Bên thứ ba trong hoạt động xử lý dữ liệu cá nhân là một chủ thể pháp lý độc lập, được phép xử lý dữ liệu nhưng không phải là Bên Kiểm soát hay Bên Xử lý. Tại DPVN, chúng tôi sẽ làm rõ định nghĩa, vai trò của bên thứ ba và trách nhiệm của doanh nghiệp khi hợp tác, giúp bạn quản lý rủi ro và đảm bảo tuân thủ pháp luật.
Định nghĩa và phạm vi của Bên thứ ba trong hoạt động xử lý dữ liệu cá nhân là gì?
Theo Khoản 12, Điều 2 Nghị định 13/2023/NĐ-CP, Bên thứ ba là tổ chức, cá nhân ngoài chủ thể dữ liệu, Bên Kiểm soát dữ liệu và Bên Xử lý dữ liệu, nhưng vẫn được phép xử lý dữ liệu cá nhân. Điểm mấu chốt để phân biệt là Bên thứ ba thường có mục đích xử lý dữ liệu riêng của họ, khác với Bên Xử lý chỉ thực hiện theo chỉ thị.
Việc xác định đúng vai trò của các đối tác là cực kỳ quan trọng vì nó quyết định trách nhiệm pháp lý và nội dung hợp đồng cần có. Trong hệ sinh thái dữ liệu, có 4 chủ thể chính: Chủ thể dữ liệu, Bên Kiểm soát, Bên Xử lý và Bên thứ ba. Nếu Bên Kiểm soát là người “ra quyết định”, Bên Xử lý là người “làm theo chỉ thị”, thì Bên thứ ba là một đối tác độc lập hơn.
Về chuyên môn sâu, sự khác biệt cốt lõi nằm ở quyền tự quyết về mục đích. Một Bên Xử lý dữ liệu (ví dụ: nhà cung cấp dịch vụ lưu trữ đám mây) không được phép sử dụng dữ liệu bạn tải lên cho mục đích riêng của họ. Ngược lại, một Bên thứ ba sau khi nhận dữ liệu từ bạn, có thể xử lý dữ liệu đó cho các mục đích đã được thỏa thuận trong hợp đồng và đã được sự đồng ý của chủ thể dữ liệu.
Ví dụ thực tế để phân biệt:
- Một công ty bán lẻ (Bên Kiểm soát) thuê một công ty in ấn (Bên Xử lý) để in và gửi thư quảng cáo cho khách hàng. Công ty in ấn chỉ được dùng danh sách khách hàng cho đúng mục đích đó.
- Công ty bán lẻ đó hợp tác với một công ty nghiên cứu thị trường (Bên thứ ba) và chia sẻ dữ liệu mua hàng (đã được khử nhận dạng) để công ty này phân tích và tạo ra các báo cáo xu hướng tiêu dùng. Công ty nghiên cứu thị trường có mục đích xử lý riêng của họ.
Nghĩa vụ và trách nhiệm của Bên thứ ba trong xử lý dữ liệu cá nhân là gì?
Theo Điều 41 Nghị định 13/2023/NĐ-CP, Bên thứ ba có đầy đủ trách nhiệm của một bên xử lý dữ liệu. Nghĩa vụ cốt lõi của họ bao gồm: chỉ xử lý dữ liệu đúng mục đích, phạm vi đã được thỏa thuận; áp dụng các biện pháp bảo vệ phù hợp; và chịu trách nhiệm trước pháp luật và Bên Kiểm soát về các hành vi của mình.
Mặc dù có sự độc lập nhất định, Bên thứ ba không nằm ngoài vòng pháp luật. Họ phải tuân thủ một bộ quy tắc nghiêm ngặt để đảm bảo dữ liệu không bị lạm dụng. Các nghĩa vụ chính bao gồm:
- Tuân thủ Hợp đồng: Chỉ được phép xử lý dữ liệu cá nhân trong phạm vi và mục đích đã được quy định rõ ràng trong hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu.
- Áp dụng các biện pháp bảo vệ: Phải triển khai các biện pháp kỹ thuật và tổ chức tương xứng để bảo vệ dữ liệu nhận được, ngăn chặn truy cập trái phép, rò rỉ hoặc phá hủy.
- Bảo mật thông tin: Có nghĩa vụ bảo mật tuyệt đối dữ liệu cá nhân đã nhận và không được tiết lộ cho bất kỳ ai khác nếu không được phép.
- Hợp tác với cơ quan chức năng: Phải phối hợp với Bộ Công an và các cơ quan nhà nước có thẩm quyền khi có yêu cầu điều tra, xử lý vi phạm.
