Đối tượng phải đánh giá tác động xử lý dữ liệu cá nhân

Posted on by Luật Sư Thanh

Từ ngày 01/7/2023, doanh nghiệp có nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân. Tuy nhiên, nhiều doanh nghiệp vẫn còn rất lúng túng do đây là vấn đề hoàn toàn mới. Trong bối cảnh hiện nay, việc bảo vệ dữ liệu cá nhân đã trở thành một vấn đề cấp thiết. Để nắm rõ hơn quy định pháp luật, mời các bạn theo dõi bài viết của Luật Kỳ Vọng Việt!

1. Dữ liệu cá nhân là gì?

Căn cứ khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP quy định:

“Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”

Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

2.1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Nghị định 13/2023/NĐ-CP không nêu định nghĩa về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Có thể hiểu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là văn bản chính thức. Nhằm ghi lại, đánh giá quá trình xử lý dữ liệu cá nhân của một tổ chức, cá nhân.

Mục đích của việc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

  • Đảm bảo tính minh bạch, nâng cao trách nhiệm trong hoạt động xử lý dữ liệu cá nhân
  • Giúp các bên liên quan giám sát và kiểm soát rủi ro khi xử lý dữ liệu cá nhân.

2.2. Thời hạn lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP, Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được lập và lưu giữ trong vòng 60 ngày, kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Đối với bên xử lý dữ liệu cá nhân, việc lập hồ sơ đánh giá tác động chỉ bắt buộc khi thực hiện hợp đồng với bên kiểm soát dữ liệu cá nhân theo Khoản 2 Điều này.

2.3. Đối tượng phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Đối tượng lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP gồm:

  • Cơ quan, tổ chức Việt Nam có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
  • Cơ quan, tổ chức nước ngoài có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
  • Cơ quan, tổ chức Việt Nam hoạt động tại nước ngoài.

Phạm vi hoạt động xử lý dữ liệu cá nhân khác nhau nên vai trò cũng sẽ khác nhau. Trong đó:

  • Bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân quyết định hoàn toàn mục đích và phương tiện xử lý dữ liệu cá nhân;
  • Bên xử lý dữ liệu cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu và xử lý theo hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu cá nhân;
  • Bên kiểm soát và xử lý dữ liệu cá nhân là bên vừa quyết định mục đích, phương tiện vừa trực tiếp xử lý dữ liệu cá nhân.
  • Bên thứ ba là tổ chức, cá nhân khác.

2.4. Hồ sơ đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân

Theo quy định tại khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP thì việc đánh giá tác động xử lý dữ liệu cá nhân được hiểu là khi Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm:

  1. Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
  2. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
  3. Mục đích xử lý dữ liệu cá nhân;
  4. Các loại dữ liệu cá nhân được xử lý;
  5. Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
  6. Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
  7. Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
  8. Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
  9. Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

2.5. Hồ sơ đối với Bên Xử lý dữ liệu cá nhân

Theo quy định tại khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP thì Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm:

  1. Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
  2. Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
  3. Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
  4. Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
  5. Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
  6. Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
  7. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

2.6. Lưu ý đối với Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

  • Hồ sơ được xác lập bằng văn bản có giá trị pháp lý.
  • Hồ sơ phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
  • Gửi A05 Bộ Công an 01 bản chính (Mẫu số 04) trong thời hạn. Bộ Công an đánh giá, yêu cầu hoàn thiện Hồ sơ trong trường hợp hồ sơ chưa hợp lệ.
  • Cập nhật, bổ sung khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an. Mẫu Thông báo thay đổi nội dung hồ sơ được lập theo Mẫu số 05.

Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP

2.7. Chuyển dữ liệu cá nhân ra nước ngoài

Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định. Bên chuyển dữ liệu ra nước ngoài bao gồm:

  • Bên Kiểm soát dữ liệu cá nhân
  • Bên Kiểm soát và xử lý dữ liệu cá nhân
  • Bên Xử lý dữ liệu cá nhân
  • Bên thứ ba.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài gồm:

  1. Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
  2. Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
  3. Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
  4. Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
  5. Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
  6. Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
  7. Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
  8. Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

Lưu ý đối với Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài:

  • Hồ sơ phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
  • Gửi 01 bản chính hồ sơ tới A05 Bộ Công an theo Mẫu số 06 trong thời hạn.
  • Gửi Bộ Công an thông tin việc chuyển dữ liệu, chi tiết liên lạc tổ chức, cá nhân phụ trách. Việc gửi thông tin bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
  • Bộ Công an đánh giá, yêu cầu hoàn thiện Hồ sơ đúng quy định. Bên chuyển dữ liệu cập nhật, bổ sung Hồ sơ theo Mẫu số 05. Thời gian hoàn thiện hồ sơ là 10 ngày kể từ ngày yêu cầu.
  • Bộ Công an quyết định việc kiểm tra việc chuyển dữ liệu cá nhân theo tình hình cụ thể. Việc kiểm tra có thể tiến hành 01 lần/năm. Trừ trường hợp phát hiện hành vi vi phạm quy định tại Nghị định này. Hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
  • Bộ Công an quyết định yêu cầu ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
  1. Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
  2. Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;
  3. Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

3. Dự thảo mức xử phạt đối với hành vi vi phạm

Điều 4 Nghị định 13/2023/NĐ-CP quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân. Cơ quan, tổ chức, cá nhân vi phạm quy định tùy theo mức độ có thể:

  • Bị xử lý kỷ luật
  • Xử phạt vi phạm hành chính
  • Xử lý hình sự theo quy định.

Tùy theo mức độ mà hành vi vi phạm sẽ bị xử lý hình sự hoặc xử phạt VPHC.

Đối với hành vi vi phạm bị xử lý hình sự:

Bộ luật Hình sự 2015 quy định xử lý hình sự vi phạm quy định bảo vệ dữ liệu cá nhân như sau:

Điều 159 quy định, việc “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tới 03 năm.

Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông”. Mức hình phạt cao nhất là 07 năm tù giam.

Đối với hành vi vi phạm bị xử phạt vi phạm hành chính:

Dự thảo Nghị định quy định xử phạt VPHC lĩnh vực an ninh mạng quy định:

Điều 25. Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;

b) Bên Xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.

c) Không gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;

d) Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

2. Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam.

3. Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 1.000.000 công dân Việt Nam trở lên tới dưới 5.000.000 công dân Việt Nam.

4. Phạt tiền bằng 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam trở lên.

5. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

6. Biện pháp khắc phục hậu quả:

a) Buộc lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

d) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Có thể thấy quy định xử phạt trên tinh thần của Dự thảo Nghị định không chỉ thể hiện tính nghiêm khắc mà còn tạo ra một cơ chế răn đe mạnh mẽ đối với các tổ chức, cá nhân có hành vi vi phạm. Các tổ chức cần nghiêm túc thực hiện để hạn chế tối đa các rủi ro về pháp lý. Đồng thời thể hiện trách nhiệm của mình trong việc bảo vệ quyền lợi của người dân.

Trên đây là bài viết Đối tượng phải đánh giá tác động xử lý dữ liệu cá nhân. Hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất. Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

Bài viết liên quan
Giải thích về 21 loại dữ liệu cá nhân cần được bảo vệ
Th12 20, 2024
Hướng dẫn thủ tục đăng ký bảo hộ nhãn hiệu
Th12 19, 2024
Trách nhiệm pháp lý của Người đại diện theo pháp luật
Th12 19, 2024

090.225.5492