, đi kèm với lộ trình hỗ trợ doanh nghiệp, đặc biệt là nhóm doanh nghiệp vừa và nhỏ. Doanh nghiệp cũng mong muốn có các tài liệu hướng dẫn dễ hiểu, các khóa tập huấn hoặc chính sách hỗ trợ tài chính để triển khai bảo vệ dữ liệu cá nhân một cách bài bản mà không ảnh hưởng quá lớn đến hoạt động kinh doanh.

Trong bối cảnh này, Bộ Công an đang xây dựng dự thảo Luật Bảo vệ dữ liệu cá nhân nhằm tạo ra hành lang pháp lý đồng bộ hơn. Tuy nhiên, vấn đề đặt ra là làm sao để luật vừa đảm bảo chặt chẽ, vừa không trở thành rào cản cho doanh nghiệp.

Ngày 5/3/2025, Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại tổ chức phiên họp mở rộng, thẩm tra sơ bộ dự án Luật Bảo vệ dữ liệu cá nhân.

Phát biểu chỉ đạo tại phiên họp, Phó Chủ tịch Quốc hội Trần Quang Phương đánh giá Luật Bảo vệ dữ liệu cá nhân là luật mới, khó, kỹ thuật chuyên ngành rất sâu, trực tiếp liên quan đến quyền con người và quyền công dân.

Với quan điểm vừa quản lý, vừa kiến tạo, phát triển, Phó Chủ tịch Quốc hội nhấn mạnh không được tạo khó khăn cho người dân, doanh nghiệp; đồng thời đề nghị không quy định cụ thể các vấn đề liên quan đến tổ chức bộ máy, quy định trình tự, thủ tục, hồ sơ cấp phép mà chỉ quy định nguyên tắc giao Chính phủ, bảo đảm tính linh hoạt trong quá trình thực thi.

Có thể thấy, Nghị định 13/2023/NĐ-CP là một bước tiến quan trọng trong việc bảo vệ dữ liệu cá nhân, tạo nền tảng pháp lý rõ ràng hơn trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ. Tuy nhiên, thực tế triển khai cho thấy vẫn còn nhiều vướng mắc, đặc biệt đối với các doanh nghiệp vừa và nhỏ. Để quy định đi vào thực tiễn hiệu quả, cần có hướng dẫn chi tiết, lộ trình triển khai phù hợp và cơ chế hỗ trợ cụ thể từ cơ quan quản lý. Đồng thời, doanh nghiệp cũng cần chủ động nâng cao nhận thức, áp dụng các biện pháp phù hợp để đáp ứng yêu cầu bảo vệ dữ liệu mà không ảnh hưởng quá lớn đến hoạt động kinh doanh. Việc cân bằng giữa tuân thủ pháp luật và tính khả thi trong thực tế sẽ là yếu tố quan trọng để chính sách này đạt hiệu quả lâu dài.

Các nước phạt vi phạm dữ liệu cá nhân lên tới 1 tỷ USD, Việt Nam tối đa 60 triệu đồng "Các nước ý thức rất rõ vấn đề bảo vệ dữ liệu cá nhân nên khung phạt vi phạm rất cao, có khi lên đến ...

Nhân viên Mirae Asset Quảng Nam mua bán trái phép dữ liệu cá nhân của 150.000 người Ngoài hoạt động phát triển cho vay đối với cá nhân, hoạt động liên lạc, thu hồi nợ, lực lượng công an còn phát hiện ...

Doanh nghiệp Việt trước bài toán bảo vệ dữ liệu cá nhân Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/7/2023 đã tạo ra một khung pháp lý quan trọng, ...