Trong thời đại số, dữ liệu cá nhân trở thành một tài sản vô cùng giá trị. Việc thu thập, xử lý và bảo vệ dữ liệu cá nhân trở thành một vấn đề hết sức quan trọng, liên quan trực tiếp đến quyền và lợi ích hợp pháp của mỗi cá nhân. Nhằm đảm bảo an toàn cho dữ liệu cá nhân, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP (gọi tắt là Nghị định 13) về bảo vệ dữ liệu cá nhân. Trong đó, Nghị định 13 đã quy định rất rõ ràng về vai trò, trách nhiệm của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân.
Bên kiểm soát dữ liệu cá nhân là gì?
Theo khoản 9 Điều 2 Nghị định 13, bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân trực tiếp thu thập và quyết định mục đích xử lý, phương thức xử lý dữ liệu cá nhân.
Hay nói cách khác Bên Kiểm soát dữ liệu cá nhân là bên đóng vai trò quản lý, sử dụng dữ liệu cá nhân và có những trách nhiệm rất quan trọng như:
- Xác định mục đích và phạm vi xử lý dữ liệu cá nhân: Bên kiểm soát phải xác định rõ mục đích và phạm vi xử lý dữ liệu cá nhân trước khi thu thập; chỉ xử lý dữ liệu cá nhân theo đúng mục đích và phạm vi đã xác định.
- Thu thập dữ liệu cá nhân chính đáng: Việc thu thập dữ liệu cá nhân phải được thực hiện trên cơ sở hợp pháp, có sự đồng ý của chủ thể dữ liệu cá nhân.
- Đảm bảo an toàn cho dữ liệu cá nhân: Bên kiểm soát phải xây dựng, triển khai các biện pháp kỹ thuật, tổ chức phù hợp để đảm bảo dữ liệu cá nhân luôn được an toàn, bảo mật.
- Phối hợp với bên xử lý dữ liệu cá nhân: Bên kiểm soát phải phối hợp chặt chẽ với bên xử lý để đảm bảo việc xử lý dữ liệu cá nhân được thực hiện đúng theo mục đích, phương thức đã thỏa thuận.
Ví dụ:
Bên Kiểm soát dữ liệu cá nhân là cá nhân hoặc tổ chức có quyền quyết định
- Mục đích xử lý: Dữ liệu cá nhân được thu thập để làm gì?
Ví dụ: Để cung cấp dịch vụ, quảng cáo, nghiên cứu thị trường, v.v.- Phương tiện xử lý: Dữ liệu cá nhân sẽ được xử lý như thế nào?
Ví dụ: Thu thập qua website, ứng dụng di động, khảo sát, v.v.Tìm hiểu chi tiết thêm về Thoả thuận về bảo vệ dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân
Lưu ý:
- Bên Kiểm soát dữ liệu cá nhân có thể là một tổ chức lớn (như một công ty công nghệ) hoặc một cá nhân (như một chủ cửa hàng trực tuyến).
- Bên Kiểm soát dữ liệu cá nhân có thể thuê một bên thứ ba (gọi là Bên Xử lý dữ liệu cá nhân) để thực hiện việc xử lý dữ liệu thay cho mình, nhưng họ vẫn chịu trách nhiệm cuối cùng về việc đảm bảo dữ liệu cá nhân được bảo vệ.
Vậy Bên xử lý dữ liệu cá nhân là gì? Có trách nhiệm và quyền hạn ra sao? Chúng ta cùng tìm hiểu tại phần tiếp theo.
Bên xử lý dữ liệu cá nhân là gì?
Theo khoản 10 Điều 2 Nghị định 13, bên xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu thông qua một hợp đồng hoặc thoả thuận với Bên Kiểm soát dữ liệu.
Hoặc cũng có thể nói, Bên xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân được Bên Kiểm soát dữ liệu cá nhân uỷ quyền để thực hiện các hoạt động xử lý dữ liệu cá nhân thay cho Bên Kiểm soát dữ liệu cá nhân. Mọi hoạt động xử lý dữ liệu của Bên xử lý đều phải tuân thủ đúng theo những gì đã thoả thuận trong hợp đồng với Bên kiểm soát.
Theo Nghị định 13, Bên xử lý dữ liệu cá nhân có những trách nhiệm chính sau:
- Xử lý dữ liệu cá nhân theo mục đích và phạm vi ủy quyền của bên kiểm soát: Bên xử lý chỉ được sử dụng dữ liệu cá nhân cho mục đích và trong phạm vi được bên kiểm soát cho phép.
- Đảm bảo bí mật, an toàn của dữ liệu cá nhân: Bên xử lý phải thực hiện các biện pháp an ninh phù hợp để đảm bảo dữ liệu cá nhân luôn được bảo mật, an toàn, không bị tiết lộ, sử dụng trái phép.
- Tuân thủ yêu cầu của chủ thể dữ liệu cá nhân: Bên xử lý phải cung cấp thông tin liên quan đến dữ liệu cá nhân khi chủ thể dữ liệu cá nhân yêu cầu; đáp ứng các yêu cầu của chủ thể về việc sửa đổi, bổ sung, xóa dữ liệu cá nhân.
