5 điều cần biết về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP

Nghị định số 13/2023/NĐ-CP (Nghị định 13) về bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ ngày 01/07/2023 là văn bản pháp luật đầu tiên tại Việt Nam nhằm bảo vệ quyền dữ liệu cá nhân trên môi trường số. Theo đó, Nghị định 13 quy định về thủ tục hành chính mà các cá nhân/tổ chức cần thực hiện là Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Dưới đây là 5 điều mà cá nhân/tổ chức cần biết về Hồ sơ này.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DLCN) là gì?

Để hiểu đúng, Hồ sơ đánh giá tác động xử lý DLCN được xem như một “tờ khai” mà cá nhân/ tổ chức tự thực hiện nhằm phản ánh thực trạng bảo vệ dữ liệu cá nhân tại đơn vị mình. Đây là một nghĩa vụ bắt buộc, tương tự như việc kê khai thuế, bảo hiểm đang thực hiện hiện nay. Yêu cầu này được quy định rõ ràng trong các Điều 24 và 25 của Nghị định 13.

Tại sao phải lập và nộp hồ sơ đánh giá tác động xử lý DLCN?

Việc lập hồ sơ đánh giá tác động xử lý DLCN giúp cá nhân/tổ chức chủ động đánh giá – chủ động bảo vệ khi tiến hành xử lý dữ liệu cá nhân, hạn chế rủi ro và đảm bảo tuân thủ pháp luật. Cụ thể:

• Đáp ứng nghĩa vụ pháp lý theo yêu cầu của cơ quan Nhà nước có thẩm quyền.
• Rà soát tổng thể các hoạt động xử lý dữ liệu cá nhân, giúp cá nhân/tổ chức có cái nhìn toàn cảnh về toàn bộ hoạt động xử lý DLCN.
• Đánh giá tác động đối với các rủi ro, ảnh hưởng trong quá trình xử lý DLCN, đưa ra biện pháp khắc phục phù hợp.
• Đề xuất những khó khăn, vướng mắc trong quá trình thực hiện xử lý DLCN để cơ quan nhà nước xem xét và hướng dẫn kịp thời.

Nếu không thực hiện việc lập và nộp Hồ sơ đánh giá tác động xử lý DLCN đồng nghĩa với việc cá nhân/tổ chức đang không tuân thủ các quy định pháp luật và có thể dẫn đến bị xử phạt hành chính.

Đối tượng nào cần phải lập hồ sơ đánh giá tác động xử lý DLCN?

Nghị định 13 áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài và cơ quan, tổ chức, cá nhân nước ngoài có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Để xác định vai trò của cá nhân/tổ chức trong xử lý dữ liệu cá nhân, cần tham chiếu Điều 2 của Nghị định 13. Cụ thể:

• Bên Kiểm soát dữ liệu cá nhân là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.
• Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.
• Bên Xử lý dữ liệu cá nhân là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
• Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.

Ví dụ: Khách hàng cung cấp một nhóm dữ liệu cá nhân bao gồm: Họ tên, Số điện thoại, địa chỉ liên lạc, năm sinh, sở thích cá nhân, tần suất mua sắm cho Công ty A, Công ty A gửi nhóm DLCN này cho Công ty B với mục đích hỗ trợ thống kê số liệu về độ tuổi mua sắm thông qua một hợp đồng cung cấp dịch vụ. Sau khi có được số liệu thống kê về độ tuổi mua sắm, Công ty A chọn lọc trong số các Khách hàng cung cấp dữ liệu cá nhân ban đầu phù hợp với sản phẩm đang bán và tiến hành liên hệ giới thiệu sản phẩm. Dữ liệu về cuộc gọi được Công ty A lưu trữ (mang tính nội bộ) tại hệ thống lưu trữ do Công ty C cung cấp (chỉ Công ty A mới được phép tiếp cận và tác động xử lý đối với dữ liệu cuộc gọi).

a, Với mục đích thống kê số liệu về độ tuổi:

• Chủ thể dữ liệu: Khách hàng
• Bên Kiểm soát DLCN: Công ty A
• Bên Xử lý DLCN: Công ty B

b, Với mục đích gọi điện giới thiệu sản phẩm:

• Chủ thể dữ liệu: Khách hàng
• Bên Kiểm soát và xử lý DLCN: Công ty A
• Bên thứ ba: Công ty C

Các tài liệu cần có khi nộp hồ sơ đánh giá tác động xử lý DLCN

Hồ sơ đánh giá tác động xử lý DLCN bao gồm nhiều biểu mẫu quan trọng, được xác định dựa trên vai trò của tổ chức/cá nhân trong quá trình xử lý DLCN. Dưới đây là các biểu mẫu được sử dụng:

Nộp hồ sơ đánh giá tác động xử lý DLCN như thế nào?

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, có 3 hình thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm nộp trực tuyến (https://baovedlcn.gov.vn/), trực tiếp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05) hoặc dịch vụ bưu chính công ích.

Lưu ý: Thời hạn gửi hồ sơ trong vòng 60 ngày kể từ ngày Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân tiến hành xử lý dữ liệu cá nhân.

Doanh nghiệp cần đảm bảo hồ sơ đầy đủ, chính xác trước khi nộp để tránh mất thời gian bổ sung hoặc điều chỉnh. Nếu có vướng mắc, doanh nghiệp nên tham khảo ý kiến chuyên gia để hoàn thiện hồ sơ một cách chính xác và hiệu quả nhất.

Nếu doanh nghiệp gặp khó khăn trong quá trình lập và nộp hồ sơ, VNDS cung cấp dịch vụ tư vấn toàn diện, để đảm bảo tuân thủ quy định pháp luật. Các dịch vụ chính bao gồm:

• Dịch vụ tư vấn: Hướng dẫn lập hồ sơ đánh giá tác động, báo cáo tuân thủ bảo vệ dữ liệu cá nhân.
• Dịch vụ đào tạo & cung ứng nhân sự: Đào tạo chuyên gia bảo vệ dữ liệu cá nhân (DPO), cung cấp nhân sự DPO cho doanh nghiệp.
• Giải pháp công nghệ: Ứng dụng nền tảng DataTrust giúp tự động hóa quy trình tuân thủ.

VNDS là đơn vị hàng đầu trong lĩnh vực bảo vệ dữ liệu cá nhân, chuyên hỗ trợ doanh nghiệp trong việc lập, hoàn thiện và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) cho nhiều doanh nghiệp thuộc nhiều lĩnh vực tại Việt Nam.