Tăng cường hiệu quả bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng

Ông Nguyễn Quốc Hùng, Tổng Thư ký Hiệp hội Ngân hàng Việt Nam (VNBA) cho biết, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới. Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi đó các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.

Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định số 13 về bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/7/2023. Nghị định 13 là một văn bản quan trọng, cần thiết trong việc cụ thể hóa và tăng cường khung pháp lý điều chỉnh các hoạt động bảo vệ dữ liệu cá nhân. 

Tuy nhiên, lĩnh vực tài chính ngân hàng do pháp luật chuyên ngành điều chỉnh với hệ thống các quy định pháp luật đầy đủ, hoàn chỉnh, trong đó có việc bảo vệ thông tin khách hàng, nên việc tổ chức triển khai, hướng dẫn là hết sức cần thiết, giúp các tổ chức tín dụng (TCTD) hội viên hiểu rõ các nội dung quy định tại Nghị định 13 liên quan đến hoạt động ngân hàng.

Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân. Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các TCTD phản ánh gặp một số vướng mắc, gây lúng túng khi thực hiện cụ thể quy định liên quan đến: Nguyên tắc việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể dữ liệu (trường hợp TCTD nhận dữ liệu cá nhân từ một bên thứ ba; chuyển giao quyền, nghĩa vụ trong hợp đồng/thỏa thuận; chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo; về các chủ thể tham gia vào quy trình xử lý dữ liệu cá nhân của khách hàng…).

Bên cạnh đó, còn các vướng mắc trong phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; quyền của các chủ thể dữ liệu (quyền rút lại sự đồng ý, quyền xóa dữ liệu; quyền truy cập…); yêu cầu về lập báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài.

Cụ thể, Nghị định 13 quy định bên kiểm soát và xử lý dữ liệu/bên xử lý dữ liệu khi thực hiện bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11) và trước khi xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13).

Để bảo đảm đáp ứng quy định của Nghị định 13, các TCTD phải chỉnh sửa hệ thống CNTT, các quy định nội bộ và các mẫu hợp đồng/văn bản/thỏa thuận để đảm bảo có các nội dung về bảo vệ dữ liệu cá nhân của khách hàng trong quá trình xử lý dữ liệu…

Bên cạnh đó, một số quy định chưa phù hợp với lĩnh vực ngân hàng cần thống nhất cách hiểu và áp dụng.

Về quyền truy cập, đại diện VNBA cho rằng, việc cho phép chủ thể dữ liệu truy cập hệ thống của TCTD để chỉnh sửa tất cả các dữ liệu cá nhân là không khả thi do sẽ gây mất an toàn, an ninh thông tin và khó bảo vệ được tính chính xác và toàn vẹn của thông tin.

Do đó, đại diện VNBA kiến nghị sớm có hướng dẫn để TCTD tuân thủ quy định này; trong đó, kiến nghị quy định các thông tin nào mà chủ thể dữ liệu có thể chỉnh sửa, hoặc yêu cầu chỉnh sửa, quy định các dữ liệu nào thì chủ thể dữ liệu không được yêu cầu xóa/hủy.

Ngoài ra, Hiệp hội cũng kiến nghị quy định rõ thời gian chủ thể dữ liệu cần thông báo trước về việc rút lại sự đồng ý vì việc rút lại sự đồng ý của chủ thể dữ liệu có thể ảnh hưởng đến quá trình xử lý dữ liệu của bên xử lý dữ liệu, hoặc bên kiểm soát và xử lý dữ liệu, cần thời gian phối hợp giữa các bên để thực hiện.

Anh Minh