Miễn trừ áp dụng Luật DLCN cho startup

Doanh nghiệp nhỏ có thật sự được miễn trừ theo Luật Dữ liệu mới? Lưu CV, dùng máy chấm công vân tay có thể khiến bạn mất quyền miễn trừ và phải lập hồ sơ chuyển dữ liệu xuyên biên giới

Bạn là một doanh nghiệp nhỏ (SMB) hay startup? Bạn thở phào nhẹ nhõm khi nghe nói Luật Bảo vệ Dữ liệu Cá nhân (Luật DLCN) mới có “giai đoạn ân hạn” 5 năm cho các doanh nghiệp nhỏ?

Nếu vậy, bạn cần đọc bài viết này ngay lập tức. Bởi vì rất có thể, sự miễn trừ mà bạn nghĩ rằng mình đang có thực chất không hề tồn tại.

Tin tốt trên giấy tờ

Luật DLCN, trong một nỗ lực giảm gánh nặng tuân thủ, tại khoản 2 Điều 38 đã đưa ra một điều khoản cho phép các doanh nghiệp nhỏ, siêu nhỏ và startup được lựa chọn không phải thực hiện một số nghĩa vụ phức tạp nhất, ví dụ như lập các Hồ sơ Đánh giá Tác động xử lý và chuyển dữ liệu xuyên biên giới. Về lý thuyết, đây là một chính sách hợp lý, giúp các doanh nghiệp nhỏ có thời gian để thích ứng.

Vấn đề nằm ở chỗ, sự miễn trừ này đi kèm với những điều kiện vô hiệu hóa cực kỳ nghiêm ngặt. Tấm khiên bảo vệ của bạn sẽ biến mất ngay lập tức nếu bạn vi phạm dù chỉ một trong ba loại trừ: (i) kinh doanh dịch vụ xử lý dữ liệu cá nhân, (ii) trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc (iii) xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.

Trong khi loại trừ (i) và (iii) khá rõ ràng để phòng ngừa, loại trừ (ii) lại là một cái bẫy pháp lý mà các SMB sẽ sập phải một cách vô tình.

Vì sao doanh nghiệp của bạn gần như chắc chắn đang xử lý dữ liệu nhạy cảm

Nhiều chủ doanh nghiệp nghĩ rằng: “Công ty tôi chỉ kinh doanh thông thường, làm gì có dữ liệu nhạy cảm.” Đây là một suy nghĩ nguy hiểm, bởi vì định nghĩa của luật rất rộng, và hành vi “xử lý” còn rộng hơn nữa.

Hãy nhớ rằng, “xử lý” theo luật bao gồm cả việc thu thập, ghi, và LƯU TRỮ (khoản 6 Điều 2). Chỉ cần dữ liệu nằm trên hệ thống của bạn (hoặc hệ thống bạn thuê để sử dụng), bạn đã là người xử lý.

Hãy xem xét các kịch bản kinh doanh hàng ngày:

  • Tuyển dụng: Bạn nhận được một CV. Ứng viên ghi “Tôn giáo: Phật giáo” hoặc đính kèm một bức ảnh thẻ (có thể được xem là dữ liệu sinh trắc học). Ngay lập tức, bạn đang lưu trữ dữ liệu nhạy cảm.
  • Quản lý nhân sự: Một nhân viên gửi email xin nghỉ ốm kèm theo giấy khám sức khỏe (dữ liệu sức khỏe). Công ty bạn dùng máy chấm công vân tay (dữ liệu sinh trắc học).
  • Kinh doanh: Bạn lưu thông tin tài khoản ngân hàng của khách hàng trong hệ thống CRM hoặc phần mềm kế toán (dữ liệu tài chính).

Trong tất cả các trường hợp trên, dù chỉ là một hành động đơn lẻ và vô tình, doanh nghiệp của bạn đã chính thức trở thành một đơn vị “xử lý dữ liệu cá nhân nhạy cảm”. Và quyền miễn trừ 5 năm của bạn đã không còn hiệu lực.

Cú đánh bồi: Vấn đề khi dùng dịch vụ nước ngoài (Gmail, Notion, Slack…)

Khi tấm khiên “miễn trừ” biến mất, bạn sẽ phải đối mặt trực diện với một trong những quy định phức tạp nhất của luật: Chuyển dữ liệu xuyên biên giới.

Hầu hết các SMB tại Việt Nam đều dựa vào các dịch vụ đám mây quốc tế để vận hành: Google Workspace cho email, Notion cho quản lý dự án, Slack để giao tiếp, Microsoft 365 cho công việc văn phòng. Khi nhân viên của bạn sử dụng các công cụ này, dữ liệu cá nhân của khách hàng và của chính nhân viên (bao gồm cả các dữ liệu nhạy cảm trong CV, email) đang được chuyển và lưu trữ trên các máy chủ ở nước ngoài.

Lúc này, bạn phải tuân thủ một quy trình 4 bước cực kỳ nghiêm ngặt:

  1. Có sự đồng ý của chủ thể dữ liệu về việc dữ liệu của họ bị chuyển ra nước ngoài.
  2. Lập Hồ sơ Đánh giá Tác động Chuyển dữ liệu Xuyên biên giới.
  3. Nộp hồ sơ cho Cục An ninh mạng (A05) trong vòng 60 ngày.
  4. Có hợp đồng rõ ràng về trách nhiệm bảo vệ dữ liệu với nhà cung cấp nước ngoài.

Hãy tự hỏi: Doanh nghiệp của bạn đã làm những điều này chưa?

Đừng chờ đến khi quá muộn

Sự miễn trừ cho startup, SMB trong Luật DLCN giống như một chiếc ô nhỏ trong cơn bão lớn, nó có thể giúp bạn che được vài giọt mưa, nhưng nếu một cơn gió mạnh (dữ liệu nhạy cảm) thổi qua, nó sẽ trở nên vô dụng.

Hậu quả của việc mất quyền miễn trừ mà không biết là rất lớn: bạn có thể đang vi phạm quy định về chuyển dữ liệu xuyên biên giới mỗi ngày, và có nguy cơ bị thanh tra, yêu cầu dừng hoạt động, và đối mặt với các chế tài.

Đừng chờ đợi. Hãy hành động ngay hôm nay: rà soát lại toàn bộ các loại dữ liệu bạn đang lưu trữ, đặc biệt là trong các hệ thống nhân sự và CRM. Đánh giá lại các dịch vụ của bên thứ ba bạn đang sử dụng. Và quan trọng nhất, hãy bắt đầu xây dựng các quy trình tuân thủ ngay từ bây giờ. Đừng để sự thiếu hiểu biết biến một chính sách hỗ trợ thành một rủi ro pháp lý cho chính doanh nghiệp của bạn.

Tags

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *