Hướng dẫn đánh giá tác động xử lý dữ liệu cá nhân

Đánh giá tác động xử lý dữ liệu cá nhân nhằm mục đích giảm thiểu rủi ro, bảo vệ dữ liệu cá nhân. Vậy đánh giá tác động xử lý dữ liệu cá nhân được thực hiện như thế nào? Cùng theo dõi nội dung dưới đây.

1. Đối tượng thực hiện đánh giá tác động xử lý dữ liệu cá nhân

Theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP, đối tượng thực hiện đánh giá tác động xử lý dữ liệu cá nhân gồm: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân khi có hoạt động xử lý dữ liệu có khả năng gây ảnh hưởng lớn đến quyền và lợi ích hợp pháp của chủ thể dữ liệu. Cụ thể:

(1) Bên Kiểm soát dữ liệu cá nhân

Tổ chức/cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân.

(2) Bên Kiểm soát và xử lý dữ liệu cá nhân

Tổ chức/cá nhân vừa quyết định mục đích, phương tiện vừa trực tiếp xử lý dữ liệu cá nhân.

(3) Bên Xử lý dữ liệu cá nhân

Tổ chức/cá nhân thực hiện việc xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát dữ liệu cá nhân

2. Hướng dẫn đánh giá tác động xử lý dữ liệu cá nhân

Theo khoản 12 Điều 2 Luật Bảo vệ dữ liệu cá nhân thì:

12. Đánh giá tác động xử lý dữ liệu cá nhân là việc phân tích, đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân để áp dụng các biện pháp giảm thiểu rủi ro, bảo vệ dữ liệu cá nhân.

Điều 21 Luật này hướng dẫn việc đánh giá tác động xử lý dữ liệu cá nhân được thực hiện như sau:

Bước 1 - Gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân, trừ cơ quan nhà nước có thẩm quyền

Việc đánh giá tác động xử lý dữ liệu cá nhân được thực hiện 01 lần cho suốt thời gian hoạt động của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân và được cập nhật theo quy định.

Bước 2 - Lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Bên xử lý dữ liệu cá nhân lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo thỏa thuận với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, trừ cơ quan nhà nước có thẩm quyền

Bước 3 - Hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

Bước 4 - Cập nhật, bổ sung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân cập nhật, bổ sung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Theo đó, Chính phủ quy định thành phần hồ sơ, điều kiện, trình tự, thủ tục đánh giá tác động xử lý dữ liệu cá nhân.

3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hiện nay, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện theo quy định tại Điều 24 Nghị định số 13/2023/NĐ-CP.

Cụ thể:

(1) Đối với doanh nghiệp là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân với các nội dung:

- Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

- Mục đích xử lý dữ liệu cá nhân;

- Các loại dữ liệu cá nhân được xử lý;

- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);

Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;…

Mẫu Đ24-DLCN-01: Mẫu Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân (ban hành kèm theo Quyết định số 4660/QĐ-BCA-A05)

https://cdn.luatvietnam.vn/uploaded/Others/2023/08/25/ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan-1_2508155931.doc

(2) Đối với doanh nghiệp là Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (nếu thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân).

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:

- Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;

- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;

- Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;

- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);

- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

- Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

Mẫu Đ24-DLCN-02: Mẫu Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân dành cho Bên Xử lý dữ liệu
https://cdn.luatvietnam.vn/uploaded/Others/2023/08/25/ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan-2_2508160224.doc

4. Hướng dẫn cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Điều 22 Luật Bảo vệ dữ liệu cá nhân quy định việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

- Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được cập nhật định kỳ 06 tháng khi có sự thay đổi hoặc cập nhật ngay trong các trường hợp quy định dưới đây.

- Các trường hợp thay đổi cần cập nhật ngay bao gồm:

+ Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;

+ Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;

+ Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tại cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Trên đây là hướng dẫn đánh giá tác động xử lý dữ liệu cá nhân.