Bên kiểm soát dữ liệu cá nhân có những trách nhiệm cốt lõi nào là câu hỏi then chốt, bởi đây là vai trò gánh vác nghĩa vụ pháp lý cao nhất. Tại DPVN, chúng tôi sẽ phân tích sâu các nghĩa vụ của bên kiểm soát, giúp doanh nghiệp bạn quyết định mục đích xử lý và chịu trách nhiệm trước chủ thể dữ liệu một cách tuân thủ.
Bên Kiểm soát Dữ liệu cá nhân là ai và tại sao việc xác định vai trò này lại quan trọng?
Theo Khoản 9, Điều 2 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát Dữ liệu cá nhân (Data Controller) là tổ chức, cá nhân “quyết định mục đích và phương tiện xử lý dữ liệu cá nhân”. Việc xác định đúng vai trò này là cực kỳ quan trọng vì đây là chủ thể chịu trách nhiệm pháp lý cao nhất và toàn diện nhất trong chuỗi xử lý dữ liệu.
Trong hệ sinh thái dữ liệu, Bên Kiểm soát được ví như “thuyền trưởng” của con tàu dữ liệu. Họ là người ra quyết định cuối cùng về việc tại sao (mục đích) và làm thế nào (phương tiện) dữ liệu được xử lý. Hầu hết các doanh nghiệp có tương tác trực tiếp với khách hàng (các công ty bán lẻ, ngân hàng, bệnh viện) hoặc nhân viên đều đóng vai trò là Bên Kiểm soát Dữ liệu.
Về chuyên môn sâu, việc phân biệt vai trò này với Bên Xử lý Dữ liệu là nền tảng của toàn bộ chương trình tuân thủ. Nếu xác định sai vai trò, doanh nghiệp có thể thực hiện sai nghĩa vụ, lập sai mẫu hồ sơ và đối mặt với các rủi ro pháp lý khi xử lý dữ liệu cá nhân nghiêm trọng. Các quy định về vai trò này sẽ tiếp tục là trụ cột trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, cho thấy tính ổn định và tầm quan trọng của nó.
7 Trách nhiệm pháp lý cốt lõi của Bên Kiểm soát Dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP là gì?
Điều 38 của Nghị định 13/2023/NĐ-CP (và được kế thừa tại Điều 37 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15) đã quy định 7 nhóm trách nhiệm cốt lõi của Bên Kiểm soát. Các nghĩa vụ này bao gồm: (1) Áp dụng các biện pháp bảo vệ phù hợp; (2) Ghi và lưu nhật ký hệ thống; (3) Thông báo vi phạm; (4) Lựa chọn Bên xử lý phù hợp; (5) Đảm bảo quyền của chủ thể dữ liệu; (6) Chịu trách nhiệm về thiệt hại; và (7) Phối hợp với cơ quan nhà nước.
Đây là một bộ khung trách nhiệm toàn diện, đòi hỏi Bên Kiểm soát phải có một cách tiếp cận chủ động và có hệ thống.
1. Áp dụng các biện pháp tổ chức và kỹ thuật phù hợp
Bên Kiểm soát phải triển khai các biện pháp bảo vệ dữ liệu cá nhân để chứng minh sự tuân thủ. Các biện pháp này bao gồm cả biện pháp quản lý (ban hành chính sách, đào tạo nhân viên) và biện pháp kỹ thuật (mã hóa, tường lửa).
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân
Đây là một yêu cầu kỹ thuật quan trọng, nhằm đảm bảo khả năng truy vết và điều tra khi có sự cố xảy ra. Nhật ký hệ thống (system logs) cần ghi lại các hoạt động quan trọng như ai đã truy cập, xem, sửa, xóa dữ liệu và vào thời điểm nào.
3. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Khi xảy ra sự cố rò rỉ dữ liệu, Bên Kiểm soát có nghĩa vụ phải thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân cho Cục A05 trong vòng 72 giờ.
4. Lựa chọn Bên Xử lý dữ liệu phù hợp và có hợp đồng ràng buộc
Bên Kiểm soát phải thực hiện thẩm định (due diligence) để đảm bảo rằng các nhà cung cấp dịch vụ của mình (Bên Xử lý) có đủ năng lực và các biện pháp bảo vệ phù hợp. Mối quan hệ này bắt buộc phải được điều chỉnh bằng một thỏa thuận bảo vệ dữ liệu cá nhân (DPA) chặt chẽ.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Đây là một trong những trách nhiệm bị bỏ qua nhiều nhất. Một kinh nghiệm thực tế là một công ty đã thuê một agency marketing nhỏ để quản lý fanpage mà không có DPA. Khi agency này vô tình làm lộ thông tin của khách hàng, công ty (Bên Kiểm soát) đã phải một mình chịu toàn bộ trách nhiệm bồi thường vì không có cơ sở pháp lý để buộc agency cùng chia sẻ trách nhiệm.”
