TIN PHÁP LUẬT

Xử lý dữ liệu cá nhân của Doanh nghiệp

23
May

Trong thời đại công nghệ số, việc xử lý dữ liệu cá nhân của doanh nghiệp không chỉ là yêu cầu pháp lý mà còn là yếu tố then chốt để xây dựng lòng tin với khách hàng và tối ưu hóa hoạt động kinh doanh.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Xử lý dữ liệu cá nhân của Doanh nghiệp, dựa trên các quy định hiện hành của pháp luật.

I. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là:

– Một tài liệu bao gồm các hồ sơ được lập thành văn bản.

– Dùng để ghi lại toàn bộ quá trình xử lý dữ liệu cá nhân và đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân một cách có hệ thống của chủ thể thuộc đối tượng phải đánh giá tác động xử lý dữ liệu cá nhân.

II. Chủ thể nào phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Căn cứ: Khoản 1 và khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP

              Khoản 11 Điều 2 Nghị định 13/2023/NĐ-CP

– Các chủ thể phải tiến hành lập và lưu giữ hồ sơ bao gồm:

   + Bên kiểm soát dữ liệu cá nhân.

   + Bên xử lý dữ liệu cá nhân.

   + Bên kiểm soát và xử lý dữ liệu cá nhân.

– Doanh nghiệp được coi là bên kiểm soátxử lý dữ liệu cá nhân nếu:

   + Tự quyết định mục đích và phương thức xử lý dữ liệu (vai trò kiểm soát), ví dụ: thiết lập quy trình thu thập thông tin, lưu trữ, sử dụng dữ liệu để đánh giá, tuyển chọn ứng viên.

   + Thực hiện các hoạt động xử lý như thu thập, lưu trữ, chuyển dữ liệu (vai trò xử lý), đặc biệt trong quản lý nhân sự hoặc chuyển thông tin sang đơn vị khác.

III. Doanh nghiệp xử lý dữ liệu cá nhân của ai?

Doanh nghiệp hoạt động tại Việt Nam, với tư cách bên kiểm soát và xử lý dữ liệu cá nhân, thu thập, lưu trữ, sử dụng dữ liệu của:

– Nhân viên: Thông tin cá nhân như họ tên, ngày sinh, CCCD, tài khoản ngân hàng để quản lý nhân sự, trả lương.

– Khách hàng: Thông tin như tên, địa chỉ, số điện thoại để giao hàng hoặc hỗ trợ sau bán hàng.

– Đối tác: Thông tin liên hệ của nhà cung cấp hoặc đại lý phân phối.

– Ứng viên: Thông tin ứng viên cấp quản lý (từ Trưởng phòng trở lên) để gửi đến đơn vị liên quan phê duyệt.

IV. Doanh nghiệp có cần phải thực hiện thủ tục thông báo đánh giá xử lý dữ liệu cá nhân không?

Căn cứ: Khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP

– Doanh nghiệp thu thập, lưu trữ, xử lý dữ liệu cá nhân bắt buộc phải thực hiện thủ tục thông báo và đánh giá tác động xử lý dữ liệu cá nhân theo quy định.

– Doanh nghiệp lập và lưu giữ hồ sơ đánh giá kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

V. Thủ tục thông báo đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP

              Khoản 4 Điều 24 Nghị định 13/2023/NĐ-CP

              Quyết định số 4660/QĐ-BCA-A05

Bước 1: Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, gồm:

  • Thông tin và chi tiết liên lạc của doanh nghiệp;
  • Tên, thông tin liên lạc của cá nhân/tổ chức chịu trách nhiệm xử lý dữ liệu cá nhân.
  • Mục đích xử lý dữ liệu cá nhân (ví dụ: quản lý nhân sự, giao dịch với khách hàng).
  • Loại dữ liệu cá nhân được xử lý (ví dụ: họ tên, ngày sinh, số CMND/CCCD, thông tin tài khoản ngân hàng,…).
  • Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
  • Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
  • Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
  • Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng (ví dụ: tường lửa, quy trình kiểm soát truy cập, đào tạo nhân viên);
  • Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra (ví dụ: rò rỉ dữ liệu, truy cập trái phép), các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó (ví dụ: mã hóa dữ liệu, sử dụng hệ thống bảo mật).

Bước 2: Nộp hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân.

– Hồ sơ theo Mẫu số 04 (bản chính) phải nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu.

– Hình thức nộp:

   + Trực tiếp tại Cục An ninh mạng.

   + Qua bưu điện.

   + Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

Yêu cầu, điều kiện:

   + Hoàn thiện hồ sơ nếu chưa đầy đủ theo yêu cầu.

   + Cập nhật, bổ sung hồ sơ theo Mẫu số 05 nếu có thay đổi nội dung.

VI. Lưu ý về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP
  • Số lượng: 01 bản chính.
  • Hình thức: bằng văn bản có giá trị pháp lý.
  • Thời hạn nộp: 60 ngày kể từ ngày xử lý dữ liệu.
  • Thời hạn giải quyết: 10 ngày làm việc.
  • Cơ quan thực hiện: Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.

VII. Doanh nghiệp có bị coi là chuyển dữ liệu cá nhân ra nước ngoài không? 

Căn cứ: Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP

– Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử để chuyển dữ liệu cá nhân của công dân Việt Nam tới địa điểm ngoài lãnh thổ Việt Nam hoặc sử dụng địa điểm ngoài Việt Nam để xử lý dữ liệu.

– Nếu doanh nghiệp chuyển thông tin cá nhân (ví dụ: họ tên, ngày sinh, kinh nghiệm làm việc) của ứng viên hoặc nhân sự sang đơn vị ở nước ngoài, hành động này được coi là chuyển dữ liệu cá nhân ra nước ngoài.

VIII. Doanh nghiệp phải làm gì khi chuyển dữ liệu cá nhân ra nước ngoài?

Căn cứ: Điều 11 Nghị định 13/2023/NĐ-CP

             Điều 3, Điều 26 Nghị định 13/2023/NĐ-CP

             Khoản 7, Khoản 8 Điều 25 Nghị định 13/2023/NĐ-CP

1. Tuân thủ quy định pháp luật

– Lập và nộp hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài trong vòng 60 ngày.

– Thông báo bằng văn bản cho Cục An ninh mạng sau khi chuyển dữ liệu.

– Cập nhật hồ sơ theo Mẫu số 05 nếu có thay đổi, trong 10 ngày kể từ khi được yêu cầu.

2. Đảm bảo sự đồng ý của chủ thể dữ liệu

Xin ý kiến đồng ý của chủ thể dữ liệu trước khi chuyển, thông báo rõ mục đích, phạm vi, bên nhận, cơ chế phản hồi, khiếu nại.

3. Bảo vệ dữ liệu cá nhân

– Ký thỏa thuận pháp lý với bên nhận, quy định trách nhiệm bảo vệ dữ liệu.

– Áp dụng biện pháp bảo mật như mã hóa, kiểm soát truy cập.

– Đảm bảo bên nhận tuân thủ quy định pháp luật hoặc tiêu chuẩn quốc tế về bảo vệ dữ liệu.

4. Giám sát và kiểm tra

– Lưu trữ hồ sơ để phục vụ kiểm tra định kỳ hoặc đột xuất của Bộ Công an.

– Hợp tác với cơ quan quản lý khi có yêu cầu.

5. Chịu trách nhiệm khi vi phạm

– Doanh nghiệp phải chịu trách nhiệm nếu để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam hoặc nếu dữ liệu được sử dụng vào mục đích vi phạm an ninh quốc gia.

– Trong trường hợp vi phạm, Bộ Công an có thể yêu cầu ngừng chuyển dữ liệu ra nước ngoài:

   + Phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;

   + Doanh nghiệp không chấp hành quy định tại khoản 5, khoản 6 Điều 25 Nghị định 13/2023/NĐ-CP;

   + Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

IX. Trình tự, thủ tục chuyển dữ liệu cá nhân ra nước ngoài

Căn cứ: Điều 25 Nghị định 13/2023/NĐ-CP

              Quyết định số 4660/QĐ-BCA-A05

Bước 1: Lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:

  • Thông tin về bên chuyển dữ liệu: Tên, địa chỉ, liên hệ, cá nhân/tổ chức phụ trách
  • Thông tin về bên nhận dữ liệu: Tên, địa chỉ, mô tả pháp nhân
  • Mô tả việc chuyển dữ liệu:Mục đích, loại dữ liệu (họ tên, hồ sơ ứng tuyển).
  • Đánh giá rủi ro: Rủi ro tiềm ẩn (rò rỉ, sử dụng sai mục đích) và biện pháp giảm thiểu.
  • Biện pháp bảo vệ dữ liệu tại bên nhận: Hệ thống bảo mật, chính sách bảo vệ dữ liệu
  • Thỏa thuận pháp lý: Văn bản quy định trách nhiệm bảo vệ dữ liệu.
  • Sự đồng ý của chủ thể dữ liệu: Cơ chế phản hồi, khiếu nại.

Bước 2: Nộp Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

– Doanh nghiệp nộp bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 60 ngày kể từ ngày xử lý dữ liệu.

– Doanh nghiệp thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của đối tượng phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.

– Yêu cầu, điều kiện:

   + Hồ sơ phải sẵn sàng cho kiểm tra.

   + Hoàn thiện hồ sơ nếu chưa đầy đủ.

   + Cập nhật hồ sơ theo Mẫu số 05 nếu có thay đổi, trong 10 ngày.

– Thành phần hồ sơ:

   + Thông báo gửi hồ sơ (Mẫu số 06) – 01 bản chính

   + Hồ sơ đánh giá tác động – 01 bản chính.

   + Giấy chứng nhận đăng kí hoạt động/quyết định thành lập hoặc giấy tờ cá nhân – 01 bản sao

   + Quyết định phân công bộ phận phụ trách bảo vệ dữ liệu – 01 bản sao

   + Hợp đồng/thỏa thuận xử lý dữ liệu (nếu có) – 01 bản sao

   + Giấy tờ khác (phụ lục, bảng tính chi phí, lợi ích) – (bản sao)

– Cách thức thực hiện:

   + Nộp trực tiếp tại Cục An ninh mạng.

   + Nộp trực tuyến qua Cổng thông tin quốc gia.

   + Nộp qua bưu chính.

– Thời hạn:

   + Nộp hồ sơ: 60 ngày kể từ ngày xử lý dữ liệu.

   + Giải quyết hồ sơ: 10 ngày làm việc.

Kết luận:

Hiệu quả trong xử lý dữ liệu cá nhân không chỉ giúp doanh nghiệp tuân thủ quy định mà còn tạo lợi thế cạnh tranh, củng cố uy tín và sự phát triển bền vững.

Trên đây là nội dung tư vấn về Xử lý dữ liệu cá nhân của Doanh nghiệp. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: