Theo quy định tại khoản 9 Điều 2 Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, hoạt động xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Khi bắt đầu xử lý dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân (bao gồm tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân), Bên Xử lý dữ liệu cá nhân (bao gồm tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu) cũng như Bên Kiểm soát và xử lý dữ liệu cá nhân (bao gồm tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân) có trách nhiệm phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân để hỗ trợ cho hoạt động quản lý, kiểm tra, đánh giá của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công An và các cơ quan có thẩm quyền trong việc quản lý nhà nước đối với bảo vệ dữ liệu cá nhân.
Như vậy, việc lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một hoạt động phổ biến, là nghĩa vụ quan trọng theo quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân. Bài viết này nhằm mục đích giới thiệu một cách khái quát thành phần hồ sơ và trình tự các bước lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân mà các tổ chức, cá nhân với vai trò là Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cần phải tuân thủ.
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Theo quy định tại khoản 1 Điều 24 Nghị định 13/2021/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
c) Mục đích xử lý dữ liệu cá nhân;
d) Các loại dữ liệu cá nhân được xử lý;
đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
i) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân
Theo quy định tại Điều 24.2 Nghị định 13/2021/NĐ-CP, Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:
a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hình thức của bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
Thời điểm thực hiện lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân
2. Trình tự các bước lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Bước 1: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an – https://baovedlcn.gov.vn) hoặc tải Mẫu số 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.
Bước 2: Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc khai theo mẫu số 04 ban hành kèm theo Nghị định13/2023/NĐ-CP.
Nội dung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được quy định tại khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP đối với Bên Xử lý dữ liệu cá nhân (biểu mẫu Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, Mẫu Đ24-DLCN-03).
Bước 3: Thành phần hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, sẽ phản hồi kết quả đánh giá hồ sơ, cung cấp thông tin về việc hồ sơ có đạt yêu cầu hay cần bổ sung, điều chỉnh.
Tóm lại, việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ pháp lý bắt buộc đối với Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân nhằm đảm bảo tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân. Việc thực hiện đầy đủ và chính xác hồ sơ này không chỉ giúp bảo vệ quyền lợi của chủ thể dữ liệu mà còn tạo cơ sở cho cơ quan quản lý thực hiện kiểm tra và giám sát, đảm bảo an toàn và minh bạch trong hoạt động xử lý dữ liệu.
Bài viết liên quan:
1/ Khái quát các quy định pháp luật Việt Nam liên quan đến vấn đề bảo vệ dữ liệu cá nhân
2/ Yêu cầu về “sự đồng ý” trong Quy định về bảo vệ dữ liệu cá nhân
3/ Trách nhiệm của doanh nghiệp khi kiểm soát và xử lý dữ liệu cá nhân
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ liên của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi Sở hữu trí tuệ và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