- Lập Hồ sơ Đánh giá Tác động: Bên thứ ba cũng có nghĩa vụ phải lập Hồ sơ Đánh giá Tác động xử lý dữ liệu cá nhân theo Mẫu Đ24-DLCN-03 và nộp cho cơ quan chức năng.
Doanh nghiệp cần tuân thủ quy trình lựa chọn và đánh giá Bên thứ ba như thế nào?
Việc lựa chọn Bên thứ ba là một quyết định mang tính chiến lược, đòi hỏi một quy trình thẩm định cẩn trọng (Due Diligence). Quy trình này bao gồm 3 bước chính: (1) Đánh giá năng lực và uy tín của đối tác; (2) Yêu cầu cung cấp các bằng chứng về tuân thủ; và (3) Ký kết một thỏa thuận xử lý dữ liệu chặt chẽ về mặt pháp lý.
Trách nhiệm của bên kiểm soát dữ liệu cá nhân không kết thúc khi dữ liệu được chuyển giao. Ngược lại, họ phải chịu trách nhiệm cho cả những hành vi của đối tác. Do đó, việc thẩm định là cực kỳ quan trọng.
Bước 1: Đánh giá Năng lực và Uy tín (Due Diligence)
Trước khi ký hợp đồng, hãy đặt ra một bộ câu hỏi để đánh giá đối tác tiềm năng:
- Họ có kinh nghiệm trong việc xử lý loại dữ liệu bạn định chia sẻ không?
- Họ có các chứng chỉ an ninh thông tin quốc tế không (ví dụ: ISO 27001, SOC 2)?
- Họ có đội ngũ hoặc nhân sự chuyên trách về bảo vệ dữ liệu không?
- Lịch sử của họ có từng xảy ra sự cố rò rỉ dữ liệu nào nghiêm trọng không?
Bước 2: Yêu cầu Bằng chứng Tuân thủ
Không chỉ tin vào lời nói, hãy yêu cầu đối tác cung cấp các tài liệu cụ thể:
- Bản sao Chính sách bảo vệ dữ liệu cá nhân của họ.
- Bản sao các chứng chỉ an ninh mạng (nếu có).
- Bản tóm tắt các biện pháp kỹ thuật và tổ chức mà họ đang áp dụng.
Bước 3: Ký kết Thỏa thuận Xử lý Dữ liệu (DPA)
Đây là bước quan trọng nhất để ràng buộc trách nhiệm pháp lý. Một thỏa thuận bảo vệ dữ liệu cá nhân (hoặc phụ lục hợp đồng) với Bên thứ ba cần phải có các điều khoản tối thiểu sau:
- Quy định rõ mục đích, phạm vi và thời hạn xử lý dữ liệu.
- Yêu cầu Bên thứ ba áp dụng các biện pháp bảo mật cụ thể.
- Quy định nghĩa vụ thông báo ngay lập tức cho bạn khi có sự cố vi phạm.
- Quyền của bạn được kiểm tra, thanh tra việc tuân thủ của họ.
- Điều khoản về bồi thường thiệt hại và chấm dứt hợp đồng khi có vi phạm.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “”””Trong các vụ tranh chấp mà chúng tôi xử lý, việc thiếu một thỏa thuận DPA chặt chẽ thường đẩy Bên Kiểm soát vào thế bất lợi. Một câu chuyện đáng nhớ là một công ty đã chia sẻ dữ liệu cho đối tác mà chỉ có một điều khoản bảo mật chung chung trong hợp đồng. Khi đối tác làm lộ dữ liệu, công ty đó đã phải một mình chịu toàn bộ trách nhiệm bồi thường cho khách hàng vì không có cơ sở pháp lý để buộc đối tác cùng chia sẻ trách nhiệm.””””
Những rủi ro và biện pháp giảm thiểu khi chia sẻ dữ liệu cho Bên thứ ba là gì?
Rủi ro lớn nhất là mất kiểm soát đối với dữ liệu, dẫn đến nguy cơ rò rỉ, lạm dụng dữ liệu và vi phạm pháp luật. Các biện pháp giảm thiểu bao gồm áp dụng nguyên tắc tối thiểu hóa dữ liệu, sử dụng các kỹ thuật ẩn danh hóa, thực hiện giám sát và kiểm tra định kỳ, và xây dựng kế hoạch ứng phó sự cố chung.
