Doanh nghiệp có trách nhiệm lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Vậy hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những hồ sơ gì? Cần lưu ý những gì khi lập hồ sơ?
Doanh nghiệp nào phải đánh giá tác động xử lý dữ liệu cá nhân?
Dữ liệu cá nhân được hiểu là các thông tin liên quan tới một con người cụ thể, bao gồm: họ tên, năm sinh, quê quán, số căn cước công dân,.... được thể hiện dưới dạng ký hiệu, chữ viết, hình ảnh hoặc âm thanh.
Thông qua dữ liệu cá nhân này, chúng ta sẽ xác định được người đó là ai. Dữ liệu cá nhân bao gồm dữ liệu cơ bản và dữ liệu nhạy cảm.
Tại khoản 7, Điều 2 Nghị định 13/2023/NĐ-CP thì hoạt động xử lý dữ liệu cá nhân sẽ bao gồm 1 hoặc nhiều hoạt động liên quan tới dữ liệu cá nhân như:
Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân/các hành động khác có liên quan.
Theo đó, có thể thấy rằng hầu như các doanh nghiệp đều thực hiện ít nhất 01 hoạt động là thu thập thông tin trong tất cả các hoạt động xử lý dữ liệu cá nhân.
Bên cạnh đó, theo quy định tại khoản 9, 10, 11 Điều 2 Nghị định số 13/2023/NĐ-CP thì doanh nghiệp có thể vừa là bên kiểm soát dữ liệu hoặc là vừa là bên kiểm soát và xử lý dữ liệu hoặc bên xử lý dữ liệu.
Vậy nên, mặc dù pháp luật không quy định rõ doanh nghiệp nào phải đánh giá tác động xử lý dữ liệu cá nhân nhưng chúng ta có thể hiểu hầu hết các doanh nghiệp sẽ tiến hành ít nhất 01 hoạt động xử lý dữ liệu cá nhân và phải đánh giá tác động xử lý dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những hồ sơ gì?
Vì doanh nghiệp có thể đóng vai trò là Bên kiểm soát dữ liệu cá nhân hoặc là Bên xử lý dữ liệu cá nhân nên thành phần hồ sơ để đánh giá tác động sẽ khác nhau. Cụ thể được quy định tại Điều 24 Nghị định 13/2023/NĐ-CP như sau:
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
- Đối với doanh nghiệp là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân với các nội dung:
Thông tin và địa chỉ liên lạc của Bên Kiểm soát dữ liệu cá nhân và xử lý dữ liệu;
Thông tin của tổ chức được thực hiện việc bảo vệ dữ liệu cá nhân và nhân viên đại diện bên Bên Kiểm soát thực hiện bảo vệ dữ liệu cá nhân;
Trình bày mục đích của việc xử lý dữ liệu;
Các loại thông tin về dữ liệu cá nhân được xử lý: như họ tên, quốc tịch, ngày tháng năm sinh, nơi cư trú,...
Xác định rõ thời gian sẽ xử lý dữ liệu cá nhân; thời gian xóa hoặc hủy dữ liệu nếu cần thiết;
Nêu và mô tả biện pháp được áp dụng để bảo vệ dữ liệu cá nhân;
Tiên liệu các ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả thiệt hại xảy ra, và các biện pháp khắc phục,...
Mẫu Đ24-DLCN-01: Mẫu Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân (ban hành kèm theo Quyết định số 4660/QĐ-BCA-A05)
- Đối với doanh nghiệp là Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (nếu thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân).
Thông tin và địa chỉ liên lạc của Bên Xử lý dữ liệu cá nhân;
Thông tin cụ thể của tổ chức thực hiện xử lý dữ liệu cá nhân và thông tin của nhân viên Bên xử lý dữ liệu cá nhân;
Các hoạt động được dùng để xử lý dữ liệu cá nhân theo Hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
Xác định rõ thời gian sẽ xử lý dữ liệu cá nhân; thời gian xóa hoặc hủy dữ liệu nếu cần thiết;
Các trường hợp nào sẽ chuyển dữ liệu ra nước ngoài để xử lý;
Nêu và mô tả biện pháp được áp dụng để bảo vệ dữ liệu cá nhân;
Đánh giá các ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả thiệt hại xảy ra, và các biện pháp khắc phục,...
Mẫu Đ24-DLCN-02: Mẫu Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân dành cho Bên Xử lý dữ liệu cá nhân (ban hành kèm theo Quyết định số 4660/QĐ-BCA-A05)
Nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?
Bộ Công an sẽ kiểm tra, đánh giá hoạt động đánh giá tác động xử lý dữ liệu cá nhân bất cứ khi nào cần thiết nên doanh nghiệp phải luôn sẵn hồ sơ.
Đồng thời, doanh nghiệp phải nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân lên Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công An theo thủ tục sau:
Nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?
Bước 1: Chuẩn bị 01 bộ hồ sơ gồm:
- Mẫu thông báo 04a dành cho doanh nghiệp gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (ban hành kèm theo Nghị định 13/2023/NĐ-CP);
- Bản chính hồ sơ đánh giá tác tác động xử lý dữ liệu cá nhân;
- Bản sao Giấy chứng nhận đăng ký doanh nghiệp do Sở kế hoạch - đầu tư cấp;
- Quyết định phân công nhân viên giữ nhiệm vụ bảo vệ dữ liệu cá nhân;
- Hợp đồng hoặc văn bản thỏa thuận giữa các bên về việc xử lý dữ liệu cá nhân;
- Giấy tờ khác (các phụ lục bảng biểu tính toán chi phí, lợi ích của các giải pháp)
Bước 2: Trong vòng 60 ngày kể từ khi xử lý dữ liệu cá nhân phải gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao
Bước 3: Cơ quan có thẩm quyền phản hồi kết quả hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
Lưu ý: Đối với các doanh nghiệp đang hoạt động thì thời hạn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là chậm nhất ngày 29/8/2023 - 60 ngày kể từ ngày 01/7/2023, Nghị định 13/2023/NĐ-CP có hiệu lực.
Trên đây là thông tin về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân mới nhất. Hy vọng bạn đọc đã hiểu rõ hơn về những nội dung liên quan. Nếu còn thắc mắc, vui lòng liên hệ 19006192 > để được hỗ trợ.