Doanh nghiệp nào phải đánh giá tác động xử lý dữ liệu cá nhân?

(Zluat) – Lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ của doanh nghiệp từ ngày 01/7/2023. Trong đó, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Tuy nhiên, đây là vấn đề hoàn toàn mới nên nhiều doanh nghiệp vẫn còn rất lúng túng với thủ tục này. Vậy, theo quy định hiện hành, những doanh nghiệp nào phải đánh giá tác động xử lý dữ liệu cá nhân?

Ảnh minh họa.

Theo Luật sư Nguyễn Ngọc Hùng, Đoàn Luật sư TP. Hà Nội cho biết, hầu hết các doanh nghiệp đang hoạt động đều phải lập, lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đồng thời, gửi 01 bộ hồ sơ về Cục An ninh mạng, phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Và để trả lời chính xác câu hỏi này thì cần xác định được vai trò của doanh nghiệp trong quá trình xử lý dữ liệu cá nhân.

Căn cứ theo định nghĩa được nêu tại khoản 7, Điều 2, Nghị định số 13/2023/NĐ-CP thì xử lý dữ liệu cá nhân là 01/nhiều hoạt động tác động tới dữ liệu cá nhân điển hình như:

Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân/các hành động khác có liên quan.

Đối chiếu với quy định tại khoản 3, khoản 4, Điều 2, Nghị định số 13/2023/NĐ-CP này, dữ liệu cá nhân được chia thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Cụ thể:



























 

Thông tin

Dữ liệu cá nhân cơ bản

1

Họ, chữ đệm, tên khai sinh, tên gọi khác (nếu có)

2

Ngày, tháng, năm sinh; ngày, tháng, năm chết/mất tích

3

Giới tính

4

Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ

5

Quốc tịch

6

Hình ảnh của cá nhân

7

Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế

8

Tình trạng hôn nhân

9

Thông tin về mối quan hệ gia đình (cha mẹ, con cái)

10

Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng

11

Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu nhạy cảm

Dữ liệu cá nhân nhạy cảm

1

Quan điểm chính trị, quan điểm tôn giáo

2

Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu

3

Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc

4

Thông tin về đặc điểm di truyền được thừa hưởng/có được của cá nhân

5

Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân

6

Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân

7

Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật

8

Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm:

– Thông tin định danh khách hàng theo quy định của pháp luật;

– Thông tin về tài khoản;

– Thông tin về tiền gửi;

– Thông tin về tài sản gửi;

– Thông tin về giao dịch;

– Thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán

9

Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị

10

Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết

Qua đó, có thể thấy, đại đa số các doanh nghiệp hiện nay đều đang tiến hành ít nhất một hoạt động xử lý dữ liệu cá nhân (thu thập thông tin).

Đồng thời, theo khoản 9, 10, 11, Điều 2, Nghị định số 13/2023/NĐ-CP này, thì một doanh nghiệp có thể đóng vai trò là Bên kiểm soát dữ liệu hoặc Bên kiểm soát và xử lý dữ liệu hoặc Bên xử lý dữ liệu.

Do đó, bất cứ doanh nghiệp nào có tiến hành ít nhất 01 hoạt động trong quá trình xử lý dữ liệu thì đều phải lập, lưu giữ và thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định tại Điều 24, Nghị định này.

Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu

Theo Quyết định số 4660/QĐ-BCA-A05, thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện như sau:

Bước 1: Chuẩn bị 01 bộ hồ sơ gồm:

– 01 bản chính Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân – mẫu 04 Phụ lục Nghị định 13/2023/NĐ-CP;

– 01 bản chính Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân;

– 01 bản sao Giấy chứng nhận đăng kí hoạt động/quyết định thành lập hoặc căn cước công dân/chứng minh thư/hộ chiếu của chủ hồ sơ;

– 01 bản sao Quyết định/giấy tờ liên quan đến phân công của bộ phận phụ trách bảo vệ dữ liệu cá nhân của chủ hồ sơ (Các doanh nghiệp siêu nhỏ, nhỏ, vừa, doanh nghiệp khởi nghiệp được miễn trừ trách nhiệm này trong 02 năm đầu thành lập);

– 01 bản sao Hợp đồng/văn bản liên quan đến thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có);

– Bản sao các Giấy tờ khác (các phụ lục bảng biểu tính toán chi phí, lợi ích của các giải pháp).

Bước 2: Nộp hồ sơ trực tiếp/qua đường bưu điện đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an (số 40A Hàng Bài, phường Hàng Bài, quận Hoàn Kiếm, thành phố Hà Nội) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Ngoài ra, khi Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân đi vào hoạt động, doanh nghiệp có thể nộp hồ sơ qua đây.

Lưu ý: Hồ sơ khi gửi qua bưu điện cần đăng ký dịch vụ nhận báo phát

Bước 3: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong vòng 10 ngày làm việc kể từ khi nhận được đầy đủ hồ sơ.

TRẦN QUÝ

Các trường hợp đương nhiên được xóa án tích

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

All in one
Liên hệ