Tháng Mười Một 7, 2023
Chỉ định nhân sự quản lý dữ liệu cá nhân (“data protection officer – DPO”) là một trong những nghĩa vụ bắt buộc đối với Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân trong một số trường hợp theo Quy định chung về bảo vệ dữ liệu cá nhân của EU (GDPR). Bài viết mang đến một số nội dung quan trọng về chỉ định cán bộ bảo vệ dữ liệu cá nhân (“DLCN”) theo GDPR để các doanh nghiệp tham khảo trong bối cảnh Nghị định 13/2023/NĐ-CP chưa quy định chi tiết về nghĩa vụ này.
Cả Bên Kiểm soát và Bên Xử lý DLCN đều có trách nhiệm phải chỉ định DPO nếu như thuộc một trong các trường hợp bắt buộc phải có DPO hoặc theo yêu cầu của pháp luật các quốc gia thành viên[1].
Bên Kiểm soát và Bên Xử lý DLCN phải chỉ định DPO trong các trường hợp sau[2]:
GDPR không quy định một tiêu chuẩn định lượng làm căn cứ chỉ định DPO, thay vào đó, các cơ quan, tổ chức sẽ chỉ định cán bộ bảo vệ dữ liệu cá nhân trên cơ sở có các yếu tố như có năng lực chuyên môn tốt; có kiến thức chuyên sâu về pháp luật và thực tiễn áp dụng luật về bảo vệ dữ liệu cá nhân; có khả năng thực hiện tốt các trách nhiệm của DPO theo Điều 39 GDPR[3], [4]. Trình độ chuyên môn cần thiết của DPO được xác định tùy thuộc vào hoạt động xử lý DLCN của tổ chức, doanh nghiệp và mức độ bảo vệ tương ứng với hoạt động xử lý[5].
Mỗi doanh nghiệp, tổ chức thuộc trường hợp phải chỉ định DPO sẽ cần có tối thiểu 01 cán bộ bảo vệ dữ liệu cá nhân.
Đồng thời, một nhóm tổ chức, doanh nghiệp có thể chỉ định chung một DPO tùy thuộc vào cấu trúc và quy mô tổ chức của các đơn vị, với điều kiện là các doanh nghiệp trong nhóm này có thể tiếp cận, liên hệ với DPO một cách dễ dàng.
Có thể là nhân viên của Bên Kiểm soát/Bên Xử lý DLCN hoặc là nhân sự của bên chuyên cung cấp dịch vụ bảo vệ dữ liệu, thực hiện nhiệm vụ theo hợp đồng dịch vụ.
Đối với trường hợp DPO là nhân viên của Bên Kiểm soát/Bên Xử lý thì áp dụng một số nguyên tắc đặc thù sau đây:
Có. Doanh nghiệp, tổ chức cần cung cấp cho cơ quan giám sát thông tin liên lạc của DPO tại đơn vị mình. Đồng thời, Bên Kiểm soát và Bên Xử lý cũng cần phải công bố công khai các thông tin này để chủ thể dữ liệu có thể liên hệ khi cần[9].
Để hoạt động của DPO được thực hiện hiệu quả thì doanh nghiệp, tổ chức cần tuân thủ các trách nhiệm sau:
Các trách nhiệm của DPO nhằm thực hiện nhiệm vụ bảo vệ DLCN bao gồm[14]:
Trong quá trình làm việc, DPO phải tuân thủ các nguyên tắc về bảo mật theo quy định của pháp luật Liên minh hoặc pháp luật các quốc gia thành viên[15].
Hành vi không tuân thủ quy định về chỉ định DPO đối với các doanh nghiệp, tổ chức là đối tượng điều chỉnh của GDPR có thể phải chịu mức phạt lên tới 10,000,000 EUR hoặc 2% doanh thu toàn cầu trong năm tài chính liền trước (theo mức cao hơn)[16]./.
PrivacyCompliance cung cấp các giải pháp đảm bảo tuân thủ dữ liệu cá nhân, DPO, đánh giá tác động xử lý dữ liệu cá nhân, dịch vụ DPO.
PrivacyCompliance
#GDPR #dulieucanhan #DPO #dulieunhaycam
[1] GDPR, Điều 37.1
[2] GDPR, Điều 37.1 và 37.4
[3] GDPR, Điều 37.5,
[4] Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)
[5] GDPR, Recital 97
[6] GDPR, Điều 38.3
[7] GDPR, Điều 38.6
[8] GDPR, Recital 97
[9] GDPR, Điều 37.7
[10] GDPR, Điều 38.1
[11] GDPR, Điều 38.2
[12] GDPR, Điều 38.3
[13] GDPR, Điều 38.4
[14] GDPR, Điều 39
[15] GDPR, Điều 38.5
[16] GDPR, Điều 83.4
Sự đồng ý của trẻ em – Bài toán khó dành cho Bên Kiểm soát dữ liệu cá nhân Xuất phát từ đặc điểm nhạy cảm và dễ bị tổn thương, dữ liệu cá nhân của trẻ em[i] được yêu cầu phải xử lý trên cơ đảm bảo quyền lợi và lợi ích tốt nhất […]
Learn more
Bảo mật thông tin trong khám, chữa bệnh tại Việt Nam Bảo mật thông tin trong hoạt động khám chữa bệnh là một vấn đề vô cùng quan trọng. Việc rò rỉ thông tin của bệnh nhân sẽ gây ảnh hưởng tiêu cực đến tâm lý người bệnh và khiến họ phải gánh chịu nhiều […]
Learn more
Bảo vệ thông tin người dùng trong mua sắm trực tuyến Sự phát triển nhanh chóng của các nền tảng mua sắm trực tuyến, cùng với ảnh hưởng dây chuyền từ sự xuất hiện của đại dịch COVID-19 khiến cho hoạt động mua sắm truyền thông đang dần bị thay thế bởi loại hình mua […]
Learn more