Nhân sự bảo vệ dữ liệu cá nhân theo quy định của GDPR

Chỉ định nhân sự quản lý dữ liệu cá nhân (“data protection officer – DPO”) là một trong những nghĩa vụ bắt buộc đối với Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân trong một số trường hợp theo Quy định chung về bảo vệ dữ liệu cá nhân của EU (GDPR). Bài viết mang đến một số nội dung quan trọng về chỉ định cán bộ bảo vệ dữ liệu cá nhân (“DLCN”) theo GDPR để các doanh nghiệp tham khảo trong bối cảnh Nghị định 13/2023/NĐ-CP chưa quy định chi tiết về nghĩa vụ này.

Đối tượng nào phải chỉ định DPO?

Cả Bên Kiểm soát và Bên Xử lý DLCN đều có trách nhiệm phải chỉ định DPO nếu như thuộc một trong các trường hợp bắt buộc phải có DPO hoặc theo yêu cầu của pháp luật các quốc gia thành viên[1].

Trường hợp nào phải chỉ định DPO?

Bên Kiểm soát và Bên Xử lý DLCN phải chỉ định DPO trong các trường hợp sau[2]:

• (i) Việc xử lý DLCN được thực hiện bởi cơ quan nhà nước (trừ hoạt động xử lý DLCN nhằm thực hiện chức năng tư pháp của Tòa án).
• (ii) Các hoạt động cốt lõi của quá trình xử lý DLCN yêu cầu sự giám sát thường xuyên và có hệ thống của các chủ thể dữ liệu trên quy mô lớn.
• (iii) Xử lý DLCN đặc biệt (“special categories of data”) hoặc DLCN về tội phạm và hành vi phạm tội (“personal data relating to criminal convictions and offences”).
• (iv) Theo yêu cầu của pháp luật Liên minh hoặc pháp luật của quốc gia thành viên.

Yêu cầu đối với năng lực của DPO là gì?

GDPR không quy định một tiêu chuẩn định lượng làm căn cứ chỉ định DPO, thay vào đó, các cơ quan, tổ chức sẽ chỉ định cán bộ bảo vệ dữ liệu cá nhân trên cơ sở có các yếu tố như có năng lực chuyên môn tốt; có kiến thức chuyên sâu về pháp luật và thực tiễn áp dụng luật về bảo vệ dữ liệu cá nhân; có khả năng thực hiện tốt các trách nhiệm của DPO theo Điều 39 GDPR[3], [4]. Trình độ chuyên môn cần thiết của DPO được xác định tùy thuộc vào hoạt động xử lý DLCN của tổ chức, doanh nghiệp và mức độ bảo vệ tương ứng với hoạt động xử lý[5].

Số lượng DPO bắt buộc cho mỗi doanh nghiệp là bao nhiêu?

Mỗi doanh nghiệp, tổ chức thuộc trường hợp phải chỉ định DPO sẽ cần có tối thiểu 01 cán bộ bảo vệ dữ liệu cá nhân.

Đồng thời, một nhóm tổ chức, doanh nghiệp có thể chỉ định chung một DPO tùy thuộc vào cấu trúc và quy mô tổ chức của các đơn vị, với điều kiện là các doanh nghiệp trong nhóm này có thể tiếp cận, liên hệ với DPO một cách dễ dàng.

DPO có thể được chỉ định từ đâu?

Có thể là nhân viên của Bên Kiểm soát/Bên Xử lý DLCN hoặc là nhân sự của bên chuyên cung cấp dịch vụ bảo vệ dữ liệu, thực hiện nhiệm vụ theo hợp đồng dịch vụ.

Đối với trường hợp DPO là nhân viên của Bên Kiểm soát/Bên Xử lý thì áp dụng một số nguyên tắc đặc thù sau đây:

• (i) DPO được đảm bảo không bị xử lý kỷ luật hoặc sa thải vì thực hiện nhiệm vụ bảo vệ DLCN của mình[6].
• (ii) DPO có thể thực hiện các nhiệm vụ công việc khác ngoài nhiệm vụ bảo vệ DLCN; tổ chức, doanh nghiệp chủ quản phải đảm bảo các công việc khác của DPO không có sự xung đột lợi ích với nhiệm vụ bảo vệ DLCN[7].
• (iii) DPO phải ở vị trí có thể thực hiện công việc theo HĐLĐ và nhiệm vụ bảo vệ DLCN một cách độc lập[8].

Có cần phải cung cấp thông tin của DPO cho cơ quan có thẩm quyền không?

Có. Doanh nghiệp, tổ chức cần cung cấp cho cơ quan giám sát thông tin liên lạc của DPO tại đơn vị mình. Đồng thời, Bên Kiểm soát và Bên Xử lý cũng cần phải công bố công khai các thông tin này để chủ thể dữ liệu có thể liên hệ khi cần[9].

Trách nhiệm của doanh nghiệp, tổ chức với hoạt động của DPO là gì?

Để hoạt động của DPO được thực hiện hiệu quả thì doanh nghiệp, tổ chức cần tuân thủ các trách nhiệm sau:

• (i) Đảm bảo DPO được tiếp cận một cách chính xác và kịp thời đối với các vấn đề liên quan đến bảo vệ DLCN[10].
• (ii) Có trách nhiệm hỗ trợ DPO thực hiện nhiệm vụ bảo vệ DLCN bằng cách cung cấp các nguồn lực cần thiết để thực hiện nhiệm vụ, để truy cập vào hệ thống xử lý dữ liệu và duy trì nền tảng kiến thức chuyên sâu của họ[11].
• (iii) Đảm bảo rằng DPO không nhận được bất kỳ hướng dẫn/chỉ đạo nào liên quan đến việc thực hiện các nhiệm vụ bảo vệ DLCN[12].
• (iv) Tạo điều kiện để chủ thể dữ liệu được liên hệ trực tiếp với DPO để giải quyết các vấn đề liên quan đến việc xử lý DLCN của họ cũng như thực thi các quyền của chủ thể dữ liệu theo GDPR[13].

Các nhiệm vụ của DPO là gì?

Các trách nhiệm của DPO nhằm thực hiện nhiệm vụ bảo vệ DLCN bao gồm[14]:

• (i) Thông báo và tư vấn cho chủ thể kiểm soát/xử lý và NLĐ của doanh nghiệp, tổ chức về nghĩa vụ bảo vệ DLCN của họ theo quy định của pháp luật.
• (ii) Giám sát việc tuân thủ quy định của pháp luật và chính sách của Bên Kiểm soát hoặc Bên Xử lý về bảo vệ DLCN.
• (iii) Tư vấn hoạt động đánh giá tác động xử lý dữ liệu của tổ chức, doanh nghiệp khi được yêu cầu.
• (iv) Hợp tác với cơ quan giám sát trong hoạt động bảo vệ DLCN.

Trong quá trình làm việc, DPO phải tuân thủ các nguyên tắc về bảo mật theo quy định của pháp luật Liên minh hoặc pháp luật các quốc gia thành viên[15].

Rủi ro nếu không tuân thủ quy định về chỉ định cán bộ bảo vệ dữ liệu cá nhân là gì?

Hành vi không tuân thủ quy định về chỉ định DPO đối với các doanh nghiệp, tổ chức là đối tượng điều chỉnh của GDPR có thể phải chịu mức phạt lên tới 10,000,000 EUR hoặc 2% doanh thu toàn cầu trong năm tài chính liền trước (theo mức cao hơn)[16]./.

PrivacyCompliance cung cấp các giải pháp đảm bảo tuân thủ dữ liệu cá nhân, DPO, đánh giá tác động xử lý dữ liệu cá nhân, dịch vụ DPO.

PrivacyCompliance

#GDPR #dulieucanhan #DPO #dulieunhaycam

[1] GDPR, Điều 37.1

[2] GDPR, Điều 37.1 và 37.4

[3] GDPR, Điều 37.5,

[4] Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01)

[5] GDPR, Recital 97

[6] GDPR, Điều 38.3

[7] GDPR, Điều 38.6

[8] GDPR, Recital 97

[9] GDPR, Điều 37.7

[10] GDPR, Điều 38.1

[11] GDPR, Điều 38.2

[12] GDPR, Điều 38.3

[13] GDPR, Điều 38.4

[14] GDPR, Điều 39

[15] GDPR, Điều 38.5

[16] GDPR, Điều 83.4