- Thông báo vi phạm bảo mật dữ liệu cá nhân: Trong trường hợp xảy ra sự cố vi phạm bảo mật dữ liệu cá nhân, bên xử lý phải thông báo ngay cho bên kiểm soát và thực hiện các biện pháp khắc phục kịp thời.
Ví dụ:
Bên Kiểm soát: Công ty A muốn gửi email marketing đến khách hàng.
Bên Xử lý: Công ty A thuê Công ty B, một công ty chuyên về dịch vụ email marketing, để gửi email thay mình. Công ty B sẽ chỉ được phép sử dụng dữ liệu khách hàng của Công ty A để gửi email theo nội dung và thời gian mà Công ty A yêu cầu.
Nói một cách đơn giản, Bên Xử lý dữ liệu cá nhân giống như một “nhà thầu” được thuê để thực hiện các công việc xử lý dữ liệu theo yêu cầu của Bên Kiểm soát, nhưng không có quyền quyết định mục đích và phương pháp xử lý về dữ liệu cá nhân.
Tuy nhiên rất dễ nhầm lẫn giữa hai khái niệm Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân. Để làm rõ 2 khái niệm trên, DPVN đưa ra 6 tiêu chí để có thể phân biệt chúng.
6 tiêu chí phân biệt Bên kiểm soát và bên xử lý dữ liệu cá nhân
Tiêu chí phân biệt
Phân biệt Bên kiểm soát dữ liệu
Phân biệt Bên xử lý dữ liệu
Định nghĩa, khái niệm
- Bên Kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Điều này có nghĩa là họ quyết định tại sao và bằng cách nào dữ liệu cá nhân sẽ được sử dụng.
- Bên Kiểm soát dữ liệu có trách nhiệm chính trong việc thông báo cho các cơ quan chức năng và hợp tác với họ nếu xảy ra vi phạm dữ liệu cá nhân. Họ cũng chịu trách nhiệm cuối cùng trước chủ thể dữ liệu và phải chứng minh rằng họ đã nhận được sự đồng ý của chủ thể dữ liệu trước khi tiến hành bất kỳ hoạt động xử lý nào.
Bên xử lý dữ liệu cá nhân là tổ chức hoặc cá nhân được bên kiểm soát dữ liệu thuê để thực hiện các hoạt động xử lý dữ liệu cá nhân thay mặt cho họ, theo đúng các điều khoản đã thỏa thuận trong hợp đồng hoặc thỏa thuận giữa hai bên.
- Bên kiểm soát dữ liệu cá nhân có quyền cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác, nhưng chỉ khi đã được chủ thể dữ liệu đồng ý rõ ràng.
- Ngoài ra, bên kiểm soát dữ liệu cá nhân còn có thể thay mặt chủ thể dữ liệu cung cấp thông tin cá nhân của họ cho tổ chức hoặc cá nhân khác, miễn là đã được chủ thể dữ liệu ủy quyền và cho phép đại diện, trừ khi pháp luật có quy định khác.
- Bên kiểm soát dữ liệu cá nhân đóng vai trò quan trọng trong việc tiếp nhận, theo dõi và giải quyết các yêu cầu cung cấp dữ liệu cá nhân. Khi nhận được yêu cầu hợp lệ, bên kiểm soát dữ liệu có trách nhiệm xử lý và cung cấp dữ liệu cá nhân cho chủ thể dữ liệu hoặc bên được ủy quyền.
Bên xử lý dữ liệu cá nhân không được phép cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho bất kỳ tổ chức hoặc cá nhân nào khác, trừ khi đã có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
Chỉnh sửa dữ liệu cá nhân
Sau khi nhận được sự đồng ý của chủ thể dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân sẽ tiến hành chỉnh sửa dữ liệu cá nhân của chủ thể đó trong thời gian sớm nhất có thể hoặc theo quy định của pháp luật chuyên ngành.
Bên Xử lý dữ liệu cá nhân chỉ được phép chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu khi đã nhận được sự đồng ý bằng văn bản từ Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân, đồng thời phải đảm bảo rằng chủ thể dữ liệu đã đồng ý với việc chỉnh sửa này.
Xoá dữ liệu cá nhân
Bên kiểm soát dữ liệu cá nhân có quyền xóa dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu trong các trường hợp sau:
- Bên kiểm soát dữ liệu cá nhân được phép xóa dữ liệu cá nhân của chủ thể dữ liệu nếu nhận thấy dữ liệu đó không còn cần thiết cho mục đích thu thập ban đầu mà chủ thể đã đồng ý. Tuy nhiên, chủ thể dữ liệu phải chấp nhận các thiệt hại có thể xảy ra do việc xóa dữ liệu này.
- Bên kiểm soát dữ liệu cá nhân cũng được phép xóa dữ liệu cá nhân nếu chủ thể dữ liệu quyết định rút lại sự đồng ý đã cho phép xử lý dữ liệu trước đó.
