Tuân thủ bảo vệ dữ liệu cá nhân của công ty thương mại điện tử

Trong thời đại số hóa, dữ liệu cá nhân trở thành một tài sản quan trọng của công ty thương mại điện tử. Việc thu thập, xử lý và lưu trữ thông tin khách hàng không chỉ giúp doanh nghiệp cá nhân hóa trải nghiệm người dùng. Mà còn tạo ra lợi thế cạnh tranh trên thị trường. Bên cạnh đó, công ty phải đối mặt với rủi ro pháp lý nếu không tuân thủ quy định. Đặc biệt là quy định về bảo vệ dữ liệu cá nhân. Dẫn đến hậu quả nghiêm trọng như mất uy tín, xử phạt tài chính và trách nhiệm pháp lý. Vì vậy, hiểu và tuân thủ pháp luật bảo vệ dữ liệu cá nhân là điều tối quan trọng đối với các doanh nghiệp thương mại điện tử.

Trong phạm vi bài viết này, VDPC sẽ làm rõ Tuân thủ bảo vệ dữ liệu cá nhân của công ty thương mại điện tử.

1. Tuân thủ pháp luật bảo vệ dữ liệu cá nhân khách hàng của công ty thương mại điện tử

1.1. Xây dựng chính sách bảo mật dữ liệu:

Căn cứ pháp lý: Khoản 2 Điều 27 Nghị định 13/2023/NĐ-CP

• Soạn thảo và công khai một chính sách bảo mật rõ ràng.
• Nêu chi tiết cách thức thu thập, lưu trữ, xử lý, chia sẻ và xóa dữ liệu cá nhân của khách hàng khi khách hàng thực hiện việc mua sản phẩm của công ty.
• Chính sách phải giải thích rõ mục đích, phạm vi sử dụng, thời gian lưu trữ dữ liệu.

1.2. Xây dựng quy trình nội bộ của công ty thương mại điện tử:

Căn cứ pháp lý: Khoản 2 Điều 27 Nghị định 13/2023/NĐ-CP

Xây dựng các quy trình xử lý dữ liệu theo đúng yêu cầu của pháp luật. Bao gồm:

• Lấy sự đồng ý từ khách hàng.
• Xử lý yêu cầu của khách hàng (như yêu cầu truy cập, chỉnh sửa hay xóa địa chỉ, số điện thoại,…).
• Và quy trình ứng phó sự cố bảo mật.

1.3. Đảm bảo cơ chế lấy sự đồng ý:

Căn cứ pháp lý: Điều 11 Nghị định 13/2023/NĐ-CP

Tiếp tục áp dụng các giải pháp lấy sự đồng ý (checkbox, thông báo rõ ràng trên website hay ứng dụng) trước khi khách hàng thực hiện mua sản phẩm.

1.4. Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

Căn cứ pháp lý: Điều 24 Nghị định 13/2023/NĐ-CP

Khi có yêu cầu thông qua hợp đồng với Bên kiểm soát dữ liệu là các sàn điện tử thì mới thực hiện lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (bao gồm cả trường hợp công ty thực hiện việc chuyển dữ liệu cá nhân của khách hàng ra nước ngoài). Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn. Để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Và gửi Bộ Công an 01 bản chính trong 60 ngày kể từ ngày tiến hành xử lý dữ liệu.

1.5. Giám sát và báo cáo:

Căn cứ pháp lý: Khoản 1 Điều 38 Nghị định 13/2023/NĐ-CP

Triển khai hệ thống giám sát an ninh mạng để phát hiện sớm các hành vi truy cập trái phép hoặc bất thường. Đồng thời xây dựng kế hoạch ứng phó nhanh chóng khi xảy ra sự cố.

1.6. Hợp đồng rõ ràng và yêu cầu tuân thủ đối với bên thứ 3:

Căn cứ pháp lý: Khoản 4 Điều 38 và Điều 41 Nghị định 13/2023/NĐ-CP

Khi làm việc với các nền tảng thương mại điện tử (Shopee, TikTok, Facebook) và các đơn vị vận chuyển (như J&T Express), cần ký kết hợp đồng quy định rõ trách nhiệm và nghĩa vụ của các bên về bảo vệ dữ liệu cá nhân như việc đảm bảo các dữ liệu về địa chỉ, tên,… của khách hàng mà sàn TMĐT cung cấp là chính xác hay đơn vị vận chuyển có trách nhiệm đảm bảo không để lộ thông tin địa chỉ của khách hàng,…

1.7. Các yếu tố khác:

Căn cứ pháp lý: Điểm a Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP

• Đào tạo nhân viên. Tổ chức các buổi đào tạo định kỳ cho toàn bộ nhân viên về các quy định bảo vệ dữ liệu cá nhân, an ninh thông tin và các biện pháp phòng chống tấn công mạng.
• Nâng cao nhận thức. Cập nhật các chính sách, quy trình và tổ chức các buổi hướng dẫn cụ thể để nhân viên hiểu được tầm quan trọng của việc bảo vệ thông tin khách hàng và các hậu quả pháp lý khi vi phạm.

