Ngân hàng “kêu trời” vì khó triển khai Nghị định 13 về bảo vệ dữ liệu cá nhân

Tại Tọa đàm “Triển khai Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân” do Hiệp hội ngân hàng Việt Nam (VNBA) tổ chức, các tổ chức tín dụng đã chỉ ra nhiều vướng mắc, khó khăn trong quá trình triển khai Nghị định.

Thay mặt các ngân hàng, đại diện Câu lạc bộ Pháp chế ngân hàng thuộc VNBA đã chỉ ra 4 nhóm vấn đề lớn mà các tổ chức tín dụng gặp phải khi triển khai Nghị định 13.

Thứ nhất, Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác (khoản 2 Điều 3 và khoản 1 Điều 9); Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình (khoản 2 Điều 9); Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác (điều 9).

Trong khi đó, theo hệ thống văn bản pháp luật lĩnh vực ngân hàng thì toàn bộ các hoạt động thu thập, xử lý dữ liệu khách hàng nói chung, khách hàng cá nhân nói riêng được quy định ở các văn bản quy phạm pháp luật cấp độ dưới luật. Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu cá nhân tác động tới dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi… không chỉ để cung cấp dịch vụ cho khách hàng mà còn để quản lý hoạt động ngân hàng và quản lý rủi ro, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không phải cần sự chấp thuận của khách hàng. Do vậy, các ngân hàng cho rằng với quy định Nghị định 13 sẽ rất vướng mắc nếu áp dụng cứng nhắc và không có sự thống nhất giữa Bộ Công an và Ngân hàng Nhà nước.

Thứ hai, Nghị định 13 yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý (Điều 11); trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13).

Tuy nhiên, theo các ngân hàng việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn.

Do đó, đại diện Câu lạc bộ Pháp chế ngân hàng cho rằng để tuân thủ đầy đủ các quy định tại Nghị định 13, dường như không khả thi và khó có thể thực hiện đối với hoạt động ngân hàng. Mặt khác, các quy trình xử lý dữ liệu của ngân hàng thay đổi thì phải có sự chấp thuận của khách hàng, điều này cũng gây khá nhiều khó khăn, vướng mắc cho các tổ chức tín dụng, dẫn đến việc kéo dài thời gian, tiến độ khi cung cấp dịch vụ đến khách hàng do phải tăng thêm các bước vận hành.

Thứ ba, để đảm bảo đáp ứng quy định của Nghị định 13, các tổ chức tín dụng phải chỉnh sửa hệ thống công nghệ thông tin, các quy định nội bộ, các mẫu biểu hợp đồng, văn bản, thỏa thuận để đảm bảo các nội dung về bảo vệ dữ liệu cá nhân của khách hàng. Tuy nhiên, một số điều khoản trong Nghị định 13 hiện nay đang được diễn đạt khá chung chung và mang tính định tính. Hơn nữa, thời gian ban hành Nghị định và thời gian có hiệu lực quá ngắn nên gây khó khăn cho hệ thống các tổ chức tínd dụng trong việc rà soát và điều chỉnh.

Thứ tư, một số quy định chưa phù hợp với lĩnh vực ngân hàng cần thống nhất cách hiểu và áp dụng. Chẳng hạn: về các chủ thể tham gia vào quy trình xử lý dữ liệu cá nhân của khách hàng; chuyển giao quyền, nghĩa vụ trong Hợp đồng/thỏa thuận; đồng ý xử lý dữ liệu một phần; về Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; quyền của các chủ thể dữ liệu; yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu... Theo đại diện Câu lạc bộ Pháp chế ngân hàng, những nội dung này cần có sự hướng dẫn để thống nhất cách hiểu và áp dụng.