Xác định rủi ro – Kiểm tra hệ thống – Sẵn sàng tuân thủ pháp lý
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực, cùng với làn sóng chuyển đổi số và định danh điện tử doanh nghiệp, các tổ chức giờ đây không thể trì hoãn việc tuân thủ. Hậu quả của việc chậm trễ không chỉ là rủi ro pháp lý, mà còn ảnh hưởng đến uy tín thương hiệu và khả năng hợp tác quốc tế.
Dịch vụ “Đánh giá hiện trạng tuân thủ dữ liệu cá nhân” của chúng tôi sẽ giúp bạn:
- Nắm rõ hệ thống dữ liệu hiện tại
- Rà soát toàn diện từ chính sách nội bộ đến thực tế sử dụng dữ liệu
- Có kế hoạch hành động rõ ràng, đúng luật và tiết kiệm chi phí
Cách thức chúng tôi thực hiện
| Tiến trình |
Mô tả chi tiết |
| Bước 1: Các định các loại dữ liệu cá nhân đang được xử lý |
- Gửi biểu mẫu khảo sát và phối hợp với các bộ phận nghiệp vụ để thu thập thông tin về các loại dữ liệu cá nhân hiện đang được thu thập, sử dụng, lưu trữ hoặc chia sẻ.
- Phân loại dữ liệu theo nhóm: dữ liệu cơ bản, dữ liệu nhạy cảm, dữ liệu của khách hàng, nhân viên, đối tác, v.v.
- Đối chiếu với mục đích xử lý và thời hạn lưu trữ để đánh giá sơ bộ tính hợp pháp.
|
| Bước 2: Lập sơ đồ luồng dữ liệu (Data Flow Mapping) |
- Khách hàng cần cung cấp thông tin nhân sự (cơ cấu tổ chức bộ phận của Công ty), thông tin Khách hàng (Khách hàng của khách hàng) bao gồm KH cá nhân và KH doanh nghiệp, thông tin đối tác (bao gồm doanh nghiệp đối tác/cơ quan, tổ chức khác).
- Thu thập thông tin từ các bộ phận liên quan để ghi nhận các quy trình xử lý dữ liệu cá nhân thực tế (bắt đầu từ giai đoạn thu thập dữ liệu và kết thúc khi dữ liệu được lưu trữ).
- Xây dựng sơ đồ mô tả dòng dữ liệu trong nội bộ và với các bên thứ ba (ai thu thập – ai xử lý/chuyển giao – ai chia sẻ – ai lưu trữ). Sơ đồ luồng cho biết dữ liệu cá nhân đi từ đâu, đi qua đâu và đi đến đâu, đánh giá tính minh bạch và khả năng kiểm soát.
|
| Bước 3: Rà soát phương thức lưu trữ và truy cập dữ liệu cá nhân, công cụ phần mềm và hệ thống bảo mật được sử dụng |
- Khảo sát cách thức tổ chức đang lưu trữ dữ liệu cá nhân: tại văn bản giấy, tệp excel, phần mềm quản lý, hệ thống,…
- Đánh giá quyền truy cập: ai có quyền truy cập, dữ liệu được bảo vệ thế nào, có kiểm soát truy cập không.
- Xác định các rủi ro pháp lý liên quan đến việc lưu trữ và kiểm soát dữ liệu không đúng quy định (ví dụ: lộ dữ liệu nhân viên, truy cập trái phép,…).
|
| Bước 4: Rà soát chính sách, quy trình và hợp đồng |
- Thu thập và đánh giá các tài liệu nội bộ như: Chính sách bảo vệ dữ liệu cá nhân (nếu có), Quy trình xin sự đồng ý và xử lý yêu cầu từ chủ thể dữ liệu, Mẫu biểu cam kết bảo mật của nhân sự;
- Rà soát các điều khoản liên quan trong hợp đồng lao động, hợp đồng dịch vụ, hợp đồng thuê ngoài, v.v;
- Đối chiếu với yêu cầu pháp lý để xác định nội dung thiếu/hạn chế cần bổ sung.
|
| Bước 5: Xác định bên thứ ba có xử lý dữ liệu cá nhân |
- Làm việc với khách hàng để lập danh sách các bên thứ ba đang tiếp cận hoặc xử lý dữ liệu (VD: đơn vị cung cấp phần mềm CRM, kế toán dịch vụ, nền tảng lưu trữ,…).
- Đánh giá hiện trạng hợp đồng/thỏa thuận với các bên này có điều khoản bảo vệ dữ liệu chưa.
- Đề xuất nội dung cần bổ sung để đảm bảo ràng buộc pháp lý theo yêu cầu.
|
| Bước 6: Đánh giá nhận thức và trách nhiệm của các bộ phận, nhân sự có tham gia xử lý dữ liệu cá nhân |
- Gửi phiếu khảo sát hoặc phỏng vấn nhanh các bộ phận thường xuyên tiếp xúc với dữ liệu cá nhân (hành chính nhân sự, kinh doanh, chăm sóc khách hàng, marketing…).
- Đánh giá mức độ hiểu biết về quyền riêng tư, quy trình xử lý dữ liệu, và các hành vi tiềm ẩn rủi ro.
- Xác định có hay không người/bộ phận phụ trách chính về bảo vệ dữ liệu cá nhân (DPO hoặc tương đương).
|
| Bước 7: Ghi nhận hiện trạng tuân thủ và các rủi ro pháp lý |
- Tổng hợp toàn bộ kết quả đánh giá theo từng hạng mục.
- Chỉ ra các điểm không tuân thủ hoặc còn thiếu so với yêu cầu pháp luật.
- Phân loại rủi ro pháp lý theo 3 mức: nghiêm trọng – trung bình – nhẹ, kèm đề xuất hướng khắc phục tương ứng.
- Lập báo cáo tổng hợp hiện trạng và phân tích khoảng cách (Gap Analysis Report), có thể sử dụng làm căn cứ triển khai giai đoạn tiếp theo.
|
Vì sao bạn nên chọn chúng tôi?
- Đội ngũ luật sư chuyên sâu, dày dặn kinh nghiệm
- Chúng tôi là tập thể các luật sư và chuyên viên tư vấn pháp lý được đào tạo bài bản, có kinh nghiệm thực tiễn trong việc triển khai tuân thủ dữ liệu cá nhân theo Nghị định 13, GDPR, APPI, CCPA, đã hỗ trợ thành công cho nhiều doanh nghiệp FDI, startup công nghệ, ngân hàng và tổ chức tài chính.
- Phân tích sâu – Tư vấn cụ thể – Giải pháp thực tiễn
- Chúng tôi không chỉ chỉ ra vấn đề, mà còn đưa ra phương án xử lý phù hợp với ngân sách, quy mô và mô hình hoạt động của doanh nghiệp – đảm bảo khả thi và hiệu quả.
- Báo cáo rõ ràng – Phân tích đầy đủ
- Kết quả đánh giá sẽ được thể hiện trong báo cáo trực quan, có phân loại rủi ro và khuyến nghị rõ ràng, giúp doanh nghiệp dễ dàng triển khai giai đoạn tiếp theo như xây dựng chính sách, thực hiện DPIA hoặc làm việc với cơ quan chức năng.
- Cam kết bảo mật và hỗ trợ dài hạn
- Tất cả thông tin doanh nghiệp được bảo mật tuyệt đối theo chuẩn hành nghề pháp lý, và chúng tôi có thể tiếp tục đồng hành trong quá trình khắc phục, đào tạo nhân sự, rà soát hợp đồng, xây dựng chính sách nội bộ, v.v.
Bảng Checklist 30 điểm tự đánh giá tuân thủ dữ liệu cá nhân:
Nhận ngay bộ tài liệu chuyên biệt, gồm 30 tiêu chí quan trọng giúp tổ chức của bạn tự kiểm tra nhanh mức độ tuân thủ theo Nghị định 13/2023/NĐ-CP, hoàn toàn miễn phí.
Tải file
