Đánh giá tác động xử lý dữ liệu cá nhân – nghĩa vụ bắt buộc đối với doanh nghiệp
Sự ra đời của Nghị định số 13/2023/NĐ-CP (“Nghị định”) đã thay đổi hoàn toàn trách nhiệm của doanh nghiệp, tổ chức liên quan đến bảo vệ dữ liệu cá nhân. Một trong số đó là nghĩa vụ đánh giá tác động của hoạt động xử lý dữ liệu cá nhân (“DLCN”).
Dưới đây là một số nội dung quan trọng về đánh giá tác động xử lý DLCN mà mọi doanh nghiệp cần lưu ý để thực hiện nghiêm túc kể từ ngày 01/07/2023:
Dữ liệu cá nhân là gì? Xử lý dữ liệu cá nhân gồm những hoạt động nào?
Dữ liệu cá nhân là thông tin gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể; ví dụ như họ tên, giới tính, số giấy tờ pháp lý cá nhân, quan điểm chính trị, dữ liệu về vị trí,… Xử lý DLCN là một hoặc nhiều hoạt động tác động tới DLCN, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy DLCN hoặc các hành động khác có liên quan. Như vậy, phạm vi về dữ liệu cá nhân, xử lý dữ liệu cá nhân là rất rộng.
Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) là gì?
Là một quá trình nhận diện các rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân, tính toán mức độ ảnh hưởng của hoạt động này và các hậu quả, thiệt hại ước tính nếu rủi ro xảy ra; đồng thời đưa ra các biện pháp bảo vệ DLCN nhằm phòng tránh hoặc giảm thiểu/loại bỏ các nguy cơ trên.
Đánh giá tác động xử lý dữ liệu cá nhân có bắt buộc không?
Có.
DPIA là nghĩa vụ bắt buộc Nghị định đặt ra đối với các chủ thể là Bên Kiểm soát[1], Bên Kiểm soát và xử lý dữ liệu cá nhân[2] (sau đây gọi tắt là “Bên Kiểm soát”); và cả Bên Xử lý dữ liệu cá nhân[3] khi thực hiện hợp đồng với Bên Kiểm soát.
Với phạm vi dữ liệu cá nhân và hoạt động xử lý dữ liệu cá nhân được quy định tại Nghị định, có thể khẳng định rằng hầu hết các doanh nghiệp, tổ chức ở Việt Nam đều phải thực hiện hoạt động này.
Khi nào doanh nghiệp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân?
Ngay từ thời điểm bắt đầu xử lý dữ liệu cá nhân, doanh nghiệp, tổ chức và cá nhân phải đánh giá tác động và lưu giữ Hồ sơ DPIA trong suốt quá trình thực hiện. Nghị định không xác định cụ thể thời hạn lưu trữ là bao lâu, nhưng với yêu cầu “hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an” thì có thể hiểu rằng việc lưu trữ Hồ sơ DPIA là không giới hạn thời gian.
Doanh nghiệp đánh giá tác động xử lý dữ liệu cá nhân dưới hình thức nào?
Hoạt động đánh giá tác động phải được thể hiện dưới dạng hồ sơ theo mẫu được quy định tại Mẫu số 04 tại Phụ lục ban hành kèm theo Nghị định.
Hồ sơ DPIA phải được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát/Bên Xử lý nhằm làm cơ sở đảm bảo cho giá trị của hoạt động đánh giá. Văn bản có giá trị pháp lý có thể là các văn bản được ban hành bởi Người đại diện hợp pháp của doanh nghiệp, tổ chức.
Nội dung đánh giá tác động xử lý dữ liệu cá nhân gồm những gì?
Đối với Bên Kiểm soát, Hồ sơ DPIA sẽ bao gồm các nội dung sau:
(i) Thông tin liên lạc của Bên Kiểm soát và nhân sự bảo vệ dữ liệu của Bên Kiểm soát;
(ii) Mục đích xử lý dữ liệu cá nhân;
(iii) Các loại dữ liệu cá nhân được xử lý;
(iv) Tổ chức, cá nhân nhận dữ liệu cá nhân;
(v) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
(vi) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân;
(vii) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
(viii) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Đối với Bên Xử lý dữ liệu, Hồ sơ DPIA cũng tương tự với Bên Kiểm soát, nhưng không bao gồm thông tin về bên nhận dữ liệu; mục đích xử lý dữ liệu (đây là nội dung mà Bên Kiểm soát quyết định); và cần bổ sung thêm thông tin về các hoạt động xử lý được tiến hành theo hợp đồng với Bên Kiểm soát.
Doanh nghiệp có phải nộp Hồ sơ DPIA cho cơ quan nhà nước không?
Có.
Doanh nghiệp sẽ phải gửi 01 bản chính Hồ sơ DPIA đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN. Cơ quan nhà nước sẽ tiến hành đánh giá Hồ sơ DPIA của doanh nghiệp và trong trường hợp Hồ sơ chưa đầy đủ, chưa đúng quy định của pháp luật thì doanh nghiệp phải tiến hành hoàn thiện.
Khi nào doanh nghiệp phải cập nhật, bổ sung Hồ sơ DPIA?
Khi có sự thay đổi về nội dung Hồ sơ DPIA thì doanh nghiệp phải tiến hành báo cáo nội dung thay đổi đến Bộ Công an. Hoạt động báo cáo được thực hiện bằng cách gửi thông tin theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
Rủi ro nếu không tuân thủ quy định về đánh giá tác động xử lý dữ liệu cá nhân là gì?
Nghị định quy định rằng cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự. Hiện tại chưa có quy định cụ thể, nhưng theo tinh thần của các Dự thảo trước đây thì mức xử phạt có thể sẽ là rất lớn, tác động trực tiếp và đáng kể đến kết quả kinh doanh của doanh nghiệp.
Do đó, việc bắt đầu chuẩn bị và xây dựng Hồ sơ DPIA là công việc mà hầu hết các doanh nghiệp cần gấp rút tiến hành để tránh các rủi ro pháp lý có thể xảy ra./.
Quý doanh nghiệp, tổ chức cần được hỗ trợ, vui lòng liên hệ với chúng tôi để nhận được các tư vấn chi tiết và kịp thời!
PrivacyCompliance cung cấp các giải pháp đảm bảo tuân thủ dữ liệu cá nhân, đánh giá tác động xử lý dữ liệu cá nhân, xây dựng hồ sơ đánh giá tác động, hồ sơ chuyển dữ liệu cá nhân ra nước ngoài.
PrivacyCompliance
[1] Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
[2] Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
[3] Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
