Hướng dẫn soạn hồ sơ đánh giá tác động xử lý dữ liệu cá nhân 2024

Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một trong những thủ tục hành chính quan trọng trong việc bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, chưa có văn bản hướng dẫn chính thức nào được ban hành nên việc thực hiện còn gặp nhiều khó khăn.

DPVN sẽ đưa ra những phân tích chuyên sâu về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, để giúp Quý doanh nghiệp đang hoạt động tại Việt có thực hiện các hoạt động tác động tới dữ liệu cá nhân có thể đảm bảo các hoạt động xử lý dữ liệu cá nhân của mình tuân thủ chặt chẽ các quy định của Nghị định 13/2023/NĐ-CP.

Tổng quan về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân không định nghĩa về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Tuy nhiên, dựa theo Điều 24 tại Nghị định này có thể hiểu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một quy trình đánh giá bài bản nhằm xác định, đánh giá và giảm thiểu các rủi ro tiềm ẩn liên quan đến việc xử lý dữ liệu cá nhân. Theo Nghị định 13/2023/NĐ-CP, đây là một thủ tục bắt buộc đối với một số hoạt động xử lý dữ liệu cá nhân cụ thể.

Đối tượng nào cần lập hồ sơ đánh giá tác động?

Theo Điều 24 Nghị định 13/2023/NĐ-CP, các đối tượng sau đây cần phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

• Bên kiểm soát dữ liệu cá nhân: Đây là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
• Bên kiểm soát và xử lý dữ liệu cá nhân: Là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
• Bên xử lý dữ liệu cá nhân: Trong một số trường hợp, bên xử lý dữ liệu cá nhân, tức là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho bên kiểm soát dữ liệu cá nhân, cũng có thể được yêu cầu lập hồ sơ này. Điều này thường xảy ra khi bên xử lý dữ liệu thực hiện các hoạt động xử lý có khả năng gây ảnh hưởng lớn đến quyền và lợi ích của chủ thể dữ liệu.

Tìm hiểu thêm về cách Phân biệt giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân

Khi nào cần lập hồ sơ đánh giá tác động?

Theo khoản 1, Điều 24 Nghị định 13, bên kiểm soát dữ liệu cá nhân hoặc Bên xử lý dữ liệu cá nhân phải lập và gửi Hồ sơ đánh giá tác động dữ liệu cá nhân trong vòng 60 ngày, kể từ thời điểm xử lý dữ liệu cá nhân. Đối với bên xử lý dữ liệu cá nhân bắt buộc phải lập hồ sơ đánh giá tác động khi có hợp đồng hoặc thoả thuận xử lý dữ liệu với bên kiểm soát dữ liệu cá nhân.

HƯỚNG DẪN SOẠN THẢO HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Các tổ chức, cá nhân khi gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đến Cục An ninh mạng cần chuẩn bị các tài liệu sau:

• 01 bản chính Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Mẫu 04a (dành cho tổ chức); Mẫu 04b (dành cho cá nhân)
• 01 bản chính Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (Tùy theo vai trò của tổ chức/cá nhân trong quá trình xử lý dữ liệu, cần nộp một trong các mẫu sau):
  • Mẫu Đ24-DLCN-01: Dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân
  • Mẫu Đ24-DLCN-02: Dành cho Bên Xử lý dữ liệu cá nhân
  • Mẫu Đ24-DLCN-03: Dành cho Bên Thứ ba
• Giấy tờ chứng minh tư cách pháp nhân:
  • Đối với tổ chức: Giấy chứng nhận đăng ký doanh nghiệp;
  • Đối với cá nhân: Căn cước công dân, chứng minh nhân dân hoặc hộ chiếu;
• Quyết định hoặc giấy tờ liên quan đến phân công của bộ phận phụ trách bảo vệ dữ liệu cá nhân (nếu có);
• Hợp đồng hoặc văn bản thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có);
• Biểu mẫu hợp đồng thể hiện sự đồng ý của chủ thể dữ liệu (nếu có);
• Các tài liệu khác:
  • Các tài liệu yêu cầu trong hồ sơ đánh giá tác động (Mẫu Đ24-DLCN-01, 02 hoặc 03)
  • Các phụ lục, bảng biểu tính toán chi phí, lợi ích của các giải pháp (nếu có)

Lưu ý: Hãy đảm bảo rằng tất cả các tài liệu được chuẩn bị đầy đủ, chính xác và có chữ ký, con dấu (nếu cần) theo quy định.

Mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (baovedlcn.gov.vn), các mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm các loại sau:

Nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Nội dung hồ sơ đánh giá tác động bao gồm:

• Thông tin liên hệ của bên kiểm soát và bên xử lý dữ liệu cá nhân.
• Mô tả về hoạt động xử lý dữ liệu cá nhân.
• Đánh giá tính cần thiết và đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu.
• Đánh giá rủi ro đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
• Các biện pháp bảo vệ dữ liệu cá nhân của Bên kiểm soát hoặc Bên xử lý dữ liệu cá nhân đã áp dụng và đề xuất các biện pháp bổ sung (nếu cần).

Thông tin liên hệ

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần cung cấp các thông tin và chi tiết liên hệ của các bên liên quan đầy đủ, bao gồm:

Đối với Bên kiểm soát dữ liệu và Bên kiểm soát, xử lý dữ liệu cá nhân:

• Tên tổ chức/cá nhân;
• Địa chỉ trụ sở chính;
• Địa chỉ các trụ sở giao dịch khác (nếu có);
• Các thông tin đăng ký hoạt động (Ví dụ: Số Giấy chứng nhận đăng ký doanh nghiệp, Quyết định thành lập,…);
• Số điện thoại liên hệ;
• Địa chỉ trang web (nếu có).
• Thông tin chi tiết về bộ phận bảo vệ dữ liệu cá nhân và nhân viên phụ trách: Họ và tên; Chức danh; Số chứng minh thư/hộ chiếu của chủ hồ sơ; Số điện thoại liên lạc (cả số cố định và di động); Địa chỉ email.

Đối với Bên xử lý dữ liệu cá nhân:

• Tên tổ chức/cá nhân.
• Địa chỉ trụ sở.
• Các thông tin đăng ký hoạt động.
• Số điện thoại liên hệ.
• Địa chỉ trang web (nếu có).
• Thông tin chi tiết về cá nhân hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân của chủ hồ sơ: Họ và tên; Chức danh; Số điện thoại liên lạc (cố định và di động); Địa chỉ email.

Lưu ý: Cung cấp thông tin liên hệ đầy đủ và cập nhật để cơ quan chức năng có thể liên lạc và trao đổi khi cần thiết.

Mô tả hoạt động xử lý dữ liệu

Phần mô tả hoạt động xử lý dữ liệu là thành phần quan trọng của Hồ sơ đánh giá tác động, yêu cầu bên kiểm soát hoặc xử lý dữ liệu cá nhân cung cấp thông tin chi tiết về các hoạt động xử lý dữ liệu hiện tại hoặc dự kiến.

Các loại dữ liệu cá nhân được xử lý

Trong phần này, cần liệt kê rõ ràng và cụ thể các loại dữ liệu cá nhân mà tổ chức/cá nhân đang xử lý. Điều này bao gồm cả dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm.

• Dữ liệu cá nhân cơ bản có thể bao gồm: Họ và tên; Ngày tháng năm sinh; Giới tính; Địa chỉ; Số điện thoại; Địa chỉ email; Số chứng minh nhân dân/Căn cước công dân…
• Dữ liệu cá nhân nhạy cảm bao gồm: Thông tin về sức khỏe; Thông tin về đời sống tình dục; Thông tin về nguồn gốc chủng tộc, dân tộc; Thông tin về quan điểm chính trị; Thông tin về niềm tin tôn giáo…

Các hoạt động cụ thể liên quan đến xử lý dữ liệu

Phần này cần mô tả chi tiết các hoạt động mà tổ chức/cá nhân thực hiện đối với dữ liệu cá nhân, bao gồm:

• Thu thập: Mô tả các phương thức thu thập dữ liệu (ví dụ: trực tiếp từ chủ thể dữ liệu, từ các nguồn công khai, từ bên thứ ba,…
• Lưu trữ: Mô tả cách thức và địa điểm lưu trữ dữ liệu (ví dụ: trên máy chủ vật lý, trên đám mây) và các biện pháp bảo mật được áp dụng.
• Sử dụng: Liệt kê và giải thích các mục đích sử dụng dữ liệu (ví dụ: cung cấp dịch vụ, tiếp thị, phân tích,…)
• Chia sẻ: Liệt kê các bên thứ ba (nếu có) mà dữ liệu cá nhân có thể được chia sẻ (ví dụ: đối tác, nhà cung cấp dịch vụ,…) và mục đích chia sẻ.
• Xóa: Mô tả quy trình xóa dữ liệu cá nhân khi không còn cần thiết hoặc theo yêu cầu của chủ thể dữ liệu, bao gồm các phương pháp xóa và thời gian lưu trữ bản ghi về việc xóa.

