ROPA Là Gì và Tại Sao Doanh Nghiệp Cần Quan Tâm
Records of Processing Activities (ROPA) là tài liệu nội bộ bắt buộc theo GDPR Article 30, liệt kê toàn bộ hoạt động xử lý dữ liệu cá nhân mà tổ chức thực hiện với tư cách là data controller hoặc data processor. Không giống như privacy policy, vốn hướng đến người dùng bên ngoài, ROPA là hồ sơ nội bộ phục vụ mục đích accountability: chứng minh rằng doanh nghiệp biết mình đang xử lý dữ liệu gì, tại sao, và như thế nào. Khi cơ quan giám sát yêu cầu kiểm tra, ROPA là tài liệu đầu tiên cần xuất trình.
ROPA Bao Gồm Những Thông Tin Gì
Theo Article 30 GDPR, mỗi bản ghi trong ROPA phải ghi nhận ít nhất các trường thông tin sau:
- Tên và thông tin liên hệ của controller, đại diện (representative), và Data Protection Officer (DPO) nếu có
- Mục đích xử lý (purposes of processing): ví dụ quản lý hợp đồng nhân sự, gửi email marketing, phân tích hành vi người dùng
- Danh mục data subjects: khách hàng, nhân viên, đối tác, khách truy cập website...
- Danh mục dữ liệu cá nhân: họ tên, địa chỉ IP, dữ liệu sức khỏe, thông tin tài chính...
- Lawful basis (cơ sở pháp lý): consent, legitimate interests, contractual necessity, legal obligation...
- Người nhận dữ liệu (recipients): bên thứ ba, nhà cung cấp dịch vụ, đơn vị xử lý nội bộ
- Chuyển dữ liệu ra nước ngoài (transfers to third countries): nếu có, cần ghi rõ cơ chế bảo vệ như Standard Contractual Clauses (SCCs) hay Adequacy Decision
- Retention period: thời gian lưu trữ hoặc tiêu chí để xác định thời hạn đó
- Biện pháp bảo mật kỹ thuật và tổ chức: mô tả ngắn về các technical và organisational measures áp dụng
Doanh nghiệp có dưới 250 nhân viên được miễn một phần nghĩa vụ ROPA, trừ khi hoạt động xử lý có nguy cơ gây hại cho quyền và tự do cá nhân, xử lý dữ liệu đặc biệt nhạy cảm (special categories), hoặc không phải là xử lý ngẫu nhiên.
Cách Xây Dựng ROPA Từng Bước
Bước 1, Data discovery (khám phá dữ liệu) Trước khi điền bất kỳ bảng nào, cần thực hiện data mapping: liệt kê các phòng ban, hệ thống, và quy trình nào đang tiếp xúc với personal data. HR, marketing, IT, finance, và customer support thường là điểm xuất phát. Phỏng vấn process owner tại từng bộ phận để tránh bỏ sót.
Bước 2, Phân nhóm theo processing activity Mỗi mục trong ROPA tương ứng một activity riêng biệt, không phải một hệ thống. Ví dụ: cùng một CRM có thể phục vụ cả "email marketing" lẫn "quản lý hợp đồng khách hàng", đây là hai records tách biệt với lawful basis và retention khác nhau.
Bước 3, Xác định lawful basis Đây là bước dễ sai nhất. Nhiều doanh nghiệp mặc định dùng consent cho mọi hoạt động, trong khi thực tế một số processing lại phù hợp hơn với legitimate interests hoặc contractual necessity. Lựa chọn sai lawful basis ảnh hưởng trực tiếp đến quyền của data subject (ví dụ: nếu dùng consent, họ có quyền rút lại bất cứ lúc nào).
Bước 4, Xác định retention period Retention không nhất thiết phải là con số cố định. Có thể diễn đạt theo tiêu chí: "cho đến khi hợp đồng chấm dứt và thêm X năm theo yêu cầu pháp lý", hoặc "trong vòng 12 tháng kể từ lần tương tác cuối". Quan trọng là phải có tiêu chí rõ ràng và nhất quán.
Bước 5, Review và cập nhật định kỳ ROPA không phải tài liệu làm một lần. Khi có sản phẩm mới, tích hợp vendor mới, hoặc thay đổi quy trình nội bộ, ROPA cần được cập nhật. Thông thường doanh nghiệp review ROPA theo chu kỳ từ 6 đến 12 tháng.
Những Lỗi Phổ Biến Khi Xây Dựng ROPA
- Nhầm lẫn ROPA với privacy policy: ROPA là tài liệu nội bộ, chi tiết hơn nhiều và không công bố rộng rãi
- Thiếu thông tin về data processors bên thứ ba: nếu bạn dùng nhà cung cấp cloud, payment gateway, hay email service, họ cần được ghi nhận trong ROPA
- Không phân biệt controller và processor: nếu doanh nghiệp vừa là controller (với dữ liệu khách hàng) vừa là processor (xử lý dữ liệu thay mặt khách hàng B2B), cần có hai phần ROPA riêng theo Article 30(1) và 30(2)
- Bỏ qua special categories: dữ liệu sức khỏe, tôn giáo, chính kiến, hay dữ liệu sinh trắc học đòi hỏi ghi chú bổ sung và lawful basis đặc thù theo Article 9
FAQ
ROPA có cần công khai không? Không. ROPA là tài liệu nội bộ, chỉ cần cung cấp cho supervisory authority khi có yêu cầu kiểm tra. Tuy nhiên, nội dung ROPA thường được dùng làm cơ sở để cập nhật privacy notice công khai.
Nếu doanh nghiệp dưới 250 nhân viên thì có cần ROPA không? Có, nếu hoạt động xử lý không mang tính ngẫu nhiên, liên quan đến dữ liệu nhạy cảm, hoặc có nguy cơ ảnh hưởng đến quyền cá nhân. Trong thực tế, hầu hết doanh nghiệp vẫn nên duy trì ROPA như một phần của chương trình accountability.
Retention period bao lâu là phù hợp? Không có con số chuẩn áp dụng cho tất cả. Retention cần căn cứ vào mục đích xử lý, yêu cầu pháp lý tại quốc gia liên quan, và chính sách nội bộ. Nguyên tắc storage limitation của GDPR yêu cầu không lưu dữ liệu lâu hơn mức cần thiết.
Xây dựng và duy trì ROPA đúng chuẩn đòi hỏi sự phối hợp giữa nhiều bộ phận và cập nhật liên tục theo thay đổi nghiệp vụ. pTrackly cung cấp công cụ để tổ chức mapping dữ liệu, theo dõi lawful basis, và nhắc nhở review định kỳ, giúp ROPA luôn sẵn sàng khi cần.
pTrackly giúp bạn triển khai GDPR nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí