GDPR Và Câu Hỏi Nền Tảng: Processing Activity Của Bạn Dựa Trên Cơ Sở Pháp Lý Nào?
Khi xây dựng chương trình GDPR compliance, một trong những bước đầu tiên, và thường bị bỏ qua, là xác định lawful basis cho từng processing activity. Đây không phải thủ tục hình thức: nếu chọn sai lawful basis, toàn bộ hoạt động xử lý dữ liệu đó trở nên không hợp pháp theo GDPR, bất kể các biện pháp bảo mật kỹ thuật có tốt đến đâu. GDPR Article 6 quy định 6 cơ sở pháp lý, mỗi cơ sở phù hợp với một nhóm tình huống cụ thể.
6 Lawful Basis: Tổng Quan Và Phạm Vi Áp Dụng
1. Consent: Data subject đã đồng ý rõ ràng cho mục đích xử lý cụ thể. Consent phải tự nguyện, cụ thể, được thông báo đầy đủ, và có thể rút lại bất cứ lúc nào. Đây là lựa chọn phù hợp cho marketing email, cookie analytics tùy chọn, hoặc các trường hợp không có mối quan hệ hợp đồng. Lưu ý: consent không phải lawful basis "mặc định", dùng khi thực sự cần.
2. Contract: Xử lý dữ liệu cần thiết để thực hiện hợp đồng với data subject, hoặc để thực hiện các bước theo yêu cầu của họ trước khi ký hợp đồng. Ví dụ điển hình: xử lý thông tin thanh toán, giao hàng, hoặc onboarding khách hàng.
3. Legal Obligation: Xử lý cần thiết để tuân thủ nghĩa vụ pháp lý. Lưu giữ hồ sơ thuế, báo cáo theo yêu cầu cơ quan quản lý, hoặc xác minh danh tính theo quy định AML đều thuộc nhóm này.
4. Vital Interests: Xử lý cần thiết để bảo vệ lợi ích thiết yếu của data subject hoặc người khác. Đây là cơ sở pháp lý hẹp, chủ yếu áp dụng trong các tình huống khẩn cấp y tế khi không thể xin consent.
5. Public Task: Xử lý cần thiết để thực hiện nhiệm vụ vì lợi ích công cộng hoặc thực thi quyền hạn nhà nước. Cơ sở này chủ yếu áp dụng cho cơ quan công quyền, ít liên quan đến doanh nghiệp tư nhân.
6. Legitimate Interests: Xử lý cần thiết cho lợi ích hợp pháp của controller hoặc bên thứ ba, trừ khi lợi ích đó bị overridden bởi quyền lợi của data subject. Đây là cơ sở linh hoạt nhất nhưng cũng đòi hỏi Legitimate Interests Assessment (LIA) cẩn thận.
Cách Chọn Đúng Lawful Basis Cho Từng Trường Hợp
Không có công thức cứng nhắc, nhưng có một số nguyên tắc thực tế:
Bắt đầu từ mục đích, không phải từ dữ liệu. Hỏi: "Tại sao chúng ta cần xử lý thông tin này?", câu trả lời sẽ dẫn đến lawful basis phù hợp hơn là nhìn vào loại dữ liệu.
Không xếp chồng nhiều lawful basis cho cùng một mục đích. GDPR không cho phép "dự phòng", nếu ban đầu bạn tuyên bố dùng consent, sau đó không thể chuyển sang legitimate interests khi người dùng rút lại consent.
Legitimate interests đòi hỏi three-part test: (1) Xác định lợi ích hợp pháp cụ thể; (2) Chứng minh xử lý là cần thiết cho lợi ích đó; (3) Cân bằng với quyền và kỳ vọng hợp lý của data subject. Kết quả test này phải được ghi chép lại trong LIA.
Một số tình huống thường gặp trong doanh nghiệp Việt Nam có hoạt động quốc tế:
- HR data của nhân viên → thường kết hợp contract và legal obligation
- Direct marketing → consent hoặc legitimate interests (tùy mối quan hệ với khách hàng)
- Fraud prevention → legitimate interests (sau khi LIA)
- Payroll, thuế → legal obligation
Tài Liệu Hóa: Bước Không Thể Thiếu
Chọn đúng lawful basis chưa đủ, GDPR accountability principle yêu cầu bạn ghi chép quyết định đó và lý do. Trong Record of Processing Activities (RoPA), mỗi processing activity cần có lawful basis được ghi rõ. Nếu dùng legitimate interests, LIA tương ứng phải được lưu trữ và có thể xuất trình khi cơ quan giám sát yêu cầu.
Việc thiếu tài liệu hóa, ngay cả khi thực tế bạn chọn đúng lawful basis, vẫn có thể bị coi là vi phạm nghĩa vụ accountability.
FAQ
Tôi có thể dùng consent cho tất cả mọi thứ để đơn giản hóa không? Không khuyến khích. Consent phù hợp khi xử lý thực sự tùy chọn và data subject có lựa chọn thực sự. Dùng consent cho dữ liệu cần thiết để thực hiện hợp đồng sẽ tạo ra rủi ro pháp lý khi người dùng rút lại consent.
Legitimate interests có áp dụng được cho SME không? Có, nhưng LIA vẫn bắt buộc. Quy mô doanh nghiệp không loại trừ nghĩa vụ này.
Nếu tôi không chắc chọn cơ sở nào, làm sao quyết định? Tham khảo hướng dẫn của ICO (Information Commissioner's Office) hoặc EDPB, đồng thời ghi chép lại quá trình phân tích. Documented reasoning quan trọng hơn việc "chọn đúng hoàn toàn."
Quản lý lawful basis cho nhiều processing activity cùng lúc là bài toán tổ chức phức tạp, đặc biệt khi dữ liệu thay đổi mục đích hoặc có bên thứ ba tham gia. pTrackly giúp doanh nghiệp lưu trữ và theo dõi lawful basis trong RoPA, liên kết trực tiếp với LIA và các tài liệu accountability liên quan, để compliance không nằm rải rác trong spreadsheet.
pTrackly giúp bạn triển khai GDPR nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí