TIN PHÁP LUẬT

Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

22
Mar

Trong kỷ nguyên số hóa, việc bảo vệ dữ liệu cá nhân trở thành ưu tiên hàng đầu. Hướng dẫn này cung cấp quy trình chi tiết và toàn diện để lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đảm bảo tuân thủ các quy định mới nhất và xây dựng niềm tin với khách hàng.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định mới nhất của pháp luật.

I. Bên Kiểm soát dữ liệu cá nhân

Bên Kiểm soát dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân bao gồm:

1. Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân

– Tên tổ chức/cá nhân.
– Địa chỉ trụ sở chính.
– Số điện thoại và email liên hệ.
– Người đại diện pháp lý (nếu có).

2. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân.

Nếu tổ chức bắt buộc phải chỉ định Phụ trách bảo vệ dữ liệu, thì phải cung cấp thông tin của phụ trách hoặc tổ chức phụ trách bảo vệ dữ liệu.

Bao gồm:
– Họ tên của phụ trách.
– Địa chỉ liên hệ.
– Email và số điện thoại hỗ trợ.

3. Mục đích xử lý dữ liệu cá nhân

Được thu thập cho các mục đích cụ thể, rõ ràng và hợp pháp, và không được xử lý thêm theo cách không phù hợp với những mục đích đó.
Các mục đích có thể bao gồm:
– Cung cấp dịch vụ khách hàng.
– Nghiên cứu thị trường.
– Quảng cáo và tiếp thị.
– Quản lý tài chính, thanh toán.

4. Các loại dữ liệu cá nhân được xử lý

Xác định các loại dữ liệu cá nhân được thu thập, chẳng hạn như:
– Dữ liệu định danh: Tên, địa chỉ, email, số điện thoại, ngày sinh,…
– Dữ liệu tài chính: Số tài khoản ngân hàng, thông tin thẻ tín dụng,…
– Dữ liệu nhạy cảm: Dữ liệu sức khỏe, tôn giáo, sinh trắc học (cần bảo vệ đặc biệt).

5. Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam

– Bên thứ ba trong nước nhận dữ liệu cá nhân (đối tác, nhà cung cấp dịch vụ).
– Bên thứ ba quốc tế nhận dữ liệu cá nhân (tổ chức, công ty nước ngoài nhận dữ liệu).

6. Trường hợp chuyển dữ liệu cá nhân ra nước ngoài

– Quốc gia nhận dữ liệu.
– Cơ sở pháp lý cho việc chuyển dữ liệu (đồng ý của người dùng, hợp đồng, cơ chế bảo vệ dữ liệu,…).
– Biện pháp bảo vệ dữ liệu (mã hóa, bảo mật truyền tải,…).

7. Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có)

Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được.

Trừ trường hợp pháp luật có quy định khác.

8. Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng

Có tính đến trình độ công nghệ hiện tại, chi phí triển khai, bản chất, phạm vi, bối cảnh và mục đích của việc xử lý, cũng như rủi ro với mức độ khả năng xảy ra và mức độ nghiêm trọng khác nhau đối với các quyền và tự do của cá nhân, bên kiểm soát dữ liệu phải thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ an ninh tương xứng với rủi ro, bao gồm, trong số đó, nếu phù hợp:
– Mã hóa dữ liệu cá nhân;
– Khả năng đảm bảo tính bảo mật, toàn vẹn, khả dụng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý;
– Khả năng khôi phục tính khả dụng và quyền truy cập vào dữ liệu cá nhân kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật;
– Có quy trình để kiểm tra, đánh giá và định kỳ xem xét tính hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh của việc xử lý.

9. Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó

– Đánh giá về sự cần thiết và tính tương xứng của các hoạt động xử lý liên quan 
– Đánh giá rủi ro đối với các quyền và tự do của chủ thể dữ liệu
+ Rủi ro mất dữ liệu, đánh cắp dữ liệu, sử dụng sai mục đích.
+ Ảnh hưởng đến quyền riêng tư của cá nhân.
+ Thiệt hại tài chính, danh tiếng cho tổ chức.

– Biện pháp
+ Các biện pháp dự kiến để giải quyết rủi ro, bao gồm các biện pháp bảo vệ, biện pháp an ninh và cơ chế nhằm đảm bảo bảo vệ dữ liệu cá nhân và chứng minh sự tuân thủ, quyền và lợi ích hợp pháp của các chủ thể dữ liệu và những người có liên quan khác.
+ Kiểm soát truy cập nghiêm ngặt.
+ Kiểm tra bảo mật định kỳ.
+ Tăng cường mã hóa dữ liệu.

II. Bên Xử lý dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên xử lý dữ liệu cá nhân, bao gồm:

1. Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân

– Tên Bên Xử lý dữ liệu cá nhân
– Địa chỉ trụ sở
– Số điện thoai, email liên hệ
– Người đại diện pháp lý

2. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân

– Tên tổ chức phụ trách xử lý
– Thông tin liên hệ
– Nhân viên liên quan chịu trách nhiệm trực tiếp

3. Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân

– Loại dữ liệu được xử lý (tên, địa chỉ, số CMND/CCCD, thông tin tài chính, hồ sơ y tế…)
– Mục đích xử lý (lưu trữ, phân tích, chia sẻ…)
– Công nghệ và phương pháp xử lý (hệ thống quản lý dữ liệu, trí tuệ nhân tạo, điện toán đám mây…)

4. Trường hợp chuyển dữ liệu cá nhân ra nước ngoài

– Quốc gia nhận dữ liệu
– Biện pháp bảo vệ dữ liệu áp dụng
+ Hợp đồng bảo vệ dữ liệu
+ Chứng nhận bảo mật quốc tế…

5. Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng

– Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; (chính sách bảo mật, đào tạo nhân viên, quy trình phản ứng khi rò rỉ dữ liệu)

– Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện; (mã hoá dữ liệu, tưởng lửa, kiểm soát truy cập)

– Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;

– Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện.

6. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó

Đánh giá rủi ro tiềm ẩn và cách giảm thiểu, bao gồm:
+ Rò rỉ dữ liệu dẫn đến đánh cắp danh tính, lừa đảo tài chính
+ Xâm phạm quyền riêng tư, sử dụng dữ liệu sai mục đích
+ Ảnh hưởng uy tín của tổ chức nếu có vi phạm dữ liệu

– Giải pháp

+ Mã hóa dữ liệu: Sử dụng AES-256, RSA để mã hóa dữ liệu khi lưu trữ và truyền tải.
+ Kiểm soát truy cập: Hạn chế quyền truy cập dữ liệu theo nguyên tắc cấp quyền tối thiểu cần thiết
+ Hệ thống giám sát an ninh: Cài đặt IDS/IPS (Intrusion Detection & Prevention Systems) để phát hiện tấn công mạng.
+ Sao lưu dữ liệu định kỳ: Đảm bảo có bản sao lưu an toàn để phục hồi dữ liệu khi gặp sự cố.

III. Bên Kiểm soát và Xử lý dữ liệu cá nhân

1. Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu và Xử lý dữ liệu cá nhân

– Cung cấp tên, địa chỉ, phương thức liên hệ (email, số điện thoại, website).
– Nếu có nhiều bên kiểm soát hoặc xử lý dữ liệu, cần liệt kê đầy đủ từng bên.

2. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân

– Cung cấp họ tên, chức danh, địa chỉ liên hệ của Phụ trách bảo vệ dữ liệu.

– Nếu tổ chức thuê một đơn vị bên ngoài làm phụ trách, cần nêu rõ thông tin đó.

– DPO chịu trách nhiệm giám sát việc tuân thủ quy định và bảo vệ quyền lợi của người dùng.

3. Mục đích xử lý dữ liệu cá nhân

– Xác định rõ lý do xử lý dữ liệu cá nhân (ví dụ: phục vụ khách hàng, marketing, tuyển dụng).
– Đảm bảo mục đích thu thập dữ liệu hợp pháp, minh bạch và không sử dụng ngoài phạm vi đã xác định.

4. Các loại dữ liệu cá nhân được xử lý

– Liệt kê cụ thể các loại dữ liệu cá nhân được thu thập (tên, ngày sinh, số CMND, dữ liệu tài chính, dữ liệu sinh trắc học, v.v.).
– Nếu xử lý dữ liệu nhạy cảm (dữ liệu sức khỏe, tôn giáo, chính trị), cần có biện pháp bảo vệ bổ sung.

5. Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam

– Xác định các bên thứ ba có thể nhận dữ liệu cá nhân, bao gồm công ty đối tác, nhà cung cấp dịch vụ, cơ quan chính phủ.

– Nếu có chia sẻ dữ liệu xuyên biên giới, cần làm rõ phạm vi và biện pháp bảo vệ dữ liệu.

6. Trường hợp chuyển dữ liệu cá nhân ra nước ngoài

– Làm rõ dữ liệu nào được chuyển ra nước ngoài, quốc gia nhận dữ liệu, mục đích của việc chuyển giao.

– Đảm bảo có biện pháp bảo vệ dữ liệu phù hợp theo quy định của quốc gia liên quan.

7. Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có)

Việc xóa dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được.

Trừ trường hợp pháp luật có quy định khác.

8. Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng

– Cung cấp thông tin về các biện pháp kỹ thuật (mã hóa, bảo mật mạng, kiểm soát truy cập) và
– Cung cấp thông tin về các biện pháp tổ chức (đào tạo nhân viên, quy trình kiểm soát) để bảo vệ dữ liệu cá nhân.

9. Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó

– Đánh giá rủi ro đối với các quyền và tự do của chủ thể dữ liệu
+ Rủi ro mất dữ liệu, đánh cắp dữ liệu, sử dụng sai mục đích.
+ Ảnh hưởng đến quyền riêng tư của cá nhân.
+ Thiệt hại tài chính, danh tiếng cho tổ chức.

– Biện pháp
+ Mã hóa dữ liệu: Sử dụng AES-256, RSA để mã hóa dữ liệu khi lưu trữ và truyền tải.
+ Kiểm soát truy cập: Hạn chế quyền truy cập dữ liệu theo nguyên tắc cấp quyền tối thiểu cần thiết
+ Hệ thống giám sát an ninh: Cài đặt IDS/IPS (Intrusion Detection & Prevention Systems) để phát hiện tấn công mạng.
+ Sao lưu dữ liệu định kỳ: Đảm bảo có bản sao lưu an toàn để phục hồi dữ liệu khi gặp sự cố.

Kết luận:

Việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không chỉ là nghĩa vụ pháp lý, mà còn là bước quan trọng để xây dựng văn hóa bảo vệ dữ liệu trong tổ chức. Bằng cách thực hiện nghiêm túc quy trình này, doanh nghiệp có thể giảm thiểu rủi ro, nâng cao uy tín và tạo dựng lòng tin với khách hàng, đối tác.

Trên đây là nội dung tư vấn về Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định mới nhất. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 098.159.5243

Xem thêm: