Tại Việt Nam, khái niệm Cách mạng công nghiệp lần thứ tư và Công nghiệp 4.0 đã trở nên khá phổ biến trong những năm gần đây. Cũng trong bối cảnh này, dữ liệu và thông tin đóng vai trò ngày càng quan trọng, việc sở hữu và tiếp cận được nguồn thông tin chính xác với tốc độ nhanh sẽ là một trong các yếu tố quyết định năng lực cạnh tranh trong tương lai. Tuy nhiên, dữ liệu cá nhân là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin,… Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một phần quan trọng của việc bảo vệ quyền riêng tư của khách hàng và đảm bảo rằng các tổ chức đáp ứng đầy đủ quy định của pháp luật về bảo vệ dữ liệu cá nhân. Bài viết dưới đây của Luật Thành Đô sẽ cung cấp thông tin nhằm giải đáp thắc mắc về thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, mức phạt khi không thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

I. CĂN CỨ PHÁP LÝ 

– Bộ luật Dân sự năm 2015;

– Luật An ninh quốc gia năm 2004;

– Luật Tổ chức chính phủ năm 2015;

– Luật An ninh mạng năm 2018;

– Luật sửa đổi, bổ sung một số điều của Luật tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương năm 2019;

– Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

– Văn bản pháp luật khác có liên quan.

II. NỘI DUNG HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN 

– Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:

(1) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

(2) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

(3) Mục đích xử lý dữ liệu cá nhân;

(4) Các loại dữ liệu cá nhân được xử lý;

(5) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;

(6) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

(7) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);

(8) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

(9) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

– Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:

(1) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;

(2) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;

(3) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;

(4) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);

(5) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

(6) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

(7) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

Lưu ý: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nêu trên được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.

III. LẬP VÀ GỬI THÔNG BÁO HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN 

3.1. Mẫu thông báo và thời gian thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

3.2. Thông báo thay đổi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Trường hợp cần cập nhật, bổ sung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định 13/2023/NĐ-CP.

IV. Mức phạt vi phạm đối với hành vi không thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hiện nay, quy định về bảo vệ quyền đối với dữ liệu cá nhân được coi trọng và phổ biến tại các nước phát triển trên Thế giới như Châu Âu, Hoa Kỳ… Trong đó, quy định chung về bảo vệ dữ liệu (GDPR) do Ủy ban châu Âu xây dựng, với mục đích vạch ra kế hoạch cải cách bảo vệ dữ liệu cá nhân trên toàn Liên minh châu Âu. Về bản chất, GDPR là một bộ quy tắc mới, được xây dựng nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ. Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu. Tiền phạt đối với hành vi trái với quy định của GDPR rất cao. Theo đó có hai cách thức phạt, có thể tối đa là 20 triệu Euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại.

Bên cạnh đó, theo cách tiếp cận của Hoa Kỳ, việc bảo vệ dữ liệu và quyền về sự riêng tư được dựa trên sự kết hợp giữa luật pháp, quy định và tự điều chỉnh, thay vì chỉ có sự can thiệp của nhà nước. Luật về Sự riêng tư của người tiêu dùng của bang California (CCPA) được thông qua vào tháng 6/2018 dự kiến sẽ trở thành luật về quyền về sự riêng tư dữ liệu toàn diện nhất ở Hoa Kỳ. Giống như GDPR, văn bản luật này thiết lập một số quyền nhất định cho người tiêu dùng, ngoài ra, CCPA mở rộng đáng kể định nghĩa về thông tin cá nhân, từ đó đòi hỏi các công ty phải có những thay đổi đáng kể trong cách thức hoạt động của mình. Văn bản luật này cũng cho phép quyền hành động riêng tư trong trường hợp vi phạm dữ liệu và cho phép Bộ trưởng Tư pháp California áp dụng các hình phạt hành chính lên tới 7.500 đô la cho mỗi lần vi phạm mà không có giới hạn tối đa. Không chỉ California, 11 bang khác của Hoa Kỳ bao gồm Maryland, New Jersey và Washington… gần đây đã đưa ra dự thảo văn bản pháp luật tương tự. 

Trên tinh thần tiếp thu những cải cách trên toàn thế giới, trước những tác động của cuộc Cách mạng công nghiệp 4.0, Việt Nam cũng không nằm ngoài xu hướng chung này. Sự ra đời của Nghị định 13/2023/NĐ-CP đã đánh dấu mốc quan trọng trong việc bảo vệ dữ liệu cá nhân, theo đó chúng ta cũng đang dần hoàn thiện các quy định về mức phạt  đối với hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.

Căn cứ vào Điều 4 Nghị định 13/2023/NĐ-CP quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, theo đó cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Mặt khác tại dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, quy định mức phạt tiền như sau:

Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

+ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không tiến hành và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình;

+ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát, Bên Kiểm soát và xử lý dữ liệu cá nhân không đầy đủ các nội dung theo quy định tại khoản 1 Điều 15 Nghị định bảo vệ dữ liệu cá nhân;

+ Bên Xử lý dữ liệu cá nhân không lưu giữ hồ sơ đánh giá tác động tất cả các hoạt động xử lý dữ liệu cá nhân được thực hiện thay mặt cho Bên Kiểm soát dữ liệu cá nhân;

+ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và 2 Điều 15 Nghị định bảo vệ dữ liệu cá nhân không được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.

Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng: Áp dụng đối với hành vi không bảo đảm sự có sẵn của Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và không gửi Cơ quan bảo vệ dữ liệu cá nhân 01 bản chính sau khi tổ chức, doanh nghiệp đi vào hoạt động trong thời gian 60 ngày làm việc.

Theo như những quy định và phân tích ở trên, có thể thấy rằng theo tinh thần của Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, mức phạt vi phạm đối với hành vi không thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là mức xử phạt cao. Vì vậy, các tổ chức cần nghiêm túc thực hiện việc lập và thông báo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo đúng quy định của pháp luật để hạn chế tối đa các rủi ro về pháp lý. Theo đó, các cơ quan, tổ chức cần chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (cần chuẩn bị để nộp và lưu trữ 01 bộ tại doanh nghiệp để đáp ứng quá trình kiểm tra của Bộ Công an) và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân liên quan đến chuyển dữ liệu cá nhân ra nước ngoài.

Các bài viết khác cùng chuyên mục: Tư vấn doanh nghiệp

Trên đây là bài viết về mức phạt vi phạm đối với hành vi không thông báo Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Luật Thành Đô. Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này vui lòng liên hệ trực tiếp với Luật Thành Đô để được tư vấn và sử dụng dịch vụ. Với đội ngũ Luật sư nhiều kinh nghiệm, chúng tôi tin tưởng sẽ làm Quý Khách hài lòng khi sử dụng dịch vụ của Luật Thành Đô.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *