Trong kỷ nguyên số, dữ liệu khách hàng được ví như "mỏ vàng" của doanh nghiệp. Tuy nhiên, việc khai thác mỏ vàng này nếu không tuân thủ đúng quy định pháp luật có thể dẫn đến những hệ lụy nghiêm trọng về pháp lý và uy tín. Đặc biệt, với sự ra đời của các quy định mới về bảo vệ dữ liệu cá nhân, các công ty cổ phần cần đặc biệt lưu ý các quy tắc "vàng" khi tiến hành thu thập thông tin khách hàng.

1. Xây dựng chính sách bảo vệ thông tin minh bạch

Theo quy định tại Luật Bảo vệ quyền lợi người tiêu dùng 2023 và Nghị định 52/2013/NĐ-CP, doanh nghiệp phải xây dựng và hiển thị rõ ràng chính sách bảo vệ thông tin trước khi thu thập dữ liệu.

Chính sách này không được viết chung chung mà phải bao gồm các nội dung cốt lõi:

• Mục đích cụ thể: Thông tin được dùng để làm gì? (Giao hàng, chăm sóc khách hàng hay quảng cáo?).
• Phạm vi sử dụng: Ai là người được tiếp cận dữ liệu này?
• Thời gian lưu trữ: Dữ liệu sẽ được giữ trong bao lâu?
• Quyền của khách hàng: Cách thức để người dùng tiếp cận, chỉnh sửa hoặc yêu cầu xóa dữ liệu cá nhân.

Nếu doanh nghiệp vận hành website thương mại điện tử, chính sách này bắt buộc phải được công bố tại vị trí dễ nhìn thấy nhất, đảm bảo khách hàng có thể đọc được trước khi nhấn nút "Đăng ký" hoặc "Mua hàng".

2. Nguyên tắc "Xin phép trước khi thu thập"

Một trong những thay đổi quan trọng nhất trong hành lang pháp lý hiện nay là quyền kiểm soát dữ liệu của chủ thể. Theo Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu cá nhân phải được sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp đặc biệt.

Doanh nghiệp cần thiết lập cơ chế để khách hàng bày tỏ sự đồng ý một cách tự nguyện và rõ ràng. Việc sử dụng các ô tích chọn (checkbox) đã được tích sẵn là hành vi không được khuyến khích và có thể bị coi là vi phạm nếu không chứng minh được sự tự nguyện của người dùng.

Các trường hợp ngoại lệ không cần xin phép bao gồm:

• Thu thập thông tin để thực hiện nghĩa vụ theo hợp đồng mua bán hàng hóa, dịch vụ.
• Thông tin đã được chủ thể công khai trên các nền tảng thương mại điện tử.
• Phục vụ việc tính giá, cước sử dụng dịch vụ trên môi trường mạng.

3. Trách nhiệm bảo đảm an toàn và an ninh dữ liệu

Không chỉ dừng lại ở việc thu thập, doanh nghiệp còn phải chịu trách nhiệm bảo vệ dữ liệu đó khỏi các nguy cơ bị đánh cắp hoặc truy cập trái phép. Điều này đòi hỏi các công ty cổ phần phải đầu tư vào hệ thống hạ tầng kỹ thuật và quy trình quản lý nội bộ chặt chẽ.

Trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất thông tin của người tiêu dùng, đơn vị lưu trữ thông tin phải thông báo cho cơ quan chức năng trong vòng 24 giờ sau khi phát hiện sự cố.

Việc chậm trễ trong thông báo hoặc lơ là trong công tác bảo mật không chỉ khiến doanh nghiệp đối mặt với các án phạt hành chính nặng nề mà còn có thể bị kiện bồi thường thiệt hại theo quy định của Bộ luật Dân sự 2015.

Lời khuyên cho doanh nghiệp

Để tối ưu hóa hoạt động kinh doanh mà vẫn đảm bảo an toàn pháp lý, các công ty cổ phần nên thực hiện rà soát lại toàn bộ quy trình thu thập dữ liệu hiện tại. Hãy đảm bảo rằng mọi điểm chạm với khách hàng đều có sự hiện diện của các điều khoản bảo mật rõ ràng và cơ chế phản hồi khiếu nại nhanh chóng. Việc tuân thủ pháp luật không chỉ là nghĩa vụ mà còn là cách tốt nhất để xây dựng niềm tin bền vững với khách hàng trong thời đại số.