2. Nếu không tuân thủ thì công ty thương mại điện tử bị xử phạt như thế nào?

Tùy theo mức độ công ty có thể bị xử phạt vi phạm hành chính, xử lý hình sự.

2.1. Xử phạt vi phạm hành chính:

Căn cứ pháp lý: Mục 2 Chương 2 Dự thảo quy định xử phạt VPHC trong lĩnh vực an ninh mạng 2024.

Tại Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, cơ quan chức năng đã đề xuất quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân như sau:

Phạt tiền với các mức: Khác nhau tùy từng hành vi và phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

Bên cạnh đó, còn bị áp dụng các hình thức phạt bổ sung như:

• Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 1-3 tháng;
• Tịch thu tang vật, phương tiện vi phạm hành chính;
• Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 1-3 tháng;
• Trục xuất khỏi lãnh thổ Việt Nam đối với người nước ngoài.

Đồng thời, còn phải thực hiện các biện pháp khắc phục hậu quả:

• Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân;
• Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm;
• Công khai xin lỗi trên các phương tiện thông tin đại chúng…

2.2. Bồi thường thiệt hại theo quy định pháp luật về dân sự (nếu có):

Tùy thuộc vào từng trường hợp cụ thể, nếu để xảy ra thiệt hại cho khách hàng do việc vi phạm quy định về bảo vệ thông tin cá nhân, nhân thân, địa chỉ, số điện thoại của Khách hàng, v.v. gây thiệt hại cho Khách hàng, doanh nghiệp có thể sẽ phải bồi thường cho Khách hàng theo quy định pháp luật về dân sự.

3. Trách nhiệm của người lao động khi không tuân thủ bảo vệ dữ liệu cá nhân

Đối với cá nhân người lao động của doanh nghiệp có thể phải chịu trách nhiệm:

• Xử lí kỉ luật:

Đối với cá nhân vi phạm trong công ty, hành vi vi phạm có thể bị xử lí kỉ luật nội bộ. Chế tài này áp dụng cho toàn bộ nhân viên và người lao động trong công ty. Việc xử lý có thể bao gồm cảnh cáo, khiển trách, đình chỉ công tác hoặc thậm chí buộc thôi việc tùy theo mức độ nghiêm trọng của hành vi và quy định tại nội quy lao động của doanh nghiệp.

• Xử phạt vi phạm hành chính:

Trường hợp người lao động vi phạm cũng có thể bị xử phạt theo quy định tùy thuộc vào hành vi, mức độ vi phạm.

• Xử lý hình sự:

Trong những trường hợp vi phạm nghiêm trọng, cá nhân vi phạm rất có thể sẽ bị truy cứu trách nhiệm hình sự theo quy định của Bộ luật Hình sự 2015.

Như vậy,

Trong thương mại điện tử, bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm pháp lý. Đây còn là yếu tố cốt lõi để xây dựng lòng tin với khách hàng. Việc tuân thủ các quy định pháp luật giúp doanh nghiệp tránh các rủi ro về tài chính và pháp lý. Đồng thời nâng cao uy tín trên thị trường. Doanh nghiệp cần không ngừng cải thiện chính sách bảo mật, đầu tư vào công nghệ bảo vệ dữ liệu. Và đào tạo nhân viên để đảm bảo an toàn thông tin khách hàng. Chỉ khi thực hiện tốt những điều này, doanh nghiệp mới có thể phát triển bền vững trong thời đại số hóa và tạo dựng một môi trường thương mại điện tử minh bạch, an toàn cho người tiêu dùng.

Trên đây là nội dung tư vấn về Trách nhiệm của Công ty thương mại điện tử về việc bảo vệ dữ liệu cá nhân của khách hàng.  Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 098.159.5243

Xem thêm:

• Hoạt động kinh doanh liên quan đến dữ liệu cá nhân nhạy cảm
• Hướng dẫn đăng ký tài khoản định danh điện tử cho doanh nghiệp
• Trách nhiệm của Công ty TMĐT khi xử lý dữ liệu khách hàng
• Chủ thể dữ liệu cá nhân theo pháp luật Việt Nam và Quốc tế
• Thủ tục thông báo gửi hồ sơ đánh giá tác động dữ liệu cá nhân