Ví dụ: Một công ty thương mại điện tử có thể thu thập các dữ liệu cá nhân thông thường như họ tên, địa chỉ, số điện thoại, email của khách hàng để phục vụ cho việc giao hàng và thanh toán. Ngoài ra, công ty cũng có thể thu thập dữ liệu về lịch sử mua hàng, sở thích của khách hàng để phục vụ cho việc cá nhân hóa trải nghiệm mua sắm và gửi các chương trình khuyến mãi phù hợp.

Lưu ý: Mô tả hoạt động xử lý dữ liệu cần rõ ràng, chính xác và đầy đủ, đặc biệt là khi xử lý dữ liệu cá nhân nhạy cảm. Mô tả chi tiết giúp cơ quan chức năng đánh giá rủi ro và đề xuất biện pháp bảo vệ phù hợp, đồng thời thể hiện sự minh bạch và trách nhiệm của tổ chức/cá nhân trong việc bảo vệ dữ liệu cá nhân.

Bằng cách cung cấp thông tin chi tiết và đầy đủ về hoạt động xử lý dữ liệu, tổ chức/cá nhân thể hiện sự minh bạch và trách nhiệm trong việc bảo vệ dữ liệu cá nhân, đồng thời tạo điều kiện thuận lợi cho quá trình đánh giá tác động và giám sát của cơ quan chức năng.

Mục đích xử lý dữ liệu

Trong Hồ sơ đánh giá tác động, việc xác định rõ mục đích xử lý dữ liệu cá nhân là rất quan trọng. Mục đích này cần được mô tả chi tiết, cụ thể và chính xác, giải thích lý do tổ chức/cá nhân cần thu thập và xử lý dữ liệu đó. Mục đích xử lý dữ liệu cá nhân có thể đa dạng, tùy thuộc vào hoạt động và lĩnh vực của tổ chức/cá nhân. Một số mục đích phổ biến bao gồm:

• Cung cấp dịch vụ: Xử lý dữ liệu cá nhân để cung cấp sản phẩm, dịch vụ cho khách hàng (ví dụ: xác minh danh tính, giao hàng, thanh toán, hỗ trợ khách hàng).
• Quản lý nhân sự: Xử lý dữ liệu cá nhân của nhân viên để phục vụ các hoạt động nhân sự (ví dụ: tuyển dụng, quản lý hồ sơ, tính lương, đánh giá hiệu quả công việc).
• Tiếp thị và quảng cáo: Gửi thông tin quảng cáo, khuyến mãi, cá nhân hóa trải nghiệm khách hàng.
• Nghiên cứu và phát triển: Thực hiện nghiên cứu thị trường, phát triển sản phẩm mới.
• Tuân thủ pháp luật: Thực hiện các nghĩa vụ pháp lý, như báo cáo thuế, lưu trữ hồ sơ.

Lợi ích của việc xác định rõ mục đích xử lý dữ liệu: Việc xác định rõ mục đích xử lý dữ liệu không chỉ đảm bảo tuân thủ pháp luật mà còn mang lại nhiều lợi ích cho cả tổ chức và cá nhân:

Đối với tổ chức:

• Tăng hiệu quả hoạt động: Xử lý dữ liệu cá nhân đúng mục đích giúp tổ chức tối ưu hóa quy trình, nâng cao chất lượng dịch vụ và tăng khả năng cạnh tranh.
• Giảm thiểu rủi ro pháp lý: Tránh các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, giảm thiểu rủi ro bị xử phạt và ảnh hưởng đến uy tín.
• Xây dựng lòng tin: Minh bạch về mục đích xử lý dữ liệu thể hiện sự tôn trọng quyền riêng tư, giúp xây dựng lòng tin và mối quan hệ lâu dài với khách hàng.

