Những lưu ý dành cho doanh nghiệp khi thu thập, xử lý dữ liệu cá nhân của khách hàng

Thu thập và phân tích dữ liệu khách hàng là cách hiệu quả để một tổ chức/doanh nghiệp định hình chân dung khách hàng. Tuy nhiên, khai thác, bảo mật dữ liệu khách hàng luôn là vấn đề nhạy cảm. Dưới đây là năm lưu ý dành cho tổ chức/doanh nghiệp khi tiến hành thu thập, phân tích dữ liệu khách hàng.  

Dữ liệu cá nhân là gì? 

Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân được ban hành  nhằm bảo vệ dữ liệu cá nhân tại Việt Nam, giảm thiểu tối đa những nguy cơ và hệ quả của các hành vi xâm phạm dữ liệu cá nhân. 

Căn cứ vào Điều 2, Nghị định Bảo vệ Dữ liệu cá nhân, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 

• Dữ liệu cá nhân cơ bản bao gồm: họ tên khai sinh; ngày, tháng, năm sinh/năm mất/mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; hình ảnh của cá nhân; số điện thoại, các loại số giấy tờ liên quan,…; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; 

• Dữ liệu cá nhân nhạy cảm bao gồm: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe; nguồn gốc chủng tộc, nguồn gốc dân tộc; đặc điểm di truyền; đặc điểm sinh học riêng; đời sống tình dục; dữ liệu về vị trí; dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; thông tin khách hàng của tổ chức tín dụng… 

Quyền và nghĩa vụ của chủ thể dữ liệu  

Quyền và nghĩa vụ của chủ thể dữ liệu được ghi chép chi tiết trong Điều 9 và 10 của Nghị định 13.  

Theo đó, chủ thể dữ liệu có quyền: được biết; đồng ý/rút lại sự đồng ý; truy cập (xem, chỉnh sửa, yêu cầu chỉnh sửa); xoá dữ liệu; hạn chế/phản đối xử lý; cung cấp dữ liệu; khiếu nại, tố cáo, khởi kiện; yêu cầu bồi thường thiệt hại và tự bảo vệ.  

Nghĩa vụ của chủ thể dữ liệu bao gồm:  

• Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình
• Tôn trọng, bảo vệ dữ liệu cá nhân của người khác 
• Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân 
• Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân 
• Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân 

Quy định về bảo vệ dữ liệu cá nhân được quy định tại Mục 2, Nghị định 13, theo đó:  

• Sự đồng ý của chủ thể dữ liệu thể hiện ở sự rõ ràng và tự nguyện, chủ thể được biết đủ thông tin (dữ liệu được xử lý, mục đích xử lý…). Và sự đồng ý phải được thể hiện dưới dạng có thể in hoặc sao chép được như văn bản, giọng nói, đánh dấu vào ô đồng ý, gửi tin nhắn xác nhận đồng ý… 
• Chủ thể có thể rút lại sự đồng ý  
• Thông báo cho chủ thể dữ liệu về quá trình xử lý dữ liệu  
• Chủ thể được yêu cầu các bên kiểm soát, xử lý dữ liệu cung cấp cho bản thân dữ liệu cá nhân của mình. 
• Chủ thể có thể truy cập để xem và chỉnh sửa dữ liệu cá nhân.  
• Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp được quy định.  

Những dữ liệu khách hàng tưởng chừng đơn giản mà các tổ chức, doanh nghiệp đang thu thập hàng ngày qua các công cụ, chương trình, chính sách ưu đãi, nếu không được sự cho phép của chủ thể, vô tình có thể đang vi phạm pháp luật. 

5 lưu ý doanh nghiệp cần nắm được khi thu thập, xử lý dữ liệu khách hàng theo Nghị định 13 của Chính phủ 

Các hành vi bị nghiêm cấm  

Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. 

Điều 8 của Nghị định quy định các hành vi bị nghiêm cấm, gồm:  

• – Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân. 
• – Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. 
• – Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác. 
• – Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền. 
• – Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật. 

Phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em 

Nghị định nêu rõ, xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em. 

Theo đó, việc xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định, trừ trường hợp quy định tại Điều 17.  

Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em. Nghị định cũng quy định một số trường hợp các bên phải ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em (trừ trường hợp pháp luật có quy định khác). 

Cụ thể là trường hợp xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý; cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em; hoặc theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em. 

Vi phạm quy định bảo vệ dữ liệu cá nhân có thể xử lý hình sự 

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính và xử lý hình sự theo quy định. 

Các trường hợp dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể dữ liệu

 Nội dung này được quy định cụ thể trong điều 17, Nghị định 13, có 5 trường hợp cho phép xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu:  

• Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này. 
• Việc công khai dữ liệu cá nhân theo quy định của luật. 
• Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật. 
• Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật. 
• Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. 

Trách nhiệm của Bên Xử lý dữ liệu cá nhân 

Căn cứ điều 39, Nghị định 13, các bên xử lý dữ liệu cá nhân phải có trách nhiệm: 

• Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân. 
• Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân. 
• Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan. 
• Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. 
• Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu. 
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân. 

SAVIS CDP 360 Big Data – Hệ thống thu thập, phân tích dữ liệu khách hàng toàn diện, đáp ứng Nghị định 13 

SAVIS CDP 360 Big Data là giải pháp do SAVIS Group phát triển, giúp thu thập, phân tích một cách hợp pháp các dữ liệu khách hàng, quản lý, cung cấp định danh người dùng trên toàn bộ các hệ thống quản trị doanh nghiệp, mạng xã hội, các dịch vụ Internet, OTT, cũng như kết nối với hệ thống định danh của bên thứ ba theo thời gian thực.  

SAVIS CDP 360 Big Data đáp ứng tuyệt đối với các quy định trong Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân bằng cách chỉ thu thập thông tin đã được sự chấp thuận của khách hàng cũng như thực hiện đầy đủ các biện pháp bảo vệ dữ liệu khách hàng.  

Không chỉ tuân thủ chặt chẽ các quy định của pháp luật hiện hành, SAVIS CDP 360 BIG DATA có những tính năng vượt trội:  

• – Giao diện thân thiện, trải nghiệm trực quan: dữ liệu khách hàng tổng hợp trên một trang tổng quan duy nhất với chế độ xem đa chiều.   
• – Tạo báo cáo, tương tác với chức năng kéo thả đơn giản.   
• – Sử dụng công nghệ AI, hỗ trợ trích xuất thông tin, tạo ra thông tin chi tiết từ dữ liệu khách hàng.   
• – Xem khách hàng 360 độ: bắt đầu từ khách truy cập ẩn danh, khách đã biết, khách mua hàng, khách hàng quay lại và khách hàng trung thành.   
• – Quản lý thông tin linh hoạt: quản lý đa dạng cấu trúc dữ liệu, tích hợp dữ liệu từ nhiều hệ thống nguồn, hỗ trợ nhiều cấp truy cập dữ liệu.   
• – Dễ dàng kết nối với các hệ thống, phần mềm khác qua open API.   

Kết nối ngay với chuyên gia của SAVIS để tìm hiểu thêm về SAVIS CDP 360 BIG DATA.