Việc chia sẻ dữ liệu luôn đi kèm với rủi ro. Tuy nhiên, doanh nghiệp có thể quản lý và giảm thiểu các rủi ro này một cách hiệu quả.
| Rủi ro tiềm ẩn | Biện pháp giảm thiểu |
|---|---|
| Rò rỉ dữ liệu từ hệ thống của Bên thứ ba | Thẩm định kỹ năng lực an ninh mạng của họ; Yêu cầu các chứng chỉ bảo mật; Ràng buộc trách nhiệm thông báo và bồi thường trong hợp đồng. |
| Bên thứ ba lạm dụng dữ liệu sai mục đích | Có hợp đồng DPA chặt chẽ, quy định rõ mục đích được phép; Thực hiện kiểm tra, giám sát định kỳ hoặc đột xuất. |
| Không tuân thủ các quy định pháp luật | Đảm bảo hợp đồng có điều khoản yêu cầu Bên thứ ba phải tuân thủ Nghị định 13 và pháp luật Việt Nam. Nếu họ là công ty nước ngoài, cần có các điều khoản ràng buộc pháp lý đủ mạnh. |
| Chia sẻ quá nhiều dữ liệu không cần thiết | Áp dụng nguyên tắc tối thiểu hóa dữ liệu: chỉ chia sẻ lượng thông tin tối thiểu cần thiết cho mục đích hợp tác. Cân nhắc sử dụng các kỹ thuật khử nhận dạng dữ liệu cá nhân trước khi chia sẻ. |
DPVN: Dịch Vụ Rà Soát và Soạn Thảo Hợp Đồng với Bên Thứ Ba
Một thỏa thuận pháp lý chặt chẽ là lá chắn vững chắc nhất để bảo vệ doanh nghiệp của bạn khi làm việc với các đối tác. Việc soạn thảo các điều khoản bảo vệ dữ liệu đòi hỏi sự am hiểu sâu sắc về cả luật hợp đồng và các quy định chuyên ngành.
DPVN cung cấp dịch vụ rà soát, đàm phán và soạn thảo các Thỏa thuận Xử lý Dữ liệu (DPA) chuyên nghiệp. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp với Luật sư Nguyễn Lâm Sơn:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về Bên thứ ba trong xử lý dữ liệu cá nhân
1. Bên thứ ba có cần phải được sự đồng ý của chủ thể dữ liệu không?
Có. Khi thu thập sự đồng ý, Bên Kiểm soát dữ liệu phải thông báo rõ ràng cho chủ thể dữ liệu về việc dữ liệu của họ có thể được chia sẻ cho Bên thứ ba nào và cho mục đích gì. Chủ thể dữ liệu phải đồng ý với việc chia sẻ này.
2. Công ty mẹ của chúng tôi ở nước ngoài có được coi là Bên thứ ba không?
Có thể. Tùy thuộc vào bản chất của việc chuyển giao và mục đích xử lý, công ty mẹ có thể được xem là một Bên Kiểm soát đồng thời (Joint Controller), một Bên Xử lý (nếu chỉ xử lý theo chỉ thị), hoặc một Bên thứ ba. Dù là vai trò nào, việc chuyển dữ liệu này đều phải tuân thủ các quy định về chuyển dữ liệu cá nhân ra nước ngoài.
3. Bên thứ ba có phải nộp Hồ sơ Đánh giá Tác động cho Cục A05 không?
Có. Theo quy định, Bên thứ ba có trách nhiệm lập Hồ sơ Đánh giá Tác động xử lý dữ liệu cá nhân theo Mẫu Đ24-DLCN-03 và nộp cho cơ quan chuyên trách.
4. Trách nhiệm bồi thường thiệt hại khi Bên thứ ba gây ra sự cố sẽ thuộc về ai?
Bên Kiểm soát dữ liệu là người chịu trách nhiệm chính và trực tiếp trước chủ thể dữ liệu. Sau khi bồi thường cho chủ thể dữ liệu, Bên Kiểm soát có quyền yêu cầu Bên thứ ba bồi hoàn lại thiệt hại theo các điều khoản đã thỏa thuận trong hợp đồng.
5. Cơ quan nhà nước có được xem là Bên thứ ba không?
Không. Các cơ quan nhà nước khi yêu cầu cung cấp dữ liệu để thực hiện nhiệm vụ theo luật định không được coi là Bên thứ ba. Việc cung cấp dữ liệu cho họ là một trường hợp xử lý dữ liệu không cần sự đồng ý, dựa trên cơ sở pháp lý là “”thực hiện nghĩa vụ theo luật””.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
- European Data Protection Board (EDPB) – Guidelines on the concepts of controller and processor in the GDPR: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en
- IAPP – Managing Third-Party Vendor Risk: https://iapp.org/resources/article/managing-third-party-vendor-risk/