Đối với cá nhân:

• Bảo vệ quyền riêng tư: Cá nhân có quyền biết rõ mục đích xử lý dữ liệu của mình, từ đó kiểm soát và đưa ra quyết định về việc chia sẻ thông tin.
• Tránh bị lợi dụng thông tin: Ngăn chặn việc thông tin cá nhân bị sử dụng sai mục đích, gây ảnh hưởng đến quyền và lợi ích hợp pháp.

Lưu ý: Mục đích xử lý dữ liệu cá nhân cần phải hợp pháp, chính đáng và rõ ràng. Tổ chức/cá nhân không được xử lý dữ liệu cá nhân cho các mục đích không được chủ thể dữ liệu đồng ý hoặc không phù hợp với quy định của pháp luật.

Thời hạn Lưu trữ và Xóa Dữ liệu

Trong Hồ sơ đánh giá tác động, bên kiểm soát hoặc xử lý dữ liệu cá nhân phải xác định rõ ràng thời gian cho phép xử lý dữ liệu, cụ thể là thời han lưu trữ dữ liệu cá nhân. Thời hạn này cần phù hợp với mục đích xử lý đã được công bố và không vượt quá giới hạn lưu trữ theo quy định pháp luật (nếu có).

Thời hạn lưu trữ dự kiến: Cần nêu rõ khoảng thời gian dự kiến mà dữ liệu cá nhân sẽ được lưu trữ. Thời gian này có thể được xác định dựa trên các yếu tố sau

• Mục đích xử lý: Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian cần thiết để hoàn thành mục đích xử lý đã được chủ thể dữ liệu đồng ý. Ví dụ, dữ liệu khách hàng của một cửa hàng trực tuyến có thể được lưu trữ trong một khoảng thời gian hợp lý sau khi khách hàng đã ngừng sử dụng dịch vụ để giải quyết các vấn đề phát sinh liên quan đến giao dịch.
• Yêu cầu pháp lý: Một số loại dữ liệu cá nhân có thể phải được lưu trữ trong một khoảng thời gian nhất định theo quy định của pháp luật, ví dụ như dữ liệu kế toán, thuế.
• Bản chất của dữ liệu: Một số loại dữ liệu có thể cần được lưu trữ lâu hơn các loại khác do tính chất quan trọng hoặc giá trị lịch sử của chúng.

Quy trình xóa dữ liệu: Cần mô tả chi tiết quy trình mà tổ chức/cá nhân sẽ áp dụng để huỷ dữ liệu cá nhân khi không còn cần thiết hoặc theo yêu cầu của chủ thể dữ liệu. Quy trình này phải đảm bảo rằng dữ liệu cá nhân được xóa hoàn toàn và không thể khôi phục.

Các bước trong quy trình xóa dữ liệu có thể bao gồm:

• Xác định dữ liệu cần xóa: Dựa trên mục đích xử lý và thời hạn lưu trữ dự kiến, xác định các dữ liệu cá nhân không còn cần thiết phải lưu trữ.
• Thực hiện xóa dữ liệu: Áp dụng các biện pháp kỹ thuật phù hợp để xóa dữ liệu cá nhân khỏi hệ thống lưu trữ, đảm bảo không thể khôi phục lại dữ liệu.
• Ghi nhận việc xóa dữ liệu: Lưu trữ thông tin về việc xóa dữ liệu, bao gồm thời gian xóa, phương pháp xóa và người thực hiện xóa.

Lưu ý:

Việc lưu trữ dữ liệu cá nhân quá thời hạn cần thiết hoặc không có quy trình xóa dữ liệu rõ ràng có thể bị coi là vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Tổ chức/cá nhân cần thường xuyên rà soát và cập nhật thời hạn lưu trữ dự kiến và quy trình xóa dữ liệu để đảm bảo phù hợp với các thay đổi về mục đích xử lý và quy định pháp luật.

Chuyển giao dữ liệu ra nước ngoài

Chuyển giao dữ liệu cá nhân ra nước ngoài là một hoạt động nhạy cảm, có thể tiềm ẩn nhiều rủi ro về bảo mật và an ninh thông tin. Do đó, Nghị định 13/2023/NĐ-CP đặt ra các điều kiện và quy trình pháp lý chặt chẽ nhằm đảm bảo việc chuyển giao này được thực hiện một cách an toàn và tuân thủ pháp luật.

Điều kiện chuyển giao:

• Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: Bên chuyển giao dữ liệu (bao gồm Bên kiểm soát dữ liệu, Bên kiểm soát và xử lý dữ liệu, Bên xử lý dữ liệu, Bên thứ ba) phải lập hồ sơ này để đánh giá các rủi ro tiềm ẩn và các biện pháp bảo vệ dữ liệu cá nhân sẽ được áp dụng.
• Thực hiện các thủ tục theo quy định: Bên chuyển giao dữ liệu phải gửi hồ sơ đánh giá tác động đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
• Được sự đồng ý của chủ thể dữ liệu: Chủ thể dữ liệu phải được thông báo rõ ràng và đồng ý với việc dữ liệu cá nhân của họ được chuyển ra nước ngoài.

Quy trình pháp lý liên quan:

• Gửi hồ sơ đánh giá tác động: Bên chuyển giao dữ liệu gửi hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao để được xem xét và đánh giá.
• Thông báo sau khi chuyển giao: Sau khi chuyển giao dữ liệu thành công, bên chuyển giao phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao về việc chuyển giao và cung cấp thông tin liên lạc của tổ chức, cá nhân phụ trách.
• Cập nhật hồ sơ: Nếu có bất kỳ thay đổi nào về nội dung hồ sơ đã gửi, bên chuyển giao dữ liệu phải cập nhật và gửi lại hồ sơ cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 10 ngày kể từ ngày yêu cầu.
• Thanh tra, kiểm tra: Bộ Công an có quyền kiểm tra việc chuyển giao dữ liệu cá nhân ra nước ngoài ít nhất 01 lần/năm hoặc khi phát hiện vi phạm hoặc sự cố về dữ liệu.
• Ngừng chuyển giao dữ liệu: Bộ Công an có quyền yêu cầu bên chuyển giao dữ liệu ngừng chuyển giao nếu phát hiện vi phạm pháp luật, không tuân thủ quy định hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân.

Việc tuân thủ các điều kiện và quy trình pháp lý này là rất quan trọng để đảm bảo việc chuyển giao dữ liệu cá nhân ra nước ngoài được thực hiện một cách an toàn và hợp pháp, bảo vệ quyền lợi của chủ thể dữ liệu và tránh các rủi ro pháp lý cho các bên liên quan.

QUY TRÌNH LẬP VÀ GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Quy trình lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đòi hỏi sự chuẩn bị kỹ lưỡng và tuân thủ các quy định pháp luật. Dưới đây là hướng dẫn chi tiết các bước cần thực hiện:

Bước 1. Xác định hoạt động xử lý dữ liệu cá nhân

• Liệt kê tất cả các hoạt động liên quan đến dữ liệu cá nhân mà tổ chức/cá nhân đang thực hiện hoặc dự định thực hiện.
• Xác định rõ mục đích của từng hoạt động xử lý.
• Phân loại các loại dữ liệu cá nhân được xử lý (dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm).

Bước 2. Đánh giá tính cần thiết và tương xứng

• Đánh giá xem việc xử lý dữ liệu cá nhân có thực sự cần thiết để đạt được mục đích đã đề ra hay không.
• Xem xét liệu việc xử lý dữ liệu cá nhân có tương xứng với mục đích hay không, tức là không thu thập và xử lý quá nhiều dữ liệu cá nhân so với mức cần thiết.

Bước 3. Đánh giá rủi ro

• Xác định các rủi ro tiềm ẩn đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
• Đánh giá mức độ nghiêm trọng của từng rủi ro.
• Xác định khả năng xảy ra của từng rủi ro.

Bước 4. Xác định các biện pháp bảo vệ dữ liệu cá nhân

• Liệt kê các biện pháp bảo vệ dữ liệu cá nhân hiện đang được áp dụng.
• Đánh giá tính hiệu quả của các biện pháp này.
• Đề xuất các biện pháp bổ sung (nếu cần) để giảm thiểu rủi ro.

