Đánh giá tác động bảo vệ dữ liệu là gì?

Với sự ra đời của Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu và bản cập nhật gần đây của Đạo luật bảo vệ dữ liệu của Vương quốc Anh, các doanh nghiệp đã tập trung nhiều hơn vào việc có trách nhiệm hơn đối với sự an toàn của dữ liệu và xây dựng tính năng bảo vệ dữ liệu vào các sản phẩm và quy trình của họ ngay từ các giai đoạn thiết kế.

Để tạo điều kiện thuận lợi cho việc tập trung mới này, các doanh nghiệp đang được khuyến khích đánh giá mức độ rủi ro của họ và trong những trường hợp nhất định, đó thậm chí còn là một yêu cầu pháp lý.

Đánh giá tác động bảo vệ dữ liệu là gì?

Đánh giá tác động bảo vệ dữ liệu (DPIA) là một công cụ hoặc quy trình cho phép xác định và phân loại rủi ro trong một dự án, hệ thống hoặc doanh nghiệp. Nó giúp các tổ chức xác định xem các quy trình của họ có xâm phạm quyền riêng tư của khách hàng, nhân viên hoặc bất kỳ ai mà họ nắm giữ, thu thập hoặc xử lý dữ liệu hay không.

Rủi ro trong trường hợp này là bất kỳ tình huống nào có thể xảy ra khi các quyền và tự do của một người bị đe dọa. Những rủi ro như vậy có thể thay đổi về quy mô cũng như phạm vi trong đó chúng bao gồm bất kỳ thứ gì có thể gây hại (là thể chất hoặc cách khác) cho cá nhân hoặc xã hội nói chung. Để phân loại những rủi ro đó, bạn phải xem xét khả năng chúng xảy ra và mức độ nghiêm trọng của thiệt hại nếu điều tồi tệ nhất xảy ra.

Ngoài việc xác định rủi ro, DPIA cũng cho phép giảm thiểu rủi ro thông qua việc đánh giá các quy trình thay thế hoặc điều chỉnh các quy trình hiện có.

Mục đích chung của DPIA là giảm thiểu tác động của các rủi ro bảo vệ dữ liệu và ngăn chặn chúng nếu có thể. Thực hiện DPIA không có nghĩa là tất cả các rủi ro đối với dữ liệu đã được loại bỏ, nhưng cho phép đưa ra các quyết định về mức độ rủi ro có thể chấp nhận được trong bất kỳ trường hợp nào mà các biện pháp phòng ngừa chưa được (hoặc không thể) đưa ra.

Việc thực hiện DPIA trong doanh nghiệp của bạn có thể tạo điều kiện thuận lợi cho việc tuân thủ các chứng nhận như ISO 27001 hoặc BS 10012, mang lại lợi ích tài chính thông qua việc giảm tiền phạt do vi phạm luật bảo vệ dữ liệu và giúp doanh nghiệp của bạn thể hiện trách nhiệm giải trình dẫn đến lợi ích uy tín của việc xây dựng lòng tin với khách hàng và các bên liên quan .

Ai nên thực hiện DPIA?

Vì DPIA là một công cụ hữu ích để giúp các doanh nghiệp tuân thủ luật bảo vệ dữ liệu, các tổ chức như Văn phòng Ủy viên Thông tin (ICO) khuyến nghị rằng chúng được thực hiện bởi bất kỳ ai xử lý hoặc lưu trữ dữ liệu cá nhân.

Việc thực hiện DPIA chỉ là bắt buộc đối với các quy trình, hệ thống hoặc dự án có nhiều rủi ro gây thiệt hại đến quyền và tự do của một cá nhân.

Rủi ro cao trong bối cảnh này là một quá trình, hệ thống hoặc dự án:

• Sử dụng công nghệ tiên tiến
• Sử dụng quá trình tự động hóa rộng rãi hoặc lập hồ sơ để đưa ra quyết định (chẳng hạn như quyền truy cập vào một dịch vụ), chẳng hạn như khi dữ liệu được khớp hoặc kết hợp từ các bộ dữ liệu khác nhau
• Thu thập dữ liệu cá nhân từ một nguồn không phải là cá nhân mà không phải cung cấp trước cho họ thông báo về quyền riêng tư (‘xử lý ẩn’)
• Xử lý dữ liệu danh mục đặc biệt hoặc tội phạm hình sự trên quy mô lớn, ví dụ như nhắm mục tiêu đến trẻ em nhằm mục đích tiếp thị hoặc bán dịch vụ trực tuyến
• Giám sát có hệ thống các địa điểm có thể truy cập công cộng trên quy mô lớn, chẳng hạn như theo dõi vị trí hoặc hành vi của một cá nhân
• Gây nguy hiểm cho sức khỏe hoặc sự an toàn của một cá nhân nếu có vi phạm bảo mật, ví dụ như nếu dữ liệu sinh trắc học hoặc dữ liệu di truyền được xử lý

DPIA có phải là nhiệm vụ một lần không?

Cần lưu ý rằng việc thực hiện DPIA không phải là nhiệm vụ thực hiện một lần – để thực sự có hiệu quả, chúng phải được thực hiện mỗi khi có thay đổi đối với bất kỳ quy trình nào ảnh hưởng đến việc thu thập, lưu trữ hoặc xử lý dữ liệu. Các DPIA cũng cần được xem xét thường xuyên để đảm bảo chúng vẫn phù hợp với hoạt động kinh doanh và giảm thiểu rủi ro.

Việc nhúng DPIA vào các quy trình kinh doanh của bạn sẽ có nghĩa là chúng được thực hiện và đảm bảo kết quả có thể ảnh hưởng đến kế hoạch của bạn.

