Nghị định 13 về bảo vệ dữ liệu cá nhân đã thiết lập 5 thủ tục hành chính quan trọng mà doanh nghiệp cần nắm vững để đảm bảo tuân thủ. Trong số đó, thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đóng vai trò then chốt, có thể ảnh hưởng trực tiếp đến hoạt động kinh doanh. Vậy thủ tục này đòi hỏi những gì, yêu cầu ra sao và tác động như thế nào đến doanh nghiệp? Hãy cùng DPVN tìm hiểu sâu hơn để có cái nhìn toàn diện và chính xác nhất.
Xác định vai trò của doanh nghiệp trong việc xử lý dữ liệu cá nhân
Để xác định được vai trò của doanh nghiệp trong việc xử lý dữ liệu cá nhân, trước tiên chúng ta cần làm rõ xử lý dữ liệu cá nhân là gì?
Theo Điều 2, khoản 7, Nghị định 13/2023/NĐ-CP, Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Ví dụ như:
- Thu thập: Lấy thông tin từ các nguồn khác nhau (ví dụ: biểu mẫu đăng ký, khảo sát, hệ thống camera).
- Ghi nhận: Ghi lại thông tin trên giấy tờ hoặc máy tính (ví dụ: nhập thông tin khách hàng vào cơ sở dữ liệu).
- Phân tích: Nghiên cứu thông tin để hiểu rõ hơn về hành vi, sở thích (ví dụ: phân tích dữ liệu mua hàng để đề xuất sản phẩm phù hợp).
- Lưu trữ: Bảo quản thông tin trong hệ thống (ví dụ: lưu trữ thông tin nhân viên trên máy chủ).
- Chỉnh sửa: Thay đổi, bổ sung hoặc xóa thông tin (ví dụ: cập nhật địa chỉ khách hàng).
- Chia sẻ: Cung cấp thông tin cho người khác (ví dụ: chia sẻ thông tin khách hàng với đối tác).
- Xóa: Loại bỏ thông tin khỏi hệ thống (ví dụ: xóa thông tin khách hàng theo yêu cầu).
Cũng theo khoản 9, khoản 10, khoản 11, khoản 12 tại điều này có quy định về các bên tham gia quá trình xử lý dữ liệu cá nhân bao gồm: Bên kiểm soát dữ liệu cá nhân; Bên xử lý dữ liệu cá nhân; Bên kiểm soát và xử lý dữ liệu cá nhân; Bên thứ ba (ngoài các bên nêu trên)
9. Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
10. Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
11. Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
12. Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Dựa vào quy định nêu trên, chúng ta có thể thấy rõ, hầu hết các doanh nghiệp đều đang thực hiện ít nhất một hoạt động xử lý dữ liệu cá nhân. Tùy thuộc vào phạm vi hoạt động xử lý dữ liệu, doanh nghiệp sẽ đóng vai trò là Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu hoặc bên đồng thời vừa kiểm soát vừa xử lý dữ liệu.
Ví dụ:
- Công ty thu thập thông tin khách hàng, nhân viên…
-> Doanh nghiệp là Bên Kiểm soát dữ liệu cá nhân quyết định mục đích và phương pháp thu thập, sử dụng dữ liệu cá nhân.
- Công ty cung cấp dịch vụ nhân sự, kế toán xử lý dữ liệu theo yêu cầu của doanh nghiệp khác.
-> Doanh nghiệp đóng vai trò là Bên Xử lý dữ liệu cá nhân thực hiện xử lý dữ liệu theo yêu cầu của Bên Kiểm soát.
-> Bên Kiểm soát và xử lý dữ liệu cá nhân: Tự thực hiện toàn bộ quy trình xử lý dữ liệu cá nhân.
Nói cách khác, Bên Kiểm soát là người “ra lệnh”, Bên Xử lý là người “thi hành” và có những doanh nghiệp vừa “ra lệnh” vừa “thi hành”. Doanh nghiệp cần xác định rõ vai trò của mình (Bên Kiểm soát, Bên Xử lý hoặc cả hai) trong quá trình xử lý dữ liệu cá nhân để xây dựng và áp dụng các chính sách phù hợp, đảm bảo tuân thủ đầy đủ quy định của pháp luật.
Để làm rõ hơn về định nghĩa và vai trò của các bên tham gia quá trình xử lý dữ liệu cá nhân, Quý doanh nghiệp tìm hiểu thông qua bài viết: 6 tiêu chí phân biệt giữa bên kiểm soát và bên xử lý dữ liệu cá nhân 2024
Nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?
Theo Điều 24 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là hồ sơ mà tổ chức, cá nhân ngay từ khi bắt đầu xử lý dữ liệu có nghĩa vụ lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hồ sơ này phải được lập thành văn bản có giá trị pháp lý.
Đối tượng thực hiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Cũng theo Điều 24 Nghị định 13/2023/NĐ-CP, đối tượng thực hiện lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân.
Cụ thể bao gồm: Công dân Việt Nam, Người Việt Nam định cư ở nước ngoài, Người nước ngoài, Cán bộ, công chức, viên chức, Doanh nghiệp, Doanh nghiệp có vốn đầu tư nước ngoài, Tổ chức (không bao gồm doanh nghiệp, hợp tác xã), Tổ chức nước ngoài, Hợp tác xã.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những gì?
Tuỳ theo từng vai trò của các bên tham gia quá trình xử lý dữ liệu cá nhân khác nhau, thông tin về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân sẽ khác nhau. Cụ thể ở đây chia ra làm 2 trường hợp:
- Hồ sơ của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
- Hồ sơ của Bên Xử lý dữ liệu cá nhân.
- Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
- Mục đích xử lý dữ liệu cá nhân;
- Các loại dữ liệu cá nhân được xử lý;
- Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
- Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
- Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
- Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
- Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Hướng dẫn soạn Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Để hoàn thiện đầy đủ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng, cần chuẩn bị các thông tin và tài liệu sau:
Thông tin về tổ chức hoặc cá nhân:
- Thu thập thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân.
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân.
- Họ tên và chi tiết liên lạc của nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân.
Tài liệu cần chuẩn bị (theo mẫu):
- Mô tả các hoạt động xử lý dữ liệu cá nhân và mục đích của các hoạt động đó.
Các loại dữ liệu cá nhân được xử lý. - Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam.
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài.
- Thời gian cho phép xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có).
- Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng.
Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân:
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra
- Các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó
Các tác động cụ thể:
- Tác động về quyền của chủ thể dữ liệu;
- Tác động về kinh tế;
- Tác động về xã hội;
- Tác động về thủ tục hành chính;
- Tác động đối với hệ thống pháp luật;
- Tác động đối với lợi ích của chủ thể dữ liệu;
- Lấy ý kiến đánh giá tác động;
- Giám sát và đánh giá;
Lưu ý khi lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Có 04 điều các cá nhân, tổ chức cần lưu ý khi lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:
- Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được lập thành văn bản có giá trị pháp lý bởi bên kiểm soát hoặc xử lý dữ liệu.
- Hồ sơ này phải luôn sẵn sàng để kiểm tra và một bản chính phải được gửi đến Cục An ninh mạng (Bộ Công an) trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu.
- Cục An ninh mạng có quyền yêu cầu bên kiểm soát hoặc xử lý dữ liệu hoàn thiện hồ sơ nếu chưa đầy đủ.
- Bên kiểm soát hoặc xử lý dữ liệu phải cập nhật hồ sơ khi có thay đổi và gửi cho Cục An ninh mạng theo mẫu quy định.
Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân
Theo Điều 4 Nghị định 13/2023/NĐ-CP, vi phạm quy định bảo vệ dữ liệu cá nhân có thể bị xử lý kỷ luật, hành chính hoặc hình sự tùy theo mức độ. Dự thảo Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đề xuất mức phạt tiền cụ thể:
- Phạt tiền từ 60 – 80 triệu đồng nếu không lập, lưu giữ hoặc hồ sơ không đầy đủ nội dung theo quy định, hoặc không được lập thành văn bản có giá trị pháp lý.
- Phạt tiền từ 80 – 100 triệu đồng nếu không đảm bảo hồ sơ sẵn có và không gửi bản chính cho cơ quan chức năng trong vòng 60 ngày làm việc.
Điều này cho thấy việc không thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân có thể bị xử phạt nặng. Do đó, các tổ chức cần nghiêm túc thực hiện việc lập và thông báo hồ sơ này theo quy định để tránh rủi ro pháp lý. Cụ thể, cần chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (để nộp và lưu trữ tại doanh nghiệp) và hồ sơ liên quan đến chuyển dữ liệu cá nhân ra nước ngoài.
Tìm hiểu chi tiết thêm về Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (Lần 3)
Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thông tin chung về thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Không quá 10 ngày làm việc (trừ các ngày nghỉ lễ, tết theo quy định)
- Công dân Việt Nam từ đủ 18 tuổi trở lên.
- Người nước ngoài từ đủ 18 tuổi trở lên nhập cảnh vào Việt Nam.
- Cơ quan, tổ chức Việt Nam.
- Cơ quan, tổ chức nước ngoài tại Việt Nam.
- Cơ quan, tổ chức Việt Nam hoạt động tại nước ngoài.
- Cơ quan, tổ chức nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Có 03 hình thức nộp thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Trực tuyến; Trực tiếp; Dịch vụ bưu chính công ích.
- Nộp trực tuyến: Truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) – baovedlcn.gov.vn
- Nộp trực tiếp: Tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05)
- Nộp qua đường bưu chính: Tiếp nhận hồ sơ qua dịch vụ bưu chính công ích theo quy định tại Quyết định số 45/2016/NĐ-CP ngày 19/10/2016 của Thủ tướng Chính phủ về việc tiếp nhận hồ sơ, trả kết quả giải quyết thủ tục hành chính qua dịch vụ bưu chính công ích.
- Tổ chức, cá nhân gửi trong thời gian 60 ngày kể từ ngày xử lý dữ liệu cá nhân.
Tuy nhiên, tại thời điểm hiện tại các tổ chức, cá nhân chỉ có thể nộp thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trực tiếp tại Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05)
Không có
Thông báo kết quả trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi văn bản theo địa chỉ của tổ chức, cá nhân gửi hồ sơ.
Tuy nhiên, tại thời điểm hiện tại, các tổ chức, cá nhân nhận kết quả trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Trình tự thực hiện thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Thực hiện | Thành phần hồ sơ |
Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) để tải xuống biểu mẫu ban hành kèm theo Nghị định 13/2023/NĐ-CP:
|
Tải về mẫu số 04a
Tải về mẫu số 04b |
Thực hiện | Thành phần hồ sơ |
Tổ chức, cá nhân cung cấp thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) và điền vào mẫu số 04a (dành cho tổ chức) hoặc mẫu số 04b (dành cho cá nhân) ban hành kèm theo Nghị định số 13/2023/NĐ-CP. | |
Nội dung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:
|
Tải về Mẫu Đ24-DLCN-01
Tải về Mẫu Đ24-DLCN-02 Tải về Mẫu Đ24-DLCN-03 |
Tổ chức, cá nhân gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Đồng thời, cá nhân hoặc tổ chức lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần lưu trữ 01 bản tại trụ sở làm việc để phục vụ cho công tác thanh tra, kiểm tra của Bộ Công an khi có yêu cầu.
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an sẽ phản hồi về kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hồ sơ sẽ được tiếp nhận trong giờ hành chính từ thứ 2 đến thứ 6 (trừ các ngày nghỉ lễ, tết theo quy định)
Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (dành cho tổ chức) |
01 Bản chính |
Mẫu số 04a |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (dành cho cá nhân) |
01 Bản chính |
Tải về Mẫu số 04b |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân) |
01 Bản chính |
Mẫu Đ24-DLCN-01 |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Xử lý dữ liệu cá nhân) |
01 Bản chính |
Tải về Mẫu Đ24-DLCN-02 |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên thứ Ba) |
01 Bản chính |
Tải về Mẫu Đ24-DLCN-03 |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Giấy chứng nhận đăng kí hoạt động/quyết định thành lập hoặc căn cước công dân/chứng minh thư/hộ chiếu của chủ hồ sơ |
01 Bản sao |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Quyết định hoăc giấy tờ liên quan đến phân công của bộ phận phụ trách bảo vệ dữ liệu cá nhân của chủ hồ sơ |
01 Bản sao |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Hợp đồng hoặc văn bản liên quan đến thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có) |
01 Bản sao |
Tên hồ sơ | Số lượng / Loại giấy tờ | Mẫu biểu |
Giấy tờ khác (các phụ lục bảng biểu tính toán chi phí, lợi ích của các giải pháp) |
01 Bản sao |
Trên đây là các phân tích của DPVN về thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Qua đó, có thể thấy răng việc tuân thủ quy định về bảo vệ dữ liệu cá nhân đang trở thành mối quan tâm của Chính phủ và các doanh nghiệp. Đặc biệt là tuân thủ quy định về thực hiện các thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân theo Nghị định 13. Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này xin vui lòng liên hệ trực tiếp với DPVN để được tư vấn miễn phí.