Bước 5. Lập Hồ sơ đánh giá tác động

• Sử dụng mẫu hồ sơ đánh giá tác động theo quy định (Mẫu số 04 và Mẫu Đ24-DLCN-01 / Mẫu Đ24-DLCN-02 tại Phụ lục của Nghị định 13/2023/NĐ-CP).
• Điền đầy đủ và chính xác các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (Đối với nộp trực tuyến) hoặc các yêu cầu trong hồ sơ (Đối với nộp trực tiếp hoặc qua đường bưu chính công ích)
• Ký và đóng dấu (đối với tổ chức).

Bước 6. Gửi hồ sơ

• Gửi 01 bản chính hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an).
• Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân) hoặc kể từ ngày chuyển dữ liệu ra nước ngoài (đối với hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài).

Bước 7. Thẩm định hồ sơ

• Trong vòng 10 ngày làm việc, A05 – Bộ Công an phản hồi thông tin về thông báo kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Trường hợp hồ sơ hợp lệ, đầy đủ thông tin, A05 sẽ lập Giấy biên nhận và hẹn trả kết quả (Đối với trường hợp nộp trực tiếp tại A05)
• Trường hợp hồ sơ chưa đầy đủ hoặc không hợp lệ, A05 sẽ thông báo cho tổ chức, cá nhân bổ sung hồ sơ và cập nhật lại nội dung hồ sơ cho đầy đủ theo hướng dẫn.

Bước 8. Nhận Phiếu trả kết quả

Sau khi A05 thẩm định hồ sơ hợp lệ và đầy đủ thông tin, sẽ ban hành Phiếu trả kết quả về việc lập và gửi hồ sơ đánh giá tác động cho tổ chức, cá nhân.

Lưu ý:

Doanh nghiệp phải luôn lưu giữ hồ sơ đánh giá tác động (01 bộ) tại công ty để phục vụ cho hoạt động thanh tra, kiểm tra, đánh giá của Bộ Công an.

Việc không lập hoặc không gửi hồ sơ đánh giá tác động khi có yêu cầu có thể bị xử phạt vi phạm hành chính.

Tổ chức/cá nhân có thể tham khảo thêm các hướng dẫn chi tiết từ Bộ Công an hoặc chuyên gia tư vấn pháp lý Luật sư Nguyễn Lâm Sơn – DPVN để đảm bảo quy trình lập hồ sơ được thực hiện đúng quy định và hiệu quả.

Các lưu ý khi nộp Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

Hình thức nộp hồ sơ

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, có 03 hình thức để tổ chức, cá nhân gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an. Trong đó bao gồm:

• Nộp trực tiếp;
• Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để nộp trực tuyến;
• Nộp qua dịch vụ bưu chính công ích.

Số lượng hồ sơ

Hồ sơ đánh giá tác động phải được lập thành 02 bản, có đầy đủ chữ ký và con dấu (nếu là tổ chức) theo mẫu quy định tại Nghị định 13/2023/NĐ-CP. Trong đó doanh nghiệp gửi 01 bộ hồ sơ đến A05, 01 bộ lưu giữ tại doanh nghiệp để phục vụ hoạt động kiểm tra, thanh tra về bảo vệ dữ liệu cá nhân.

Thời hạn nộp hồ sơ

• Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Trong vòng 60 ngày, kể từ ngày bắt đầu xử lý dữ liệu cá nhân.
• Hồ sơ đánh giá tác động chuyển giao dữ liệu cá nhân ra nước ngoài: Trong vòng 60 ngày, kể từ ngày bắt đầu chuyển giao dữ liệu cá nhân ra nước ngoài.

Các yêu cầu khác

• Bên kiểm soát/xử lý dữ liệu cá nhân cần thường xuyên rà soát và cập nhật hồ sơ khi có thay đổi về nội dung.
• Khi được yêu cầu, bên kiểm soát/xử lý dữ liệu cá nhân phải cung cấp hồ sơ để phục vụ công tác kiểm tra, đánh giá của cơ quan chức năng.

Lưu ý: Việc không lập hoặc không nộp hồ sơ theo quy định có thể dẫn đến xử phạt vi phạm hành chính.

Mặc dù quy trình nộp hồ sơ không phức tạp, nhưng đòi hỏi sự cẩn thận và tuân thủ nghiêm ngặt các quy định về thời gian, hình thức và nội dung. Doanh nghiệp cần chủ động tìm hiểu và chuẩn bị hồ sơ một cách đầy đủ và chính xác để đảm bảo hoạt động xử lý dữ liệu cá nhân tuân thủ pháp luật.

