Việc phân biệt bên kiểm soát và bên xử lý dữ liệu cá nhân là bước đi nền tảng, quyết định toàn bộ nghĩa vụ tuân thủ của một tổ chức. Tại DPVN, chúng tôi sẽ cung cấp các tiêu chí xác định vai trò rõ ràng, giúp bạn tự xác định doanh nghiệp là ai là người quyết định mục đích và chịu trách nhiệm của mỗi bên một cách chính xác.
Định nghĩa Bên Kiểm soát Dữ liệu và Bên Xử lý Dữ liệu là gì theo Nghị định 13/2023/NĐ-CP?
Theo Khoản 9 và Khoản 10, Điều 2 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát Dữ liệu là tổ chức, cá nhân “quyết định mục đích và phương tiện” xử lý dữ liệu, trong khi Bên Xử lý Dữ liệu là tổ chức, cá nhân thực hiện việc xử lý thay mặt cho Bên Kiểm soát thông qua hợp đồng.
Việc pháp luật lần đầu tiên đưa ra các định nghĩa rõ ràng này là một trong những điểm nổi bật của Nghị định về bảo vệ dữ liệu cá nhân, giúp các doanh nghiệp có cơ sở pháp lý vững chắc để xác định vai trò của mình và của các đối tác trong chuỗi cung ứng dữ liệu.
Về chuyên môn sâu, sự phân biệt này không chỉ là về thuật ngữ, mà còn là về quyền lực và trách nhiệm.
- Bên Kiểm soát Dữ liệu (Data Controller): Là người “thuyền trưởng”, người chịu trách nhiệm chính về toàn bộ hành trình của dữ liệu. Họ là người quyết định thu thập dữ liệu gì, để làm gì, lưu trữ trong bao lâu, và chia sẻ cho ai. Hầu hết các doanh nghiệp có tương tác trực tiếp với khách hàng hoặc nhân viên đều là Bên Kiểm soát.
- Bên Xử lý Dữ liệu (Data Processor): Là người “thủy thủ”, người thực hiện các công việc theo chỉ thị của thuyền trưởng. Họ không có quyền tự quyết về mục đích xử lý, mà chỉ cung cấp dịch vụ và công cụ để xử lý dữ liệu thay mặt Bên Kiểm soát.
Các định nghĩa này sẽ tiếp tục được khẳng định trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, cho thấy đây là những khái niệm pháp lý nền tảng và ổn định.
6 Tiêu chí then chốt để phân biệt vai trò Bên Kiểm soát và Bên Xử lý Dữ liệu là gì?
Tiêu chí then chốt và duy nhất để phân biệt là quyền ra quyết định. Bên Kiểm soát là người quyết định “Tại sao” (mục đích) và “Làm thế nào” (phương tiện) dữ liệu được xử lý. Ngược lại, Bên Xử lý chỉ là người thực thi các quyết định đó theo chỉ thị của Bên Kiểm soát.
Để tự xác định vai trò của doanh nghiệp, hãy trả lời 6 câu hỏi cốt lõi sau đây cho mỗi hoạt động xử lý dữ liệu của bạn:
| Tiêu chí Phân biệt | Nếu bạn trả lời “Có”, bạn là BÊN KIỂM SOÁT |
|---|---|
| 1. Quyết định Mục đích (The “Why”) | Bạn có phải là người quyết định thu thập dữ liệu để làm gì không? (Ví dụ: để bán hàng, để quản lý nhân viên, để marketing). |
| 2. Quyết định Cơ sở Pháp lý | Bạn có phải là người chịu trách nhiệm đảm bảo có cơ sở pháp lý hợp lệ (ví dụ: thu thập sự đồng ý của chủ thể dữ liệu cá nhân) không? |
| 3. Quyết định Loại Dữ liệu | Bạn có phải là người quyết định sẽ thu thập những loại dữ liệu cá nhân nào từ khách hàng/nhân viên không? |
| 4. Quyết định Thời gian Lưu trữ | Bạn có phải là người quyết định dữ liệu sẽ được lưu trữ trong bao lâu trước khi bị xóa không? |
| 5. Quyết định Chia sẻ Dữ liệu | Bạn có phải là người quyết định dữ liệu có được chia sẻ cho bên thứ ba nào khác hay không? |
| 6. Chịu trách nhiệm Trực tiếp | Bạn có phải là người chịu trách nhiệm pháp lý cuối cùng và trực tiếp trước chủ thể dữ liệu không? |
Nếu bạn trả lời “Có” cho phần lớn các câu hỏi trên, bạn chính là Bên Kiểm soát Dữ liệu. Nếu bạn chỉ thực hiện các hoạt động này theo chỉ thị của một công ty khác, bạn là Bên Xử lý Dữ liệu.
Ví dụ thực tế về trường hợp nào là Bên Kiểm soát và Bên Xử lý dữ liệu theo luật Việt Nam?
Việc áp dụng các tiêu chí trên vào các tình huống kinh doanh thực tế sẽ giúp làm rõ vai trò của từng bên. Một doanh nghiệp có thể vừa là Bên Kiểm soát trong mối quan hệ này, vừa là Bên Xử lý trong một mối quan hệ khác.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một câu chuyện thực tế mà chúng tôi thường gặp: một công ty cung cấp phần mềm quản lý nhân sự (HRM) cho các doanh nghiệp khác, nhưng lại tự nhận mình là Bên Kiểm soát Dữ liệu của nhân viên các công ty khách hàng. Điều này là không chính xác. Trong trường hợp này, công ty khách hàng mới là Bên Kiểm soát (vì họ quyết định thu thập dữ liệu nhân viên để quản lý), còn công ty HRM chỉ là Bên Xử lý. Việc xác định sai vai trò đã khiến họ lúng túng trong việc soạn thảo hợp đồng và lập hồ sơ đánh giá tác động.”
| Tình huống | Bên Kiểm soát (Người quyết định) | Bên Xử lý (Người thực thi) |
|---|---|---|
| Một chuỗi cửa hàng bán lẻ triển khai chương trình khách hàng thân thiết. | Chuỗi cửa hàng: Vì họ quyết định thu thập dữ liệu gì, để làm gì (tích điểm, gửi khuyến mãi). | Công ty công nghệ cung cấp phần mềm CRM: Vì họ chỉ cung cấp nền tảng và xử lý dữ liệu theo yêu cầu của chuỗi cửa hàng. |
| Một công ty sử dụng dịch vụ của AWS để lưu trữ cơ sở dữ liệu nhân sự. | Công ty: Vì họ quyết định lưu trữ hồ sơ nhân sự để quản lý lao động. | AWS: Vì họ chỉ cung cấp hạ tầng lưu trữ và không được phép truy cập hay sử dụng dữ liệu đó cho mục đích riêng. |
| Một bệnh viện tư nhân quản lý hồ sơ bệnh án của bệnh nhân. | Bệnh viện: Vì họ quyết định thu thập thông tin sức khỏe để chẩn đoán và điều trị. | Công ty cung cấp phần mềm quản lý bệnh viện (EHR): Vì họ chỉ cung cấp phần mềm và lưu trữ dữ liệu theo chỉ thị của bệnh viện. |
Quyền và nghĩa vụ của Bên Kiểm soát Dữ liệu và Bên Xử lý Dữ liệu khác nhau như thế nào?
Sự khác biệt về vai trò dẫn đến sự khác biệt rất lớn về quyền và nghĩa vụ. Bên Kiểm soát có trách nhiệm pháp lý toàn diện và cao nhất, trong khi Bên Xử lý có các nghĩa vụ hẹp hơn, chủ yếu là tuân thủ hợp đồng và áp dụng các biện pháp bảo mật.
Dưới đây là bảng so sánh chi tiết các nghĩa vụ chính của mỗi bên:
| Nghĩa vụ | Bên Kiểm soát | Bên Xử lý |
|---|---|---|
| Xác định cơ sở pháp lý | Có (ví dụ: lấy sự đồng ý). | Không (chỉ xử lý theo chỉ thị). |
| Lập Hồ sơ ĐGTĐ | Có (theo Mẫu Đ24-DLCN-01). | Có (theo Mẫu Đ24-DLCN-02). |
| Đáp ứng quyền của chủ thể dữ liệu | Có, là người chịu trách nhiệm chính. | Có trách nhiệm hỗ trợ Bên Kiểm soát. |
| Thông báo vi phạm cho Cục A05 | Có, trong vòng 72 giờ. | Không, phải thông báo cho Bên Kiểm soát. |
Mối quan hệ giữa Bên Kiểm soát và Bên Xử lý được quy định như thế nào trong hợp đồng?
