QUY TRÌNH THỰC HIỆN CHÍNH SÁCH BẢO VỆ DỮ LIỆU CÁ NHÂN

Bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm pháp lý mà còn là yếu tố then chốt trong việc xây dựng niềm tin với khách hàng, đối tác và cộng đồng. Việc thực hiện quy trình bảo vệ dữ liệu cá nhân cần thực hiện nghiêm ngặt theo các quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, vừa thể hiện trách nhiệm xã hội vừa gia tăng uy tín và lợi thế cạnh tranh của doanh nghiệp.

 Một quy trình toàn diện, phù hợp với quy định pháp luật hiện hành là sự đảm bảo cho một cam kết lâu dài của doanh nghiệp đối với quyền riêng tư của các bên liên quan. Dưới đây là hướng dẫn chi tiết về từng bước trong quy trình, được xây dựng dựa trên các quy định của Nghị định này.

Bước 1. Xây dựng và công khai chính sách bảo vệ dữ liệu cá nhân
Mỗi doanh nghiệp cần bắt đầu từ việc xây dựng một chính sách bảo vệ dữ liệu cá nhân rõ ràng, phù hợp với hoạt động kinh doanh và các quy định tại Nghị định 13/2023/NĐ-CP. Chính sách này đóng vai trò quan trọng không chỉ trong việc bảo vệ quyền lợi của khách hàng mà còn giúp doanh nghiệp củng cố uy tín và sự minh bạch.
Bước 2. Xây dựng chính sách bảo mật theo từng chương trình
Một chính sách bảo mật chung có thể không đủ để bao quát tất cả các trường hợp phát sinh. Doanh nghiệp cần xây dựng các chính sách bảo mật riêng biệt, tương thích với từng hoạt động, chương trình cụ thể. Căn cứ khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP, các yếu tố quan trọng trong chính sách bảo mật bao gồm:
(i)Mục đích thu thập thông tin cá nhân
Một trong những yêu cầu đầu tiên của chính sách bảo mật là cung cấp thông tin rõ ràng về mục đích thu thập dữ liệu cá nhân. Cá nhân phải được thông báo minh bạch về lý do thu thập dữ liệu. Đặc biệt, trong các hoạt động quảng cáo, doanh nghiệp cần mô tả chi tiết các phương thức, hình thức thực hiện, tần suất sử dụng, cũng như nội dung cụ thể của chiến dịch. Điều này vừa đảm bảo quyền lợi của khách hàng, vừa giúp doanh nghiệp xây dựng niềm tin từ phía người tiêu dùng.
(ii)Phạm vi sử dụng thông tin, hậu quả không mong muốn có thể xảy ra
Chính sách bảo mật cần nêu rõ thông tin cá nhân sẽ được sử dụng trong phạm vi nào. Doanh nghiệp có thể giới hạn phạm vi sử dụng trong nội bộ công ty hoặc mở rộng cho đối tác chiến lược và các hoạt động nghiên cứu thị trường. Đồng thời, chính sách cũng cần chỉ ra các rủi ro tiềm ẩn, chẳng hạn như nguy cơ rò rỉ thông tin hoặc sử dụng sai mục đích khi chia sẻ dữ liệu. 
(iii)Thời gian lưu trữ và xử lý dữ liệu
Việc quản lý thời gian lưu trữ dữ liệu cá nhân cần được xác định rõ ràng trong chính sách. Theo quy định, các hoạt động liên quan đến dữ liệu cá nhân phải có thời gian bắt đầu và kết thúc cụ thể. Sau khi hết thời gian lưu trữ, doanh nghiệp phải đảm bảo xóa bỏ hoặc hủy dữ liệu nếu không còn cần thiết theo quy định tại Điều 16 Nghị định 13/2023/NĐ-CP. 
(iv)Đối tượng tiếp cận thông tin
Một chính sách bảo mật toàn diện cần làm rõ các nhóm đối tượng có quyền truy cập thông tin cá nhân. Điều này bao gồm nhân viên nội bộ, đối tác được ủy quyền hoặc các bên thứ ba có hợp đồng hợp tác với doanh nghiệp. Sự rõ ràng trong danh mục đối tượng tiếp cận giúp đảm bảo an toàn thông tin đồng thời giảm thiểu nguy cơ lạm dụng hoặc truy cập trái phép.
(v)Địa chỉ của đơn vị thu thập và quản lý thông tin
Để tăng tính minh bạch, chính sách cần cung cấp đầy đủ thông tin liên hệ của đơn vị quản lý dữ liệu, bao gồm địa chỉ doanh nghiệp, số điện thoại, email, hoặc các phương thức hỗ trợ khác để khách hàng có thể tra cứu, khiếu nại hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.
(vi)Phương thức và công cụ để người tiêu dùng tiếp cận và chỉnh sửa dữ liệu cá nhân của mình trên hệ thống thương mại điện tử của đơn vị thu thập thông tin
Bên cạnh đó, theo khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP, việc thu thập và sử dụng thông tin phải dựa trên sự đồng ý rõ ràng của người dùng, được thể hiện qua các hành động như đánh dấu vào ô đồng ý, gửi cú pháp xác nhận qua tin nhắn hoặc chọn các thiết lập kỹ thuật. Doanh nghiệp cũng cần thiết lập phương thức để cá nhân có thể rút lại sự đồng ý, đảm bảo quyền lợi của người dùng theo Điều 9 của Nghị định.
Ngoài ra, khi xử lý thông tin cá nhân của trẻ em, doanh nghiệp cần tuân thủ nghiêm ngặt khoản 1 và khoản 2 Điều 20 Nghị định 13/2023/NĐ-CP. Theo đó, việc cung cấp dữ liệu của trẻ từ 07 tuổi trở lên phải có sự đồng ý của cả trẻ và cha mẹ hoặc người giám hộ. Quy định này đảm bảo quyền lợi và an toàn cho đối tượng đặc biệt này, đồng thời đặt ra yêu cầu cao hơn đối với trách nhiệm của doanh nghiệp trong việc xử lý dữ liệu.
Bước 3. Thu thập thông tin
Theo khoản 6 Điều 14 Nghị định 13/2023/NĐ-CP, thông tin cá nhân được thu thập phải được xác định rõ ràng, bao gồm các dữ liệu cơ bản như họ tên, ngày sinh, giới tính, số điện thoại, tình trạng hôn nhân, cùng các thông tin khác giúp nhận diện danh tính.
Khi tiếp nhận thông tin từ đối tác hoặc bên thứ ba, doanh nghiệp cần đảm bảo có hợp đồng hoặc thỏa thuận cụ thể liên quan đến xử lý dữ liệu nhằm tránh các tranh chấp phát sinh. Đối với thông tin nhạy cảm, cần áp dụng các biện pháp bảo mật cao hơn như mã hóa hoặc phân quyền truy cập hạn chế, đảm bảo rằng các rủi ro bị xâm phạm được kiểm soát hiệu quả.
Bước 4. Xử lý dữ liệu cá nhân
Sau khi thu thập, dữ liệu cá nhân sẽ trải qua quá trình xử lý với nhiều hoạt động khác nhau, từ việc phân tích, lưu trữ đến chia sẻ hay hủy bỏ.
(i)Xử lý: Theo quy định tại khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP, xử lý dữ liệu bao gồm các hoạt động như thu thập, ghi, phân tích, mã hóa, giải mã, và các hành động liên quan khác. 
(ii)Trong trường hợp cá nhân được thu thập dữ liệu chưa biết và chưa đồng ý với toàn bộ các nội dung liên quan đến việc xử lý dữ liệu thì công ty cần thông báo việc xử lý dữ liệu cá nhân 01 lần cho chủ thể dữ liệu trước khi xử lý: loại dữ liệu, mục đích xử lý, cách thức xử lý, các nhân và tổ chức khác có liên quan đến việc xử lý, hậu quả không mong muốn có thể xảy ra; thời gian bắt đầu và kết thúc. Việc thông báo phải có định dạng có thể in, sao chép, kiểm chứng được. 
(iii)Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
(iv)Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
(v)Trong trường hợp phát hiện vi phạm (xâm phạm) dữ liệu cá nhân, theo khoản 1 Điều 23 Nghị định 13/2023/NĐ-CP, đơn vị xử lý dữ liệu phải báo cho Bộ Công An (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định này. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. Đồng thời, phải báo cho bên kiểm soát dữ liệu một cách nhanh nhất có thể để có biện pháp bảo vệ phù hợp.
Bước 5. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định
(i)Để đáp ứng yêu cầu kiểm tra của cơ quan quản lý và đảm bảo tính minh bạch, doanh nghiệp cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ngay từ khi bắt đầu xử lý, theo khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP. Hồ sơ này phải được gửi cho Bộ Công an trong vòng 60 ngày kể từ ngày xử lý dữ liệu. Nội dung hồ sơ bao gồm:

 

  • Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

 

  •  
    Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
  •  
    Mục đích xử lý dữ liệu cá nhân;
  •  
    Các loại dữ liệu cá nhân được xử lý;
  •  
    Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
  •  
    Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
  •  
    Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
  •  
    Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
  • Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
(ii)Trong trường hợp dữ liệu cá nhân được chuyển ra nước ngoài, doanh nghiệp phải tuân thủ các yêu cầu bổ sung, bao gồm việc lập hồ sơ chi tiết về:
  • Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
  • Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
  • Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
  • Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
  • Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
  • Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
  • Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
  • Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

 >>> Xem thêm Dịch vụ soạn thỏa thuận bảo mật thông tin

Bảo vệ dữ liệu cá nhân là thước đo quan trọng cho sự phát triển bền vững của doanh nghiệp trong thời đại số hóa. Việc tuân thủ chặt chẽ các quy định tại Nghị định 13/2023/NĐ-CP giúp doanh nghiệp giảm thiểu rủi ro pháp lý, tạo dựng môi trường kinh doanh minh bạch, an toàn và đáng tin cậy. Một quy trình bảo vệ dữ liệu cá nhân toàn diện, được triển khai hiệu quả, sẽ trở thành nền tảng giúp nâng cao chất lượng dịch vụ, bảo vệ quyền lợi của các bên liên quan và duy trì lợi thế cạnh tranh lâu dài. Trong bối cảnh công nghệ ngày càng phát triển, đầu tư và công tác bảo vệ dữ liệu cá nhân cần được coi là một chiến lược ưu tiên, góp phần giúp doanh nghiệp không chỉ thích nghi với những thách thức hiện tại mà còn sẵn sàng đón đầu các cơ hội mới trong tương lai.