5. Đảm bảo các quyền của chủ thể dữ liệu
Bên Kiểm soát là người chịu trách nhiệm chính trong việc đáp ứng 11 quyền của chủ thể dữ liệu, từ việc cung cấp thông tin, cho đến xử lý các yêu cầu truy cập, chỉnh sửa, xóa dữ liệu.
6. Chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại
Bên Kiểm soát phải chịu trách nhiệm bồi thường cho các thiệt hại do quá trình xử lý dữ liệu gây ra cho chủ thể dữ liệu cá nhân, ngay cả khi lỗi thuộc về Bên Xử lý dữ liệu.
7. Phối hợp với cơ quan nhà nước có thẩm quyền
Bên Kiểm soát có nghĩa vụ phối hợp với Bộ Công an và các cơ quan chức năng khác, cung cấp thông tin để phục vụ công tác điều tra, xử lý các hành vi vi phạm.
DPVN: Dịch Vụ Tư Vấn Toàn Diện Về Trách Nhiệm Của Bên Kiểm Soát
Việc thực thi đầy đủ các trách nhiệm của Bên Kiểm soát Dữ liệu là một nhiệm vụ phức tạp, đòi hỏi một chương trình tuân thủ bài bản.
Đội ngũ chuyên gia của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, sẽ giúp doanh nghiệp của bạn xây dựng một khung quản trị dữ liệu vững chắc, đáp ứng mọi yêu cầu pháp lý. Hãy liên hệ với chúng tôi:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về trách nhiệm của Bên Kiểm soát Dữ liệu
1. Chế tài xử phạt khi vi phạm trách nhiệm của bên kiểm soát dữ liệu cá nhân là gì?
Với vai trò là người chịu trách nhiệm chính, Bên Kiểm soát sẽ đối mặt với các chế tài nghiêm khắc nhất, bao gồm xử phạt vi phạm hành chính (lên tới 5% doanh thu theo Luật 2025), trách nhiệm bồi thường thiệt hại, và nguy cơ truy cứu trách nhiệm hình sự.
2. Một công ty có thể vừa là Bên Kiểm soát vừa là Bên Xử lý không?
Có, nhưng trong các hoạt động khác nhau. Ví dụ, một công ty phần mềm SaaS: khi họ xử lý dữ liệu của chính nhân viên và khách hàng của mình, họ là Bên Kiểm soát. Khi họ cung cấp phần mềm cho một công ty khác và xử lý dữ liệu của khách hàng của công ty đó trên nền tảng của mình, họ là Bên Xử lý. Tham khảo thêm tại bài viết 6 tiêu chí phân biệt giữa Bên Kiểm soát và Bên Xử lý.
3. Quyền và nghĩa vụ của chủ thể dữ liệu liên quan đến bên kiểm soát dữ liệu cá nhân là gì?
Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát thực hiện 11 quyền của mình (truy cập, xóa…). Ngược lại, Bên Kiểm soát có quyền yêu cầu chủ thể dữ liệu cung cấp thông tin chính xác và tuân thủ các điều khoản đã thỏa thuận.
4. Ai là người chịu trách nhiệm cuối cùng trong doanh nghiệp?
Người đại diện theo pháp luật của doanh nghiệp (ví dụ: Giám đốc, Tổng Giám đốc) là người chịu trách nhiệm pháp lý cao nhất và cuối cùng về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân của công ty.
5. Trách nhiệm của Bên Kiểm soát và Bên Kiểm soát và Xử lý dữ liệu có giống nhau không?
Có. Theo Điều 40 Nghị định 13, Bên Kiểm soát và Xử lý dữ liệu (trường hợp tự quyết định và tự xử lý) phải thực hiện đầy đủ trách nhiệm của cả Bên Kiểm soát và Bên Xử lý. Do đó, trách nhiệm của họ là toàn diện và đầy đủ nhất.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Article 24 of GDPR – Responsibility of the controller: https://gdpr-info.eu/art-24-gdpr/
- IAPP – The Role of the Controller: https://iapp.org/resources/article/the-role-of-the-controller/