- Trong trường hợp chủ thể dữ liệu phản đối việc xử lý dữ liệu cá nhân và bên kiểm soát không có lý do chính đáng để tiếp tục xử lý, bên kiểm soát phải xóa dữ liệu cá nhân theo yêu cầu của chủ thể.
- Nếu dữ liệu cá nhân được xử lý không đúng với mục đích đã được chủ thể dữ liệu đồng ý hoặc vi phạm quy định của pháp luật, bên kiểm soát dữ liệu cá nhân có quyền xóa dữ liệu đó.
- Cuối cùng, bên kiểm soát dữ liệu cá nhân phải xóa dữ liệu cá nhân theo quy định của pháp luật, ví dụ như khi hết thời hạn lưu trữ dữ liệu theo quy định.
Bên xử lý dữ liệu cá nhân không được quyền tự ý xóa dữ liệu cá nhân.
Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Khi phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân có trách nhiệm thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 72 giờ kể từ khi phát hiện vi phạm. Đồng thời, Bên Kiểm soát phải lập Biên bản xác nhận vi phạm và phối hợp với Bộ Công an để xử lý hành vi vi phạm đó.
Khi phát hiện vi phạm quy định về bảo vệ dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân có trách nhiệm thông báo ngay cho Bên Kiểm soát dữ liệu cá nhân.
Đánh giá tác động xử lý dữ liệu cá nhân
Ngay khi bắt đầu xử lý dữ liệu cá nhân, Bên kiểm soát dữ liệu cá nhân phải lập và lưu trữ hồ sơ đánh giá tác động của hoạt động này.
Tìm hiểu về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Bên xử lý dữ liệu cá nhân chỉ lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.
Trách nhiệm của Bên kiểm soát và Bên xử lý dữ liệu cá nhân theo Nghị định 13
Trách nhiệm của Bên kiểm soát dữ liệu cá nhân
- Đảm bảo an toàn, bảo mật: Thực hiện các biện pháp tổ chức, kỹ thuật và an ninh cần thiết để bảo vệ dữ liệu cá nhân, đồng thời thường xuyên rà soát và cập nhật các biện pháp này.
- Ghi chép và lưu trữ: Ghi lại và lưu trữ nhật ký hệ thống về toàn bộ quá trình xử lý dữ liệu cá nhân.
- Thông báo vi phạm: Thông báo kịp thời cho cơ quan chức năng và chủ thể dữ liệu về bất kỳ hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
- Lựa chọn Bên Xử lý đáng tin cậy: Lựa chọn Bên Xử lý dữ liệu cá nhân có đủ năng lực và biện pháp bảo vệ phù hợp, đồng thời xác định rõ ràng nhiệm vụ của họ.
- Bảo vệ quyền của chủ thể dữ liệu: Đảm bảo và tạo điều kiện cho chủ thể dữ liệu thực hiện các quyền của mình (quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại, quyền tự bảo vệ).
- Chịu trách nhiệm bồi thường: Chịu trách nhiệm trước chủ thể dữ liệu về mọi thiệt hại phát sinh do quá trình xử lý dữ liệu cá nhân.
- Phối hợp với cơ quan chức năng: Phối hợp với Bộ Công an và các cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin cần thiết để điều tra và xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Trách nhiệm của Bên xử lý dữ liệu cá nhân
- Tuân thủ hợp đồng: Chỉ tiếp nhận và xử lý dữ liệu cá nhân khi có hợp đồng hoặc thỏa thuận rõ ràng với Bên Kiểm soát dữ liệu cá nhân, đồng thời tuân thủ nghiêm ngặt các điều khoản đã thỏa thuận.
- Bảo vệ dữ liệu: Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan.
- Chịu trách nhiệm bồi thường: Chịu trách nhiệm trước chủ thể dữ liệu về mọi thiệt hại phát sinh do quá trình xử lý dữ liệu cá nhân.
- Xóa/trả lại dữ liệu: Xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi hoàn thành việc xử lý dữ liệu theo hợp đồng hoặc thỏa thuận.
- Phối hợp với cơ quan chức năng: Hợp tác với Bộ Công an và các cơ quan nhà nước có thẩm quyền trong việc bảo vệ dữ liệu cá nhân, cung cấp thông tin cần thiết để điều tra và xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Ngoài ra, còn có một trường hợp nữa là Bên kiểm soát và xử lý dữ liệu cá nhân. Là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân. Trách nhiệm của Bên kiểm soát và xử lý dữ liệu cá nhân là thực hiện đầy đủ các quy định đối với cả Bên Kiểm soát dữ liệu cá nhân và Bên Xử lý dữ liệu cá nhân.
Trong thời đại số, dữ liệu cá nhân trở thành một tài sản vô cùng giá trị. Việc thu thập, xử lý và bảo vệ dữ liệu cá nhân trở thành một vấn đề hết sức quan trọng, liên quan trực tiếp đến quyền và lợi ích hợp pháp của mỗi cá nhân. Nhằm đảm bảo an toàn cho dữ liệu cá nhân, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP (gọi tắt là Nghị định 13) về bảo vệ dữ liệu cá nhân. Trong đó, Nghị định 13 đã quy định rất rõ ràng về vai trò, trách nhiệm của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân.