DỮ LIỆU CÁ NHÂN TRONG NGÂN HÀNG: HƯỚNG DẪN TUÂN THỦ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025

Dữ liệu cá nhân trong ngân hàng theo Luật BVDLCN 2025: Yêu cầu khi thu thập, xử lý và bảo vệ dữ liệu cá nhân trong hoạt động tài chính – ngân hàng và và đảm bảo quyền lợi của khách hàng.

Đặc thù dữ liệu cá nhân trong lĩnh vực tài chính – ngân hàng

Trong các lĩnh vực xử lý dữ liệu cá nhân (DLCN), tài chính – ngân hàng được xem là một trong những môi trường nhạy cảm nhất vì dữ liệu được xử lý không chỉ phản ánh đặc điểm nhận diện cơ bản của khách hàng mà còn gắn liền trực tiếp với tài sản, thu nhập, khả năng tín dụng và mức độ uy tín tài chính của mỗi cá nhân.

Các loại dữ liệu thường được thu thập trong hoạt động ngân hàng gồm: thông tin định danh (như họ tên, ngày sinh, số định danh cá nhân, hộ chiếu), dữ liệu tài khoản (như số tài khoản, thẻ tín dụng, giao dịch), thông tin tín dụng (như lịch sử vay, dư nợ, chấm điểm tín dụng) và cả dữ liệu sinh trắc học phục vụ định danh điện tử (eKYC). Khối lượng lớn, tính nhạy cảm và mức độ rủi ro cao khi xảy ra sự cố của dữ liệu cá nhân trong ngân hàng khiến yêu cầu về bảo mật dữ liệu trở nên cấp thiết hơn bao giờ hết.

Thu thập và sử dụng dữ liệu cá nhân trong tài chính – ngân hàng

Theo Điều 27 Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025), các tổ chức tín dụng (TCTD) chỉ được phép thu thập những dữ liệu cần thiết, phục vụ cho hoạt động tín dụng và ngân hàng, từ các nguồn hợp pháp.

Điều 27 Luật BVDLCN 2025 cũng yêu cầu việc sử dụng thông tin tín dụng để chấm điểm, xếp hạng hay đánh giá khách hàng chỉ được phép tiến hành trên cơ sở sự đồng ý của khách hàng. Quy định này thống nhất với pháp luật chuyên ngành ngân hàng, rằng việc trao đổi thông tin tín dụng giữa TCTD và công ty thông tin tín dụng – cũng như việc cung cấp sản phẩm thông tin tín dụng dựa trên dữ liệu định danh của khách hàng – chỉ hợp pháp khi khách hàng vay chấp thuận bằng văn bản theo mẫu quy định. Cách tiếp cận này giúp củng cố quyền kiểm soát DLCN của khách hàng, đặc biệt trong những hoạt động có tác động trực tiếp đến quyền lợi tài chính như quyết định cho vay, điều kiện bảo đảm hay mức lãi suất áp dụng.

Bảo mật và quản lý dữ liệu cá nhân trong tài chính – ngân hàng

Trong môi trường ngân hàng, bảo mật DLCN không chỉ là yêu cầu của Luật BVDLCN 2025 mà còn được cụ thể hóa trong nhiều quy định pháp luật chuyên ngành. Nghị định 117/2018/NĐ-CP quy định rõ mọi thông tin liên quan đến khách hàng của TCTD đều phải được bảo mật và chỉ được cung cấp thông tin khi có sự đồng ý của khách hàng, trừ những trường hợp đặc biệt theo quy định pháp luật, chẳng hạn như theo yêu cầu bằng văn bản của cơ quan thanh tra, điều tra, tố tụng hoặc phục vụ nghĩa vụ phòng, chống rửa tiền.

Nghĩa vụ bảo vệ DLCN trong hoạt động tài chính ngân hàng được yêu cầu phải đảm bảo một số biện pháp bảo vệ tiêu chuẩn, bao gồm biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.

Xử lý sự cố về dữ liệu cá nhân trong tài chính – ngân hàng

Luật BVDLCN 2025 đặt ra yêu cầu chặt chẽ trong việc xử lý sự cố để bảo vệ quyền của khách hàng ngân hàng, đặc biệt khi xảy ra sự cố đối với dữ liệu tài chính – ngân hàng. Một điểm mới quan trọng trong Luật BVDLCN 2025 là nghĩa vụ thông báo sự cố lộ, lọt dữ liệu. Bên cạnh nghĩa vụ thông báo khi xảy ra vi phạm về DLCN tới cơ quan chuyên trách bảo vệ dữ liệu cá nhân đã được kế thừa từ Nghị định 13/2023/NĐ-CP thì TCTD còn phải tuân thủ trách nhiệm thông báo cho khách hàng khi lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng. Trước đó, pháp luật chuyên ngành cũng đã đặt ra yêu cầu rằng TCTD phải thông báo cho khách hàng và Cục Công nghệ thông tin – Ngân hàng Nhà nước Việt Nam khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng. Việc chậm trễ hoặc không thông báo không chỉ vi phạm quyền được biết của khách hàng mà còn tiềm ẩn nguy cơ bị xử phạt và ảnh hưởng nghiêm trọng đến uy tín của tổ chức.

CÁC CÂU HỎI THƯỜNG GẶP

Ngân hàng có phải xin đồng ý trước khi chấm điểm tín dụng không?

Có. Việc xử lý dữ liệu khách hàng ngân hàng chấm điểm, xếp hạng hoặc đánh giá tín dụng của khách hàng cá nhân chỉ hợp pháp khi có sự đồng ý rõ ràng của họ. Sự đồng ý thường phải được thể hiện bằng văn bản hoặc hình thức có giá trị tương đương. Điều này nhằm bảo đảm khách hàng kiểm soát được việc dữ liệu của mình được sử dụng cho các hoạt động nhạy cảm như đánh giá khả năng vay vốn, điều kiện bảo đảm và lãi suất kèm theo.

Khi nào ngân hàng được chia sẻ dữ liệu mà không cần sự đồng ý?

Ngân hàng chỉ có thể chia sẻ dữ liệu cá nhân của khách hàng mà không cần đồng ý trong một số trường hợp pháp luật cho phép, một số ví dụ có thể kể đến như: theo yêu cầu bằng văn bản của cơ quan nhà nước có thẩm quyền phục vụ điều tra, thanh tra, tố tụng; hoặc để thực hiện nghĩa vụ pháp lý bắt buộc như phòng, chống rửa tiền, báo cáo giao dịch đáng ngờ theo Luật Phòng, chống rửa tiền; hoặc khi có cơ sở xử lý DLCN hợp pháp khác.

Khách hàng có thể từ chối việc chia sẻ thông tin tín dụng của mình không?

Có. Khách hàng có quyền không đồng ý hoặc rút lại sự đồng ý đối với việc chia sẻ thông tin tín dụng, trừ khi việc chia sẻ được yêu cầu bởi pháp luật. Trong trường hợp bị rút lại sự đồng ý, TCTD phải ngừng xử lý, trừ dữ liệu cần được xử lý cho mục đích khác dựa trên một cơ sở hợp pháp.

Nếu dữ liệu bị rò rỉ từ bên cung cấp dịch vụ công nghệ thông tin (CNTT), ai chịu trách nhiệm?

Ngân hàng hoặc công ty thông tin tín dụng – tức Bên Kiểm soát (Controller) dữ liệu – vẫn là chủ thể chịu trách nhiệm chính trước khách hàng và cơ quan quản lý. Trách nhiệm của bên cung cấp dịch vụ CNTT thường chỉ được xác định trong hợp đồng dịch vụ giữa họ và ngân hàng/công ty thông tin tín dụng.

Dữ liệu tín dụng của khách hàng được bảo mật như thế nào?

Luật BVDLCN 2025 và pháp luật về tổ chức tín dụng yêu cầu các TCTD phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để ngăn chặn truy cập trái phép, sử dụng sai mục đích hoặc tiết lộ dữ liệu. Ví dụ: mã hóa dữ liệu khi truyền và lưu trữ, phân quyền truy cập, kiểm soát nội bộ, và có quy trình khôi phục khi dữ liệu bị mất, v.v.

Trong kỷ nguyên số, dữ liệu cá nhân trong ngân hàng là tài sản quan trọng cần được bảo vệ. Việc tuân thủ Luật BVDLCN 2025, kết hợp các biện pháp thu thập, xử lý dữ liệu minh bạch hợp pháp và bảo mật dữ liệu tín dụng, sẽ giúp doanh nghiệp duy trì uy tín và đảm bảo quyền, lợi ích hợp pháp của khách hàng.

#dulieucanhan #baovedulieu #nganhang #taichinh #thongtintindung #baomatnganhang

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.