Trước bối cảnh quy định pháp luật tại Việt Nam ngày càng siết chặt quản lý vấn đề Bảo vệ Dữ liệu cá nhân (BVDLCN), các cá nhân/doanh nghiệp đang phải đối mặt với không ít thách thức về việc tuân thủ pháp lý. Bài viết này nhằm mục đích giới thiệu một cách khái quát thành phần hồ sơ và trình tự các bước lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân mà các tổ chức, cá nhân với vai trò là Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cần phải tuân thủ.
Căn cứ theo quy định tại khoản 9 Điều 2 Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy đinh hoạt động xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Khi bắt đầu xử lý dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân (bao gồm tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân), Bên Xử lý dữ liệu cá nhân (bao gồm tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu) cũng như Bên Kiểm soát và xử lý dữ liệu cá nhân (bao gồm tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân) có trách nhiệm phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân để hỗ trợ cho hoạt động quản lý, kiểm tra, đánh giá của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công An và các cơ quan có thẩm quyền trong việc quản lý nhà nước đối với bảo vệ dữ liệu cá nhân.
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Theo quy định tại khoản 1 Điều 24 Nghị định 13/2021/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân
Theo quy định tại Điều 24.2 Nghị định 13/2021/NĐ-CP, Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hình thức của bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
Thời điểm thực hiện lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
2. Trình tự các bước lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Bước 1: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an – https://baovedlcn.gov.vn) hoặc tải Mẫu số 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 2: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc khai theo mẫu số 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Nội dung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được quy định tại khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP đối với Bên Xử lý dữ liệu cá nhân (biểu mẫu Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, Mẫu Đ24-DLCN-03).
Bước 3: Thành phần hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, sẽ phản hồi kết quả đánh giá hồ sơ, cung cấp thông tin về việc hồ sơ có đạt yêu cầu hay cần bổ sung, điều chỉnh.
3. Dịch vụ bảo vệ dữ liệu cá nhân của Luật Danh Tiếng
Chúng tôi cung cấp dịch vụ và các giải pháp toàn diện để giúp doanh nghiệp giải quyết những vấn đề phức tạp về quy định Bảo vệ Dữ liệu Cá nhân (BVDLCN), nhằm đảm bảo tuân thủ các quy định của Luật pháp Việt Nam. Dịch vụ của chúng tôi bao gồm:
3.1. Rà soát các hoạt động và quy trình xử lý dữ liệu
Kiểm tra các hoạt động xử lý dữ liệu hiện tại và phân tích vai trò của công ty trong từng hoạt động, loại dữ liệu cá nhân cần xử lý, mục đích và hoạt động xử lý dữ liệu, xác định bên kiểm soát dữ liệu và bên thứ ba cũng như nghĩa vụ phải thực hiện trong mỗi hoạt động xử lý.
3.2. Hợp đồng xử lý dữ liệu/ Hợp đồng chuyển nhượng dữ liệu
• Xác định các Bên Xử lý dữ liệu và Bên thứ ba, bao gồm cả các bên ở ngoài lãnh thổ Việt Nam.
• Rà soát loại hoặc soạn thảo hợp đồng mới với điều khoản xác định rõ vai trò và nghĩa vụ của các bên.
3.3. Nâng cao hoạt động xử lý và kiểm soát dữ liệu trong nội bộ
Phát triển và cập nhật chính sách/ quy chế nội bộ để đảm bảo sự tuân thủ của toàn bộ nhân viên trong công ty.
3.4. Thông báo xử lý dữ liệu và Biểu mẫu đồng ý
• Kiểm tra hoặc tạo mới các văn bản liên quan.
• Đảm bảo đầy đủ các thông tin bắt buộc.
• Đảm bảo hình thức thu thập sư đồng ý phù hợp.
3.5. Quyền của chủ thể dữ liệu
Kiểm tra và cập nhật cơ chế bên trong và ngoài tổ chức để đảm bảo thực thi đúng theo thời hạn luật định kể từ thời điểm nhận yêu cầu của chủ thể dữ liệu (cả về nội dung và thiết kế quy trình).
3.6. Hồ sơ đánh giá tác động theo quy định của pháp luật
• Tập hợp toàn bộ thông tin chi tiết về các hoạt động xử lý dữ liệu từ giai đoạn.
• Thu thập các hợp đồng với Bên xử lý dữ liệu và Bên thứ ba.
• Soạn thảo hồ sơ đánh giá tác động để nộp cho cơ quan quản lý .
3.7. Báo cáo khi có sự cố rò rỉ dữ liệu hoặc hành vi xâm phạm dữ liệu
Kiểm tra và cập nhật cơ chế bên trong và ngoài tổ chức nhằm đảm bảo việc báo cáo cho cơ quan quản lý trong 72 giờ kể từ thời điểm xảy ra sự cố hoặc hành vi xâm phạm.
Tóm lại, việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ pháp lý bắt buộc đối với Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân nhằm đảm bảo tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân. Việc thực hiện đầy đủ và chính xác hồ sơ này không chỉ giúp bảo vệ quyền lợi của chủ thể dữ liệu mà còn tạo cơ sở cho cơ quan quản lý thực hiện kiểm tra và giám sát, đảm bảo an toàn và minh bạch trong hoạt động xử lý dữ liệu.
| Trên đây là bài viết của Công ty Luật TNHH Danh Tiếng. Mọi thắc mắc cần được tư vấn của quý khách hàng xin vui lòng liên hệ qua số điện thoại, email hoặc liên hệ trực tiếp tại Công ty để được hỗ trợ.
CÔNG TY LUẬT TNHH DANH TIẾNG Địa chỉ: Tầng 3, số 372 Lê Văn Sỹ, Phường 2, Quận Tân Bình, Thành phố Hồ Chí Minh. Hotline: 0838.612.333 – 0973.231.333 Email: luatdanhtieng@gmail.com |