Tổng quan về Chỉ số HHI và Phân tích từ Báo cáo Thường niên của Cục Quản lý Cạnh tranh (2021-2023)
1. Hiểu về HHI và Vai trò của nó trong Luật Cạnh tranh tại Việt Nam Chỉ số Herfindahl-Hirschman (HHI)
Xử lý dữ liệu cá nhân là một hoạt động gắn liền với hoạt động sản xuất kinh doanh của doanh nghiệp. Trong bối cảnh các quy định pháp luật về bảo vệ dữ liệu cá nhân đã được ban hành và các quy định về chế tài xử phạt vi phạm hành chính trong lĩnh vực này đang dần được hoàn thiện, doanh nghiệp cần đặc biệt lưu ý để đảm bảo tuân thủ, cũng như tránh bị xử phạt hành chính trong quá trình xử lý dữ liệu cá nhân tại doanh nghiệp mình.
Nghị định số: 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (Nghị định 13) đã có hiệu lực thi hành từ ngày 01/07/2023. Theo đó, Nghị định này quy định nhiều nguyên tắc cũng như nghĩa vụ cho doanh nghiệp trong quá trình xử lý dữ liệu cá nhân, đó là: nghĩa vụ lấy được sự đồng ý của chủ thể dữ liệu; nghĩa vụ thông báo về việc xử lý dữ liệu cá nhân; nghĩa vụ lập và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài lên Bộ Công an v. v... Các quy định của Nghị định 13 không chỉ áp dụng đối với tổ chức, cá nhân Việt Nam, mà còn áp dụng đối với các tổ chức, cá nhân nước ngoài tại Việt Nam; tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Bên cạnh đó, Nghị định 13 còn áp dụng đối với việc xử lý dữ liệu cá nhân của công dân Việt Nam ở bên ngoài lãnh thổ Việt Nam. Nếu tổ chức, cá nhân vi phạm các quy định bảo vệ dữ liệu cá nhân thì tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Lấy một ví dụ đơn giản, nếu như trước đây, một nhân viên bán hàng có thể trao đổi danh thiếp với khách hàng, sau đó bổ sung các thông tin trên danh thiếp của khách hàng vào hệ thống danh sách được lưu hành trong nội bộ của công ty. Từ sau tháng 07/2023, hành vi sử dụng thông tin của khách hàng như vậy đòi hỏi phải có sự đồng ý của họ. Khách hàng cần phải biết thông tin của mình sẽ được sử dụng vào mục đích gì, như thế nào, và đồng ý với tất cả các hoạt động đó.
Để đảm bảo các quy định về bảo vệ dữ liệu cá nhân tại Nghị định 13 được thực thi, Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (Dự thảo), trong đó có các quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân, đã được lấy ý kiến và dự kiến sẽ được ban hành trong thời gian tới.
Dự thảo có thể được tìm thấy ở đây: Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (thuvienphapluat.vn)
Dự thảo này điều chỉnh các hành vi liên quan đến việc vi phạm nguyên tắc và nghĩa vụ bảo vệ dữ liệu cá nhân đã được quy định tại Nghị định 13, có thể kế đến: các hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân, vi phạm quyền của chủ thể dữ liệu, vi phạm các nghĩa vụ trong việc xử lý dữ liệu cá nhân, vi phạm các nghĩa vụ về đánh giá tác động xử lý dữ liệu cá nhân cũng như chuyển dữ liệu cá nhân ra nước ngoài.
Các vi phạm trong Dự thảo đều chịu các hình thức xử phạt tương tự hình thức xử phạt vi phạm hành chính trong các lĩnh vực khác. Cụ thể, các hình thức xử phạt tại Dự thảo bao gồm: phạt tiền, phạt bổ sung, và biện pháp khắc phục hậu quả. Có thể thấy rằng, hậu quả của các vi phạm về bảo vệ dữ liệu cá nhân có thể gây ra tác động lớn đến hoạt động của doanh nghiệp, với mức phạt tiền cao nhất lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam; hoặc hình thức phạt bổ sung là tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân; hoặc biện pháp khắc phục hậu quả như buộc ngừng xử lý dữ liệu cá nhân từ 01 đến 03 tháng, bị buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm, công khai xin lỗi trên các phương tiện thông tin đại chúng.
Một điểm doanh nghiệp cần lưu ý rằng mức phạt tiền quy định tại Dự thảo này là mức phạt tiền được áp dụng đối với hành vi vi phạm hành chính do cá nhân thực hiện. Đối với tổ chức có cùng hành vi vi phạm, mức phạt tiền gấp 02 (hai) lần mức phạt tiền đối với cá nhân.
