Data protection impact assessment (DPIA) là gì? Lợi ích của việc thực hiện DPIA là gì?

Data protection impact assessment (DPIA) là gì?

Data protection impact assessment (DPIA) nghĩa là đánh giá tác động bảo vệ dữ liệu. Đây là một cuộc kiểm tra đánh giá rủi ro được thiết kế để hỗ trợ các tổ chức xác định, phân tích và giảm thiểu rủi ro về quyền riêng tư đi kèm với việc thu thập, xử lý, sử dụng, lưu trữ và chia sẻ dữ liệu người dùng. Đây là một trong những thành phần chính cần thiết để tuân thủ GDPR.

Nội dung được sử dụng trong GDPR là hợp pháp, có tính kỹ thuật cao và đôi khi hơi mơ hồ. Theo GDPR, các quy trình DPIA được ủy quyền để xử lý có rủi ro cao đối với quyền và tự do của một người hoặc để xử lý dữ liệu cá nhân ở một quy mô lớn nhất định. Hướng dẫn từ các cơ quan bảo vệ dữ liệu (DPAs) nêu rõ rằng bạn nên tiến hành DPIA để xử lý những vấn đề có khả năng dẫn đến rủi ro cao cho các tổ chức, cá nhân. Việc tiến hành DPIA cho bất kỳ dự án lớn nào khác yêu cầu xử lý dữ liệu cá nhân cũng được coi là một thông lệ tốt.

Lợi ích của việc tiến hành Data protection impact assessment là gì?

Tiến hành Data protection impact assessment - đánh giá tác động bảo vệ dữ liệu - sẽ nâng cao nhận thức trong tổ chức của bạn về các rủi ro bảo vệ dữ liệu liên quan đến một dự án. Điều này sẽ giúp cải thiện thiết kế dự án của bạn và nâng cao khả năng hiểu biết của bạn về các rủi ro bảo mật dữ liệu với các bên liên quan. Một số lợi ích của việc tiến hành DPIA như sau:

• Đảm bảo và chứng minh rằng tổ chức của bạn tuân thủ GDPR và tránh bị trừng phạt.
• Tạo niềm tin cho công chúng bằng cách cải thiện thông tin liên lạc về các vấn đề bảo vệ dữ liệu.
• Đảm bảo người dùng của bạn không có nguy cơ bị vi phạm quyền bảo vệ dữ liệu của họ.
• Cho phép tổ chức của bạn kết hợp “bảo vệ dữ liệu theo thiết kế” vào các dự án mới.
• Giảm chi phí vận hành bằng cách tối ưu hóa luồng thông tin trong một dự án và loại bỏ việc thu thập và xử lý những dữ liệu không cần thiết.
• Giảm thiểu tối đa rủi ro liên quan đến bảo vệ dữ liệu cho doanh nghiệp, tổ chức của bạn.
• Giảm chi phí và giảm sự gián đoạn của các biện pháp bảo vệ dữ liệu bằng cách tích hợp chúng vào thiết kế dự án ở giai đoạn đầu.

Bảo vệ dữ liệu theo thiết kế có nghĩa là nhúng các tính năng bảo mật dữ liệu và công nghệ tăng cường bảo mật dữ liệu trực tiếp vào thiết kế của dự án ở giai đoạn đầu. Điều này sẽ giúp đảm bảo bảo vệ quyền riêng tư dữ liệu cá nhân tốt hơn và tiết kiệm chi phí hơn. Bảo vệ dữ liệu theo mặc định có nghĩa là cài đặt dịch vụ phải tự động bảo vệ dữ liệu thân thiện.

Trách nhiệm thực hiện DPIA

Bất kỳ bộ phận, công ty, doanh nghiệp nào đang giới thiệu một dịch vụ mới hoặc sửa đổi hoặc thay đổi một hệ thống, quy trình hoặc tài sản thông tin mới đều chịu trách nhiệm đảm bảo hoàn thành DPIA. Người quản lý dự án sẽ giúp đỡ với quá trình này.

Ví dụ, khi bắt đầu giai đoạn thiết kế của bất kỳ dịch vụ, quy trình mới, mua triển khai tài sản thông tin nào, cần xem xét nhu cầu và quy trình để hoàn thành DPIA.

