Thực trạng, việc sử dụng & đề xuất giải pháp tuân thủ Luật Bảo vệ dữ liệu cá nhân.
Tham luận chuẩn bị tại chỗ tham gia Hội thảo quốc tế ”Bảo vệ dữ liệu cá nhân trong môi trường số từ khía cạnh pháp lý”, do Trường Đại học Luật TP HCM & Đại sứ quán Đan Mạch tố chức tại số 8, Chu Văn An, Hà Nội ngày 15-5-2016.
1. Tình trạng thực tế:
1.1. Tôi xin nêu vài sự băn khoăn trong số rất nhiều vấn đề từ thực tế thực hiện pháp luật, xuất phát từ việc cá nhân, công ty phải tuân thủ Luật Bảo vệ dữ liệu cá nhân, đồng thời đã vài lần tư vấn thu phí & đào tạo về Nghị định 13/2023/NĐ-CP cũng như Luật Bảo vệ dữ liệu cá nhân.
1.2. Luật Bảo vệ dữ liệu cá nhân tuy muộn, nhưng là hết sức cần thiết, nội dung khá dài (Luật 20 trang, Nghị định 53 trang), điều chỉnh vấn đề rất khó, rất quan trọng, liên quan đến gần như 100% cả cá nhân lẫn pháp nhân & cũng bị vi phạm thuộc loại nhiều nhất, nghiêm trọng nhất, trong khi mới có hiệu lực chưa đầy nửa năm, nếu tính từ Nghị định số 13/2023/NĐ-CP thì cũng chỉ mới có 3 năm. Trước đó gần như là số không, kể từ khái niệm trở đi.
1.3. Trên thực tế, tình trạng thu thập, lưu giữ, mua bán, lạm dụng dữ liệu cá nhân trái luật rất phổ biến & rất nghiêm trọng, là một trong những tác nhân tiếp tay cho nạn lừa đảo, quấy nhiễu. Vì thế mấy năm nay, tôi cũng như nhiều người khác không nghe điện thoại số lạ, vì 90% số lạ là số rác, gây ức chế, mất thời gian, ảnh hưởng xấu đến cuộc sống & công việc.
1.4. Mà không nghe điện thoại thì ít nhiều ảnh hưởng đến giao dịch, giao tiếp, trong đó có cả vấn đề pháp lý khi lỡ các cuộc gọi từ bưu tá, thừa phát lại, công an, toà án, trọng tài thương mại & cả nạn nhân cần hỗ trợ gấp về pháp lý. Điều này gây cản trở, chậm trễ các vụ án, vụ kiện, giao dịch.
2. Xử lý dữ liệu:
2.1. Tôi hỏi số điện thoại, email, facebook của vài người khác để khi nào cần thì liên hệ mà họ không biết, tất nhiên là không thể hiện sự đồng ý của họ. Rồi tôi sắp xếp, đặt tên, lưu giữ các thông tin đó theo một trật tự nhất định vào danh bạ. Vậy thì rất giống với mô tả hành vi thu thập, phân tích, tổng hợp, kiểm soát dữ liệu cá nhân. Nếu vậy thì ai cũng có thể là người thu thập, phân tích, tổng hợp, kiểm soát dữ liệu cá nhân trái luật? Và như thế thì ai cũng có nguy cơ phạm luật. Nên nhiều ván đề cần có sự giải thích, hướng dẫn cụ thể hơn.
2.2. Theo nguyên lý thì lưu trữ thông tin dữ liệu càng lâu, càng nhiều càng tốt, từ pháp nhân đến cá nhân. Ví dụ, dữ liệu liên quan đến hợp đồng lao động cần lưu nhiều năm khi người lao động không còn làm việc, thận chí vài chục năm, ít nhất là đến tuổi nghỉ hưu. Một người đã bị doanh nghiệp sa thải xin việc lại, doanh nghiệp không còn bất cứ tài liệu nào để xác định người đó có phải là nhán viên cũ không, có bị kỷ luật lao động chưa, thậm chí có bị sa thải không? Nhưng điểm c, khoản 2, Điều 25 về “Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động”, Luật Bảo vệ dữ liệu cá nhân quy định “Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng”. Tất nhiên còn có thêm quy định ngoại lệ “trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác”. Như vậy có phải xoá sạch dữ liệu của người lao động đã chấm dứt trước khi kịp cập nhật quy định này, rồi phải xoá cái gì & được giữ lại cái gì không?
