Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một thủ tục hành chính phức tạp đối với các doanh nghiệp tại Việt Nam do chưa có văn bản hướng dẫn cụ thể nào.

Luật Thành Đô sẽ giúp Quý doanh nghiệp đang hoạt động tại Việt Nam hiểu rõ hơn về thủ tục trên. Qua đó, giúp doanh nghiệp thực hiện các hoạt động tác động tới dữ liệu cá nhân nắm rõ quy định và tuân thủ nghiêm túc quy định tại Nghị định 13/2023/NĐ-CP.

TỔNG QUAN VỀ HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN

1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân không nêu định nghĩa về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Tuy nhiên dựa vào nội dung của Điều 24, Nghị định 13, có thể hiểu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một tài liệu chính thức, được lập thành văn bản, dùng để ghi lại và đánh giá một cách có hệ thống về toàn bộ quá trình xử lý dữ liệu cá nhân của một tổ chức, cá nhân.

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nhằm mục đích gì?

Mục đích của việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là để:

- Đảm bảo tính minh bạch, trách nhiệm giải trình trong hoạt động xử lý dữ liệu cá nhân

- Giúp các bên liên quan (cơ quan quản lý, chủ thể dữ liệu) có thể giám sát, đánh giá và kiểm soát các rủi ro liên quan đến việc xử lý dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

3. Khi nào cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Theo Khoản 1, Điều 24 của Nghị định 13/2023/NĐ-CP, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong vòng 60 ngày, kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Đối với bên xử lý dữ liệu cá nhân, việc lập hồ sơ đánh giá tác động chỉ bắt buộc khi thực hiện hợp đồng với bên kiểm soát dữ liệu cá nhân (Khoản 2, Điều 24).

Tuỳ thuộc vào phạm vi hoạt động xử lý dữ liệu cá nhân, mà doanh nghiệp sẽ đóng các vai trò khác nhau. Trong đó, Bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân quyết định hoàn toàn mục đích và phương tiện xử lý dữ liệu cá nhân; Bên xử lý dữ liệu cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu và xử lý theo hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu cá nhân; Bên kiểm soát và xử lý dữ liệu cá nhân là bên vừa quyết định mục đích, phương tiện vừa trực tiếp xử lý dữ liệu cá nhân.

Để tìm hiểu rõ về các bên mời Quý khách hàng tham khảo bài viết Phân biệt Bên kiểm soát và Bên xử lý dữ liệu cá nhân

NỘI DUNG HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ XỬ LIỆU CÁ NHÂN

1. Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng 

Các tổ chức, cá nhân gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng bao gồm: 

(1) 01 bản chính Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu 04a đối với tổ chức; Mẫu 04b đối với cá nhân)

(2) Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân: Hồ sơ này được lập dựa trên vai trò của Tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân, bao gồm:

- Mẫu Đ24-DLCN-01: Dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân

- Mẫu Đ24-DLCN-02: Dành cho Bên Xử lý dữ liệu cá nhân

- Mẫu Đ24-DLCN-03: Dành cho Bên Thứ ba

(3) Giấy chứng nhận đăng ký doanh nghiệp (đối với chủ hồ sơ tổ chức); Căn cước công dân, chứng minh nhân dân, hộ chiếu (đối với chủ hồ sơ là cá nhân)

(4) Quyết định hoăc giấy tờ liên quan đến phân công của bộ phận phụ trách bảo vệ dữ liệu cá nhân của chủ hồ sơ

(5) Hợp đồng hoặc văn bản liên quan đến thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có)

(6) Biểu mẫu hợp đồng thể hiện sự đồng ý của chủ thể dữ liệu;

(7) Giấy tờ khác (các tài liệu yêu cầu trong hồ sơ mục (2), các phụ lục bảng biểu tính toán chi phí, lợi ích của các giải pháp)

2. Mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, các Mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm các loại mẫu biểu sau:

Nếu có vướng mắc về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân vui lòng liên hệ Luật Thành Đô để được tư vấn, giải đáp: Hotline: 0919 089 888

3. Hướng dẫn điền hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Để hoàn thiện đầy đủ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng, cần chuẩn bị các thông tin về tổ chức hoặc cá nhân và các tài liệu để điền hồ sơ (theo mẫu) bao gồm:

- Thu thập thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

- Mô tả các hoạt động xử lý dữ liệu cá nhân và mục đích của các hoạt động đó;

- Các loại dữ liệu cá nhân được xử lý;

- Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;

- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

- Thời gian cho phép xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);

- Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

- Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó:

+ Tác động về quyền của chủ thể dữ liệu;

+ Tác động về kinh tế; Tác động về xã hội;

+ Tác động về thủ tục hành chính;

+ Tác động đối với hệ thống pháp luật;

+ Tác động đối với lợi ích của chủ thể dữ liệu;

+ Lấy ý kiến đánh giá tác động; Giám sát và đánh giá.