Kết quả của Đánh giá tác động bảo vệ dữ liệu phải được báo cáo thường xuyên trở lại cho doanh nghiệp, tổ chức và các vấn đề được nêu ra thông qua ban dự án hoặc chương trình và được đưa vào sổ đăng ký rủi ro của bộ phận khi thích hợp.

Khi các rủi ro nguy hiểm được xác định, những rủi ro này phải được thông báo ngay từ đầu với DPO, đơn vị này sẽ thảo luận với người giám hộ Caldicott hoặc chủ sở hữu rủi ro thông tin cấp cao nếu cần.

Những gì nên được bao gồm trong một DPIA?

Các tổ chức thực hiện các hoạt động xử lý dữ liệu và những người phải tuân thủ GDPR nên lập kế hoạch đưa DPIA trở thành một phần trong quy trình làm việc của họ. 

Một DPIA nên bao gồm những điều sau đây:

• Bạn đang xử lý dữ liệu thông tin của ai
• Loại thông tin cá nhân bạn sẽ sử dụng
• Mô tả về bản chất, phạm vi và bối cảnh của quá trình xử lý dữ liệu
• Cách thức hoặc mục đích mà bạn sẽ sử dụng dữ liệu cá nhân mà bạn đang phân tích xử lý
• Xác định và đánh giá rủi ro đối với các cá nhân, các khách hàng của tổ chức
• Bất kỳ biện pháp nào bạn sẽ thực hiện để giảm thiểu và ngăn ngừa rủi ro cho các cá nhân liên quan

DPIA nên đánh giá các yếu tố như:

• Việc xử lý dữ liệu cá nhân có cần thiết và tương xứng để đáp ứng các mục tiêu của bạn không?
• Những rủi ro liên quan có xứng đáng với kết quả kỳ vọng mong muốn không?
• Có cần liên hệ với các cơ quan giám sát không?

Sau khi DPIA hoàn tất và trước khi quá trình xử lý bắt đầu:

• Đánh giá xem liệu có thể vẫn còn rủi ro cao đối với các cá nhân sau khi giảm thiểu và cân nhắc mức độ nghiêm trọng của bất kỳ tác động nào đối với các đơn vị hoặc các cá nhân.
• Xuất bản DPIA với thông tin nhạy cảm đã được biên tập lại.
• Tích hợp các kết quả của DPIA vào kế hoạch dự án.
• Theo dõi và giám sát dự án dựa trên DPIA để duy trì quyền riêng tư.

Khi nào cần có DPIA?

Các yếu tố rủi ro được liệt kê dưới đây cần được giải quyết khi xem xét có nên hoàn thành DPIA hay không. Các yếu tố tiềm ẩn khác và thông tin chi tiết khác có trong Phần 1 của mỗi hướng dẫn.

• Một đánh giá có hệ thống và rộng rãi về dữ liệu dựa trên quá trình xử lý tự động.
• Xử lý trên quy mô lớn các loại dữ liệu đặc biệt (dữ liệu tiết lộ thông tin nhận dạng duy nhất một thể nhân) hoặc dữ liệu cá nhân liên quan đến kết án hình sự và hành vi phạm tội.
• Giám sát có hệ thống một khu vực có thể truy cập công khai trên quy mô lớn.

GDPR làm rõ 'Việc xử lý dữ liệu cá nhân không nên được coi là ở quy mô lớn nếu việc xử lý liên quan đến dữ liệu cá nhân từ bệnh nhân hoặc khách hàng của một bác sĩ, chuyên gia chăm sóc sức khỏe khác hoặc luật sư. Trong những trường hợp như vậy, không bắt buộc phải đánh giá tác động bảo vệ dữ liệu.

Điều gì là cần thiết để hoàn thành một DPIA?