Mối quan hệ này bắt buộc phải được điều chỉnh bằng một hợp đồng hoặc thỏa thuận bằng văn bản. Văn bản này, thường được gọi là Thỏa thuận Xử lý Dữ liệu (DPA), phải quy định rõ ràng các chỉ thị của Bên Kiểm soát và các nghĩa vụ bảo mật của Bên Xử lý.
Việc có một DPA chặt chẽ là nghĩa vụ của Bên Kiểm soát để đảm bảo họ đã lựa chọn một đối tác phù hợp. Để có hướng dẫn chi tiết về các điều khoản cần có, bạn có thể tham khảo bài viết: Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân.
DPVN: Dịch Vụ Tư Vấn Xác Định Vai Trò và Soạn Thảo Hợp Đồng
Việc xác định đúng vai trò và xây dựng các thỏa thuận pháp lý chặt chẽ là nền tảng để giảm thiểu rủi ro và tuân thủ hiệu quả.
Đội ngũ của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, sẽ giúp doanh nghiệp của bạn phân tích các luồng dữ liệu, xác định chính xác vai trò và soạn thảo các Thỏa thuận Xử lý Dữ liệu (DPA) tuân thủ. Hãy liên hệ với chúng tôi:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp về phân biệt Bên Kiểm soát và Bên Xử lý
1. Nếu chúng tôi chỉ đưa ra các chỉ thị chung chung, có còn là Bên Kiểm soát không?
Vẫn có thể. Chỉ cần bạn là người quyết định mục đích cuối cùng của việc xử lý, bạn vẫn là Bên Kiểm soát, ngay cả khi bạn trao cho Bên Xử lý nhiều quyền tự quyết về các phương tiện kỹ thuật chi tiết.
2. Nếu một Bên Xử lý vượt quá chỉ thị và sử dụng dữ liệu cho mục đích riêng thì sao?
Khi đó, đối với hoạt động xử lý vượt quá chỉ thị đó, Bên Xử lý sẽ bị xem là một Bên Kiểm soát độc lập và phải chịu toàn bộ trách nhiệm pháp lý cho hành vi vi phạm của mình.
3. Rủi ro pháp lý tiềm ẩn lớn nhất của Bên Kiểm soát là gì?
Rủi ro lớn nhất là phải chịu trách nhiệm cho cả những sai phạm của Bên Xử lý nếu không có một quy trình thẩm định và hợp đồng ràng buộc chặt chẽ. Họ là người chịu trách nhiệm cuối cùng trước chủ thể dữ liệu.
4. Một cá nhân có thể là Bên Kiểm soát Dữ liệu không?
Có. Nếu một cá nhân (ví dụ: một freelancer, một chủ hộ kinh doanh) quyết định mục đích và phương tiện xử lý dữ liệu, họ cũng được xem là một Bên Kiểm soát và phải tuân thủ các quy định tương ứng. Tìm hiểu thêm tại: Cá nhân có được quyền thu thập dữ liệu cá nhân không?
5. Cần làm gì nếu không chắc chắn về vai trò của mình?
Cách tiếp cận an toàn nhất là hãy xem mình là Bên Kiểm soát, vì đây là vai trò có trách nhiệm cao nhất. Tuy nhiên, để có sự xác định chính xác và tránh tuân thủ thừa hoặc thiếu, bạn nên tìm đến sự tư vấn của các chuyên gia pháp lý về bảo vệ dữ liệu.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- European Data Protection Board (EDPB) – Guidelines on the concepts of controller and processor in the GDPR: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
- ICO (UK) – Guide to the UK GDPR – Controllers and processors: https://ico.org.uk/for-organisations/guide-to-data-protection/controllers-and-processors/
