· Tác giả: Đỗ Thị Lương · Tham vấn bởi: Luật sư Nguyễn Văn Thành · Doanh nghiệp · 11 phút đọc
Tại sao phải đánh giá tác động xử lý dữ liệu cá nhân
Đánh giá tác động xử lý dữ liệu cá nhân giúp doanh nghiệp đảm bảo tuân thủ pháp lý, bảo vệ quyền riêng tư, và tăng cường bảo mật thông tin, bảo vệ uy tín.
Đánh giá tác động xử lý dữ liệu cá nhân là một quy trình cần thiết trong bối cảnh ngày càng tăng cường bảo vệ quyền riêng tư và bảo mật thông tin cá nhân. Trong thế giới số hiện đại, việc thu thập và xử lý dữ liệu cá nhân ngày càng trở nên phổ biến, điều này đồng nghĩa với việc cần thiết phải xem xét các tác động của những hoạt động này đối với các cá nhân có liên quan.
1. Đánh giá tác động xử lý dữ liệu cá nhân là gì?
Đánh giá tác động xử lý dữ liệu cá nhân là một yêu cầu pháp lý nhằm đánh giá hoạt động xử lý dữ liệu và các rủi ro tiềm tàng liên quan đến việc xử lý dữ liệu cá nhân. Mục tiêu chính của Đánh giá tác động xử lý dữ liệu cá nhân là bảo vệ quyền lợi cá nhân và đảm bảo rằng các tổ chức/cá nhân tuân thủ các quy định về bảo vệ dữ liệu.
Đánh giá tác động xử lý dữ liệu cá nhân xuất phát từ nhu cầu bảo vệ quyền của chủ thể dữ liệu đối với dữ liệu cá nhân của mình trong môi trường kỹ thuật số và xã hội phát triển. Điều này bao gồm việc xác định mục đích xử lý, loại dữ liệu xử lý, quy trình và phương thức xử lý dữ liệu cá nhân. Đánh giá tác động xử lý dữ liệu cá nhân giúp các tổ chức có cái nhìn toàn diện về hoạt động xử lý dữ liệu cá nhân trong doanh nghiệp cũng như nhận diện và giảm thiểu các rủi ro có thể xảy ra trong quá trình xử lý dữ liệu.
Hiện nay, việc đánh giá tác động xử lý dữ liệu cá nhân được quy định cụ thể tại Điều 24 Nghị định 13/2023/NĐ-CP. Theo đó, Điều 24 quy định về việc các bên kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động từ khi bắt đầu xử lý dữ liệu. Hồ sơ này bao gồm thông tin về các bên liên quan, mục đích xử lý, loại dữ liệu, biện pháp bảo vệ và đánh giá rủi ro. Bên xử lý dữ liệu cũng phải lập hồ sơ khi có hợp đồng với bên kiểm soát dữ liệu. Hồ sơ có giá trị pháp lý và phải gửi cho Bộ Công an trong vòng 60 ngày từ khi bắt đầu xử lý. Nếu hồ sơ chưa đầy đủ, Bộ Công an yêu cầu bổ sung và các bên phải cập nhật khi có thay đổi về nội dung.
2. Những lý do quan trọng để thực hiện đánh giá tác động xử lý dữ liệu cá nhân
Việc thực hiện đánh giá tác động xử lý dữ liệu cá nhân không chỉ là một yêu cầu pháp lý mà còn mang lại nhiều lợi ích khác cho tổ chức và cá nhân. Dưới đây là một số lý do quan trọng mà doanh nghiệp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân
2.1. Đảm bảo tuân thủ quy định pháp luật
Một trong những lý do quan trọng nhất để thực hiện đánh giá tác động xử lý dữ liệu cá nhân là đảm bảo tuân thủ các quy định pháp lý về bảo vệ dữ liệu.
Nghị định 13/2023/NĐ-CP quy định rõ trách nhiệm đánh giá tác động xử lý dữ liệu cá nhân do Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân thực hiện.
Khoản 4 Điều 24 Nghị định 13/2023/NĐ-CP quy định
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Theo đó, doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để lưu giữ tại trụ sở phục vụ cho hoạt động kiểm tra, đánh giá của Bộ Công an. Đồng thời hồ sơ đánh giá tác động xử lý dữ liệu cá nhân này cũng phải được doanh nghiệp hoàn thiện và nộp đến Bộ Công an đúng thời gian quy định.
Ngoài ra, nếu doanh nghiệp không thực hiện đánh giá tác động xử lý dữ liệu cá nhân thì có thể bị áp dụng các chế tài xử lý kỷ luật, hành chính, hình sự theo quy định tại Điều 4 Nghị định 13/2023/NĐ-CP quy định
Điều 4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
2.2. Bảo vệ quyền lợi cá nhân và quyền riêng tư
Đánh giá tác động xử lý dữ liệu cá nhân đóng vai trò quan trọng trong việc bảo vệ quyền lợi cá nhân và quyền riêng tư của chủ thể dữ liệu, người dùng. Bằng cách đánh giá các tác động của việc xử lý dữ liệu, tổ chức có thể phát hiện sớm các vấn đề tiềm ẩn liên quan đến quyền riêng tư của cá nhân.
Điều này đặc biệt quan trọng trong bối cảnh mà sự vi phạm dữ liệu có thể gây ra những hậu quả nghiêm trọng cho cá nhân, từ việc mất mát thông tin cá nhân đến các hành vi gian lận tài chính. Việc đảm bảo rằng quyền lợi cá nhân được bảo vệ sẽ xây dựng niềm tin với khách hàng và người dùng.
2.3. Xây dựng niềm tin của người lao động, khách hàng và đối tác
Niềm tin là một yếu tố cốt lõi trong bất kỳ mối quan hệ nào, đặc biệt là trong kinh doanh. Khi tổ chức tiến hành đánh giá tác động xử lý dữ liệu cá nhân, điều này thể hiện rằng họ coi trọng quyền riêng tư của người lao động, khách hàng, đối tác và sẵn sàng đầu tư nguồn lực để bảo vệ thông tin của họ.
Khi khách hàng cảm thấy an tâm về việc dữ liệu của họ được bảo vệ, họ sẽ có xu hướng gắn bó và tương tác với thương hiệu lâu dài hơn. Điều này không chỉ nâng cao danh tiếng của tổ chức mà còn góp phần vào sự phát triển bền vững.
3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Theo quy định Điều 24 Nghị định 13/2023/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Các nội dung liên quan đến hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nêu trên đều được cụ thể hóa trong các mẫu hồ sơ quy định dưới đây:
- Mẫu Đ24-DLCN-01: áp dụng cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân
- Mẫu Đ24-DLCN-02: áp dụng cho Bên Xử lý dữ liệu cá nhân
- Mẫu Đ24-DLCN-03: áp dụng cho Bên Thứ ba
Ngoài mẫu trên, doanh nghiệp chuẩn bị kèm các tài liệu sau:
Giấy chứng nhận đăng ký doanh nghiệp (đối với chủ hồ sơ là tổ chức); Căn cước công dân, chứng minh nhân dân, hộ chiếu (đối với chủ hồ sơ là cá nhân).
Chính sách bảo vệ dữ liệu cá nhân của doanh nghiệp
+Quyết định phân công bộ phận phụ trách bảo vệ dữ liệu cá nhân và bổ nhiệm người đứng đầu bộ phận
Thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên khác (nếu có) hoặc các Hợp đồng giữa các bên có hoạt động xử lý dữ liệu cá nhân, Giấy chứng nhận đăng ký doanh nghiệp của các bên kia trong Thỏa thuận/Hợp đồng
Văn bản thể hiện sự đồng ý của chủ thể dữ liệu liên quan đến doanh nghiệp được phép xử lý dữ liệu cá nhân
+ Giấy tờ khác
Mặc dù vậy việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân rất phức tạp và tốn nhiều nhân lực, vật lực và vẫn có thể chưa đáp ứng yêu cầu theo quy định, đặc biệt là doanh nghiệp xử lý nhiều dữ liệu cá nhân như các doanh nghiệp sản xuất có nhiều người lao động, các doanh nghiệp bán lẻ có nhiều khách hàng cá nhân, các doanh nghiệp hoạt động thương mại điện tử,… Do đó, việc sử dụng dịch vụ tư vấn chuyên nghiệp trong việc lập hồ sơ này là rất cần thiết. Các chuyên gia tư vấn sẽ giúp doanh nghiệp xây dựng và hoàn thiện hồ sơ đánh giá tác động một cách chính xác và đầy đủ, từ việc xây dựng các biểu mẫu về bảo vệ dữ liệu cá nhân, hướng dẫn thu thập tài liệu cho đến việc lập kế hoạch và thực hiện các biện pháp bảo vệ dữ liệu.
Tham khảo thêm tại: Dịch vụ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Kết luận: Đánh giá tác động xử lý dữ liệu cá nhân là một hoạt động bắt buộc tuân thủ theo quy định pháp luật. Hoạt động này còn giúp doanh nghiệp minh bạch hóa trong hoạt động xử lý dữ liệu cá nhân, bảo vệ quyền lợi của cá nhân và xây dựng niềm tin với khách hàng. Qua đó, doanh nghiệp có thể cải thiện quy trình bảo mật và quản lý dữ liệu, tạo ra một môi trường an toàn hơn cho tất cả các bên liên quan.
Xem thêm tại:
