Hướng dẫn xây dựng chính sách bảo vệ dữ liệu cá nhân trong doanh nghiệp 2024

Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân đã đặt ra những yêu cầu mới về việc xây dựng chính sách bảo vệ dữ liệu cá nhân trong doanh nghiệp. Vậy chính sách này cần có những nội dung gì và doanh nghiệp cần lưu ý những gì khi xây dựng chính sách này để đảm bảo tuân thủ quy định của pháp luật?

DPVN đơn vị tư vấn pháp lý về bảo vệ dữ liệu cá nhân uy tín, sẽ hướng dẫn bạn xây dựng chính sách bảo vệ dữ liệu cá nhân toàn diện và hiệu quả.

Trong thời đại số, dữ liệu cá nhân được ví như “vàng kỹ thuật số”. Việc thu thập, lưu trữ và xử lý dữ liệu cá nhân mang lại nhiều lợi ích cho doanh nghiệp, nhưng đồng thời cũng tiềm ẩn nhiều rủi ro. Xây dựng chính sách bảo vệ dữ liệu cá nhân là giải pháp tối ưu để doanh nghiệp:

• Tuân thủ quy định pháp luật: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực từ ngày 01/07/2023, quy định rõ ràng về quyền và nghĩa vụ của các bên trong hoạt động xử lý dữ liệu cá nhân. Doanh nghiệp không xây dựng và áp dụng chính sách bảo vệ dữ liệu cá nhân phù hợp có thể đối mặt với các hình thức xử phạt nghiêm khắc.
• Nâng cao uy tín thương hiệu: Khách hàng ngày càng quan tâm đến việc bảo mật thông tin cá nhân. Việc doanh nghiệp minh bạch và có chính sách bảo vệ dữ liệu rõ ràng sẽ tạo dựng niềm tin cho khách hàng, nâng cao uy tín và hình ảnh thương hiệu.
• Tăng cường lợi thế cạnh tranh: Trong bối cảnh cạnh tranh gay gắt, chính sách bảo vệ dữ liệu cá nhân trở thành một lợi thế cạnh tranh, giúp doanh nghiệp thu hút khách hàng, nhà đầu tư và đối tác tiềm năng.
• Giảm thiểu rủi ro: Chính sách bảo vệ dữ liệu cá nhân giúp doanh nghiệp chủ động phòng ngừa và hạn chế rủi ro về an ninh mạng, mất mát dữ liệu, khiếu nại và kiện tụng.

Xác định rõ mục đích và phạm vi thu thập, xử lý dữ liệu cá nhân:

• Doanh nghiệp cần xác định cụ thể và chính xác mục đích thu thập, xử lý dữ liệu cá nhân là gì (ví dụ: để cung cấp dịch vụ, chăm sóc khách hàng, tiếp thị sản phẩm,…).
• Phạm vi thu thập, xử lý dữ liệu cũng cần được giới hạn ở mức cần thiết để thực hiện mục đích đó. Điều này giúp đảm bảo tính minh bạch và tránh việc thu thập, xử lý dữ liệu quá mức cần thiết (Điều 3, Điều 13 Nghị định 13/2023/NĐ-CP).

Chỉ thu thập những dữ liệu cần thiết và phù hợp với mục đích đã công bố:

• Doanh nghiệp chỉ được thu thập những dữ liệu cá nhân thực sự cần thiết để thực hiện mục đích đã công bố.
• Việc thu thập dữ liệu không liên quan hoặc vượt quá phạm vi cần thiết là vi phạm quyền riêng tư của chủ thể dữ liệu (Điều 3, Điều 13 Nghị định 13/2023/NĐ-CP).

Theo Điều 13 Nghị định 13/2023/NĐ-CP quy định về việc thông báo xử lý dữ liệu cá nhân:

• Công khai phương thức thu thập dữ liệu cá nhân (trực tiếp, gián tiếp, tự động,…): Doanh nghiệp cần công khai và minh bạch về cách thức thu thập dữ liệu cá nhân, cho dù là trực tiếp từ chủ thể dữ liệu, gián tiếp từ các nguồn khác hay thông qua các công cụ tự động.
• Công khai các biện pháp xử lý dữ liệu cá nhân (lưu trữ, phân tích, chia sẻ,…): Doanh nghiệp cần thông báo cho chủ thể dữ liệu về các biện pháp xử lý dữ liệu cá nhân mà doanh nghiệp sẽ áp dụng, bao gồm cả việc lưu trữ, phân tích, chia sẻ với bên thứ ba (nếu có) .

Xác định thời gian lưu trữ dữ liệu cá nhân phù hợp với mục đích xử lý: Doanh nghiệp cần xác định thời gian lưu trữ dữ liệu cá nhân dựa trên mục đích xử lý và các quy định pháp luật liên quan. Không được lưu trữ dữ liệu cá nhân quá thời gian cần thiết (Điều 3, Điều 16 Nghị định 13/2023/NĐ-CP).

Quy định rõ phương thức tiêu hủy dữ liệu cá nhân khi không còn cần thiết: Doanh nghiệp cần có quy định rõ ràng về phương thức tiêu hủy dữ liệu cá nhân khi không còn cần thiết hoặc khi có yêu cầu từ chủ thể dữ liệu. Việc tiêu hủy phải đảm bảo dữ liệu không thể khôi phục được (Điều 16 Nghị định 13/2023/NĐ-CP).

Thông báo đầy đủ các quyền của chủ thể dữ liệu theo quy định của Nghị định: Doanh nghiệp có nghĩa vụ thông báo cho chủ thể dữ liệu về các quyền của họ theo quy định tại Điều 9 Nghị định 13/2023/NĐ-CP, bao gồm quyền được biết, quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền hạn chế xử lý, quyền phản đối xử lý dữ liệu,…

Thực hiện các quyền của chủ thể dữ liệu theo quy định (tiếp cận, chỉnh sửa, xóa dữ liệu,…): Khi chủ thể dữ liệu yêu cầu thực hiện các quyền của mình, doanh nghiệp phải đáp ứng yêu cầu này trong thời gian quy định và theo đúng quy trình (Điều 9, Điều 14, Điều 15, Điều 16 Nghị định 13/2023/NĐ-CP).

Tìm hiểu thêm về các quyền của chủ thể dữ liệu cá nhân

Áp dụng các biện pháp kỹ thuật và tổ chức để đảm bảo an toàn, bảo mật cho dữ liệu cá nhân. Doanh nghiệp phải áp dụng các biện pháp bảo mật phù hợp với loại dữ liệu cá nhân mà mình xử lý, bao gồm cả biện pháp kỹ thuật (ví dụ: mã hóa, tường lửa,…) và biện pháp tổ chức (ví dụ: phân quyền truy cập, đào tạo nhân viên,…) (Điều 26, Điều 27, Điều 28 Nghị định 13/2023/NĐ-CP).

Thực hiện theo đúng các quy định của Nghị định về việc chuyển dữ liệu cá nhân ra nước ngoài. Doanh nghiệp chỉ được phép chuyển dữ liệu cá nhân ra nước ngoài khi đáp ứng đủ các điều kiện và thực hiện đúng thủ tục theo quy định tại Điều 25 Nghị định 13/2023/NĐ-CP. Cụ thể, bên chuyển dữ liệu phải lập hồ sơ đánh giá tác động và gửi tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao để xin phép.

Xây dựng quy trình thông báo vi phạm dữ liệu cá nhân cho cơ quan nhà nước có thẩm quyền và chủ thể dữ liệu. Doanh nghiệp cần xây dựng quy trình nội bộ để phát hiện, xử lý và thông báo vi phạm dữ liệu cá nhân.

Trong trường hợp xảy ra vi phạm, doanh nghiệp phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 72 giờ và thực hiện các biện pháp khắc phục hậu quả (Điều 23 Nghị định 13/2023/NĐ-CP). Nội dung thông báo cần mô tả rõ tính chất của vi phạm, hậu quả và biện pháp khắc phục.

Lưu ý chung:

Các nội dung trên chỉ là những điểm cơ bản cần có trong chính sách bảo vệ dữ liệu cá nhân của doanh nghiệp.

Doanh nghiệp cần căn cứ vào quy mô, lĩnh vực hoạt động và loại dữ liệu cá nhân mà mình xử lý để xây dựng chính sách một cách chi tiết và phù hợp.

Việc xây dựng và thực hiện chính sách bảo vệ dữ liệu cá nhân là trách nhiệm của doanh nghiệp, nhằm đảm bảo quyền lợi của khách hàng, đối tác và tuân thủ quy định của pháp luật.