Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ra sao? Lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu thế nào?
Nghị định 13/2023/NĐ-CP giải thích xử lý dữ liệu cá nhân là gì?
Căn cứ tại khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP có giải thích như sau:
Giải thích từ ngữ
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
...
7. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
...
Theo đó, xử lý dữ liệu cá nhân được hiểu là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ra sao? Lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu thế nào? (Hình từ internet)
Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?
Căn cứ tại khoản 1 và khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP quy định như sau:
(1) Đối với doanh nghiệp là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân đối với các nội dung sau:
- Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
- Mục đích xử lý dữ liệu cá nhân;
- Các loại dữ liệu cá nhân được xử lý;
- Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
- Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
(2) Đối với doanh nghiệp là Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân, hồ sơ bao gồm:
- Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
- Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
- Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ra sao?
Căn cứ tại Điều 24 Nghị định 13/2023/NĐ-CP quy định về việc đánh giá tác động xử lý dữ liệu cá nhân thực hiện như sau:
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Đồng thời, theo hướng dẫn tại Cổng dịch vụ công quốc gia, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải gửi 01 bộ hồ sơ thông báo tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công An theo trình tự sau:
Bước 1: Chuẩn bị 01 bộ hồ sơ gồm:
- Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (dành cho cá nhân) – 01 (một) bản chính theo mẫu số 04b Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP.
- Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (dành cho tổ chức) – 01 (một) bản chính theo mẫu số 04a Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP.
- Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân) – 01 (một) bản chính
- Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên Xử lý dữ liệu cá nhân) – 01 (một) bản chính
- Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (dành cho Bên thứ Ba) – 01 (một) bản chính
- Giấy chứng nhận đăng kí hoạt động/quyết định thành lập hoặc căn cước công dân/chứng minh thư/hộ chiếu của chủ hồ sơ - 01 (một) bản sao
- Quyết định hoăc giấy tờ liên quan đến phân công của bộ phận phụ trách bảo vệ dữ liệu cá nhân của chủ hồ sơ - 01 (một) bản sao
- Hợp đồng hoặc văn bản liên quan đến thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có) - 01 (một) bản sao
- Giấy tờ khác (các phụ lục bảng biểu tính toán chi phí, lợi ích của các giải pháp) - (bản sao)
Bước 2: Tổ chức, cá nhân cung cấp các thông tin theo hướng dẫn trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc khai theo mẫu số 04 ban hành kèm theo Nghị định số 13/2023/NĐ-CP.
Nội dung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được quy định tại khoản 1 Điều 24 Nghị định số 13/2023/NĐ-CP đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân và khoản 2 Điều 24 Nghị định số 13/2023/NĐ-CP đối với Bên Xử lý dữ liệu cá nhân (biểu mẫu Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, Mẫu Đ24-DLCN-03).
Bước 3: Tổ chức, cá nhân gửi hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an) hoặc gửi hồ sơ đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Bước 4: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an phản hồi thông tin về kết quả lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
Thời gian tiếp nhận hồ sơ: Giờ hành chính các ngày làm việc từ thứ 2 đến thứ 6 (trừ các ngày nghỉ lễ, tết theo quy định).
Lưu ý: Thời hạn gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (tức là thời hạn gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với đa số các doanh nghiệp đang hoạt động chậm nhất là ngày 29/8/2023 - 60 ngày tính từ ngày 01/7/2023 - ngày Nghị định 13/2023/NĐ-CP có hiệu lực).
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.