Vượt qua thách thức khi thực hiện đánh giá tác động xử lý dữ liệu cá nhân

Vượt qua thách thức khi thực hiện đánh giá tác động xử lý dữ liệu cá nhân
Photo by Markus Spiske / Unsplash
Vào ngày 1 tháng 7 năm 2023, Nghị định về Bảo vệ dữ liệu cá nhân (“Nghị định 13”) sẽ chính thức có hiệu lực và sẽ được áp dụng rộng rãi cho các tổ chức hoặc cá nhân đang có hoạt động xử lý dữ liệu cá nhân. Các luật sư nội bộ cần nắm rõ hoạt động đánh giá tác động xử lý dữ liệu cá nhân để có thể hỗ trợ doanh nghiệp tuân thủ và tránh những nguy cơ vi phạm.

Quy định pháp lý về Đánh giá tác động xử lý dữ liệu cá nhân

man wearing gray polo shirt beside dry-erase board
Photo by Kaleidico / Unsplash

Điều 24 Nghị định 13 tiếp tục nhấn mạnh tầm quan trọng của việc tiến hành đánh giá tác động bảo vệ dữ liệu cá nhân. Theo đó, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Nói cách khác, bất cứ khi nào bắt đầu hoạt động xử lý dữ liệu cá nhân, những chủ thể đó phải tiến hành làm một công việc là đánh giá tác động của việc xử lý dữ liệu.

Nghị định Bảo vệ Dữ liệu cá nhân quy định rõ ràng rằng các các chủ thể xử lý dữ liệu phải tiến hành đánh giá tác động trước khi thực hiện các hoạt động xử lý dữ liệu cá nhân để đảm bảo tuân thủ các quy định bảo vệ dữ liệu và bảo vệ các quyền và tự do của chủ thể dữ liệu. Hồ sơ đánh giá tác động luôn luôn được lưu trữ, có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an. Ngoài ra bản gốc của Hồ sơ đánh giá tác động phải được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an trong vòng 60 ngày kể từ khi xử lý dữ liệu.

Điểm mấu chốt trong việc đánh giá xử lý dữ liệu cá nhân bao gồm vị trí [HV1] tổ chức xử lý dữ liệu cá nhân nhạy cảm, quy trình xử lý dữ liệu cá nhân khối lượng lớn hoặc các công nghệ mới để xử lý dữ liệu.

Tuy nhiên, tiến hành Đánh giá tác động bảo vệ dữ liệu cá nhân là một nhiệm vụ khó khăn bao gồm nhiều quy trình khác nhau, và người phụ trách cần thông tin đầu vào do chính tổ chức hoặc cá nhân xử lý dữ liệu cung cấp. Hơn thế, thách thức chính cá nhân phụ trách bảo vệ dữ liệu phải đối mặt là sự hỗ trợ của doanh nghiệp và đánh giá thống nhất về các rủi ro tiềm ẩn  trong quá trình xử lý dữ liệu cá nhân, đặc biệt là dữ liệu người lao động trong công ty.

Luật sư nội bộ cần làm gì để đảm bảo tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân?

geometric shape digital wallpaper
Photo by fabio / Unsplash

Những giải pháp khi thực hiện Đánh giá tác động xử lý dữ liệu cá nhân giành cho luật sư nội bộ bao gồm:

  • Xem xét kỹ tất cả yêu cầu của việc đánh giá tác động xử lý dữ liệu cá nhân bsao gồm: quy trình thực hiện, các rủi ro được xác định và biện pháp hạn chế, dữ liệu được xử lý. Do đó, các luật sư nội bộ được khuyến nghị  sử dụng mẫu đánh giá đã được Bộ Công an ban hành theo quy định đã được ban hành  nhằm đảm bảo tuân thủ quy định của pháp luật.
  • Truyền đạt rõ ràng vai trò, lợi ích của việc tiến hành đánh giá tác động bảo vệ dữ liệu đối với doanh nghiệp, chẳng hạn như giảm thiểu rủi ro liên quan đến các hoạt động xử lý dữ liệu và bảo vệ dữ liệu cá nhân, phương thức báo cáo chủ thể dữ liệu khi phát hiện hành vi vi phạm hoặc rủi ro bảo mật dữ liệu.
  • Thuyết phục các bên liên quan tham gia vào quy trình đánh giá tác động bảo vệ dữ liệu để đảm bảo thu thập được tất cả thông tin đầu vào cần thiết và khuyến khích chủ doanh nghiệp và các bộ phận khác trong công ty liên quan đồng ý cho phép tìm hiểu quy trình xử lý và bảo mật dữ liệu. Cũng như để có được thông tin đầu vào và quan điểm của họ về hoạt động xử lý dữ liệu và rủi ro tiềm ẩn của việc xử lý dữ liệu.
  • Sử dụng phương pháp tiếp cận dựa trên rủi ro để xác định các câu hỏi và mối quan tâm, đồng thời dự đoán các câu hỏi hoặc mối quan ngại tiềm ẩn mà những chủ thể có trách nhiệm bảo vệ dữ liệu có thể có liên quan đến việc đánh giá tác động bảo vệ dữ liệu, và chuẩn bị các câu trả lời tường trình.
  • Tham khảo ý kiến ​​của các chuyên gia về bảo vệ dữ liệu để xác định các câu hỏi và mối quan tâm tiềm ẩn mà các bên xử lý dữ liệu có thể có. Ví dụ: Tham khảo ý kiến ​​của bộ phận Công nghệ thông tin về rủi ro bảo mật đã xác định, cách thức lưu trữ dữ liệu, hay các biện pháp giảm thiểu thích hợp, các luật sư chuyên tư vấn bảo vệ dữ liệu cá nhân.
  • Khuyến khích thảo luận cởi mở và trung thực về các rủi ro đã xác định và các biện pháp giảm thiểu rủi ro, đồng thời đảm bảo rằng tất cả các bên liên quan đều tham gia vào quá trình ra quyết định biện pháp bảo mật dữ liệu cá nhân.
  • Tiến hành tổng hợp các thông tin đã thu thập, và báo cáo đánh giá tác động theo quy định của Nghị định.

Thông qua việc triển khai các giải pháp này, những cá nhân phụ trách việc xử lý dữ liệu hoặc những người có liên quan có thể được doanh nghiệp đồng ý và đồng thuận trong việc xác định rủi ro liên quan đến việc xử lý dữ liệu cá nhân. Ngoài ra, ý kiến tham vấn từ những chuyên gia, đặc biệt là từ các luật sư chuyên môn về bảo mật dữ liệu sẽ góp phần hiệu quả trong việc chuẩn bị các hồ sơ đánh giá tác động xử lý dữ liệu. các giải pháp này góp phần đem lại hiệu quả trong việc bảo vệ dữ liệu cá nhân và giảm thiểu rủi ro liên quan đến các hoạt động xử lý dữ liệu. Cũng như để có được thông tin đầu vào và quan điểm của họ về hoạt động xử lý dữ liệu và rủi ro tiềm ẩn của việc xử lý dữ liệu.

Great! You’ve successfully signed up.

Welcome back! You've successfully signed in.

You've successfully subscribed to Tập San Luật sư Nội bộ.

Success! Check your email for magic link to sign-in.

Success! Your billing info has been updated.

Your billing was not updated.