Tầm quan trọng của việc đánh giá tác động

Lợi ích của việc thực hiện đánh giá tác động

Việc thực hiện đánh giá tác động đối với hoạt động xử lý dữ liệu cá nhân mang lại nhiều lợi ích quan trọng cho cả tổ chức và cá nhân:

Đối với tổ chức:

• Đảm bảo tuân thủ: Đánh giá tác động giúp tổ chức xác định và thực hiện các biện pháp cần thiết để tuân thủ Nghị định 13/2023/NĐ-CP và các quy định pháp luật khác về bảo vệ dữ liệu cá nhân.
• Quản lý rủi ro: Thông qua việc đánh giá, tổ chức có thể chủ động nhận diện, đánh giá và quản lý các rủi ro liên quan đến việc xử lý dữ liệu cá nhân, từ đó giảm thiểu khả năng xảy ra các vi phạm và hạn chế thiệt hại.
• Nâng cao uy tín: Việc chứng minh sự tuân thủ và nỗ lực bảo vệ dữ liệu cá nhân của khách hàng/đối tác sẽ giúp tổ chức nâng cao uy tín, xây dựng lòng tin và tạo lợi thế cạnh tranh.
• Tối ưu hóa quy trình: Quá trình đánh giá tác động còn giúp tổ chức rà soát và cải tiến quy trình xử lý dữ liệu cá nhân, nâng cao hiệu quả hoạt động và giảm chi phí.

Đối với cá nhân:

• Bảo vệ quyền lợi: Đánh giá tác động giúp đảm bảo quyền lợi của cá nhân được tôn trọng và bảo vệ trong quá trình xử lý dữ liệu cá nhân.
• Tăng cường sự minh bạch: Cá nhân có quyền được biết về cách thức dữ liệu cá nhân của họ được thu thập, sử dụng và chia sẻ, từ đó có thể đưa ra quyết định sáng suốt về việc cung cấp thông tin cá nhân.
• Giảm thiểu rủi ro: Đánh giá tác động giúp giảm thiểu rủi ro thông tin cá nhân của cá nhân bị sử dụng sai mục đích, xâm phạm hoặc gây thiệt hại.

Việc thực hiện đánh giá tác động không chỉ là yêu cầu pháp lý mà còn là một công cụ quan trọng để tổ chức và cá nhân chủ động bảo vệ dữ liệu cá nhân, xây dựng môi trường kinh doanh an toàn và minh bạch.

Rủi ro khi không thực hiện đánh giá tác động

Việc không thực hiện đánh giá tác động xử lý dữ liệu cá nhân tiềm ẩn nhiều rủi ro nghiêm trọng, ảnh hưởng trực tiếp đến hoạt động của tổ chức và quyền lợi của các bên liên quan.

Rủi ro pháp lý:

• Xử phạt vi phạm hành chính: Theo Nghị định 13/2023/NĐ-CP, việc không lập hoặc không gửi hồ sơ đánh giá tác động khi có yêu cầu có thể bị xử phạt vi phạm hành chính. Mức phạt có thể lên đến hàng trăm triệu đồng, tùy theo mức độ vi phạm.
• Tranh chấp pháp lý khác: Trong trường hợp xảy ra tranh chấp hoặc vi phạm liên quan đến dữ liệu cá nhân, việc không có hồ sơ đánh giá tác động có thể khiến tổ chức gặp bất lợi trong quá trình giải quyết, thậm chí phải chịu trách nhiệm bồi thường thiệt hại.

Rủi ro bảo mật:

• Rò rỉ, mất mát dữ liệu: Khi không đánh giá tác động, tổ chức có thể không nhận diện được đầy đủ các rủi ro bảo mật, dẫn đến việc không có các biện pháp bảo vệ phù hợp, tăng nguy cơ xảy ra sự cố rò rỉ, mất mát dữ liệu cá nhân.
• Thiệt hại về uy tín: Sự cố bảo mật dữ liệu cá nhân có thể gây ảnh hưởng nghiêm trọng đến uy tín và hình ảnh của tổ chức, làm giảm lòng tin của khách hàng và đối tác.
• Tấn công mạng: Tổ chức có thể trở thành mục tiêu của các cuộc tấn công mạng nhằm đánh cắp hoặc phá hoại dữ liệu cá nhân nếu không có các biện pháp bảo mật đầy đủ.

Ngoài ra, việc không thực hiện đánh giá tác động còn có thể dẫn đến các rủi ro khác như:

• Mất cơ hội kinh doanh: Một số đối tác hoặc khách hàng có thể yêu cầu tổ chức cung cấp hồ sơ đánh giá tác động để chứng minh sự tuân thủ pháp luật về bảo vệ dữ liệu cá nhân. Nếu không có hồ sơ này, tổ chức có thể mất đi các cơ hội hợp tác kinh doanh quan trọng.
• Khó khăn trong quản lý dữ liệu: Việc không đánh giá tác động có thể khiến tổ chức gặp khó khăn trong việc quản lý và kiểm soát dữ liệu cá nhân, dẫn đến sự lãng phí tài nguyên và giảm hiệu quả hoạt động.

Việc thực hiện đánh giá tác động là một bước quan trọng để tổ chức chủ động phòng ngừa và giảm thiểu các rủi ro pháp lý và bảo mật liên quan đến xử lý dữ liệu cá nhân. Đầu tư vào việc đánh giá tác động không chỉ giúp tổ chức tuân thủ pháp luật mà còn mang lại nhiều lợi ích lâu dài về bảo mật, uy tín và hiệu quả hoạt động.

Tìm hiểu chi tiết về các nội dung khác cùng chuyên mục Tư vấn Nghị định 13/2023/NĐ-CP

CÂU HỎI THƯỜNG GẶP VỀ HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

Câu 1. Hồ sơ đánh giá tác động có cần thiết cho tất cả tổ chức không?

Không, không phải tất cả các tổ chức đều bắt buộc phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Theo Điều 24 Nghị định 13/2023/NĐ-CP, chỉ những tổ chức, cá nhân thực hiện các hoạt động xử lý dữ liệu cá nhân có khả năng gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu mới phải lập hồ sơ này.

Câu 2. Có những loại hình dữ liệu nào cần phải lập hồ sơ?

Hồ sơ đánh giá tác động được yêu cầu lập trong các trường hợp xử lý dữ liệu cá nhân sau: Xử lý dữ liệu cá nhân nhạy cảm trên quy mô lớn; Theo dõi, giám sát chủ thể dữ liệu cá nhân trên quy mô lớn; Xử lý dữ liệu cá nhân của trẻ em; Sử dụng công nghệ mới trong xử lý dữ liệu cá nhân có khả năng gây ảnh hưởng lớn; Các trường hợp khác theo quy định của Bộ Công an.

Câu 3. Ai là người chịu trách nhiệm về việc lập hồ sơ đánh giá tác động?

Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân.

DỊCH VỤ SOẠN HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN – DPVN

1. Xây dựng và triển khai:

• Chính sách Bảo vệ dữ liệu cá nhân cho Nhân sự, Khách hàng và các Chủ thể dữ liệu cá nhân khác.
• Biểu mẫu thu thập sự đồng ý xử lý dữ liệu cá nhân.
• Hợp đồng/thỏa thuận xử lý dữ liệu cá nhân giữa các bên liên quan.
• Quyết định thành lập bộ phận và phân công nhiệm vụ Bảo vệ dữ liệu cá nhân.
• Quy chế nội bộ về Bảo vệ dữ liệu cá nhân và các văn bản nội bộ liên quan.
• Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

2. Rà soát và hướng dẫn:

• Rà soát toàn bộ văn bản, tài liệu của Doanh nghiệp để đảm bảo tuân thủ Nghị định 13.
• Hướng dẫn Doanh nghiệp lập và lưu trữ hồ sơ theo quy định.

3. Đại diện và hỗ trợ:

• Đại diện Doanh nghiệp nộp hồ sơ tới Cục An ninh mạng.
• Hỗ trợ Doanh nghiệp giải trình, bổ sung hồ sơ (nếu cần).
• Đại diện Doanh nghiệp nhận kết quả hồ sơ và bàn giao cho Doanh nghiệp.

Việc thực hiện thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ, trách nhiệm của các tổ chức, cá nhân để đảm bảo nghiêm túc pháp luật Việt Nam về bảo vệ dữ liệu cá nhân. Liên hệ ngay với DPVN để được hỗ trợ tư vấn miễn phí về thủ tục trên.