Xử lý dữ liệu cá nhân diễn ra liên tục trong quá trình hoạt động của doanh nghiệp. Mỗi tuần Công ty tôi ký rất nhiều Hợp đồng dịch vụ với đối tác, khách hàng và trong mỗi Hợp đồng dịch vụ này đều cần phải chuyển hoặc thu thập DLCN của Chủ Thể Dữ Liệu. Tuy nhiên theo NĐ 13/2023/NĐ-CP thì mỗi lần có hoạt động xử lý DLCN (có nghĩa là cứ trung bình 60 ngày) là Công ty tôi phải lập Hồ sơ đánh giá tác động gửi Bộ Công An. Luật sư cho tôi hỏi làm như nào để tối giản thủ tục và cách thức để Công ty tôi không phải tốn quá nhiều nguồn nhân lực, chi phí, thời gian trong việc lập và nộp Hồ sơ đánh giá tác động với Bộ Công An không ạ. Rất cảm ơn các Luật sư và Ban tổ chức đã cho doanh nghiệp chúng tôi có cơ hội giải đáp thắc mắc liên quan đến Bảo vệ Dữ Liệu Cá Nhân.
Trả lời:
Theo quy định của khoản 1, khoản 6 Điều 24; khoản 1, khoản 6 Điều 25 Nghị định 13/2023/NĐ-CP, Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát kiêm xử lý DLCN, Bên Xử lý DLCN, Bên chuyển DLCN ra nước ngoài phải lập Hồ sơ đánh giá tác động xử lý DLCN, Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài kể từ thời điểm bắt đầu xử lý dữ liệu và nộp bộ hồ sơ này cho Bộ Công an trong vòng 60 ngày kể từ ngày tiến hành xử lý. Trong trường hợp Hồ sơ đã nộp có sự thay đổi về nội dung, Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát kiêm xử lý DLCN, Bên Xử lý DLCN, Bên chuyển DLCN ra nước ngoài phải cập nhật, bổ sung Hồ sơ và gửi Bộ Công an theo mẫu quy định tại Nghị định 13/2023/NĐ-CP.
Nghị định chỉ quy định chung về thời điểm lập, lưu trữ và nộp hồ sơ là kể từ thời điểm bắt đầu xử lý DLCN (trong trường hợp lập, lưu trữ), trong vòng 60 ngày kể từ ngày tiến hành xử lý DLCN (trong trường hợp thông báo cho Bộ Công an) mà không quy định rõ cách xác định thời điểm bắt đầu/tiến hành xử lý như thế nào, số lượng hồ sơ đánh giá tác động là bao nhiêu? tính theo từng hồ sơ/từng trường hợp hay chỉ phải lập 01 bộ hồ sơ kể từ ngày xử lý dữ liệu cá nhân đầu tiên sau khi Nghị định 13/2023/NĐ-CP có hiệu lực. Dựa vào form của Hồ sơ đánh giá tác động xử lý DLCN, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài tại mẫu Đ24-DLCN và Đ24-DLCN, và thực tế xử lý hồ sơ của Bộ Công an hiện tại có thể thấy Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát kiêm xử lý DLCN, Bên Xử lý DLCN, Bên chuyển dữ liệu cá nhân ra nước ngoài chỉ cần lập, lưu trữ và gửi Bộ Công an 01 bộ hồ sơ Đánh giá tác động xử lý DLCN cá nhân và/hoặc 01 bộ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài tính từ ngày xử lý dữ liệu cá nhân đầu tiên sau khi Nghị định 13/2023/ND-CP có hiệu lực.
Với form Hồ sơ đánh giá tác động tại mẫu Đ24-DLCN và Đ24-DLCN, doanh nghiệp có thể xây dựng 01 bộ Hồ sơ đánh giá tác động và Hồ sơ nội bộ theo hướng chung nhất bao quát được đa số các trường hợp xử lý dữ liệu cá nhân tại thời điểm lập hồ sơ và trong tương lai. Cho nên, để giảm thiểu việc phải cập nhập, sửa đổi bổ sung hồ sơ đánh giá tác động xử lý DLCN, Công ty bạn nên xây dựng các biện pháp bảo vệ dữ liệu cá nhân và hồ sơ đánh giá tác động xử lý DLCN, hồ sơ đánh giá tác động xử lý DLCN theo hướng tổng hợp bao quát hết các trường hợp phù hợp với thực tế của Công ty bạn, ví dụ xây dựng các chính sách chung về bảo vệ dữ liệu cá nhân áp dụng cho nhân sự/khách hàng/nhà cung cấp đồng thời xây dựng; xây dựng quy trình xử lý dữ liệu chung; …