4. Một số lưu ý về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

- Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.

- Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

THỦ TỤC LẬP VÀ GỬI HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ  DỮ LIỆU CÁ NHÂN

1. Quy trình lập và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

- Bước 1: Tổ chức, cá nhân truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc Cổng dịch vụ công quốc gia hoặc tải Mẫu số 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.

- Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc khai theo mẫu 04 ban hành kèm theo Nghị định 13/2023/NĐ-CP.

Nội dung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được quy định tại khoản 1 điều 24 Nghị định 13/2023/NĐ-CP đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và khoản 2 Điều 24 Nghị định số 13/2023/NĐ-CP đối với Bên Xử lý dữ liệu cá nhân.

- Bước 3: Tổ chức, cá nhân gửi thông báo thông tin qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi 01 bộ hồ sơ và thông tin khác gắn liền hồ sơ đã khai đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

- Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả và thông báo kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

Lưu ý: Thời gian tiếp nhận thông báo: Giờ hành chính các ngày làm việc từ thứ 2 đến thứ 6 (trừ các ngày nghỉ lễ, tết theo quy định).

2. Các hình thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, có 3 hình thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm nộp trực tuyến, trực tiếp và dịch vụ bưu chính công ích.

+ Trực tuyến: Truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

+ Trực tiếp: tại Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.

+ Bưu chính: Bộ phận tiếp nhận và trả kết quả thủ tục hành chính về bảo vệ dữ liệu cá nhân tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an. (Yêu cầu công dân/doanh nghiệp ghi rõ nơi nhận như trên lên bì thư)

Thời hạn nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Thời hạn gửi hồ sơ trong vòng 60 ngày kể từ ngày Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân tiến hành xử lý dữ liệu cá nhân.

Thành phần và số lượng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Thành phần và số lượng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần nộp là 01 bản chính.

Thẩm quyền giải quyết hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Cơ quan tiếp nhận và giải quyết hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.

3. Đối tượng thực hiện nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

- Cơ quan, tổ chức Việt Nam và cơ quan, tổ chức nước ngoài có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

- Cơ quan, tổ chức Việt Nam hoạt động tại nước ngoài.

4. Các hình thức xử phạt về hành vi không thực hiện nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Việc không tuân thủ các quy định tại Nghị định về lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân có thể dẫn đến các chế tài sau:

- Bị xử lý kỷ luật;

- Xử phạt vi phạm hành chính;

- Xử lý hình sự đối với một số hành vi xâm phạm quyền riêng tư;

- Đình chỉ một số hoạt động nhất định, ví dụ như quyết định ngừng chuyển dữ liệu ra nước ngoài.

Dự thảo mức xử phạt vi phạm hành chính đối với hành vi không thực hiện thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

DỊCH VỤ LẬP HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ  DỮ LIỆU CÁ NHÂN

(1) Xây dựng Chính sách Bảo vệ dữ liệu cá nhân đối với Nhân sự, Khách hàng, Chủ thể dữ liệu cá nhân khác của Doanh nghiệp và biểu mẫu thu thập sự đồng ý;

(2) Xây dựng Hợp đồng/thỏa thuận xử lý dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân;

(3) Rà soát các văn bản, tài liệu của Doanh nghiệp đảm bảo tuân thủ quy định của Nghị định 13;

(4) Xây dựng Quyết định thành lập bộ phận và phân công nhiệm vụ Bảo vệ dữ liệu cá nhân;

(5) Xây dựng Quy chế nội bộ về Bảo vệ dữ liệu cá nhân (kèm theo Quyết định ban hành quy chế) và các văn bản nội bộ khác phù hợp với quy mô, hoạt động sản xuất kinh doanh và quản lý nội bộ Doanh nghiệp;

(6) Hướng dẫn Doanh nghiệp lập và lưu hồ sơ phục vụ công tác kiểm tra (Điều 24, 25 Nghị định 13);

(7) Xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;

(8) Đại diện Doanh nghiệp nộp hồ sơ tới Cục An ninh mạng. Hỗ trợ Doanh nghiệp giải trình về hồ sơ, bổ sung hồ sơ (nếu có);

(9) Đại diện Doanh nghiệp nhận kết quả hồ sơ tại Cục An ninh mạng, bàn giao kết quả tới Doanh nghiệp.

Việc lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ bắt buộc của mỗi doanh nghiệp để đảm bảo việc tuân thủ pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam.

Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này xin vui lòng liên hệ trực tiếp với Luật Thành Đô để được tư vấn và sử dụng dịch vụ. Với đội ngũ Luật sư nhiều kinh nghiệm, chúng tôi tin tưởng sẽ làm Quý Khách hài lòng khi sử dụng dịch vụ của Luật Thành Đô.