Dự thảo cũng quy định, trong quá trình xử phạt hành chính, nếu cơ quan có thẩm quyền nhận thấy có dấu hiệu của tội phạm, cơ quan sẽ chuyển hồ sơ vụ việc vi phạm cho cơ quan tiến hành tố tụng hình sự có thẩm quyền để truy cứu trách nhiệm hình sự.
Trong phạm vi bài viết này, chúng tôi sẽ đề cập sâu hơn về 03 hành vi vi phạm có mức độ phạt tiền cao liên quan đến việc xử lý dữ liệu cá nhân trong hoạt động sản xuất kinh doanh của doanh nghiệp, đó là: Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo; Vi phạm quy định về thu thập, chuyển giao, mua bán trái phép dữ liệu cá nhân; và Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân.
Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo là việc doanh nghiệp sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo hoặc cung cấp thông tin của khách hàng trái với nguyên tắc xử lý dữ liệu cá nhân hoặc không chứng minh được việc sử dụng dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo. Đây là một thực trạng rất phổ biến hiện nay trong hoạt động kinh doanh tiếp thị; theo đó, doanh nghiệp sử dụng thông tin từ một bên mua bán dữ liệu và thực hiện quảng cáo, tiếp thị sản phẩm của mình tới các khách hàng đó. Theo quy định tại Dự thảo, đối với hành vi vi phạm từ lần 2 trở lên, doanh nghiệp có thể bị phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam, chưa kể đến các hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả khác.
Vì vậy, doanh nghiệp cần đặc biệt lưu ý trong quá trình xây dựng kế hoạch tiếp thị, quảng cáo của mình. Trước khi sử dụng các dữ liệu cá nhân của khách hàng để tiến hành quảng cáo sản phẩm, doanh nghiệp cần phải có sự đồng ý trước của khách hàng bằng văn bản, cùng với nội dung về việc sử dụng dữ liệu này trong hoạt động quảng cáo.
Vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân cũng có thể dẫn đến doanh nghiệp bị phạt tiền cao nhất 5% tổng doanh thu năm tài chính liền trước tại Việt Nam. Đó là các hành vi: (i) không áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình hoặc (ii) chuyển giao dữ liệu cá nhân không thuộc các trường hợp được phép luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân hoặc (iii) mua, bán trái phép dữ liệu cá nhân hoặc (iv) thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân. Theo đó, doanh nghiệp không được sử dụng dữ liệu cá nhân như một “sản phẩm” để mua, bán, nhằm tìm kiếm lợi nhuận, kể cả khi việc mua, bán này được chủ thể dữ liệu đồng ý. Bên cạnh đó, nếu dữ liệu cá nhân mà doanh nghiệp là bên kiểm soát/bên xử lý dữ liệu bị đối tượng bên ngoài thu thập trái phép, doanh nghiệp vẫn có thể bị phạt do không áp dụng các biện pháp bảo vệ dữ liệu cá nhân, không thiết lập các hệ thống phần mềm, biện pháp kỹ thuật. Nghị định 13 có quy định về việc áp dụng các biện pháp bảo vệ dữ liệu cá nhân tại Điều 26. Theo đó, trong hoạt động xử lý dữ liệu cá nhân, doanh nghiệp phải áp dụng không chỉ các biện pháp kỹ thuật mà còn pháp áp dụng các các biện pháp quản lý như: xây dựng quy định nội bộ về bảo vệ dữ liệu cá nhân, thành lập phòng/ban và chuyên viên chuyên trách về bảo vệ dữ liệu cá nhân.
Cuối cùng, một trong những nghĩa vụ đặc biệt mà doanh nghiệp cần lưu ý đó là lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Theo quy định tại Điều 24 và Điều 25, Nghị định 13, doanh nghiệp cần phải lập và nộp hồ sơ lên Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu cá nhân. Việc không lập và không nộp hồ sơ theo quy định có thể khiến doanh nghiệp bị phạt tiền cao nhất lên tới 200.000.000 VNĐ đối với từng lần vi phạm. Bên cạnh đó, nếu doanh nghiệp không báo cáo với Bộ Công an và dẫn đến hậu quả để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam, doanh nghiệp còn tiếp tục bị phạt tiền bằng 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.
Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng là một văn bản đang rất được mong chờ, đặc biệt là đối với các doanh nghiệp có hoạt động xử lý dữ liệu cá nhân. Việc tiếp cận nội dung của Dự thảo, biết được các hành vi sẽ được coi là vi phạm và sẽ bị xử phạt với từng mức phạt cụ thể tại Dự thảo sẽ giúp doanh nghiệp có kế hoạch để triển khai các hoạt động cần thiết, nhằm đảm bảo tuân thủ các quy định của Nghị định 13 cũng như tránh bị xử phạt hành chính khi Nghị định chính thức được ban hành.