DPIA phải cung cấp thông tin cụ thể về quá trình xử lý dự định, được trình bày chi tiết trong Phần 2 của hướng dẫn. Thông tin đó bao gồm:

• Đánh giá sự cần thiết và tính phù hợp của việc xử lý dữ liệu liên quan đến mục đích của DPIA.
• Đánh giá rủi ro đối với các quyền và tự do của các cá nhân.
• Các biện pháp dự kiến để giải quyết các rủi ro, bao gồm các biện pháp bảo vệ, biện pháp bảo mật và cơ chế để đảm bảo bảo vệ dữ liệu cá nhân và chứng minh việc tuân thủ GDPR.
• Mục đích xử lý dữ liệu
• Danh mục dữ liệu cá nhân được xử lý
• Lưu trữ dữ liệu
• Vị trí và nơi chuyển dữ liệu cá nhân
• Chia sẻ dữ liệu với bộ xử lý phụ của bên thứ ba
• Chia sẻ dữ liệu với các bên thứ ba độc lập
• Quyền chủ thể dữ liệu

Các yếu tố của một quy trình DPIA

Mục đích xử lý

Trong số những câu hỏi đầu tiên mà bạn, với tư cách là người kiểm soát dữ liệu, nên hỏi là:

• Tại sao bạn muốn xử lý dữ liệu cá nhân?
• Có bất kỳ lợi ích hợp pháp trong việc thực hiện xử lý dữ liệu?
• Kết quả xử lý dữ liệu sẽ như thế nào?
• Bạn sẽ đạt được gì với quá trình xử lý?

Bối cảnh xử lý dữ liệu

Điều này sẽ cung cấp cho bạn một bức tranh rõ ràng về những gì có thể ảnh hưởng đến kỳ vọng. Một số câu hỏi để hỏi sẽ bao gồm:

• Nguồn dữ liệu mà bạn muốn xử lý là gì?
• Mối quan hệ của bạn với các đối tượng dữ liệu trông như thế nào?
• Nếu bạn có bất kỳ kinh nghiệm nào về các loại xử lý cụ thể mà bạn sắp lặp lại, hãy nhớ nêu bật nó. Ngoài ra, GDPR đảm bảo các quyền khác nhau của chủ thể dữ liệu, vì vậy bạn cần chỉ định xem chủ thể dữ liệu của bạn có quyền kiểm soát dữ liệu bạn thu thập và xử lý hay không.

Bản chất của xử lý dữ liệu

Đây là phần mà bạn phải rõ ràng về cách bạn dự định sử dụng dữ liệu. Một số câu hỏi để giúp bạn có thể là:

• Những người có quyền truy cập vào dữ liệu là ai?
• Chúng tôi chia sẻ dữ liệu với ai?
• Dữ liệu được thu thập và lưu trữ như thế nào?
• Các khoảng thời gian lưu giữ được xác định là gì?
• Bạn đã thực hiện các biện pháp bảo mật nào để bảo vệ dữ liệu?
• Làm thế nào để bạn sử dụng dữ liệu?

Phạm vi xử lý dữ liệu

• Tại đây, bạn sẽ xem xét việc xử lý dữ liệu cá nhân bao gồm những gì, ví dụ:
• Thời gian xử lý
• Độ nhạy của dữ liệu cá nhân
• Tần suất và mức độ xử lý
• Số lượng chủ thể dữ liệu có dữ liệu cá nhân tham gia vào quá trình xử lý

Đối tượng nào nên tiến hành DPIA?

Cán bộ bảo vệ dữ liệu có trách nhiệm chung đối với các DPIA trong toàn tổ chức. Tuy nhiên, phần lớn quy trình DPIA có thể được hoàn thành bởi nhóm dự án với sự tư vấn của Người quản lý Tuân thủ Hồ sơ & Thông tin, sử dụng các tài liệu mẫu DPIA.

Lý tưởng nhất là một thành viên của dự án hoặc nhóm nghiên cứu nên được xác định là người chịu trách nhiệm giám sát DPIA. Người quản lý Tuân thủ Hồ sơ & Thông tin sẽ làm việc với nhóm để đưa ra lời khuyên và hướng dẫn cũng như đảm bảo các tài liệu cần thiết được hoàn thành. DPO sẽ được tư vấn và ký kết.

Data protection impact assessment (DPIA) - quy trình đánh giá tác động bảo vệ dữ liệu có thể ảnh hưởng rất lớn đến chất lượng dữ liệu, hạn chế việc rủi ro trong xử lý dữ liệu. DPIA cũng đảm bảo khách hàng của doanh nghiệp tránh tình trạng bị đánh cắp dữ liệu.