Nói chung, việc thực hiện DPIA cho bất kỳ dự án nào yêu cầu xử lý, lưu trữ hoặc thu thập dữ liệu cá nhân được coi là thông lệ tốt. Các tình huống khác mà thực hành tốt sẽ là khi:

• một hệ thống CNTT mới đã được giới thiệu để lưu trữ hoặc truy cập thông tin cá nhân;
• có kế hoạch chia sẻ dữ liệu với các tổ chức khác, ngay cả khi họ nằm trong cùng một nhóm công ty;
• nhân khẩu học cụ thể đang được xác định và các quyết định tự động về chúng đang được thực hiện; hoặc là
• việc sử dụng dữ liệu hiện có mới và bất ngờ đang được xem xét.

DPIA có giống với đánh giá tác động quyền riêng tư (PIA) không?

Một số tổ chức đã thực hiện PIA và vì vậy có thể tự hỏi liệu họ có cần thực hiện DPIA hay không.

Mặc dù các quy trình tương tự nhau, nhưng điều quan trọng là phải xem xét các quy trình hiện tại của bạn để đảm bảo rằng chúng tuân thủ tất cả các yêu cầu cần thiết của DPIA.

Bạn không cần thực hiện DPIA nếu các rủi ro và biện pháp bảo vệ liên quan đã được xem xét, chẳng hạn như thông qua PIA. Tuy nhiên, nếu có sự thay đổi đáng kể về bản chất, phạm vi, bối cảnh hoặc mục đích của việc xử lý kể từ khi đánh giá đó, bạn phải thực hiện DPIA, đặc biệt nếu bạn đang xử lý dữ liệu theo cách được coi là có rủi ro cao.

DPIA nên được thực hiện như thế nào?

Tốt nhất, một DPIA nên được thực hiện khi bắt đầu mọi dự án, trước khi bất kỳ dữ liệu nào được thu thập hoặc xử lý. Đánh giá có thể bao gồm một nhóm các hoạt động tương tự hoặc xem xét một quy trình duy nhất, nhưng nó phải bao gồm các bước sau:

1. Doanh nghiệp có cần thực hiện DPIA cho dự án / quy trình này không?
2. Mô tả cách dữ liệu sẽ được thu thập / xử lý – đặc biệt, xem xét bản chất, phạm vi, bối cảnh và mục đích của việc xử lý.
3. Cân nhắc xem có cần lời khuyên từ bên ngoài để đối phó với rủi ro một cách thích hợp hay không. Ví dụ, nhân viên bảo vệ dữ liệu phải là người đầu tiên gọi điện, nhưng bất kỳ bên liên quan nào trong dự án cũng nên được tham vấn.
4. Đánh giá mức độ cần thiết và tính tương xứng của việc thu thập / xử lý dữ liệu, điều này bao gồm mọi vấn đề về tuân thủ pháp luật mà các hành động này đưa ra.
5. Xác định và đánh giá rủi ro thu thập / xử lý dữ liệu, đặc biệt nếu những rủi ro đó ảnh hưởng đến các cá nhân. Để đánh giá mức độ rủi ro, hãy xem xét khả năng xảy ra và mức độ nghiêm trọng của tác hại do rủi ro đó gây ra. Các sự kiện rủi ro cao không chỉ là những sự kiện gây ra thiệt hại nghiêm trọng mà có thể là những sự kiện ít gây hại cho cá nhân và xảy ra thường xuyên.
6. Xác định bất kỳ biện pháp cần thiết nào để giảm thiểu rủi ro đã xác định.
7. Ký tên và ghi lại kết quả của bất kỳ quyết định nào được đưa ra.
8. Tích hợp những kết quả này vào kế hoạch / mục tiêu kinh doanh tổng thể.
9. Giữ cho những kết quả này được xem xét để chúng vẫn có thể áp dụng.

Điều tuyệt vời về DPIA là quy trình vừa linh hoạt vừa có thể mở rộng; áp dụng cho bất kỳ dự án hoặc quy trình nào. Để có một ví dụ tốt về DPIA, hãy tham khảo các tiêu chí của Châu Âu về một DPIA được chấp nhận.

ICO có cần được tư vấn không?

Nếu vì bất kỳ lý do gì, một quy trình có rủi ro cao được xác định thông qua DPIA và không thể thực hiện các bước để giảm thiểu rủi ro đó, thì ICO phải được thông báo. Các doanh nghiệp không được bắt đầu thu thập / xử lý dữ liệu cho đến khi ICO được tư vấn.

ICO sẽ xem xét các bằng chứng được gửi cho họ và đưa ra lời khuyên về việc liệu rủi ro có thể chấp nhận được hay không hoặc nếu cần hành động thêm (ví dụ: nếu việc xử lý ở dạng hiện tại sẽ dẫn đến vi phạm GDPR). Trong các trường hợp cực đoan, ICO cũng có thể đưa ra cảnh báo chính thức hoặc ngăn cản một doanh nghiệp thực hiện toàn bộ quá trình xử lý.

Thông tin thêm về DPIA có sẵn trong Hướng dẫn của EU về Đánh giá tác động bảo vệ dữ liệu và hướng dẫn đánh giá tác động bảo vệ dữ liệu của ICO.

Nếu bạn quan tâm đến bảo vệ dữ liệu, hoặc muốn biết thêm về việc tuân thủ luật bảo vệ dữ liệu, vui lòng gọi 0904.889.859 (Ms.Hoa) – 0909.099.583 (Ms.Lam) hoặc gửi email tới isoquocte@gmail.com.