Chẳng hạn với các công ty luật của Luật sư chúng tôi, tại sao dữ liệu cá nhân của khách hàng câ nhân thì phải lưu trữ theo Luật Phòng, chống rửa tiền (nếu theo quy định chung vủa Luật Lưu trữ, thì sau 01 năm kể từ khi hoàn thành công việc, sẽ đưa vào lưu trữ), chưa được xác định thời hạn tối thiểu (tức lưu dài thì tốt hơn là lưu ngắn), mà dữ liệu của người lao động thì lại phải xoá ngay lập tức & nếu không có thoả thuận hay quy định của pháp luật (hiện nay chưa có) thì có được lưu hợp đồng lao động hay Biên bản thanh lý Hợp đồng lao động để phục vụ việc thanh kiểm tra của cơ quan thuế & cơ quan quản lý Nhà nước không?
Hay quy định tại khoản 2, Điều 33 về “Lực lượng bảo vệ dữ liệu cá nhân”, Luật Bảo vệ dữ liệu cá nhân quy định “2. Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân” là yêu cầu không khả thi đối với phần lớn doanh nghiệp.
2.3. Tôi cho rằng, mấu chốt cần chế tài là sử dụng dữ liệu cá nhân vào việc gì, có sai trái không, nếu vi phạm pháp luật thì xử lý thế nào, chứ việc thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, lưu trữ,… dữ liệu cá nhân liên quan trực tiếp đến hoạt động của chính pháp nhân & cá nhân thì cần phải xem lại, quy đinh mềm dẻo hơn. Luật hiện nay mới tập trung nhiều vào đầu vào, “chế biến” dữ liệu, mà chưa có nhiều quy định về đầu ra, sử dụng kết quả dữ liệu.
3. Đề xuất giải pháp:
3.1. Cần có giải pháp tuyên truyền, phổ biến & đặc biệt là hỗ trợ trong việc tiếp cận, hiểu biết & tuân thủ pháp luật về dữ liệu cá nhân. 99% doanh nghiệp phải thực hiện luật nhưng không có nhân sự, nguồn lực để thực hiện & không biết phải làm thế nào. Do đó, cần có lộ trình vài năm để thực hiện toàn bộ quy định của Luật Bảo vệ dữ liệu câ nhân với tất cả doanh nghiệp, nhất là doanh nghiệp nhỏ & siêu nhỏ.
3.2. Cần tập trung vào việc ngăn chặn & trừng phạt hành vi xâm phạm, chiếm đoạt, mua bán, trao đổi trái phép dữ liệu cá nhân với quy mô lớn, đối với các pháp nhân chuyên hoặc liên quan đến dữ liệu của nhiều cá nhân, nhất là nhóm hoạt động dữ liệu cá nhân cần phải cấp phép. Ngay cả trường hợp nào cần phải xin phép cũng còn gây tranh cãi, do cách diễn đạt chưa rõ của Luật.
3.3. Ngăn chặn, xử lý sớm tình trạng sử dụng dữ liệu cá nhân trái phép một cách ngang nhiên, công khai, tràn lan, phổ biến. Ví dụ, một ngày mà 1 số điện thoại bị 10 thuê bao phản ánh đã quấy rầy thì sẽ bị chặn điện thoại chiều gọi đi. Một thời gian tôi đã từng rất tích cực nhắn báo số rác theo lời kêu gọi của cơ quan chức năng, nhưng chẳng thấy tác dụng gì, thậm chí càng báo, thì càng phát sinh nhiều “rác”. Nên giờ đành không nhận cuộc gọi & chỉ lặng lặng chặn số, đỡ mất thời gian phản ánh, khỏi thực hiện trách nhiệm của công dân.
Luật sư Trương Thanh Đức, Giám đốc Công ty Luật ANVI, Trọng tài viên Trung tâm Trọng tài Quốc tế Việt Nam (VIAC)
(1.368)