6 tiêu chí phân biệt giữa bên kiểm soát và bên xử lý dữ liệu cá nhân 2024

Trong thời đại số, dữ liệu cá nhân trở thành một tài sản vô cùng giá trị. Việc thu thập, xử lý và bảo vệ dữ liệu cá nhân trở thành một vấn đề hết sức quan trọng, liên quan trực tiếp đến quyền và lợi ích hợp pháp của mỗi cá nhân. Nhằm đảm bảo an toàn cho dữ liệu cá nhân, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP (gọi tắt là Nghị định 13) về bảo vệ dữ liệu cá nhân. Trong đó, Nghị định 13 đã quy định rất rõ ràng về vai trò, trách nhiệm của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân.

Theo khoản 9 Điều 2 Nghị định 13, bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân trực tiếp thu thập và quyết định mục đích xử lý, phương thức xử lý dữ liệu cá nhân.

Hay nói cách khác Bên Kiểm soát dữ liệu cá nhân là bên đóng vai trò quản lý, sử dụng dữ liệu cá nhân và có những trách nhiệm rất quan trọng như:

• Xác định mục đích và phạm vi xử lý dữ liệu cá nhân: Bên kiểm soát phải xác định rõ mục đích và phạm vi xử lý dữ liệu cá nhân trước khi thu thập; chỉ xử lý dữ liệu cá nhân theo đúng mục đích và phạm vi đã xác định.
• Thu thập dữ liệu cá nhân chính đáng: Việc thu thập dữ liệu cá nhân phải được thực hiện trên cơ sở hợp pháp, có sự đồng ý của chủ thể dữ liệu cá nhân.
• Đảm bảo an toàn cho dữ liệu cá nhân: Bên kiểm soát phải xây dựng, triển khai các biện pháp kỹ thuật, tổ chức phù hợp để đảm bảo dữ liệu cá nhân luôn được an toàn, bảo mật.
• Phối hợp với bên xử lý dữ liệu cá nhân: Bên kiểm soát phải phối hợp chặt chẽ với bên xử lý để đảm bảo việc xử lý dữ liệu cá nhân được thực hiện đúng theo mục đích, phương thức đã thỏa thuận.

Ví dụ:

Bên Kiểm soát dữ liệu cá nhân là cá nhân hoặc tổ chức có quyền quyết định

• Mục đích xử lý: Dữ liệu cá nhân được thu thập để làm gì?
  Ví dụ: Để cung cấp dịch vụ, quảng cáo, nghiên cứu thị trường, v.v.
• Phương tiện xử lý: Dữ liệu cá nhân sẽ được xử lý như thế nào?
  Ví dụ: Thu thập qua website, ứng dụng di động, khảo sát, v.v.

Tìm hiểu chi tiết thêm về Thoả thuận về bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân

Lưu ý:

• Bên Kiểm soát dữ liệu cá nhân có thể là một tổ chức lớn (như một công ty công nghệ) hoặc một cá nhân (như một chủ cửa hàng trực tuyến).
• Bên Kiểm soát dữ liệu cá nhân có thể thuê một bên thứ ba (gọi là Bên Xử lý dữ liệu cá nhân) để thực hiện việc xử lý dữ liệu thay cho mình, nhưng họ vẫn chịu trách nhiệm cuối cùng về việc đảm bảo dữ liệu cá nhân được bảo vệ.

Vậy Bên xử lý dữ liệu cá nhân là gì? Có trách nhiệm và quyền hạn ra sao? Chúng ta cùng tìm hiểu tại phần tiếp theo.

Theo khoản 10 Điều 2 Nghị định 13, bên xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu thông qua một hợp đồng hoặc thoả thuận với Bên Kiểm soát dữ liệu.

Hoặc cũng có thể nói, Bên xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân được Bên Kiểm soát dữ liệu cá nhân uỷ quyền để thực hiện các hoạt động xử lý dữ liệu cá nhân thay cho Bên Kiểm soát dữ liệu cá nhân. Mọi hoạt động xử lý dữ liệu của Bên xử lý đều phải tuân thủ đúng theo những gì đã thoả thuận trong hợp đồng với Bên kiểm soát.

Theo Nghị định 13, Bên xử lý dữ liệu cá nhân có những trách nhiệm chính sau:

• Xử lý dữ liệu cá nhân theo mục đích và phạm vi ủy quyền của bên kiểm soát: Bên xử lý chỉ được sử dụng dữ liệu cá nhân cho mục đích và trong phạm vi được bên kiểm soát cho phép.
• Đảm bảo bí mật, an toàn của dữ liệu cá nhân: Bên xử lý phải thực hiện các biện pháp an ninh phù hợp để đảm bảo dữ liệu cá nhân luôn được bảo mật, an toàn, không bị tiết lộ, sử dụng trái phép.
• Tuân thủ yêu cầu của chủ thể dữ liệu cá nhân: Bên xử lý phải cung cấp thông tin liên quan đến dữ liệu cá nhân khi chủ thể dữ liệu cá nhân yêu cầu; đáp ứng các yêu cầu của chủ thể về việc sửa đổi, bổ sung, xóa dữ liệu cá nhân.
• Thông báo vi phạm bảo mật dữ liệu cá nhân: Trong trường hợp xảy ra sự cố vi phạm bảo mật dữ liệu cá nhân, bên xử lý phải thông báo ngay cho bên kiểm soát và thực hiện các biện pháp khắc phục kịp thời.

Ví dụ:

Bên Kiểm soát: Công ty A muốn gửi email marketing đến khách hàng.

Bên Xử lý: Công ty A thuê Công ty B, một công ty chuyên về dịch vụ email marketing, để gửi email thay mình. Công ty B sẽ chỉ được phép sử dụng dữ liệu khách hàng của Công ty A để gửi email theo nội dung và thời gian mà Công ty A yêu cầu.

Nói một cách đơn giản, Bên Xử lý dữ liệu cá nhân giống như một “nhà thầu” được thuê để thực hiện các công việc xử lý dữ liệu theo yêu cầu của Bên Kiểm soát, nhưng không có quyền quyết định mục đích và phương pháp xử lý về dữ liệu cá nhân.

Tuy nhiên rất dễ nhầm lẫn giữa hai khái niệm Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân. Để làm rõ 2 khái niệm trên, DPVN đưa ra 6 tiêu chí để có thể phân biệt chúng.

• Đảm bảo an toàn, bảo mật: Thực hiện các biện pháp tổ chức, kỹ thuật và an ninh cần thiết để bảo vệ dữ liệu cá nhân, đồng thời thường xuyên rà soát và cập nhật các biện pháp này.
• Ghi chép và lưu trữ: Ghi lại và lưu trữ nhật ký hệ thống về toàn bộ quá trình xử lý dữ liệu cá nhân.
• Thông báo vi phạm: Thông báo kịp thời cho cơ quan chức năng và chủ thể dữ liệu về bất kỳ hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
• Lựa chọn Bên Xử lý đáng tin cậy: Lựa chọn Bên Xử lý dữ liệu cá nhân có đủ năng lực và biện pháp bảo vệ phù hợp, đồng thời xác định rõ ràng nhiệm vụ của họ.
• Bảo vệ quyền của chủ thể dữ liệu: Đảm bảo và tạo điều kiện cho chủ thể dữ liệu thực hiện các quyền của mình (quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại, quyền tự bảo vệ).
• Chịu trách nhiệm bồi thường: Chịu trách nhiệm trước chủ thể dữ liệu về mọi thiệt hại phát sinh do quá trình xử lý dữ liệu cá nhân.
• Phối hợp với cơ quan chức năng: Phối hợp với Bộ Công an và các cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin cần thiết để điều tra và xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

• Tuân thủ hợp đồng: Chỉ tiếp nhận và xử lý dữ liệu cá nhân khi có hợp đồng hoặc thỏa thuận rõ ràng với Bên Kiểm soát dữ liệu cá nhân, đồng thời tuân thủ nghiêm ngặt các điều khoản đã thỏa thuận.
• Bảo vệ dữ liệu: Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan.
• Chịu trách nhiệm bồi thường: Chịu trách nhiệm trước chủ thể dữ liệu về mọi thiệt hại phát sinh do quá trình xử lý dữ liệu cá nhân.
• Xóa/trả lại dữ liệu: Xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi hoàn thành việc xử lý dữ liệu theo hợp đồng hoặc thỏa thuận.
• Phối hợp với cơ quan chức năng: Hợp tác với Bộ Công an và các cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin cần thiết để điều tra và xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Ngoài ra, còn có một trường hợp nữa là Bên kiểm soát và xử lý dữ liệu cá nhân. Là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân. Trách nhiệm của Bên kiểm soát và xử lý dữ liệu cá nhân là thực hiện đầy đủ các quy định đối với cả Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.

Trong thời đại số, dữ liệu cá nhân trở thành một tài sản vô cùng giá trị. Việc thu thập, xử lý và bảo vệ dữ liệu cá nhân trở thành một vấn đề hết sức quan trọng, liên quan trực tiếp đến quyền và lợi ích hợp pháp của mỗi cá nhân. Nhằm đảm bảo an toàn cho dữ liệu cá nhân, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP (gọi tắt là Nghị định 13) về bảo vệ dữ liệu cá nhân. Trong đó, Nghị định 13 đã quy định rất rõ ràng về vai trò, trách nhiệm của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân.