Bảo vệ dữ liệu cá nhân này không chỉ là trách nhiệm của chủ thể dữ liệu và bên kiểm soát dữ liệu, mà còn liên quan mật thiết đến các bên thứ ba trong xử lý dữ liệu cá nhân. Để hiểu rõ hơn về vai trò và trách nhiệm của bên thứ ba trong hoạt động xử lý dữ liệu cá nhân, DPVN sẽ phân tích khái niệm “bên thứ ba” và các quy định liên quan theo Nghị định 13/2023/NĐ-CP.
Bên thứ ba là ai trong quá trình xử lý dữ liệu cá nhân?
Theo Khoản 12, Điều 2 của Nghị định 13/2023/NĐ-CP, bên thứ ba là tổ chức, cá nhân ngoài chủ thể dữ liệu, bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân được phép xử lý dữ liệu cá nhân.
Định nghĩa này chỉ ra rằng bên thứ ba là một thực thể hoàn toàn độc lập, không thuộc bất kỳ nhóm nào trực tiếp liên quan đến việc kiểm soát hoặc xử lý dữ liệu cá nhân như chủ thể dữ liệu cá nhân (cá nhân sở hữu dữ liệu cá nhân đó), bên kiểm soát dữ liệu cá nhân (quyết định mục đích và phương tiện xử lý dữ liệu cá nhân), bên xử lý dữ liệu cá nhân (xử lý dữ liệu cá nhân theo thoả thuận với bên kiểm soát dữ liệu), bên kiểm soát và xử lý dữ liệu cá nhân (vừa quyết định mục đích, phương tiện, vừa trực tiếp xử lý dữ liệu).
Tuy nhiên, mặc dù độc lập, bên thứ ba vẫn có thể được phép xử lý dữ liệu cá nhân trong một số trường hợp nhất định, thường là khi có sự đồng ý của chủ thể dữ liệu hoặc theo quy định của pháp luật.
⇒ Bên thứ ba là một khái niệm quan trọng trong Nghị định 13, thể hiện sự mở rộng phạm vi các chủ thể có thể tham gia vào quá trình xử lý dữ liệu cá nhân, đồng thời nhấn mạnh yêu cầu về sự minh bạch và tuân thủ pháp luật trong mọi hoạt động xử lý dữ liệu, ngay cả khi thực hiện bởi bên thứ ba.
Vai trò và trách nhiệm của bên thứ ba trong xử lý dữ liệu cá nhân
Các trường hợp bên thứ ba được phép xử lý dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP không quy định cụ thể các trường hợp bên thứ ba được phép xử lý dữ liệu cá nhân mà chỉ đề cập đến một số trường hợp gián tiếp. Cụ thể DPVN đề cập đến các quy định sau:
| Khoản 3, Điều 15 | Bên thứ ba được phép chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu nếu được bên kiểm soát hoặc bên kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ chủ thể dữ liệu đã đồng ý. |
| Khoản 1, Điều 17 | Trong trường hợp khẩn cấp, bên thứ ba có thể xử lý dữ liệu cá nhân nếu cần thiết để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. |
| Khoản 3, Điều 39 | Bên xử lý dữ liệu cá nhân được phép thuê bên thứ ba xử lý dữ liệu cá nhân theo hợp đồng đã ký kết với bên kiểm soát dữ liệu cá nhân. |
Từ những quy định này, ta có thể thấy rằng bên thứ ba có thể tham gia vào quá trình xử lý dữ liệu cá nhân trong các trường hợp sau:
- Khi được sự đồng ý của bên kiểm soát dữ liệu và chủ thể dữ liệu.
- Trong trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe.
- Khi được bên xử lý dữ liệu cá nhân thuê ngoài để thực hiện một phần hoặc toàn bộ hoạt động xử lý.
Trách nhiệm của bên thứ ba trong việc xử lý dữ liệu cá nhân
Mặc dù không phải là bên kiểm soát hay xử lý dữ liệu chính, bên thứ ba vẫn có trách nhiệm bảo vệ dữ liệu cá nhân mà họ được tiếp cận hoặc xử lý. Điều 41 của Nghị định 13 nêu rõ: “Bên thứ ba thực hiện đầy đủ các quy định về trách nhiệm xử lý dữ liệu cá nhân theo quy định tại nghị định này.”
Điều này có nghĩa là bên thứ ba phải tuân thủ tất cả các nguyên tắc và quy định về bảo vệ dữ liệu cá nhân giống như bên kiểm soát và xử lý dữ liệu. Cụ thể,bên thứ ba cần phải:
- Xử lý dữ liệu cá nhân theo đúng mục đích và phạm vi được cho phép.
- Áp dụng các biện pháp bảo mật phù hợp để bảo vệ dữ liệu cá nhân.
- Không tiết lộ hoặc chia sẻ dữ liệu cá nhân cho các bên khác mà không có sự đồng ý của bên kiểm soát dữ liệu và chủ thể dữ liệu.
- Thông báo cho bên kiểm soát dữ liệu về bất kỳ vi phạm dữ liệu cá nhân nào.
- Xóa hoặc trả lại dữ liệu cá nhân khi không còn cần thiết hoặc theo yêu cầu của bên kiểm soát dữ liệu.
Các biện pháp bảo vệ dữ liệu cá nhân mà bên thứ ba cần thực hiện
Để đảm bảo an toàn cho dữ liệu cá nhân, bên thứ ba cần thực hiện các biện pháp bảo vệ sau:
- Biện pháp kỹ thuật: Sử dụng các công nghệ bảo mật như mã hóa, tường lửa, hệ thống phát hiện xâm nhập để bảo vệ dữ liệu.
- Biện pháp quản lý: Xây dựng và thực hiện các chính sách, quy trình bảo mật nội bộ, đào tạo nhân viên về bảo vệ dữ liệu cá nhân.
- Hợp đồng hoặc thỏa thuận: Ký kết hợp đồng hoặc thỏa thuận với bên kiểm soát hoặc xử lý dữ liệu cá nhân, trong đó quy định rõ các điều khoản về bảo vệ dữ liệu cá nhân.
Tìm hiểu thêm về 5 nhóm biên pháp bảo vệ dữ liệu cá nhân theo Nghị định 13
Các ví dụ về bên thứ ba trong thực tế khi xử lý dữ liệu cá nhân
Để hiểu rõ hơn về vai trò của bên thứ ba trong hoạt động xử lý dữ liệu cá nhân, hãy cùng DPVN xem xét một số ví dụ cụ thể và phân tích trách nhiệm của họ.
| Ví dụ | Vai trò | Trách nhiệm |
| Công ty cung cấp dịch vụ lưu trữ đám mây | Cung cấp dịch vụ lưu trữ dữ liệu cho bên kiểm soát dữ liệu. |
|
| Công ty cung cấp dịch vụ tiếp thị qua email | Gửi email tiếp thị đến khách hàng thay mặt cho bên kiểm soát dữ liệu. |
|
| Ngân hàng cung cấp dịch vụ thanh toán trực tuyến | Xử lý các giao dịch thanh toán trực tuyến giữa khách hàng và bên kiểm soát dữ liệu |
|
| Cơ quan chức năng có thẩm quyền có thể yêu cầu bên kiểm soát hoặc xử lý dữ liệu cá nhân ngừng xử lý, xóa hoặc hủy dữ liệu cá nhân của trẻ em (nếu đủ căn cứ cho rằng việc xử lý đó gây ảnh hưởng đến quyền và lợi ích hợp pháp của trẻ) | Cơ quan chức năng có thẩm quyền đóng vai trò là bên thứ ba giám sát và bảo vệ quyền lợi của trẻ em trong hoạt động xử lý dữ liệu cá nhân. (Theo điểm c, Khoản 3, Điều 20 Nghị định 13/2023/NĐ-CP) |
|
Bên thứ ba, mặc dù không trực tiếp kiểm soát mục đích và phương tiện xử lý dữ liệu cá nhân, vẫn đóng vai trò quan trọng trong việc đảm bảo an toàn và bảo mật cho thông tin cá nhân. Bằng cách hiểu rõ vai trò, trách nhiệm và thực hiện nghiêm túc các biện pháp bảo vệ dữ liệu cá nhân, bên thứ ba góp phần quan trọng vào việc xây dựng một môi trường dữ liệu an toàn và đáng tin cậy.
