Bảo vệ dữ liệu cá nhân trong Công ty Luật

Bảo vệ dữ liệu cá nhân trong Công ty Luật thì cần thực hiện như thế nào: Luật sư cho em hỏi về những công việc cần thiết phải thực hiện của Công ty/Văn phòng Luật/Công ty dịch vụ tư vấn trong việc bảo vệ dữ liệu cá nhân của khách hàng khi cung cấp dịch vụ pháp lý/dịch vụ tư vấn cho khách hàng ạ. Em chân thành cảm ơn ạ.

Trả lời:

Để đảm bảo tuân thủ Nghị định 13, khi cung cấp dịch vụ pháp lý/dịch vụ tư vấn pháp luật cho khách hàng, Công ty/Văn phòng Luật/Công ty dịch vụ tư vấn cần thực hiện một số công việc như sau:

  1. Xây dựng các biện pháp bảo vệ dữ liệu cá nhân (biện pháp quản lý, biện pháp kỹ thuật) để áp dụng trong suốt quá trình xử lý dữ liệu cá nhân như:
  2. Chỉ định bộ phận bảo vệ dữ liệu cá nhân (nếu có hoạt động xử lý dữ liệu cá nhân nhạy cảm).
  3. Rà soát, xây dựng các chính sách bảo vệ dữ liệu cá nhân áp dụng cho Nhân sự, khách hàng, nhà cung cấp.
  4. Áp dụng các biện pháp kỹ thuật như sử dụng các phần mềm chuyên dụng về xử lý, bảo vệ dữ liệu cá nhân, tường lửa, phân quyền truy cập, ….
  5. Tổ chức các buổi đào tạo để phổ biến, nâng cao ý thức của Nhân sự về vấn đề bảo vệ dữ liệu cá nhân, quy trình xử lý dữ liệu cá nhân, quyền và nghĩa vụ của các bên trong vấn đề bảo vệ dữ liệu cá nhân, ….
  6. Lấy được sự đồng ý của Khách hàng trước khi xử lý dữ liệu cá nhân theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP. Việc lấy sự đồng ý có thể được thực hiện bằng nhiều cách thức tùy thuộc vào tình hình thực tế của mỗi Công ty. Tuy nhiên, phải đảm bảo sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
  7. Trước khi xử lý dữ liệu cá nhân, Công ty phải thông báo cho Khách hàng biết: (i) Mục đích xử lý dữ liệu cá nhân; (ii) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; (iii) Cách thức xử lý; (iv) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý theo quy định Điều 13 Nghị định 13/2023/NĐ-CP
  8. Khi xử lý dữ liệu cá nhân: Việc thu thập, xử lý dữ liệu cá nhân chỉ được thực hiện trong phạm vi, mục đích cần xử lý đã thông báo với Khách hàng và đã nhận được sự đồng ý của Khách hàng; chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác; đảm bảo thực hiện các yêu cầu hợp pháp của Khách hàng đối với dữ liệu cá nhân của họ (đảm bảo quyền của chủ thể dữ liệu quy định tại Điều 9 Nghị định 13/2023/NĐ-CP).
  9. Thực hiện các thủ tục liên quan đến vấn đề bảo vệ dữ liệu cá nhân như:

Lập và lưu trữ: (i) Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo mẫu Đ24-DLCN-01 (trong trường hợp Công ty là Bên kiểm soát, Bên kiểm soát kiêm xử lý dữ liệu cá nhân) và/hoặc theo mẫu Đ24-DLCN-02 (trong trường hợp Công ty là Bên xử lý dữ liệu cá nhân) và/hoặc theo mẫu Đ24-DLCN-03 (trong trường hợp Công ty là Bên thứ ba); (ii) Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (trong trường hợp có hoạt động chuyển dữ liệu của công dân Việt Nam ra nước ngoài) kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân của Khách hàng.

Nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân của Khách hàng.

Thông báo cho Bộ Công an thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu cá nhân ra nước ngoài thành công.

Cập nhật, bổ sung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân/ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an theo mẫu số 05 Phụ lục Nghị định 13/2023/NĐ-CP.

Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, nếu Công ty là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thì Công ty phải thông báo cho Bộ Công an vi phạm về bảo vệ dữ liệu cá nhân chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định 13/2023/NĐ-CP.

Rate this post