· Tác giả: Nguyễn Thị Thùy Linh · Tham vấn bởi: Luật sư Nguyễn Văn Thành · Doanh nghiệp · 11 phút đọc
Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân sẽ giúp doanh nghiệp biết cách lập hồ sơ đảm bảo tuân thủ pháp luật và giảm thiểu rủi ro pháp lý
Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân giúp doanh nghiệp tuân thủ pháp luật, giảm rủi ro pháp lý và xây dựng quy trình bảo vệ dữ liệu hiệu quả.
1. Chủ thể nào phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?
Theo quy định tại khoản 1 và khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP, các chủ thể phải tiến hành lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm:
- Bên kiểm soát dữ liệu cá nhân.
- Bên xử lý dữ liệu cá nhân
- Bên kiểm soát và xử lý dữ liệu cá nhân.
Lưu ý: Tổ chức/cá nhân xử lý dữ liệu cá nhân chỉ cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp họ thực hiện Hợp đồng với Bên Kiểm soát dữ liệu cá nhân.
1.1. Bên kiểm soát dữ liệu cá nhân là gì?
Bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân có quyền quyết định mục đích và phương pháp xử lý dữ liệu cá nhân. Chủ thể này có vai trò chính là quyết định thu thập, sử dụng và lưu trữ dữ liệu cá nhân; chịu trách nhiệm chính trong việc đảm bảo dữ liệu cá nhân được xử lý tuân thủ quy định của pháp luật và thực hiện các biện pháp bảo vệ dữ liệu, bao gồm xây dựng chính sách, thông báo minh bạch cho chủ thể dữ liệu.
Ví dụ: Một công ty thương mại điện tử thu thập thông tin khách hàng để thực hiện mua bán trực tuyến, chẳng hạn như sàn Shopee hoặc Tiktok thì công ty thương mại này sẽ được xác định là bên kiểm soát dữ liệu cá nhân.
1.2. Bên kiểm soát và xử lý dữ liệu cá nhân là gì?
Bên kiểm soát và xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân vừa thực hiện chức năng kiểm soát đồng thời cũng trực tiếp tham gia xử lý dữ liệu cá nhân.
Ví dụ: Các Ngân hàng là một ví dụ điển hình của Bên Kiểm soát và xử lý dữ liệu cá nhân. Họ thu thập thông tin khách hàng như tên, số CMND/CCCD, tài khoản ngân hàng để mở tài khoản, cung cấp dịch vụ vay vốn và quản lý giao dịch tài chính nhưng đồng thời Ngân hàng cũng vừa quyết định mục đích sử dụng dữ liệu (ví dụ: đánh giá tín dụng, phát triển sản phẩm), vừa trực tiếp xử lý dữ liệu thông qua các hệ thống nội bộ như phân tích lịch sử tín dụng, lưu trữ dữ liệu giao dịch. Vì vậy, ngân hàng đảm nhận cả hai vai trò là kiểm soát và xử lý dữ liệu cá nhân.
1.3. Bên xử lý dữ liệu cá nhân là gì?
Bên Xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, theo Hợp đồng hoặc thỏa thuận với Bên kiểm soát dữ liệu để đảm bảo giá trị pháp lý, tránh xảy ra những tranh chấp phát sinh không đáng có sau này cho cả Bên Xử lý và Bên Kiểm soát dữ liệu cá nhân.
Tuy nhiên, để được xác định là Bên xử lý dữ liệu cá nhân thì tổ chức hoặc cá nhân phải đáp ứng đủ hai điều kiện sau đây:
(i) Là bên trực tiếp tiến hành việc xử lý dữ liệu cá nhân;
(ii) Việc xử lý dữ liệu cá nhân phải được tiến hành trên cơ sở Hợp đồng hoặc thoả thuận với Bên kiểm soát dữ liệu cá nhân theo các mục đích và phương tiện xử lý dữ liệu cá nhân mà Bên kiểm soát dữ liệu cá nhân chỉ định;
(Ảnh minh họa: Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân)
2. Hướng dẫn chi tiết lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
2.1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?
Hiện nay, theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân không quy định định nghĩa về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
Tuy nhiên dựa theo nội dung của Điều 24 Nghị định 13/2023/NĐ-CP có thể hiểu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một tài liệu bao gồm các hồ sơ được lập thành văn bản, dùng để ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân và đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân một cách có hệ thống của chủ thể thuộc đối tượng phải đánh giá tác động xử lý dữ liệu cá nhân.
2.2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần được lập khi nào?
Căn cứ Khoản 1, khoản 4 Điều 24 Nghị định 13/2023/NĐ-CP thì hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ trong vòng 60 ngày, kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Đối với bên xử lý dữ liệu cá nhân, việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân chỉ bắt buộc khi bên xử lý thực hiện hợp đồng với bên kiểm soát dữ liệu cá nhân (Khoản 2, Điều 24).
2.3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm những nội dung gì?
Căn cứ khoản 1, khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với các chủ thể bao gồm những nội dung sau:
Hồ sơ của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hồ sơ của Bên Xử lý dữ liệu cá nhân bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
2.3. Trình tự, thủ tục nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
2.3.1. Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Theo hướng dẫn của Cổng dịch vụ công quốc gia, các tổ chức, cá nhân gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm các thành phần sau:
(1) 01 bản chính Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu 04a đối với tổ chức; Mẫu 04b đối với cá nhân).
(2) Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân: Hồ sơ này được lập dựa trên vai trò của Tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân, bao gồm:
- Mẫu Đ24-DLCN-01: Dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân
- Mẫu Đ24-DLCN-02: Dành cho Bên Xử lý dữ liệu cá nhân
- Mẫu Đ24-DLCN-03: Dành cho Bên Thứ ba
(3) Giấy chứng nhận đăng ký doanh nghiệp (đối với chủ hồ sơ là tổ chức); Căn cước công dân, chứng minh nhân dân, hộ chiếu (đối với chủ hồ sơ là cá nhân).
(4) Quyết định hoặc giấy tờ liên quan đến phân công của bộ phận phụ trách bảo vệ dữ liệu cá nhân của chủ hồ sơ.
(5) Hợp đồng hoặc văn bản liên quan đến thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có).
(6) Biểu mẫu hợp đồng thể hiện sự đồng ý của chủ thể dữ liệu.
(7) Giấy tờ khác (các tài liệu yêu cầu trong hồ sơ mục (2), các phụ lục bảng biểu tính toán chi phí, lợi ích của các giải pháp).
2.3.2. Các hình thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Hiện nay, Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân có thể được nộp thông qua ba hình thức bao gồm: trực tiếp, trực tuyến, và dịch vụ bưu chính.
- Hình thức trực tiếp: Tổ chức hoặc cá nhân có thể nộp hồ sơ trực tiếp tại Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.
- Hình thức nộp trực tuyến: Tổ chức hoặc cá nhân có thể nộp hồ sơ trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an).
- Hình thức nộp qua dịch vụ bưu chính: Tổ chức hoặc cá nhân có thể nộp hồ sơ qua bưu điện hoặc chuyển phát nhanh có báo phát gửi đến Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.
Sau khi nhận được hồ sơ, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an sẽ đánh giá và yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp nhận thấy hồ sơ chưa đầy đủ và đúng quy định của pháp luật.
2.3.3. Thời hạn nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thời hạn gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong vòng 60 ngày kể từ ngày Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân tiến hành xử lý dữ liệu cá nhân.
Xem thêm:
